Srovnávací analýza antivirových programů pro počítače. Srovnávací analýza antivirového softwaru Obecná charakteristika antivirových programů a srovnávací analýza

Chování srovnávací charakteristiky antivirové programy- poměrně odpovědný úkol, a to jak kvůli zavedeným preferencím většiny uživatelů, tak vyhlídce na vyvolání nespokojenosti s výrobními společnostmi, které se podle výsledků testů ocitly na nižších příčkách hodnocení.

Jedna věc je šířit na fórech informace o přednostech a nedostatcích antiviru, druhá věc je prezentovat uživatelům výsledky srovnávacího testování produktů známých značek.

V této situaci je nejlepším řešením zapojit známé specialisty, kteří se testováním antivirového softwaru profesionálně zabývají. Jedním z nich jsou odborníci z nezávislého ruského informačního a analytického portálu na informační bezpečnost Anti-Malware.ru, které se podílely na testování níže uvedených antivirových programů.

K testování byly použity následující antivirové programy:

• - Kaspersky Anti-Virus 7.0
• - Eset Nod32 2.7
• - DrWeb 4.44
• - Norton Anti-Virus 2007
• - Avira AntiVir PE Classic 7.0.

Pro hodnocení hlavního kritéria testovaných programů - kvality ochrany, byly vzaty v úvahu následující parametry:

• - kvalita heuristické analýzy;
• - rychlost reakce při detekci virů;
• - kvalita analýzy podpisů;
• - kvalita behaviorálního blokátoru;
• - schopnost léčit aktivní infekce;
• - schopnost identifikovat aktivní rootkity;
• - kvalita sebeobrany;
• - schopnost podporovat baliče;
• - četnost falešných poplachů.

Výsledek

počítačový virový program

Podle výsledků srovnávacího testování antivirových programů vyšel jako první Kaspersky Anti-Virus 7.0, o 15 bodů méně dosáhl Norton Anti-Virus 2007 a třetí výsledek ukázal antivirový program Eset Nod32 2.7.

Celkové výsledky testů byly ovlivněny různými kritérii, podle kterých byly antivirové programy hodnoceny, a bylo by nesprávné nazývat jakýkoli program absolutní špičkou, už proto, že různé parametry antivirových programů jsou pro různé uživatele nejatraktivnější, ačkoli hlavním kritériem- kvalita ochrany je samozřejmě prioritou.

Nejlepší výsledky ve srovnávacím testování Kaspersky Anti-Virus 7.0 jsou určeny rychlostí reakce na nové hrozby, častými aktualizacemi virových databází, přítomností behaviorálního blokátoru, který se nenachází v jiných antivirových programech, schopností odstraňovat rootkity a účinná sebeobrana.

Mezi výhody Kaspersky Anti-Virus 7.0 patří také jeho velký funkční rozsah: detekce a deaktivace aktivních rootkitů, rychlá kontrola HTTP provoz, možnost měnit účinky malwaru, přítomnost programu pro obnovu po havárii, efektivní regulace zátěže centrálního procesoru.

Mezi nevýhody Kaspersky Anti-Virus 7.0 patří nízká odolnost proti selhání a relativně nízká účinnost heuristické analýzy, která brání spolehlivé odolnosti vůči těm typům hrozeb, které jsou v současné době pro Kaspersky Anti-Virus 7.0 neznámé. Mezi negativní vlastnosti Kaspersky Anti-Virus 7.0 patří velké množství falešných poplachů, což některé uživatele zvláště dráždí.

Norton Anti-Virus 2007, který je na druhém místě, zaujme uživatelsky přívětivým rozhraním, účinností detekce podpisů a nízkým počtem falešných poplachů.

Norton Anti-Virus 2007 zároveň spotřebovává poměrně hodně systémových prostředků a má nízkou rychlost odezvy. Jeho proaktivní obrana není nejsilnější a podpora packerů je poněkud omezená. Možnost přizpůsobení Norton Anti-Virus 2007 je omezená, což neumožňuje jeho přizpůsobení širokému počtu uživatelů.Nejsilnějšími stránkami Eset Nod32 2.7, který obsadil třetí místo, byl efektivní heuristický analyzátor a minimální spotřeba systému zdrojů, čehož si všímají zejména majitelé nepříliš „rychlých“ počítačů.

Mezi nevýhody Eset Nod32 2.7 patří nedostatečně rychlá reakce na nové hrozby, minimální schopnost detekovat aktivní rootkity a eliminovat následky aktivní infekce. Zastaralé rozhraní také potřebuje aktualizaci.

