Сравнителен анализ на антивирусни програми за компютър. Сравнителен анализ на антивирусния софтуер Обща характеристика на антивирусните програми и сравнителен анализ

Направете сравнение антивирусни програми- доста отговорна професия, както поради установените предпочитания на мнозинството потребители, така и поради перспективата за недоволство от производствените компании, които според резултатите от теста се озоваха в долните редици на рейтинга.

Едно нещо е да се разпространява във форуми за предимствата и недостатъците на всяка антивирусна програма, друго е да се представят резултатите от сравнителното тестване на продукти на известни марки на преценката на потребителите.

В тази ситуация най-оптималното решение е да се включат известни специалисти, които професионално се занимават с тестване на антивирусен софтуер. Едни от тях са експерти от независимия руски информационно-аналитичен портал on информационна сигурност Anti-Malware.ru, които участваха в тестването на антивирусните програми, представени по-долу.

За тестване са използвани следните антивирусни програми:

• - Kaspersky Anti-Virus 7.0
• - Eset Nod32 2.7
• - DrWeb 4.44
• - Norton AntiVirus 2007
• - Avira AntiVir PE Classic 7.0.

За да се оцени основният критерий на тестваните програми - качеството на защита, бяха взети предвид следните параметри:

• - качество на евристичния анализ;
• - скорост на реакция при откриване на вируси;
• - качество на сигнатурния анализ;
• - качеството на поведенческия блокер;
• - способност за лечение на активни инфекции;
• - възможност за откриване на активни руткитове;
• - качеството на самоотбраната;
• - възможност за поддръжка на опаковчици;
• - честотата на фалшивите положителни резултати.

резултати

програма за компютърни вируси

Според резултатите от сравнителното тестване на антивирусни програми, Kaspersky Anti-Virus 7.0 беше първият, Norton Anti-Virus 2007 отбеляза 15 точки по-малко, антивирусната програма Eset Nod32 2.7 показа трети резултат.

Общите резултати от теста бяха повлияни от различни критерии, по които бяха оценени антивирусните програми и би било неправилно да се нарече една програма абсолютен лидер, дори само защото различните параметри на антивирусната работа са най-привлекателни за различните потребители, въпреки че основен критерий- качеството на защитата, разбира се, е приоритет.

Най-добрите резултати при сравнителното тестване на Kaspersky Anti-Virus 7.0 се определят от скоростта на реакция на нови заплахи, честите актуализации на базите данни с вируси, наличието на поведенчески блокер, който не е наличен в други антивирусни програми, възможността за премахване на руткитове и ефективна самозащита.

Предимствата на Kaspersky Anti-Virus 7.0 включват и широкия му функционален диапазон: откриване и дезактивиране на активни руткитове, бързо сканиране на HTTP трафик, възможност за промяна на последствията от злонамерени програми, наличие на програма за възстановяване след авария и ефективно регулиране на натоварване на централния процесор.

Недостатъците на Kaspersky Anti-Virus 7.0 включват ниска устойчивост на повреди, относително ниска ефективност на евристичния анализ, което предотвратява надеждна устойчивост на тези видове заплахи, които в момента не са известни на Kaspersky Anti-Virus 7.0. Сред отрицателните качества на Kaspersky Anti-Virus 7.0 е голям брой фалшиви положителни резултати, което е особено досадно за някои потребители.

Заеман на второ място, Norton Anti-Virus 2007 привлича със своето удобство и простота и удобен за потребителя интерфейс, ефективността на откриването на подписи и ниския брой фалшиви аларми.

Norton Anti-Virus 2007 обаче консумира много системни ресурси и има ниска скорост на реакция. Неговата проактивна защита не е най-силната и поддръжката за опаковчици е малко ограничена. Възможността за конфигуриране на Norton Anti-Virus 2007 е ограничена, което не позволява да се адаптира към широк кръг потребители.Най-силните страни на Eset Nod32 2.7, който зае трето място, бяха неговият ефективен евристичен анализатор и минималната консумация на система ресурси, което е особено отбелязано от собствениците на не много "бързи" компютри.

Недостатъците на Eset Nod32 2.7 включват недостатъчно бърз отговор на нови заплахи, минимална способност за откриване на активни руткитове и премахване на последствията от активна инфекция. Остарелият интерфейс също трябва да бъде актуализиран.

Четвъртото място на антивирусната програма Doctor Web се ​​дължи на липсата на активен блокер, ефективни средстваустойчивост на активна инфекция и откриване на руткитове. Ефективността на евристичния анализатор на Doctor Web също оставя много да се желае. С всички недостатъци на тази антивирусна програма не може да не се отбележи доста високата гъвкавост на настройките, скоростта на реакция и алгоритъмът за инсталиране, който е достъпен дори и за най-неопитен потребител.

Avira AntiVir PE Classic 7.0 показа най-лошите резултати в сравнение с други участници в теста. И въпреки че неговият сигнатурен детектор и аналитичен анализатор са сравнително добри, неефективните инструменти за защита и ниската способност за премахване на последствията от инфекция на програми преместиха Avira AntiVir PE Classic 7.0 на последно място.

Единственото предимство на Avira AntiVir PE Classic 7.0 пред останалите участници в теста е, че е безплатен. Други антивирусни програми имат приблизително същата цена (в рамките на 1000 рубли), въпреки че местните Kaspersky Anti-Virus и Doctor Web, които имат по-добро ниво на техническа поддръжка, изглеждат малко по-привлекателни.

Въведение

1. Теоретична част

1.1 Концепцията за информационна сигурност

1.2 Видове заплахи

1.3 Методи за информационна сигурност

2. Проектна част

2.1 Класификация на компютърните вируси

2.2 Концепцията за антивирусна програма

2.3 Видове антивирусни средства

2.4 Сравнение на антивирусни пакети

Заключение

Списък на използваната литература

Приложение

Въведение

Разработване на нов информационни технологиии общата компютъризация доведоха до факта, че информационната сигурност не само става задължителна, но е и една от характеристиките на информационните системи. Съществува доста обширен клас системи за обработка на информация, при разработването на които факторът за сигурност играе основна роля.

Масовото използване на персонални компютри е свързано с появата на самовъзпроизвеждащи се вирусни програми, които възпрепятстват нормалната работа на компютъра, разрушават файловата структура на дисковете и повреждат информацията, съхранявана в компютъра.

Въпреки приетите в много страни закони за борба с компютърните престъпления и разработването на специални софтуерни инструментизащита срещу вируси, броят на новите софтуерни вируси непрекъснато нараства. Това изисква потребителят на персонален компютър да е запознат с естеството на вирусите, начините за заразяване и защита от вируси.

Всеки ден вирусите стават все по-сложни, което води до значителна промяна в профила на заплахата. Но пазарът на антивирусен софтуер не стои неподвижен и предлага разнообразие от продукти. Техните потребители, представяйки проблема само в общи линии, често пропускат важни нюанси и стигат до илюзията за защита вместо самата защита.

Целта на тази курсова работа е да се извърши сравнителен анализ на антивирусни пакети.

За постигане на тази цел в работата се решават следните задачи:

Да изучава понятията за информационна сигурност, компютърни вируси и антивирусни средства;

Определят видовете заплахи за информационната сигурност, методите за защита;

Да изучава класификацията на компютърните вируси и антивирусни програми;

Извършване на сравнителен анализ на антивирусни пакети;

Създайте антивирусна програма.

Практическата значимост на работата.

Получените резултати, материалът от курсовата работа могат да се използват като основа за самосравняване на антивирусни програми.

Структурата на курсовата работа.

Тази курсова работа се състои от въведение, два раздела, заключение, списък с литература.

антивирусна защита срещу компютърни вируси

1. Теоретична част

В процеса на провеждане на сравнителен анализ на антивирусни пакети е необходимо да се дефинират следните понятия:

1 Информационна сигурност.

2 Видове заплахи.

3 Методи за защита на информацията.

Нека разгледаме по-отблизо тези концепции:

1.1 Концепцията за информационна сигурност

Въпреки непрекъснато нарастващите усилия за създаване на технологии за защита на данните, тяхната уязвимост в съвременните условия не само не намалява, но непрекъснато нараства. Следователно спешността на проблемите, свързани със защитата на информацията, нараства все повече.

Проблемът за информационната сигурност е многостранен и сложен и обхваща редица важни задачи. Например поверителността на данните, която се осигурява чрез използването на различни методи и средства. Списъкът с подобни задачи за информационна сигурност може да бъде продължен. Интензивното развитие на съвременните информационни технологии и в частност на мрежовите технологии създава всички предпоставки за това.

Защитата на информацията е набор от мерки, насочени към осигуряване на целостта, наличността и, ако е необходимо, поверителността на информацията и ресурсите, използвани за въвеждане, съхраняване, обработка и предаване на данни.

Към днешна дата са формулирани два основни принципа за информационна сигурност:

1 цялост на данните - защита срещу повреди, водещи до загуба на информация, както и защита срещу неразрешено създаване или унищожаване на данни;

2 поверителност на информацията.

Защитата срещу повреди, водещи до загуба на информация, се осъществява в посока повишаване на надеждността отделни елементии системи, които въвеждат, съхраняват, обработват и предават данни, дублиране и резервиране на отделни елементи и системи, използване на различни, включително автономни, източници на захранване, подобряване на потребителските умения, защита срещу неволни и умишлени действия, водещи до отказ на оборудване, унищожаване или промяна (модификация) на софтуер и защитена информация.

Защитата срещу неразрешено създаване или унищожаване на данни се осигурява чрез физическа защита на информацията, разграничаване и ограничаване на достъпа до елементи на защитена информация, затваряне на защитена информация в процеса на нейната директна обработка, разработване на софтуерни и хардуерни системи, устройства и специализиран софтуер. за предотвратяване на неоторизиран достъп до защитена информация.

Поверителността на информацията се осигурява чрез идентифициране и удостоверяване на субектите на достъп при влизане в системата чрез ID и парола, идентифициране на външни устройства чрез физически адреси, идентифициране на програми, томове, директории, файлове по име, криптиране и декриптиране на информация, разграничаване и контрол на достъп до него.

Сред мерките, насочени към защита на информацията, основните са технически, организационни и правни.

Техническите мерки включват защита срещу неоторизиран достъп до системата, резервиране на критични компютърни подсистеми, организация компютърни мрежис възможност за преразпределение на ресурси в случай на неизправност на отделни връзки, инсталация резервни системизахранване, оборудване на помещения с брави, инсталиране на алармени системи и др.

Организационните мерки включват: охрана на компютърния център (информационни зали); сключване на договор за услуга компютърна технологиясъс солидна организация с добра репутация; изключване на възможността за работа на компютърно оборудване от непознати, случайни лица и др.

Правните мерки включват разработването на норми, установяващи отговорност за унищожаване на компютърно оборудване и унищожаване (промяна) на софтуер, обществен контрол върху разработчиците и потребителите компютърни системии програми.

Трябва да се подчертае, че никакви хардуерни, софтуерни или други решения не могат да гарантират абсолютната надеждност и сигурност на данните в компютърните системи. В същото време е възможно да се сведе до минимум рискът от загуби, но само ако интегриран подходза защита на информацията.

1.2 Видове заплахи

Пасивните заплахи са насочени главно към неоторизирано използване на информационни ресурси на информационна система, без да се засяга нейното функциониране. Например неоторизиран достъп до бази данни, подслушване на комуникационни канали и т.н.

Активните заплахи са насочени към нарушаване на нормалното функциониране на информационната система чрез целенасочено въздействие върху нейните компоненти. Активните заплахи включват например унищожаване на компютър или неговата операционна система, унищожаване на компютърен софтуер, прекъсване на комуникационни линии и т.н. Източник на активни заплахи могат да бъдат действията на хакери, зловреден софтуер и други подобни.

Преднамерените заплахи също се разделят на вътрешни (възникващи в управляваната организация) и външни.