Čtvrté místo antivirového programu Doctor Web je způsobeno absencí aktivního blokátoru, efektivní nástroje boj proti aktivní infekci a detekci rootkitů. Efektivita heuristického analyzátoru Doctor Web také ponechává mnoho přání. Přes všechny nedostatky tohoto antiviru si nelze nevšimnout poměrně vysoké flexibility nastavení, rychlosti odezvy a instalačního algoritmu, který je dostupný i pro nezkušeného uživatele.

Avira AntiVir PE Classic 7.0 vykázala nejhorší výsledky ve srovnání s ostatními účastníky testu. A přestože jeho detektor signatur a analytický analyzátor jsou relativně dobré, neefektivní ochranná opatření a nízká schopnost eliminovat následky programových infekcí odsunuly Avira AntiVir PE Classic 7.0 na poslední místo.

Jedinou výhodou Avira AntiVir PE Classic 7.0 oproti ostatním účastníkům testování je, že je zdarma. Ostatní antivirové produkty mají přibližně stejné náklady (do 1 000 rublů), ačkoli domácí Kaspersky Anti-Virus a Doctor Web, které mají vyšší úroveň technické podpory, vypadají poněkud atraktivněji.

Úvod

1. Teoretická část

1.1 Pojem informační bezpečnosti

1.2 Typy hrozeb

1.3 Metody zabezpečení informací

2. Návrhová část

2.1 Klasifikace počítačových virů

2.2 Koncepce antivirového programu

2.3 Typy antivirových produktů

2.4 Porovnání antivirových balíčků

Závěr

Seznam použité literatury

aplikace

Úvod

Vývoj nových informační technologie a obecná elektronizace vedly k tomu, že informační bezpečnost se stává nejen povinnou, ale je také jednou z charakteristik informačních systémů. Existuje poměrně velká třída systémů pro zpracování informací, v jejichž vývoji hraje bezpečnostní faktor prvořadou roli.

Široké používání osobních počítačů je spojeno se vznikem samoreplikujících virových programů, které narušují normální provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači.

Navzdory zákonům přijatým v mnoha zemích k boji proti počítačové kriminalitě a vývoji speciálního antivirového softwaru počet nových softwarových virů neustále roste. To vyžaduje uživatele osobní počítač znalosti o povaze virů, způsobech napadení viry a ochraně proti nim.

Viry jsou každým dnem sofistikovanější, což má za následek významnou změnu profilu hrozeb. Trh s antivirovým softwarem však nestojí a nabízí mnoho produktů. Jejich uživatelům, kteří problém prezentují pouze obecně, často uniknou důležité nuance a skončí s iluzí ochrany namísto ochrany samotné.

Účel tohoto práce v kurzu je provést srovnávací analýzu antivirových balíčků.

K dosažení tohoto cíle jsou v práci řešeny následující úkoly:

Naučte se koncepty informační bezpečnosti, počítačových virů a antivirových nástrojů;

Určit typy ohrožení informační bezpečnosti, způsoby ochrany;

Studovat klasifikaci počítačových virů a antivirových programů;

Chování srovnávací analýza antivirové balíčky;

Vytvořte antivirový program.

Praktický význam práce.

Získané výsledky a pracovní materiál kurzu lze použít jako základ pro nezávislé srovnání antivirových programů.

Struktura práce v kurzu.

Tento kurz se skládá z Úvodu, dvou částí, Závěru a seznamu literatury.

antivirus pro zabezpečení počítačových virů

1. Teoretická část

V procesu provádění srovnávací analýzy antivirových balíčků je nutné definovat následující pojmy:

1 Bezpečnost informací.

2 Typy hrozeb.

3 Metody zabezpečení informací.

Pojďme k podrobnému zvážení těchto pojmů:

1.1 Pojem informační bezpečnosti

I přes stále se zvyšující snahy o vytváření technologií ochrany dat se jejich zranitelnost v moderních podmínkách nejen nesnižuje, ale neustále zvyšuje. Proto stále roste význam problémů souvisejících s ochranou informací.

Problém informační bezpečnosti je mnohostranný a komplexní a zahrnuje řadu důležitých úkolů. Například důvěrnost dat, která je zajištěna pomocí různých metod a prostředků. Ve výčtu podobných úkolů informační bezpečnosti lze pokračovat. Intenzivní rozvoj moderních informačních technologií a zejména síťových technologií k tomu vytváří všechny předpoklady.