Вътрешните заплахи най-често се определят от социално напрежение и труден морален климат.

Външните заплахи могат да се определят от злонамерени действия на конкуренти, икономически условия и други причини (например природни бедствия).

Основните заплахи за сигурността на информацията и нормалното функциониране на информационната система включват:

Изтичане на поверителна информация;

Информационен компромис;

Неоторизирано използване на информационни ресурси;

Неправилно използване на информационни ресурси;

Неоторизиран обмен на информация между абонати;

Отказ от информация;

Нарушаване на информационното обслужване;

Незаконно използване на привилегии.

Изтичане на поверителна информация е неконтролирано изнасяне на поверителна информация извън информационната система или кръга от лица, на които тя е била поверена в службата или е станала известна в процеса на работа. Това изтичане може да се дължи на:

Разкриване на поверителна информация;

Оставяне на информация по различни, предимно технически, канали;

Неоторизиран достъп до поверителна информация по различни начини.

Разкриването на информация от нейния собственик или притежател е умишлено или небрежно действие на длъжностни лица и потребители, на които съответната информация е надлежно поверена в услуга или работа, което е довело до запознаване с нея от лица, които не са били допуснати до тази информация.

Възможна е неконтролирана грижа за поверителна информация по визуално-оптични, акустични, електромагнитни и други канали.

Неоторизиран достъп е незаконно умишлено притежаване на поверителна информация от лице, което няма право на достъп до защитена информация.

Най-честите начини за неоторизиран достъп до информация са:

Прихващане на електронно излъчване;

Използване на подслушващи устройства;

Дистанционна фотография;

Прихващане на акустични емисии и възстановяване на текста на принтера;

Копиране на носители с преодоляване на мерките за защита;

Маскиране като регистриран потребител;

Маскиране под системни заявки;

Използване на софтуерни капани;

Използване на недостатъците на езиците за програмиране и операционните системи;

Незаконно свързване към оборудване и комуникационни линии на специално проектиран хардуер, който осигурява достъп до информация;

Злонамерено дезактивиране на защитни механизми;

Декриптиране на криптирана информация чрез специални програми;

информационни инфекции.

Изброените начини за неоторизиран достъп изискват доста големи технически познания и подходящ хардуер или разработване на софтуерот крадеца. Например се използват технически канали за изтичане - това са физически пътища от източника на поверителна информация до нападателя, чрез които е възможно да се получи защитена информация. Причината за възникването на канали за течове е конструктивно-технологичните несъвършенства на схемните решения или експлоатационното износване на елементите. Всичко това позволява на хакерите да създават конвертори, работещи на определени физически принципи, образувайки канал за предаване на информация, присъщ на тези принципи - канал за изтичане.

Има обаче доста примитивни начини за неоторизиран достъп:

Кражба на информационни носители и документални отпадъци;

Проактивно сътрудничество;

Отказ от съдействие от страна на крадеца;

сондиране;

Подслушване;

Наблюдение и други начини.

Всеки метод за изтичане на поверителна информация може да доведе до значителни материални и морални щети както за организацията, в която работи информационната система, така и за нейните потребители.

Съществува и непрекъснато се разработва огромно разнообразие от злонамерени програми, чиято цел е да повредят информацията в базите данни и компютърния софтуер. Големият брой разновидности на тези програми не позволява разработването на трайни и надеждни средства срещу тях.

Смята се, че вирусът се характеризира с две основни характеристики:

Способността за самовъзпроизвеждане;

Способността за намеса в изчислителния процес (за получаване на контрол).

Неразрешеното използване на информационни ресурси, от една страна, е последиците от изтичането им и средство за компрометирането им. От друга страна, той има самостоятелна стойност, тъй като може да причини големи щети на управляваната система или нейните абонати.

Погрешното използване на информационни ресурси, макар и разрешено, може въпреки това да доведе до унищожаване, изтичане или компрометиране на тези ресурси.

Неоторизиран обмен на информация между абонати може да доведе до получаване от един от тях на информация, достъпът до която му е забранен. Последствията са същите като при неоторизиран достъп.

1.3 Методи за информационна сигурност

Създаването на системи за информационна сигурност се основава на следните принципи:

1 Системен подход за изграждане на система за защита, което означава оптимално съчетаване на взаимосвързани организационни, програмни,. Хардуерни, физически и други свойства, потвърдени от практиката на създаване на вътрешни и чуждестранни системи за защита и използвани на всички етапи от технологичния цикъл на обработка на информация.

2 Принципът на непрекъснато развитие на системата. Този принцип, който е един от основните за компютърните информационни системи, е още по-актуален за системите за информационна сигурност. Методите за прилагане на информационни заплахи непрекъснато се подобряват и следователно гарантирането на сигурността на информационните системи не може да бъде еднократен акт. Това е непрекъснат процес, който се състои в обосноваване и прилагане на най-рационалните методи, методи и начини за подобряване на системите за информационна сигурност, непрекъснат мониторинг, идентифициране на неговите пречки и слабости, потенциални канали за изтичане на информация и нови методи за неоторизиран достъп,

3 Осигуряване на надеждността на системата за защита, т.е. невъзможността за намаляване на нивото на надеждност в случай на повреди, повреди, умишлени действия на нарушител или неволни грешки на потребителите и персонала по поддръжката в системата.

4 Осигуряване на контрол върху функционирането на системата за защита, т.е. създаване на средства и методи за наблюдение на работата на защитните механизми.

5 Предоставяне на всички видове инструменти против зловреден софтуер.

6 Осигуряване на икономическа целесъобразност на използването на системата. Защита, която се изразява в превишаване на възможните щети от внедряването на заплахи над разходите за разработване и експлоатация на системи за информационна сигурност.

В резултат на решаването на проблемите на информационната сигурност съвременните информационни системи трябва да имат следните основни характеристики:

Наличие на информация с различна степен на поверителност;

Предоставяне криптографска защитаинформация с различна степен на поверителност по време на трансфер на данни;

Задължително управление на информационните потоци, както в локални мрежи, така и при предаване по комуникационни канали на големи разстояния;

Наличие на механизъм за регистриране и отчитане на опити за неоторизиран достъп, събития в информационната система и отпечатани документи;

Задължително осигуряване целостта на софтуера и информацията;

Наличие на средства за възстановяване на системата за защита на информацията;

Задължително отчитане на магнитни носители;

Наличие на физическа защита на компютърно оборудване и магнитни носители;

Наличието на специална услуга за информационна сигурност на системата.

Методи и средства за осигуряване на информационна сигурност.

Пречка - метод за физическо блокиране на пътя на нападател към защитена информация.

Контрол на достъпа - методи за защита на информацията чрез регулиране на използването на всички ресурси. Тези методи трябва да противостоят на всички възможни начини за неоторизиран достъп до информация. Контролът на достъпа включва следните функции за сигурност:

Идентификация на потребителите, персонала и ресурсите на системата (задаване на персонален идентификатор на всеки обект);

Идентифициране на обект или субект чрез представения им идентификатор;

Разрешаване и създаване на условия на труд в рамките на установените разпоредби;

Регистрация на повиквания към защитени ресурси;

Реагиране на опити за неразрешени действия.

Механизми за криптиране - криптографско затваряне на информация. Тези методи за защита намират все по-широко приложение както при обработката, така и при съхранението на информация на магнитни носители. При предаване на информация по комуникационни канали на дълги разстояния този метод е единственият надежден.

Противодействието на атаките на зловреден софтуер включва набор от различни организационни мерки и използването на антивирусни програми.

Целият набор от технически средства се разделя на апаратни и физически.

Хардуер - устройства, които са вградени директно в компютърната технология, или устройства, които се свързват с нея чрез стандартен интерфейс.

Физическите средства включват различни инженерни устройства и конструкции, които предотвратяват физическото проникване на нарушители в защитени обекти и защитават персонала (лична охранителна техника), материални активи и финанси и информация от незаконни действия.

Софтуерните инструменти са специални програми и софтуерни системи, предназначени да защитават информацията в информационните системи.

От софтуера на системата за защита е необходимо да се отдели още софтуер, който прилага механизми за криптиране (криптография). Криптографията е наука за осигуряване на тайната и/или автентичността (автентичността) на предаваните съобщения.

Организационните средства чрез своя комплекс регулират производствените дейности в информационните системи и взаимоотношенията на изпълнителите на правна основа по такъв начин, че разкриването, изтичането и неоторизираният достъп до поверителна информация става невъзможно или значително затруднено от организационни мерки.

Законодателните средства за защита се определят от законодателните актове на страната, които регулират правилата за използване, обработка и предаване на информация с ограничен достъп и установяват отговорност за нарушаване на тези правила.

Моралните и етични средства за защита включват всички видове норми на поведение, които традиционно са се развили по-рано, формират се с разпространението на информация в страната и света или са специално разработени. Моралните и етични стандарти могат да бъдат неписани или съставени в определен набор от правила или разпоредби. Тези норми по правило не са законово одобрени, но тъй като тяхното неспазване води до намаляване на престижа на организацията, те се считат за задължителни.

2. Проектна част

В частта за проектиране трябва да бъдат изпълнени следните стъпки:

1 Дефинирайте понятието компютърен вирус и класификацията на компютърните вируси.

2 Определете концепцията за антивирусна програма и класификацията на антивирусните инструменти.

3 Направете сравнителен анализ на антивирусни пакети.

2.1 Класификация на компютърните вируси

Вирусът е програма, която може да заразява други програми, като включва в тях модифицирано копие, което има способността да се възпроизвежда по-нататък.

Вирусите могат да бъдат разделени на класове според следните основни характеристики:

Разрушителни възможности

Особености на алгоритъма на работа;

Среда на живот;

Според разрушителните си способности вирусите се разделят на:

Безвреден, т.е. не засяга работата на компютъра по никакъв начин (с изключение на намаляването на свободното дисково пространство в резултат на неговото разпространение);

Безопасен, чието въздействие се ограничава до намаляване на свободното дисково пространство и графични, звукови и други ефекти;

Опасни вируси, които могат да причинят сериозни неизправности на компютъра;

Много опасен, чийто алгоритъм умишлено се основава на процедури, които могат да доведат до загуба на програми, да унищожат данни, да изтрият информацията, необходима за работата на компютъра, записана в областите на системната памет

Характеристиките на вирусния алгоритъм могат да се характеризират със следните свойства:

Резиденция;

Използване на стелт алгоритми;

полиморфизъм;

Резидентни вируси.

Терминът "резидентство" се отнася до способността на вирусите да оставят своите копия в системната памет, да прихващат определени събития и по този начин да извикват процедури за заразяване на открити обекти (файлове и сектори). По този начин резидентните вируси са активни не само докато заразената програма работи, но и след като програмата приключи работата си. Резидентните копия на такива вируси остават жизнеспособни до следващото рестартиране, дори ако всички заразени файлове са унищожени на диска. Често е невъзможно да се отървете от такива вируси, като възстановите всички копия на файлове от дискове за разпространение или резервни копия. Резидентното копие на вируса остава активно и заразява отново генерирани файлове. Същото важи и за стартиращите вируси - форматирането на устройство, докато има резидентен вирус в паметта, не винаги лекува устройството, тъй като много резидентни вируси заразяват отново устройството, след като е било форматирано.

нерезидентни вируси. Нерезидентните вируси, напротив, са активни за доста кратко време - само в момента на стартиране на заразената програма. За тяхното разпространение те търсят незаразени файлове на диска и записват в тях. След като вирусният код прехвърли управлението на хост програмата, ефектът на вируса върху работата на операционната система се намалява до нула до следващото стартиране на която и да е заразена програма. Следователно файловете, заразени с нерезидентни вируси, се премахват много по-лесно от диска и в същото време не позволяват на вируса да ги зарази отново.

Стелт вируси. Стелт вирусите по един или друг начин крият факта на присъствието си в системата. Използването на стелт алгоритми позволява на вирусите напълно или частично да се скрият в системата. Най-разпространеният стелт алгоритъм е прихващане на заявки на операционната система за четене (запис) на заразени обекти. В същото време стелт вирусите или ги лекуват временно, или „заменят“ незаразени части от информация на тяхно място. В случай на макро вируси най-популярният метод е да деактивирате извикванията към менюто за преглед на макроси. Известни са стелт вируси от всякакъв вид, с изключение на Windows вируси - зареждащи вируси, DOS файлови вируси и дори макро вируси. Появата на стелт вируси, които заразяват Windows файлове, най-вероятно е въпрос на време.

Полиморфни вируси. Самокриптирането и полиморфността се използват от почти всички видове вируси, за да се усложни максимално процедурата за откриване на вируси. Полиморфните вируси са доста трудни за откриване вируси, които нямат подписи, тоест не съдържат нито един постоянен код. В повечето случаи две проби от един и същ полиморфен вирус няма да имат нито едно съвпадение. Това се постига чрез криптиране на основното тяло на вируса и модифициране на програмата за декриптиране.

Полиморфните вируси включват тези, които не могат да бъдат открити с помощта на така наречените вирусни маски - части от постоянен код, специфичен за конкретен вирус. Това се постига по два основни начина - чрез криптиране на основния код на вируса с непостоянно извикване и случаен набор от команди за дешифриране или чрез промяна на действителния код на вируса, който се изпълнява. Полиморфизми с различна степен на сложност се срещат във вируси от всякакъв тип, от зареждащи и файлови DOS вируси до Windows вируси.

По местообитание вирусите могат да бъдат разделени на:

файл;

Ботуш;

Макровируси;

мрежа.

Файлови вируси. Файловите вируси или проникват в изпълними файлове по различни начини, или създават дублиращи се файлове (придружаващи вируси), или използват функции за организация на файловата система (вируси с връзки).

Въвеждането на файлов вирус е възможно в почти всички изпълними файлове на всички популярни операционни системи. Към днешна дата са известни вируси, които заразяват всички типове стандартни изпълними обекти на DOS: пакетни файлове(BAT), зареждаеми драйвери (SYS, включително специални файлове IO.SYS и MSDOS.SYS) и изпълними двоични файлове (EXE, COM). Има вируси, които заразяват изпълними файлове на други операционни системи - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включително Windows 3.x и Windows95 VxD драйвери.

Има вируси, които заразяват файлове, които съдържат програмни изходни текстове, библиотека или обектни модули. Възможно е вирусът да пише във файлове с данни, но това се случва или в резултат на грешка на вируса, или когато се проявят неговите агресивни свойства. Макро вирусите също записват своя код във файлове с данни като документи или електронни таблици, но тези вируси са толкова специфични, че са поставени в отделна група.

зареждащи вируси. Вирусите за зареждане заразяват сектора за зареждане на дискета и сектора за зареждане или главния запис за зареждане (MBR) на твърдия диск. Принципът на действие на стартиращите вируси се основава на алгоритмите за стартиране на операционната система при включване или рестартиране на компютъра - след необходимите тестове на инсталираното оборудване (памет, дискове и др.), програмата за стартиране на системата първо прочита физически сектор на диска за зареждане (A:, C: или CD-ROM в зависимост от параметрите, зададени в BIOS Setup) и прехвърля управлението към него.

В случай на дискета или CD, секторът за зареждане получава управление, което анализира таблицата с параметри на диска (BPB - BIOS Parameter Block), изчислява адресите на системните файлове на операционната система, чете ги в паметта и ги стартира за изпълнение. Системните файлове обикновено са MSDOS.SYS и IO.SYS, или IBMDOS.COM и IBMBIO.COM, или други в зависимост от инсталирана версия DOS, Windows или други операционни системи. Ако на диска за зареждане няма файлове на операционната система, програмата, разположена в сектора за зареждане на диска, показва съобщение за грешка и предлага подмяна на диска за зареждане.

В случай на твърд диск управлението се получава от програма, разположена в MBR на твърдия диск. Тази програма анализира таблицата на дяловете на диска (Disk Partition Table), изчислява адреса на активния сектор за зареждане (обикновено този сектор е секторът за зареждане на диск C), зарежда го в паметта и прехвърля контрола върху него.След като получи контрол, активният зареждащият сектор на твърдия диск извършва същите действия като зареждащия сектор на дискетата.

Когато заразяват дискове, зареждащите вируси „заместват“ своя код с някаква програма, която поема контрола при зареждане на системата. По този начин принципът на заразяване е един и същ при всички описани по-горе методи: вирусът „принуждава“ системата, когато се рестартира, да чете в паметта и да дава контрол не на оригиналния код на буутлоудъра, а на кода на вируса.

Флопи дисковете се заразяват по единствения известен метод - вирусът записва собствен код вместо оригиналния код на boot сектора на дискетата. Твърдият диск се заразява по три възможни начина - вирусът се записва или вместо кода на MBR, или вместо кода на сектора за зареждане на диска за зареждане (обикновено устройство C, или променя адреса на активния сектор за зареждане в диска Partition Table, разположена в MBR на твърдия диск.

Макро вируси. Макро вирусите заразяват файлове - документи и електронни таблици на няколко популярни редактора. Макро вирусите са програми на езици (макро езици), вградени в някои системи за обработка на данни. За тяхното възпроизвеждане такива вируси използват възможностите на макро езиците и с тяхна помощ се прехвърлят от един заразен файл в други. Макровирусите за Microsoft Word, Excel и Office97 са получили най-голямо разпространение. Има и макро вируси, които заразяват документи на Ami Pro и бази данни на Microsoft Access.

мрежови вируси. Мрежовите вируси включват вируси, които активно използват протоколите и възможностите на локалните и глобалните мрежи за своето разпространение. Основният принцип на мрежовия вирус е способността самостоятелно да прехвърля своя код на отдалечен сървър или работна станция. В същото време „пълноценните“ мрежови вируси също имат способността да стартират собствен код на отдалечен компютър или поне да „натиснат“ потребителя да стартира заразения файл. Пример за мрежови вируси са така наречените IRC червеи.

IRC (Internet Relay Chat) е специален протокол, предназначен за комуникация в реално време между интернет потребители. Този протокол им предоставя възможността да "говорят" в интернет с помощта на специално създаден софтуер. В допълнение към посещаването на общи конференции, потребителите на IRC имат възможност да чатят един на един с всеки друг потребител. Освен това има доста голям брой IRC команди, с които потребителят може да получи информация за други потребители и канали, да промени някои настройки на IRC клиента и т.н. Има и възможност за изпращане и получаване на файлове, на което са базирани IRC червеите. Мощната и обширна командна система на IRC клиентите дава възможност въз основа на техните скриптове да се създават компютърни вируси, които прехвърлят своя код на компютрите на потребителите на IRC мрежи, така наречените "IRC червеи". Принципът на работа на такива IRC червеи е приблизително същият. С помощта на IRC команди, работен скрипт файл (скрипт) автоматично се изпраща от заразен компютър до всеки потребител, който се е присъединил към канала отново. Изпратеният скрипт замества стандартния и по време на следващата сесия новозаразеният клиент ще изпрати червея. Някои IRC червеи също съдържат троянски компонент: ключови думиизвършват деструктивни действия върху засегнатите компютри. Например червеят "pIRCH.Events". конкретен отборизтрива всички файлове на устройството на потребителя.

Има голям брой комбинации - например вируси за зареждане на файлове, които заразяват както файлове, така и сектори за зареждане на дискове. Такива вируси като правило имат доста сложен алгоритъм на работа, често използват оригинални методи за проникване в системата, използват стелт и полиморфни технологии. Друг пример за подобна комбинация е мрежов макровирус, който не само заразява редактирани документи, но и изпраща свои копия по имейл.

В допълнение към тази класификация трябва да се кажат няколко думи за друг зловреден софтуер, който понякога се бърка с вируси. Тези програми нямат способността да се саморазмножават като вирусите, но могат да причинят също толкова опустошителни щети.

Троянски коне (логически бомби или бомби със закъснител).

Троянските коне включват програми, които причиняват всякакви разрушителни действия, тоест в зависимост от всякакви условия или при всяко стартиране, унищожаване на информация на дискове, „зависване“ на системата и т.н. Като пример може да се посочи такъв случай - когато такава програма, по време на сесия в Интернет, изпрати идентификаторите на своя автор и пароли от компютрите, на които живееше. Повечето от добре познатите троянски коне са програми, които „подправят“ някои полезни програми, нови версии на популярни помощни програми или добавки към тях. Много често те се изпращат до BBS-станции или електронни конференции. В сравнение с вирусите, "троянските коне" не се използват широко поради следните причини - те или се унищожават заедно с останалите данни на диска, или демаскират присъствието си и унищожават засегнатия потребител.

2.2 Концепцията за антивирусна програма

Начините за противодействие на компютърните вируси могат да бъдат разделени на няколко групи:

Предотвратяване на вирусна инфекция и намаляване на очакваните щети от такава инфекция;

Методика за използване на антивирусни програми, включително неутрализиране и премахване на познат вирус;

Начини за откриване и премахване на неизвестен вирус.

Предотвратяване на компютърни инфекции.

Един от основните методи за борба с вирусите е, както и в медицината, навременната профилактика. Компютърната профилактика включва спазването на малък брой правила, които могат значително да намалят вероятността от вирусна инфекция и загуба на каквито и да е данни.

За да се определят основните правила на компютърната „хигиена“, е необходимо да се открият основните начини, по които вирусът навлиза в компютъра и компютърните мрежи.

Основният източник на вируси днес е глобална мрежаИнтернет. Най-голямо числоВирусни инфекции възникват при обмен на писма във формат Word/Office97. Потребителят на редактор, заразен с макровирус, без да подозира, изпраща заразени писма до получателите, които от своя страна изпращат нови заразени писма и т.н. Трябва да се избягва контакт със съмнителни източници на информация и да се използват само легални (лицензирани) софтуерни продукти.

Възстановяване на повредени обекти.

В повечето случаи на вирусна инфекция, процедурата за възстановяване на заразени файлове и дискове се свежда до стартиране на подходяща антивирусна програма, която може да неутрализира системата. Ако вирусът е непознат за някоя антивирусна програма, тогава е достатъчно да изпратите заразения файл на производителите на антивирусна програма и след известно време да получите „актуализирано“ лекарство срещу вируса. Ако времето не изчака, тогава вирусът ще трябва да бъде неутрализиран сам. Повечето потребители трябва да имат резервни копиявашата информация.

Общите инструменти за защита на информацията са полезни за нещо повече от защита срещу вируси. Има два основни вида тези средства:

1 Копиране на информация - създаване на копия на файлове и системни области на дискове.

2 Контролът на достъпа предотвратява неоторизирано използване на информация, по-специално защита срещу промени в програми и данни от вируси, неизправни програми и грешни действия на потребителите.

Навременното откриване на заразени с вируси файлове и дискове, пълното унищожаване на откритите вируси на всеки компютър помага да се избегне разпространението на вирусна епидемия към други компютри.

Основното оръжие в борбата с вирусите са антивирусните програми. Те позволяват не само да откриват вируси, включително вируси, които използват различни методи за маскиране, но и да ги премахват от компютъра.

Има няколко основни метода за сканиране за вируси, които се използват от антивирусните програми. Най-традиционният метод за намиране на вируси е сканирането.

За откриване, премахване и защита срещу компютърни вируси са разработени няколко вида специални програми, които ви позволяват да откривате и унищожавате вируси. Такива програми се наричат ​​антивирусни програми.

2.3 Видове антивирусни средства

Програми-детектори. Програмите за откриване търсят характеристика на сигнатурата на конкретен вирус в RAM и във файлове и, ако бъдат открити, издават съответното съобщение. Недостатъкът на такива антивирусни програми е, че те могат да намерят само вируси, които са известни на разработчиците на такива програми.

Докторски програми. Докторските програми или фаги, както и програмите за ваксини, не само намират заразени с вируси файлове, но и ги „лекуват“, тоест премахват тялото на вирусната програма от файла, връщайки файловете в първоначалното им състояние. В началото на работата си фагите търсят вируси в RAM, унищожават ги и едва след това пристъпват към „третиране“ на файлове. Сред фагите се разграничават полифаги, тоест докторски програми, предназначени да търсят и унищожават голям брой вируси. Най-известните от тях са: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Като се има предвид, че постоянно се появяват нови вируси, програмите за откриване и лекарските програми бързо остаряват и са необходими редовни актуализации.

Одиторските програми (инспектори) са сред най-надеждните средства за защита срещу вируси.

Одитори (инспектори) проверяват данните на диска за невидими вируси. Освен това инспекторът може да не използва средствата на операционната система за достъп до дискове, което означава, че активен вирус няма да може да прихване този достъп.

Факт е, че редица вируси, проникващи във файлове (т.е. добавяйки в края или в началото на файла), заместват записите за този файл в таблиците за разпределение на файлове на нашата операционна система.

Одиторите (инспекторите) запомнят първоначалното състояние на програмите, директориите и системните области на диска, когато компютърът не е заразен с вирус, и след това периодично или по искане на потребителя сравняват текущото състояние с първоначалното. Откритите промени се показват на екрана на монитора. По правило състоянията се сравняват веднага след зареждане на операционната система. При сравняване се проверяват дължината на файла, цикличният контролен код (контролна сума на файла), датата и часа на модификация и други параметри. Програмните одитори (инспектори) имат достатъчно развити алгоритми, откриват стелт вируси и дори могат да изчистят промените във версията на проверяваната програма от промени, направени от вируса.

Необходимо е да стартирате одитора (инспектора), когато компютърът все още не е заразен, за да може да създаде таблица в главната директория на всеки диск, с цялата необходима информация за файловете, които се намират на този диск, както и относно неговата зона за зареждане. Ще бъде поискано разрешение за създаване на всяка таблица. При следващите стартирания одиторът (инспекторът) ще прегледа дисковете, сравнявайки данните за всеки файл с неговите собствени записи.

Ако бъдат открити инфекции, одиторът (инспекторът) ще може да използва свой собствен модул за лечение, който ще възстанови повредения от вируса файл. За да възстанови файловете, инспекторът не трябва да знае нищо за конкретен тип вирус, достатъчно е да използва данните за файловете, съхранявани в таблиците.

Освен това, ако е необходимо, може да се извика скенер за вируси.

Филтриращи програми (монитори). Филтриращите програми (монитори) или "пазачи" са малки резидентни програми, предназначени да откриват подозрителни действия по време на работа на компютъра, които са характерни за вирусите. Такива действия могат да бъдат:

Опит за коригиране на файлове с разширения COM, EXE;

Промяна на файлови атрибути;

Директен запис на диск на абсолютен адрес;

Записване в зареждащи сектори на диска;

Когато някоя програма се опита да извърши посочените действия, "пазачът" изпраща съобщение до потребителя и предлага да забрани или разреши съответното действие. Програмите за филтриране са много полезни, тъй като са в състояние да открият вируса на най-ранния етап от съществуването му преди възпроизвеждането. Те обаче не "лекуват" файлове и дискове. За да унищожите вируси, трябва да използвате други програми, като фаги.

Ваксини или имунизатори. Ваксините са резидентни програми, които предотвратяват заразяване на файлове. Ваксините се използват, ако няма лекарски програми, които "лекуват" този вирус. Ваксинацията се предлага само от известни вируси. Ваксината модифицира програмата или диска по такъв начин, че да не повлияе на тяхната работа, а вирусът ще ги възприеме като заразени и следователно няма да се вкорени. Понастоящем програмите за ваксини са с ограничено приложение.

Скенер. Принципът на действие на антивирусните скенери се основава на сканиране на файлове, сектори и системна памет и търсене на известни и нови (неизвестни на скенера) вируси в тях. Така наречените "маски" се използват за търсене на известни вируси. Вирусната маска е някаква постоянна кодова последователност, специфична за този конкретен вирус. Ако вирусът не съдържа постоянна маска или дължината на тази маска не е достатъчно голяма, тогава се използват други методи. Пример за такъв метод е алгоритмичен език, който описва всички възможни варианти на код, които могат да се срещнат, когато този тип вирус е заразен. Този подход се използва от някои антивируси за откриване на полиморфни вируси. Скенерите също могат да бъдат разделени на две категории – „универсални“ и „специализирани“. Универсалните скенери са предназначени да търсят и неутрализират всички видове вируси, независимо от операционната система, в която скенерът е проектиран да работи. Специализираните скенери са предназначени да неутрализират ограничен брой вируси или само един клас от тях, като например макро вируси. Специализираните скенери, предназначени само за макро вируси, често се оказват най-удобното и надеждно решение за защита на работни системи в MSWord и MSExcel среди.

Скенерите също се разделят на "резидентни" (монитори, пазачи), които сканират "в движение", и "нерезидентни", които осигуряват системни проверки само при поискване. По правило "резидентните" скенери осигуряват по-надеждна защита на системата, тъй като те незабавно реагират на появата на вирус, докато "нерезидентният" скенер може да идентифицира вирус само при следващото му стартиране. От друга страна, резидентният скенер може донякъде да забави компютъра, включително поради възможни фалшиви положителни резултати.

Предимствата на скенерите от всички видове включват тяхната гъвкавост, недостатъците са сравнително ниската скорост на търсене на вируси.

CRC скенери. Принципът на работа на CRC скенерите се основава на изчисляването на CRC суми (контролни суми) за файлове / системни сектори, налични на диска. Тези CRC суми след това се съхраняват в антивирусната база данни, както и друга информация: дължини на файловете, дати на последната им модификация и т.н. При следващото стартиране на CRC скенерите те проверяват данните, съдържащи се в базата данни, с действително преброените стойности. Ако информацията за файла, записана в базата данни, не съвпада с реалните стойности, тогава CRC скенерите сигнализират, че файлът е модифициран или заразен с вирус. CRC скенерите, използващи анти-стелт алгоритми, са доста силно оръжие срещу вируси: почти 100% от вирусите се откриват почти веднага след появата им на компютъра. Този тип антивируси обаче имат присъщ недостатък, който значително намалява тяхната ефективност. Този недостатък е, че CRC скенерите не могат да уловят вируса в момента на появата му в системата, а го правят едва след известно време, след като вирусът се разпространи из целия компютър. CRC скенерите не могат да открият вирус в нови файлове (в електронна поща, на дискети, във файлове, възстановени от резервно копие или при разопаковане на файлове от архив), тъй като техните бази данни нямат информация за тези файлове. Освен това периодично се появяват вируси, които използват тази „слабост“ на CRC скенерите, заразяват само новосъздадени файлове и така остават невидими за тях.

Блокери. Блокерите са резидентни програми, които прихващат "опасни за вируси" ситуации и уведомяват потребителя за това. „Опасни за вируси“ включват повиквания за отваряне за запис в изпълними файлове, запис в секторите за зареждане на дискове или MBR на твърд диск, опити на програми да останат резидентни и т.н., т.е. повиквания, които са типични за вируси в моментите на възпроизвеждане. Понякога някои функции за блокиране се изпълняват в резидентни скенери.

Предимствата на блокерите включват способността им да откриват и спират вируса на най-ранния етап от неговото възпроизвеждане. Недостатъците включват наличието на начини за заобикаляне на защитата на блокерите и голям брой фалшиви положителни резултати.

Също така е необходимо да се отбележи такава посока на антивирусни инструменти като антивирусни блокери, направени под формата на компютърни хардуерни компоненти. Най-често срещаната е защитата от запис, вградена в BIOS в MBR на твърдия диск. Въпреки това, както в случая на софтуерни блокери, такава защита може лесно да бъде заобиколена чрез директно писане към портовете на дисковия контролер и стартирането на помощната програма FDISK DOS незабавно предизвиква „фалшиво положително“ защита.

Има няколко по-универсални хардуерни блокери, но към недостатъците, изброени по-горе, има и проблеми със съвместимостта със стандартните компютърни конфигурации и трудностите при инсталирането и конфигурирането им. Всичко това прави хардуерните блокери изключително непопулярни в сравнение с други видове антивирусна защита.

2.4 Сравнение на антивирусни пакети

Независимо коя информационна система трябва да бъде защитена, най-важният параметър при сравняване на антивируси е способността за откриване на вируси и други злонамерени програми.

Въпреки това, въпреки че този параметър е важен, той в никакъв случай не е единственият.

Факт е, че ефективността на системата за антивирусна защита зависи не само от способността й да открива и неутрализира вируси, но и от много други фактори.

Антивирусът трябва да бъде лесен за използване, без да разсейва потребителя на компютъра от изпълнението на преките му задължения. Ако антивирусът дразни потребителя с постоянни заявки и съобщения, рано или късно той ще бъде деактивиран. Антивирусният интерфейс трябва да бъде приятелски настроен и разбираем, тъй като не всички потребители имат богат опит с компютърни програми. Без да разбирате смисъла на съобщението, което се появява на екрана, можете неволно да признаете вирусна инфекциядори и с инсталирана антивирусна.

Най-удобният режим на антивирусна защита е, когато всички отворени файлове се сканират. Ако антивирусът не може да работи в този режим, потребителят ще трябва да сканира всички дискове всеки ден, за да открие новопоявили се вируси. Тази процедура може да отнеме десетки минути или дори часове, ако говорим за големи дискове, инсталирани например на сървър.

Тъй като всеки ден се появяват нови вируси, е необходимо периодично да се актуализира антивирусната база данни. В противен случай ефективността на антивирусната защита ще бъде много ниска. Съвременните антивируси, след подходяща конфигурация, могат автоматично да актуализират антивирусните бази данни през Интернет, без да разсейват потребителите и администраторите да извършват тази рутинна работа.

При защитата на голяма корпоративна мрежа на преден план излиза такъв антивирусен параметър за сравнение като наличието на център за управление на мрежата. Ако една корпоративна мрежа обединява стотици и хиляди работни станции, десетки и стотици сървъри, практически е невъзможно да се организира ефективна антивирусна защита без център за управление на мрежата. Едно или повече системни администраториняма да може да заобиколи всички работни станции и сървъри, като инсталира и конфигурира антивирусни програми на тях. Това изисква технологии, които позволяват централизирано инсталиране и конфигуриране на антивируси на всички компютри в корпоративната мрежа.

Защитата на интернет хостове като пощенски сървъри и сървъри за съобщения изисква използването на специализирани антивирусни инструменти. Конвенционалните антивирусни програми за сканиране на файлове няма да могат да намерят злонамерен код в базите данни на сървърите за съобщения или в потока от данни, преминаващ през пощенските сървъри.

Обикновено, когато се сравняват антивирусни средства, се вземат предвид други фактори. Държавните институции могат, при равни други условия, да предпочетат местни антивируси, които имат всички необходими сертификати. Репутацията, получена от един или друг антивирусен инструмент сред компютърните потребители и системните администратори, също играе важна роля. Личните предпочитания също могат да играят важна роля при избора.

За да докажат предимствата на своите продукти, разработчиците на антивирусни програми често използват резултатите от независими тестове. В същото време потребителите често не разбират какво точно и как е проверено в този тест.

В тази работа са подложени на сравнителен анализ най-популярните антивирусни програми в момента, а именно: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft.

Един от първите, които тестваха антивирусни продукти, беше британското списание Virus Bulletin. Първите тестове, публикувани на сайта им, датират от 1998 г. Тестът се основава на колекцията от зловреден софтуер WildList. За успешното преминаване на теста е необходимо да се идентифицират всички вируси в тази колекция и да се демонстрира нулев фалшив положителен процент на колекцията от „чисти“ лог файлове. Тестването се извършва няколко пъти в годината на различни операционни системи; Продукти, които успешно преминат теста, получават награда VB100%. Фигура 1 показва колко VB100% награди са получили продуктите на различни антивирусни компании.

Разбира се, списанието Virus Bulletin може да се нарече най-старият антивирусен тестер, но статутът на патриарха не го спасява от критиките на антивирусната общност. Първо, WildList включва само вируси и червеи и е само за платформата Windows. Второ, колекцията WildList съдържа малък брой злонамерени програми и се попълва много бавно: само няколко десетки нови вируси се появяват в колекцията на месец, докато например колекцията AV-Test се попълва с няколко десетки или дори стотици хиляди копия на злонамерен софтуер през това време.

Всичко това говори, че в сегашния си вид колекцията WildList е остаряла и не отразява реалната ситуация с вирусите в интернет. В резултат на това тестовете, базирани на колекцията WildList, стават все по-безсмислени. Те са добри за рекламиране на продукти, които са ги преминали, но всъщност не отразяват качеството на антивирусната защита.

Фигура 1 - Броят на успешно преминатите VB тестове 100%

Независими изследователски лаборатории като AV-Comparatives, AV-Tests тестват антивирусни продукти два пъти годишно за откриване на зловреден софтуер при поискване. В същото време колекциите, върху които се извършва тестването, съдържат до един милион злонамерени програми и се актуализират редовно. Резултатите от тестовете се публикуват на уебсайтовете на тези организации (www.AV-Comparatives.org, www.AV-Test.org) и в известни компютърни списания PC World, PC Welt. Резултатите от следващите тестове са представени по-долу:

Фигура 2 - Общ процент на откриване на зловреден софтуер според AV-Test

Ако говорим за най-често срещаните продукти, тогава според резултатите от тези тестове само решенията на Kaspersky Lab и Symantec са в челната тройка. Avira, лидерът в тестовете, заслужава специално внимание.

Тестовете на изследователските лаборатории AV-Comparatives и AV-Test, както и всички тестове, имат своите плюсове и минуси. Предимството е, че тестването се извършва върху големи колекции от злонамерен софтуер и че тези колекции представляват голямо разнообразие от типове злонамерен софтуер. Недостатъкът е, че тези колекции съдържат не само „пресни“ образци на зловреден софтуер, но и относително стари. По правило се използват проби, събрани през последните шест месеца. Освен това по време на тези тестове се анализират резултатите от проверката харддискпри поискване, докато в реалния живот потребителят изтегля заразени файлове от интернет или ги получава като прикачени файлове към имейл. Важно е да откриете такива файлове в момента, в който се появят на компютъра на потребителя.

Опит за разработване на методология за тестване, която не страда от този проблем, беше предприето от едно от най-старите британски компютърни списания - PC Pro. Техният тест използва колекция от зловреден софтуер, който е открит две седмици преди теста в трафика, преминаващ през сървърите на MessageLabs. MessageLabs предлага на своите клиенти услуги за филтриране на различни видове трафик, а колекцията от злонамерени програми наистина отразява ситуацията с разпространението на компютърни вируси в мрежата.

Екипът на регистрационния файл на PC Pro не просто сканира заразени файлове, но симулира потребителски действия: заразените файлове се прикачват към имейли като прикачени файлове и тези имейли се изтеглят на компютър с инсталирана антивирусна програма. Освен това, с помощта на специално написани скриптове, заразените файлове бяха изтеглени от уеб сървър, тоест беше симулирано сърфирането на потребителя в интернет. Условията, при които се извършват такива тестове, са възможно най-близки до реалните, което не може да не повлияе на резултатите: степента на откриване за повечето антивируси се оказа значително по-ниска, отколкото при просто сканиране при поискване в AV-Comparatives и AV-Test тестове. При такива тестове важна роля играе колко бързо антивирусните разработчици реагират на появата на нов зловреден софтуер, както и какви проактивни механизми се използват при откриване на зловреден софтуер.

Скоростта на пускане на антивирусни актуализации с нови сигнатури за зловреден софтуер е един от най-важните компоненти на ефективната антивирусна защита. Колкото по-рано бъде пусната актуализацията на базата данни със сигнатури, толкова по-малко време потребителят ще остане незащитен.

Фигура 3 - Средно време за реакция на нови заплахи

Напоследък нов зловреден софтуер се появява толкова често, че антивирусните лаборатории едва успяват да се справят с новите проби. В такава ситуация възниква въпросът как една антивирусна програма може да устои не само на вече известни вируси, но и на нови заплахи, за откриването на които все още не е пуснат подпис.

Така наречените проактивни технологии се използват за откриване на неизвестни заплахи. Тези технологии могат да бъдат разделени на два типа: евристични (откриват злонамерени програми въз основа на анализ на техния код) и поведенчески блокери (блокират действията на злонамерени програми, когато се изпълняват на компютър, въз основа на тяхното поведение).

Ако говорим за евристика, тогава тяхната ефективност отдавна е изследвана от AV-Comparatives, изследователска лаборатория, ръководена от Андреас Клементи. Екипът на AV-Comparatives използва специална техника: антивирусите се проверяват спрямо текущата колекция от вируси, но се използва антивирус със сигнатури на три месеца. По този начин антивирусът трябва да се противопоставя на зловреден софтуер, за който не знае нищо. Антивирусите се сканират чрез сканиране на колекцията от зловреден софтуер на твърдия диск, така че се проверява само ефективността на евристичния метод. Друга проактивна технология, поведенческият блокер, не се използва в тези тестове. Дори най-добрите евристики в момента показват процент на откриване само около 70% и много от тях все още страдат от фалшиви положителни резултати при чисти файлове. Всичко това предполага, че досега този проактивен метод за откриване може да се използва само едновременно с метода на подписа.

Що се отнася до друга проактивна технология - поведенчески блокер, в тази област не са провеждани сериозни сравнителни тестове. Първо, много антивирусни продукти (Doctor Web, NOD32, Avira и други) нямат поведенчески блокер. Второ, провеждането на такива тестове е изпълнено с някои трудности. Факт е, че за да се тества ефективността на поведенческия блокер, е необходимо не да се сканира диск с колекция от злонамерени програми, а да се стартират тези програми на компютър и да се наблюдава колко успешно антивирусът блокира техните действия. Този процес отнема много време и малко изследователи са способни да предприемат подобни тестове. Всичко, което в момента е достъпно за широката публика, са резултатите от индивидуалните продуктови тестове, проведени от екипа на AV-Comparatives. Ако по време на тестване антивирусите успешно блокират действията на неизвестни за тях злонамерени програми, докато работят на компютър, тогава продуктът получава наградата за проактивна защита. В момента такива награди са получили F-Secure с поведенческа технология DeepGuard и Kaspersky Anti-Virus с модула Proactive Defense.

Технологиите за предотвратяване на инфекции, базирани на анализ на поведението на зловреден софтуер, стават все по-широко разпространени и липсата на изчерпателни сравнителни тестове в тази област не може да не бъде тревожна. Наскоро специалисти от изследователската лаборатория AV-Test проведоха широка дискусия по този въпрос, в която участваха и разработчици на антивирусни продукти. Резултатът от тази дискусия беше нова методология за тестване на способността на антивирусните продукти да устояват на неизвестни заплахи.

Високото ниво на откриване на злонамерен софтуер с помощта на различни технологии е една от най-важните характеристики на антивирусната програма. Въпреки това, също толкова важна характеристика е липсата на фалшиви положителни резултати. Фалшивите положителни резултати могат да причинят не по-малко вреда на потребителя от вирусна инфекция: блокирайте работата желаните програми, блокиране на достъпа до сайтове и така нататък.

В хода на своите изследвания AV-Comparatives, наред с изучаването на способността на антивирусите да откриват зловреден софтуер, също така провежда тестове за фалшиви положителни резултати върху колекции от чисти файлове. Според теста най-голям брой фалшиви положителни резултати са открити в антивирусите Doctor Web и Avira.

Няма 100% защита срещу вируси. От време на време потребителите се сблъскват със ситуация, при която злонамерена програма е проникнала в компютър и компютърът е бил заразен. Това се случва или защото на компютъра изобщо не е имало антивирусна програма, или защото антивирусната програма не е открила злонамерения софтуер чрез сигнатура или проактивни методи. В такава ситуация е важно, когато инсталирате антивирусна програма с нови бази данни със сигнатури на компютър, антивирусната програма може не само да открие злонамерена програма, но и успешно да премахне всички последствия от нейната дейност, да излекува активна инфекция. В същото време е важно да се разбере, че създателите на вируси непрекъснато подобряват своите „умения“ и някои от техните творения са доста трудни за премахване от компютъра - зловреден софтуер може различни начинимаскират присъствието си в системата (включително с помощта на руткитове) и дори противодействат на работата на антивирусните програми. Освен това не е достатъчно просто да изтриете или дезинфекцирате заразен файл, трябва да премахнете всички промени, направени от злонамерен процес в системата, и напълно да възстановите системата в работно състояние. Екипът на руския портал Anti-Malware.ru проведе подобен тест, резултатите от който са показани на фигура 4.

Фигура 4 - Лечение на активна инфекция

По-горе бяха разгледани различни подходи за тестване на антивируси, беше показано какви параметри на антивирусната работа се вземат предвид по време на тестването. Може да се заключи, че за някои антивируси един показател се оказва изгоден, за други е друг. В същото време е естествено, че в своите рекламни материали разработчиците на антивирусни програми се фокусират само върху тези тестове, където техните продукти заемат водеща позиция. Например Kaspersky Lab се фокусира върху скоростта на реакция при появата на нови заплахи, Eset върху силата на своите евристични технологии, Doctor Web описва своите предимства при лечението на активна инфекция.

Следователно трябва да се извърши синтез на резултатите от различни тестове. Така се обобщават позициите, които антивирусите заеха в разглежданите тестове, и се извежда интегрирана оценка - какво място средно за всички тестове заема даден продукт. В резултат на това в първите три победители: Kaspersky, Avira, Symantec.

На базата на анализираните антивирусни пакети е създаден софтуерен продукт, предназначен за търсене и дезинфекция на файлове, заразени с вируса SVC 5.0. Този вирус не води до неразрешено изтриване или копиране на файлове, но значително пречи на пълноценната работа с компютърния софтуер.

Заразените програми са по-дълги от изходния код. Въпреки това, когато разглеждате директории на заразена машина, това няма да се вижда, тъй като вирусът проверява дали намереният файл е заразен или не. Ако файлът е заразен, тогава дължината на незаразения файл се записва в DTA.

Можете да откриете този вирус по следния начин. В областта за данни на вируса има символен низ "(c) 1990 от SVC,Ver. 5.0", чрез който вирусът, ако е на диска, може да бъде открит.

При писане на антивирусна програма се извършва следната последователност от действия:

1 За всеки файл, който се проверява, се определя времето на неговото създаване.

2 Ако броят на секундите е шестдесет, тогава се проверяват три байта при отместване, равно на "дължина на файла минус 8AH". Ако те са равни съответно на 35Н, 2ЭН, 30Н, значи файлът е заразен.

3 Декодират се първите 24 байта от оригиналния код, които се намират на отместването "дължина на файла минус 01CFH плюс 0BAAH". Ключовете за декодиране са разположени на отместването "дължина на файла минус 01CFH плюс 0C1AN" и "дължина на файла минус 01CFH плюс 0C1BH".

4 Декодираните байтове се записват в началото на програмата.

5 Файлът е "скъсен" до "дължина на файла минус 0C1F".

Програмата е създадена в програмна среда TurboPascal. Текстът на програмата е представен в Приложение А.

Заключение

В тази курсова работа беше извършен сравнителен анализ на антивирусни пакети.

В хода на анализа поставените в началото на работата задачи бяха успешно решени. По този начин бяха проучени понятията за информационна сигурност, компютърни вируси и антивирусни инструменти, видовете заплахи за информационната сигурност, методите за защита бяха идентифицирани, класификацията на компютърните вируси и антивирусните програми беше разгледана и сравнителен анализ на антивирусните пакети беше извършена, беше написана програма, която търси заразени файлове.

Резултатите, получени по време на работата, могат да бъдат приложени при избора на антивирусен инструмент.

Всички получени резултати са отразени в работата с помощта на диаграми, така че потребителят може самостоятелно да провери заключенията, направени в крайната диаграма, която отразява синтеза на разкритите резултати от различни тестове на антивирусни инструменти.

Резултатите, получени по време на работата, могат да се използват като основа за самосравняване на антивирусни програми.

В светлината на широкото използване на ИТ технологиите, представената курсова работа е подходяща и отговаря на изискванията за нея. В процеса на работа бяха разгледани най-популярните антивирусни инструменти.

Списък на използваната литература

1 Анин Б. Защита на компютърната информация. - Санкт Петербург. : BHV - Санкт Петербург, 2000. - 368 с.

2 Artyunov VV Защита на информацията: учебник. - метод. надбавка. М. : Либерия - Bibinform, 2008. - 55 с. – (Библиотекар и време. 21 век ; бр. No 99).

3 Корнеев И. К., Е. А. Степанов Информационна сигурност в офиса: учебник. - М. : Проспект, 2008. - 333 с.

5 Куприянов А. И. Основи на информационната сигурност: учебник. надбавка. - 2-ро изд. изтрити – М.: Академия, 2007. – 254 с. – (Висше професионално образование).

6 Семененко В. А., Н. В. Федоров Софтуерна и хардуерна защита на информацията: учебник. помощ за студенти. университети. - М. : MGIU, 2007. - 340 с.

7 Цирлов В. Л. Основи на информационната сигурност: кратък курс. - Ростов n / D: Phoenix, 2008. - 254 с. (Професионално образование).

Приложение

Списък на програмата

програмаАНТИВИРУС;

Използва dos,crt,printer;

Тип St80 = низ;

FileInfection:файл с байт;

SearchFile:SearchRec;

Mas: масив от St80;

MasByte:Масив от байтове;

Позиция, I, J, K: байт;

Num,NumberOfFile,NumberOfInfFile:Word;

Flag,NextDisk,Error:Boolean;

Key1, Key2, Key3, NumError: Byte;

MasScreen: Абсолютен масив от байтове $B800:0000;

Процедура Cure (St: St80);

I: Байтове; MasCure: масив от байтове;

Присвояване (FileInfection,St); Нулиране (FileInfection);

NumError:=IOResult;

If(NumError<>

Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Четене(FileInfection,Key1);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Четене(FileInfection,Key2);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

За I:=1 до 24 do

Четене(FileInfection,MasCure[i]);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Key3:=MasCure[i];

MasCure[i]:=Ключ3;

Търсене(FileInfection,0);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

За I:=1 до 24 направете Write(FileInfection,MasCure[i]);

Seek(FileInfection,FileSize(FileInfection) - $0C1F);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Отрязване (FileInfection);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Затваряне (FileInfection); NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Процедура F1(St: St80);

FindFirst(St + "*.*", $3F, SearchFile);

Докато (SearchFile.Attr = $10) И (DosError = 0) И

((SearchFile.Name = ".") Или (SearchFile.Name = "..")) Направете

FindNext(SearchFile);

Докато (DosError = 0) Направете

Ако KeyPressed тогава

If (Ord(ReadKey) = 27) Then Halt;

Ако (SearchFile.Attr = $10) Тогава

Mas[k]:=St + SearchFile.Name + "\";

If(SearchFile.Attr<>$10) Тогава

NumberOfFile:=NumberOfFile + 1;

UnpackTime(SearchFile.Time, DT);

За I:=18 до 70 направете MasScreen:=$20;

Write(St + SearchFile.Name, " ");

Ако (Dt.Sec = 60) Тогава

Assign(FileInfection,St + SearchFile.Name);

Нулиране (FileInfection);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Seek(FileInfection,FileSize(FileInfection) - $8A);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

За I:=1 до 3 направете Read(FileInfection,MasByte[i]);

Затваряне (FileInfection);

NumError:=IOResult;

If(NumError<>0) След това започва грешка:=вярно; изход; край;

Ако (MasByte = $35) И (MasByte = $2E) И

(MasByte = $30) Тогава

NumberOfInfFile:=NumberOfInfFile + 1;

Write(St + SearchFile.Name," заразен. ",

"Премахване?");

If (Ord(Ch) = 27) Then Exit;

До (Ch = "Y") Или (Ch = "y") Или (Ch = "N")

Ако (Ch = "Y") Или (Ch = "y") Тогава

Cure(St + SearchFile.Name);

If(NumError<>0) След това Изход;

За I:=0 до 79 направете MasScreen:=$20;

FindNext(SearchFile);

GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;

Writeln("Програма за търсене и лечение на файлове,");

Writeln("заредени SVC50.");

TextAttr:=$4F; GoToXY(1,25);

Write("ESC - изход");

TextAttr:=$1F; GoToXY(1,6);

Write("Kakoj disk proverit? ");

If (Ord(Disk) = 27) Then Exit;

R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;

Intr($21,R); R.Ah:=$19; Intr($21,R);

Флаг:=(R.Al = (Ord(UpCase(Disk))-65));

St:=UpCase(Disk) + ":\";

Writeln("Testiruetsya диск ",St," ");

Writeln("тества се файл");

NumberOfFile:=0;

NumberOfInfFile:=0;

Ако (k = 0) Или Грешка Тогава Флаг:=Невярно;

Ако (k > 0) Тогава K:=K-1;

If (k=0) Then Flag:=False;

Ако (k > 0) Тогава K:=K-1;

Writeln("Проверени файлове - ",NumberOfFile);

Writeln("Заредени файлове - ",NumberOfInfFile);

Writeln("Izlecheno fajlov - ",Num);

Write("Проверете другия диск? ");

If (Ord(Ch) = 27) Then Exit;

До (Ch = "Y") Или (Ch = "y") Или (Ch = "N") Или (Ch = "n");

Ако (Ch = "N") Или (Ch = "n") Тогава NextDisk:=False;

Курсова работа

"Сравнителен анализ на съвременните антивирусни програми"

ВЪВЕДЕНИЕ

ГЛАВА 1. Разбиране на компютърните вируси

1.1 Концепцията за компютърни вируси

1.2 Разновидности на компютърни вируси

1.3 Начини на проникване на вируси, признаци на поява в компютъра

1.4 Антивирусни инструменти

ГЛАВА 2. Сравнителен анализ на антивирусни програми

ЗАКЛЮЧЕНИЕ

Списък на използваните източници

Въведение

Живеем на границата на две хилядолетия, когато човечеството е навлязло в ерата на нова научно-техническа революция. До края на двадесети век хората са усвоили много от тайните на трансформацията на материята и енергията и са успели да използват това знание, за да подобрят живота си. Но в допълнение към материята и енергията, друг компонент играе огромна роля в човешкия живот - информацията. Това е голямо разнообразие от информация, съобщения, новини, знания, умения. В средата на нашия век се появяват специални устройства - компютри, насочени към съхраняване и преобразуване на информация, и се извършва компютърна революция. Във връзка с бързото развитие на информационните технологии и тяхното навлизане във всички сфери на човешката дейност се увеличи броят на престъпленията срещу информационната сигурност. Днес масовото използване на персонални компютри, за съжаление, се оказа свързано с появата на самовъзпроизвеждащи се вирусни програми, които пречат на нормалната работа на компютъра, разрушават файловата структура на дисковете и увреждат информацията, съхранявана в компютъра. Въпреки приетите в много страни закони за борба с компютърните престъпления и разработването на специален софтуер за защита от вируси, броят на новите софтуерни вируси непрекъснато нараства. Това изисква потребителят на персонален компютър да е запознат с естеството на вирусите, начините за заразяване и защита от вируси.

Всеки ден вирусите стават все по-сложни, което води до значителна промяна в профила на заплахата. Но пазарът на антивирусен софтуер не стои неподвижен, предлагайки много привидно идентични продукти. Техните потребители, представяйки проблема само в общи линии, често пропускат важни нюанси и стигат до илюзията за защита вместо самата защита.

За написването на курсовата работа са използвани следните източници: Безруков Н.Н. "Компютърни вируси", Мостовой Д.Ю. "Съвременни технологии за борба с вируси", Могильов А.В. "Информатика: учебник за студенти от педагогически университети." учебно ръководствоМогилев съдържа обширна информация за теоретични основиинформатика, софтуер, езици и методи за програмиране, компютърни технологии, информационни системи, компютърни мрежи и телекомуникации, компютърно моделиране. Ясно и достъпно е за различните компютърни вируси, техните разновидности и начините за справяне с тях.

Въз основа на проучената литература ще се опитаме да разберем какво трябва да бъде защитено, как да го направим и на какво трябва да обърнем специално внимание.

ГЛАВА 1. ОБЩА ИНФОРМАЦИЯ ЗА КОМПЮТЪРНИТЕ ВИРУСИ

1.1 Концепцията за компютърни вируси.

Компютърният вирус е програма, обикновено малка по размер (от 200 до 5000 байта), която стартира самостоятелно, копира кода си многократно, прикрепя го към кодовете на други програми („умножава се“) и пречи на правилната работа на компютър и/или унищожава информацията, съхранена на магнитни дискове.информация (програми и данни).

Има и вируси, които са по-малко „злокачествени“, причиняващи например нулиране на датата на компютъра, музикални (възпроизвеждане на някаква мелодия), водещи до появата на изображение на екрана или до изкривявания на дисплея на информация, „проливане на писма“ и др. .d.

Създаването на компютърни вируси може да се квалифицира от юридическа гледна точка като престъпление.

Интересни са причините, които карат опитни програмисти да създават компютърни вируси, тъй като тази работа не се заплаща и не може да донесе слава. Очевидно за създателите на вируси това е начин за самоутвърждаване, начин да докажат своята квалификация и способности. Компютърните вируси се създават от квалифицирани програмисти, които по една или друга причина не са намерили място за себе си в полезни дейности, в разработката приложни програмистрадащи от болезнено самочувствие или комплекс за малоценност. Станете създатели на вируси и тези млади програмисти, които имат затруднения в общуването с хората около тях, не срещат признание от специалисти, които са чужди на концепцията за морал и етика в компютърната сфера на дейност. Също така самите производители на антивирусни програми могат да създават вируси за печалба. След като създаде нов вирусили модифицирайки стария, производителите незабавно пускат антивирусни инструменти за борба с тях, като по този начин изпреварват своите конкуренти.

Има и специалисти, които отдават силите и таланта си в борбата с компютърните вируси. В Русия това са известни програмисти Д. Лозински, Д. Мостовой, И. А. Данилов, Н. Безруков и др.. Те са изследвали много компютърни вируси, разработили антивирусни програми, препоръки за мерки за предотвратяване на унищожаването на компютърна информация от вируси и разпространението на епидемии от компютърни вируси.

Основната опасност според тях не са самите компютърни вируси, а потребителите на компютри и компютърни програми, които не са подготвени да се справят с вируси, държат се неумело, когато срещнат симптоми на компютърна инфекция, лесно изпадат в паника, което парализира нормалната работа.

1.2 Разновидности на компютърни вируси

Нека разгледаме по-подробно основните характеристики на компютърните вируси, характеристиките на антивирусните програми и мерките за защита на програми и данни от компютърни вируси в най-разпространената система MSDOS.

Смята се, че днес има повече от десет хиляди различни вируса. Тяхното изчисление се усложнява от факта, че много вируси не се различават много един от друг, те са варианти на един и същ вирус и, обратно, един и същ вирус може да промени външния си вид, да се кодира. Всъщност няма много основни фундаментални идеи, залегнали в основата на вирусите (няколко дузини).

Сред разнообразието от компютърни вируси трябва да се разграничат следните групи:

- зареждане (обувка ) вирусизарази програмата начално зарежданекомпютър, съхраняван в сектора за зареждане на дискета или твърд диск и стартиран при зареждане на компютъра;

- файлови вирусив най-простия случай те заразяват попълнените файлове, но могат да се разпространяват и чрез файлове с документи (системи WordforWindows) и дори изобщо не променят файловете, а само имат нещо общо с тях;

- вируси на стартиращи файловеимат признаци на зареждащи и файлови вируси;

-вируси на драйверизаразяват драйвери на компютърни устройства или се стартират сами чрез включване на допълнителен ред в конфигурационния файл.

От вирусите, които не работят на персонални компютри под операционна система MSDOS, трябва да споменем мрежови вирусиразпределени в мрежи, които обединяват много десетки и стотици хиляди компютри.

Обмислете принципите на работа зареждащи вируси.Всяка дискета или твърд диск има сервизни сектори, използвани от операционната система за собствени нужди, включително сектора за зареждане. В допълнение към информацията за дискетата (брой песни, брой сектори и т.н.), тя съхранява малка програма за зареждане.

Най-простите зареждащи вируси, намиращи се в паметта на заразен компютър, откриват незаразена флопи диск в устройството и извършват следните действия:

Те разпределят част от дискетата и я правят недостъпна за операционната система (маркиране, например, като лошо - лошо);

Заменете програмата за зареждане в сектора за зареждане на флопи диска, като копирате правилната програма за зареждане, както и техния код, в разпределената област на флопи диска;

Те организират предаването на контрола така, че първо да се изпълни кодът на вируса и едва след това програмата за стартиране.

Магнитните дискове на компютрите с твърд диск обикновено са разделени на няколко логически дяла. В този случай в MBR (MasterBootRecord - главен запис за зареждане) и в дяла за зареждане на твърдия диск има стартиращи програми, чието заразяване може да се случи подобно на заразяването на сектора за зареждане на дискета. Въпреки това, програмата за зареждане в MBR използва така наречената таблица на дяловете (Partitiontable), съдържаща информация за позицията на дяла за зареждане на диска при превключване към програмата за зареждане за дяла за зареждане на твърдия диск. Вирусът може да повреди информацията на Partitiontable и по този начин да прехвърли контрола върху своя код, записан на диска, без формално да променя програмата за зареждане.

Сега помислете за принципите на работа файлови вируси. Файловият вирус не е непременно резидентен; той може например да проникне в кода на изпълним файл. Когато се стартира заразен файл, вирусът поема контрола, извършва някои действия и връща контрола на кода, в който е бил инжектиран. Действията, които вирусът извършва, включват търсене на файл, подходящ за заразяване, инжектиране в него, за да получи контрол върху файла, произвеждайки някакъв ефект, например звуков или графичен. Ако файловият вирус е резидентен, тогава той е инсталиран в паметта и може да заразява файлове и да се проявява независимо от оригиналния заразен файл.

Когато заразява файл, вирусът винаги променя кода му, но не винаги прави други промени. По-специално, началото на файла и дължината му може да не се променят (което преди се смяташе за признак на инфекция). Например, вирусите могат да изкривят информацията за файловете, съхранявани в сервизната зона на магнитните дискове - таблицата за разпределение на файлове (Fat - fileallocationtable), като по този начин правят невъзможна работата с файлове. Ето как се държат вирусите от семейството Dir.

Днес, повече от всякога, антивирусният софтуер е не само най-търсената система за сигурност на всяка операционна система, но и един от нейните основни компоненти. И ако по-рано потребителят имаше много ограничен, скромен избор, сега има много такива програми. Но ако погледнете списъка с "Топ 10 антивируси", ще забележите, че не всички от тях са еднакви по отношение на функционалността. Помислете за най-популярните пакети. В същото време анализът ще включва както платени и shareware (антивирусни за 30 дни), така и свободно разпространявани приложения. Но на първо място.

Топ 10 антивирусни програми за Windows: Критерии за тестване

Преди да започнете да съставяте някакъв вид рейтинг, може би трябва да се запознаете с основните критерии, които в повечето случаи се използват при тестване на такъв софтуер.

Естествено, просто е невъзможно да се разгледат всички известни пакети. Но сред всички, предназначени да защитават компютърна система в най-широк смисъл, могат да се разграничат най-популярните. В същото време ще вземем предвид както официалните оценки на независими лаборатории, така и прегледите на потребителите, които използват този или онзи софтуерен продукт на практика. Освен това мобилните програми няма да бъдат засегнати, ще се съсредоточим върху стационарните системи.

Що се отнася до провеждането на основни тестове, като правило те включват няколко основни аспекта:

• наличие на платени и безплатни версии и ограничения, свързани с функционалността;
• нормална скорост на сканиране;
• скоростта на идентифициране на потенциални заплахи и възможността за тяхното премахване или изолиране в карантина с помощта на вградени алгоритми;
• честота на актуализиране на антивирусни бази данни;
• самозащита и надеждност;
• наличие на допълнителни функции.

Както можете да видите от горния списък, проверката на работата на антивирусния софтуер ви позволява да определите силните и слабите страни на даден продукт. След това ще разгледам най-популярните софтуерни пакети, включени в Топ 10 на антивирусите, и ще дам основните им характеристики, разбира се, като взема предвид мненията на хората, които ги използват в ежедневната си работа.

Софтуерни продукти на Kaspersky Lab

Като начало, нека разгледаме софтуерните модули, разработени от Kaspersky Lab, които са изключително популярни в постсъветското пространство.

Тук е невъзможно да се отдели една програма, защото сред тях можете да намерите както обикновен скенер на Kaspersky Antivirus, така и модули като интернет сигурности преносими помощни програми като инструмента за премахване на вируси и дори дискове за зареждане за повредени системи със спасителни дискове.

Веднага си струва да се отбележат два основни недостатъка: първо, съдейки по прегледите, почти всички програми, с редки изключения, са платени или споделяни, и второ, системните изисквания са неоправдано високи, което прави невъзможно използването им в относително слаби конфигурации . Естествено, това плаши много обикновени потребители, въпреки че ключовете за активиране на Kaspersky Antivirus или Internet Security могат лесно да бъдат намерени в World Wide Web.

От друга страна, ситуацията с активирането може да се коригира по друг начин. Например, ключовете на Kaspersky могат да бъдат генерирани с помощта на специални приложения като Key Manager. Вярно е, че този подход е, меко казано, незаконен, но като изход се използва от много потребители.

Скоростта на работа на съвременните машини е средна (по някаква причина се създават все повече и повече тежки версии за нови конфигурации), но постоянно актуализираните бази данни, уникалността на технологиите за откриване и премахване на известни вируси и потенциално опасни програми тук са на върха. Не е изненадващо, че Kapersky Lab днес е лидер сред разработчиците на софтуер за сигурност.

И още две думи за диска за възстановяване. Той е уникален по свой собствен начин, защото зарежда скенер с графичен интерфейс дори преди стартирането на самия Windows, което ви позволява да премахвате заплахи дори от RAM.

Същото важи и за преносимия инструмент за премахване на вируси, който може да проследи всяка заплаха на заразен терминал. Може да се сравни само с подобна програма от Dr. Мрежа.

Защита от Dr. Мрежа

Пред нас е още един от най-силните им представители в областта на сигурността - известният "Доктор Уеб", който стои в началото на създаването на целия антивирусен софтуер от незапомнени времена.

Сред огромния брой програми можете да намерите и обикновени скенери, и инструменти за защита за сърфиране в интернет, и преносими помощни програми, и дискове за възстановяване. Не можете да изброите всичко.

Основният фактор в полза на софтуера на този разработчик е висока скорост, незабавно откриване на заплахи с възможност за пълно премахване или изолиране, както и умерено натоварване на системата като цяло. Като цяло, от гледна точка на повечето потребители, това е един вид олекотена версия на Kaspersky. тук все още има нещо интересно. По-специално, това е Dr. уеб катана. Смята се, че това е софтуерен продукт от ново поколение. Той е фокусиран върху използването на „пясъчни“ технологии, т.е. поставяне на заплаха в „облака“ или „пясъчната кутия“ (както и да го наречете) за анализ, преди да проникне в системата. Въпреки това, ако погледнете, тук няма специални нововъведения, защото тази техника е използвана в безплатния антивирус Panda. Освен това, според много потребители, Dr. Web Katana е вид пространство за сигурност със същите технологии. Въпреки това, като цяло, всеки софтуер от този разработчик е доста стабилен и мощен. Не е изненадващо, че много потребители предпочитат точно такива пакети.

ESET софтуер

Говорейки за Топ 10 на антивирусите, не може да не споменем още един най-ярък представител на тази област - ESET, който стана известен с такъв известен продукт като NOD32. Малко по-късно се роди модулът ESET интелигентна сигурност.

Ако разгледаме тези програми, можем да отбележим един интересен момент. За да активирате пълната функционалност на всеки пакет, можете да направите две неща. От една страна, това е придобиването на официален лиценз. От друга страна, можете да инсталирате пробна антивирусна програмабезплатно, но го активирайте на всеки 30 дни. С активирането също интересна ситуация.

Както отбелязват абсолютно всички потребители, за ESET SmartЗащита (или за обикновена антивирусна програма) на официалния уебсайт можете да намерите свободно разпространени ключове под формата на потребителско име и парола. Доскоро можеха да се използват само тези данни. Сега процесът стана малко по-сложен: първо се нуждаете от потребителско име и парола на специален сайт, преобразувайте го в номер на лиценз и едва след това го въведете в полето за регистрация вече в самата програма. Въпреки това, ако не обръщате внимание на такива дреболии, може да се отбележи, че този антивирус е един от най-добрите. Ползи, докладвани от потребителите:

• базите данни със сигнатури за вируси се актуализират няколко пъти на ден,
• дефиниране на заплахи на най-високо ниво,
• няма конфликти със системни компоненти (защитна стена),
• пакетът има най-силната самозащита,
• без фалшиви аларми и др.

Отделно, заслужава да се отбележи, че натоварването на системата е минимално, а използването на модула против кражба дори ви позволява да защитите данните от кражба или злоупотреба за лична изгода.

AVG антивирус

AVG Antivirus е платен софтуер, предназначен да осигури цялостна защита на компютърните системи (има и безплатна съкратена версия). И въпреки че днес този пакет вече не е сред първите пет, въпреки това той демонстрира доста висока скорост и стабилност.

По принцип е идеален за домашна употреба, тъй като в допълнение към скоростта на работа има удобен русифициран интерфейс и повече или по-малко стабилно поведение. Вярно е, както отбелязват някои потребители, понякога е в състояние да пропусне заплахи. И това не се отнася за вирусите като такива, а по-скоро за шпионски софтуерили рекламни боклуци, наречени злонамерен софтуер и рекламен софтуер. Собственият модул на програмата, макар и широко рекламиран, все още, според потребителите, изглежда някак недовършен. Да, и допълнителната защитна стена често може да предизвика конфликти с "родната" защитна стена на Windows, ако и двата модула са в активно състояние.

Пакет Avira

Avira е друг член на антивирусното семейство. По същество не се различава от повечето подобни пакети. Въпреки това, ако прочетете потребителски отзиви за него, можете да намерите доста интересни публикации.

Мнозина в никакъв случай не препоръчват използването на безплатната версия, тъй като някои модули просто липсват в нея. За да осигурите надеждна защита, ще трябва да закупите платен продукт. Но такъв антивирус е подходящ за 8-ма и 10-та версия, в които самата система използва много ресурси, а пакетът ги използва на най-ниското ниво. По принцип Avira е най-подходящ, да речем, за бюджетни лаптопи и слаби компютри. При мрежова инсталация обаче не може да има въпрос.

Облачна услуга Panda Cloud

Безплатното по едно време стана почти революция в областта на антивирусните технологии. Използването на така наречената "пясъчна кутия" за изпращане на подозрително съдържание за анализ, преди да влезе в системата, направи това приложение особено популярно сред потребителите от всички нива.

И именно с "пясъчната кутия" тази антивирусна програма се свързва днес. Да, наистина, тази технология, за разлика от други програми, ви позволява да държите заплахата извън системата. Например, всеки вирус първо запазва тялото си на твърдия диск или в RAM и едва след това започва своята дейност. Тук въпросът не стига до запазване. Първо подозрителен файл се изпраща до облачната услуга, където се проверява и едва след това може да бъде запазен в системата. Вярно, според очевидци, уви, това може да отнеме доста време и ненужно силно натоварва системата. От друга страна, тук си струва да се запитате кое е по-важно: сигурността или увеличеното време за сканиране? Въпреки това, за съвременни компютърни конфигурации със скорост на интернет връзка от 100 Mbps или по-висока, може да се използва без проблеми. Между другото, собствената му защита се осигурява именно чрез "облака", което понякога предизвиква критики.

Антивирусен скенер Avast Pro

Сега няколко думи за друг ярък представител.Той е доста популярен сред много потребители, но въпреки наличието на същата „пясъчна кутия“, антишпионски софтуер, мрежов скенер, защитна стена и виртуален офис, за съжаление, Avast Pro Antivirus е по отношение на основните показатели за производителност, функционалност и надеждност очевидно губи от такива гиганти като софтуерни продукти или приложения на Kaspersky Lab, използващи технологиите на Bitdefender, въпреки че демонстрира висока скорост на сканиране и ниска консумация на ресурси.

Потребителите на тези продукти са привлечени главно от факта, че безплатна версияпакетът е възможно най-функционален и не се различава много от платения софтуер. В допълнение, тази антивирусна програма работи на всички версии на Windows, включително Windows 10, и се държи перфектно дори на остарели машини.

Пакети за сигурност 360

Пред нас е може би една от най-бързите антивирусни програми на нашето време - 360 Security, разработена от китайски специалисти. Като цяло, всички продукти с етикет "360" се отличават със завидна скорост на работа (същият интернет браузър 360 Safety Browser).

Въпреки основното предназначение, програмата има допълнителни модули за премахване на уязвимостите на операционната система и нейното оптимизиране. Но нито скоростта на работа, нито безплатното разпространение не могат да се сравнят с фалшиви аларми. В списъка с програми, които имат най-високи показатели по този критерий, този софтуер заема едно от първите места. Според много експерти конфликтите възникват на системно ниво поради допълнителни оптимизатори, чието действие се пресича със задачите на самата ОС.

Софтуерни продукти, базирани на технологиите на Bitdefender

Друг "старец" сред най-известните защитници на "ОС" е Bitdefender. За съжаление, през 2015 г. той загуби палмата на продуктите на Kaspersky Lab, въпреки това, в антивирусната мода, така да се каже, той е един от законодателите на модата.

Ако погледнете малко по-отблизо, можете да видите, че много съвременни програми (същият пакет 360 ​​Security) в различни варианти са направени на базата на тези технологии. Въпреки богатата функционална база, той има и своите недостатъци. Първо, няма да намерите руския антивирус (русифициран) Bitdefender, тъй като той изобщо не съществува в природата. Второ, въпреки използването на най-новите технологични разработки по отношение на защитата на системата, уви, тя показва твърде голям брой фалшиви положителни резултати (между другото, според експерти това е типично за цялата група програми, създадени на базата на Bitdefender). Наличието на допълнителни компоненти за оптимизиране и вашите собствени защитни стени като цяло влияе върху поведението на такива антивируси не към по-добро. Но не можете да откажете скоростта на това приложение. В допълнение, P2P се използва за проверка, но проверката на имейл в реално време напълно липсва, което мнозина не харесват.

Антивирус от Microsoft

Друго приложение, което дава завидно добри резултати със и без причина, е собственият продукт на Microsoft, наречен Security Essentials.

Този пакет е включен в Топ 10 на антивирусите, очевидно само защото е разработен изключително за Windows системи, което означава, че не предизвиква абсолютно никакви конфликти на системно ниво. Освен това кой, ако не специалисти от Microsoft, трябва да знае всички дупки в сигурността и уязвимости на собствените си операционни системи. Между другото, интересен факт е, че първоначалните версии на Windows 7 и Windows 8 имаха MSE в основната конфигурация, но след това по някаква причина този комплект беше изоставен. Но за Windows може да се превърне в най-простото решение по отношение на защитата, въпреки че не можете да разчитате на специална функционалност.

Приложение McAfee

Що се отнася до това приложение, изглежда доста интересно. Вярно е, че той спечели най-голямата популярност в областта на приложението на мобилни устройства с всички видове блокиране, но този антивирус се държи не по-зле на стационарни компютри.

Програмата има поддръжка на ниско ниво за P2P мрежи при споделяне на файлове на Instant Messenger, а също така предлага защита на 2 нива, в която основната роля е възложена на модулите WormStopper и ScriptStopper. Но като цяло, според потребителите, функционалният набор е на средно ниво, а самата програма е фокусирана повече върху откриването на шпионски софтуер, компютърни червеи и троянски коне и предотвратяване на изпълними скриптове или злонамерени кодове от проникване в системата.

Комбинирани антивируси и оптимизатори

Естествено, тук бяха разгледани само тези, включени в Топ 10 на антивирусите. Ако говорим за останалия софтуер от този вид, можем да отбележим някои пакети, които съдържат антивирусни модули в своите комплекти.

Какво да предпочетете?

Естествено, всички антивируси имат определени прилики и разлики. Какво да инсталирам? Тук трябва да изхождате от нуждите и нивото на предоставена защита. По правило корпоративните клиенти трябва да закупят нещо по-мощно с възможност за мрежова инсталация (Kaspersky, Dr. Web, ESET). Що се отнася до домашната употреба, тук потребителят избира това, от което се нуждае (ако желаете, можете дори да намерите антивирус за една година - без регистрация или покупка). Но ако погледнете потребителските отзиви, по-добре е да инсталирате Panda Cloud, дори и с известно допълнително натоварване на системата и време за пясъчник. Но именно тук има пълна гаранция, че заплахата няма да проникне в системата по никакъв начин. Все пак всеки е свободен да избере каквото му трябва. Ако активирането не затруднява, моля: Продуктите на ESET работят добре в домашни системи. Но използването на оптимизатори с антивирусни модули като основно средство за защита е крайно нежелателно. Е, също така е невъзможно да се каже коя програма заема първо място: колко потребители, толкова много мнения.

Основните критерии за оценка, включващи 200 показателя, бяха:

• защита от вирус;
• Лекота на използване;
• влияние върху скоростта на компютъра.

Защитата от злонамерен софтуер е най-важният критерий за оценка: показателите в тази група параметри представляват 65% от общия антивирусен резултат. Лекотата на използване и въздействието върху скоростта на компютъра представляват съответно 25% и 10% от общия резултат.

Антивирусните програми бяха избрани за изследване въз основа на популярност сред потребителите и достъпност. Поради тази причина списъкът с изследваните антивирусни програми включва:

• Безплатни програми - както вградени, така и предлагани отделно.
• Платени програми от водещи антивирусни марки. Въз основа на принципите на подбор, проучването не включва най-скъпите версии на софтуерни продукти от тези марки.
• От една марка за една операционна система в рейтинга може да бъде представен само един платен продукт. Вторият продукт може да влезе в класацията само ако е безплатен.

Този път продукти, разработени от руски компании, бяха включени в категорията в международното проучване. По правило списъкът с продукти за международно тестване включва продукти с достатъчен пазарен дял и високо признание сред потребителите, така че включването на руски разработки в проучването показва тяхното широко представителство и търсене в чужбина.

Топ десет за Windows

Всички антивируси в челната десетка се справят със защита срещу шпионски софтуер и защита срещу фишинг - опити за получаване на достъп до поверителни данни. Но има разлики между антивирусите в нивото на защита, както и в присъствието или отсъствието на определена функция в тестваните версии на антивируса.

Обобщената таблица показва първите десет програми по общ рейтинг. Той също така отчита характеристиките на пакетите по отношение на набора от функции.

Колко добра е стандартната защита на Windows 10?

Към февруари 2018 г. процентът на потребителите на компютри с Windows с инсталирани настолни компютри Операционна система Windows 10 представлява 43%. На такива компютри антивирусът е инсталиран по подразбиране - програмата защитава системата Windows Defender, който е включен в операционната система.

Стандартната антивирусна програма, която, съдейки по статистиката, повечето хора използват, беше едва на 17-ия ред в рейтинга. Като цяло Windows Defender отбеляза 3,5 от възможни 5,5.

Вградената защита на последните версии на Windows само се подобрява през годините, но все още не достига нивото на много специализирани антивирусни програми, включително тези, които се разпространяват безплатно. Windows Defender показа задоволителни резултати по отношение на онлайн защитата, но напълно се провали на теста за фишинг и ransomware. Между другото, защитата срещу фишинг се декларира от производителите на антивирусни програми. Оказа се също, че той не се справя добре със защитата на вашия компютър в офлайн режим.

Windows Defender е доста прост по отношение на дизайна. Той ясно съобщава за наличието на определена заплаха, ясно демонстрира степента на защита и има функция за „родителски контрол“, която ограничава децата да посещават нежелани ресурси.

Стандартен Windows защита 10 може да се нарече само приличен. Въз основа на общата оценка 16 програми за защита на персонален компютър на Windows се оказаха по-добри от него. Включително четири безплатни.

Теоретично можете да разчитате на Windows Defender само ако потребителят има включени редовни актуализации, компютърът му е свързан с интернет през повечето време и е достатъчно напреднал, за да не посещава съзнателно подозрителни сайтове. Роскачество обаче препоръчва инсталирането на специализиран антивирусен пакет за по-голяма увереност в сигурността на компютъра.

Как тествахме

Тестването е проведено в най-квалифицираната лаборатория в света, специализирана в антивирусни програми, в продължение на шест месеца. Бяха проведени общо четири групи тестове за защита от зловреден софтуер: общ тест за онлайн защита, офлайн тест, тест за фалшиви положителни резултати и тест за автоматично сканиране и сканиране при поискване. В по-малка степен крайната оценка беше повлияна от проверката на използваемостта на антивирусната програма и влиянието й върху скоростта на компютъра.

• Обща защита

Всеки антивирусен пакет беше тестван онлайн за набор от вируси, общо повече от 40 000. Той също така тества колко добре антивирусът се справя с фишинг атаки - когато някой се опита да получи достъп до поверителните данни на потребителя. Рансъмуерът е тестван за защита срещу рансъмуер, който ограничава достъпа до компютър и данни в него с цел получаване на откуп. Освен това се извършва онлайн тест на USB устройство със зловреден софтуер. Необходимо е да се разбере колко добре антивирусът се справя с търсенето и премахването на вируси, когато нито наличието на злонамерени файлове, нито техният произход са известни предварително.

• USB офлайн тест

Откриване на зловреден софтуер, намиращ се на USB устройство, свързано към компютър. Преди сканирането компютърът беше изключен от интернет за няколко седмици, така че антивирусните пакети не бяха 100% актуални.

• Фалшива тревога

Тествахме колко ефективна е антивирусната програма за идентифициране на реални заплахи и пропускане на файлове, които всъщност са безопасни, но които са класифицирани като опасни от продукта.

• Тест за автоматично сканиране и сканиране при поискване

Тествано е колко ефективно работи функцията за сканиране автоматична проверкакомпютър за злонамерен софтуер и при ръчно стартиране. Проучването също така тества дали е възможно да се планират сканирания за определено времекогато компютърът не се използва.