Ochrana informací je soubor opatření, jejichž cílem je zajistit integritu, dostupnost a v případě potřeby důvěrnost informací a zdrojů používaných pro zadávání, ukládání, zpracování a přenos dat.

K dnešnímu dni byly formulovány dva základní principy ochrany informací:

1 integrita dat – ochrana před selháním vedoucím ke ztrátě informací a také ochrana před neoprávněným vytvořením nebo zničením dat;

2 důvěrnost informací.

Ochrana proti poruchám vedoucím ke ztrátě informací se provádí ve směru zvyšování spolehlivosti jednotlivé prvky a systémy, které vkládají, ukládají, zpracovávají a přenášejí data, duplikace a redundance jednotlivých prvků a systémů, používání různých, včetně autonomních, zdrojů energie, zvyšování úrovně kvalifikace uživatele, ochrana před neúmyslným a úmyslným jednáním vedoucím k poruše zařízení, zničení nebo změna (úprava) softwaru a chráněných informací.

Ochrana před neoprávněným vytvořením nebo zničením dat je zajištěna fyzickou ochranou informací, vymezením a omezením přístupu k prvkům chráněných informací, uzavřením chráněných informací při jejich přímém zpracování, vývojem softwarových a hardwarových systémů, zařízení a specializovaného softwaru k zamezení neoprávněného přístupu k informacím. přístup k chráněným informacím.

Důvěrnost informací je zajištěna identifikací a autentizací subjektů přístupu při přihlašování do systému pomocí ID a hesla, identifikace externích zařízení podle fyzických adres, identifikace programů, svazků, adresářů, souborů podle názvu, šifrování a dešifrování informací, delimitace a kontrolu přístupu k němu.

Mezi opatřeními zaměřenými na ochranu informací jsou hlavní technická, organizační a právní.

Technická opatření zahrnují ochranu před neoprávněným přístupem do systému, redundanci zvláště důležitých počítačových subsystémů, organizaci počítačové sítě s možností přerozdělení zdrojů v případě nefunkčnosti jednotlivých odkazů, instalace záložní systémy napájení, vybavení prostor zámky, instalace alarmů a tak dále.

Organizační opatření zahrnují: zabezpečení výpočetního střediska (informatické místnosti); uzavření servisní smlouvy počítačové vybavení s renomovanou organizací s dobrou pověstí; s vyloučením možnosti neoprávněných osob, náhodných osob a tak dále pracovat na počítačovém vybavení.

Právní opatření zahrnují vývoj norem stanovujících odpovědnost za deaktivaci počítačového vybavení a zničení (změnu) softwaru, veřejnou kontrolu nad vývojáři a uživateli počítačové systémy a programy.

Je třeba zdůraznit, že žádný hardware, software ani jiná řešení nemohou zaručit absolutní spolehlivost a bezpečnost dat v počítačových systémech. Zároveň je možné minimalizovat riziko ztrát, ale pouze pokud integrovaný přístup k ochraně informací.

1.2 Typy hrozeb

Pasivní hrozby jsou zaměřeny především na neoprávněné použití informační zdroje informačního systému, aniž by to ovlivnilo jeho fungování. Například neoprávněný přístup do databází, odposlechy komunikačních kanálů a podobně.

Aktivní hrozby mají za cíl narušit normální fungování informačního systému záměrným ovlivňováním jeho součástí. Mezi aktivní hrozby patří například deaktivace počítače nebo jeho operačního systému, zničení počítačového softwaru, narušení komunikačních linek a podobně. Aktivní hrozby mohou pocházet od hackerů, malwaru a podobně.

Záměrné hrozby se také dělí na vnitřní (vznikající v rámci řízené organizace) a vnější.

Vnitřní hrozby jsou nejčastěji určovány sociálním napětím a obtížným morálním klimatem.

Vnější hrozby mohou být určeny zlomyslným jednáním konkurentů, ekonomickými podmínkami a dalšími důvody (například přírodní katastrofy).

Mezi hlavní hrozby pro informační bezpečnost a normální fungování informačního systému patří:

Únik důvěrných informací;

Kompromis informací;

Neoprávněné použití informačních zdrojů;

Nesprávné používání informačních zdrojů;

Neoprávněná výměna informací mezi předplatiteli;

Odmítnutí informací;

Porušování informačních služeb;

Nezákonné využívání privilegií.

Únik důvěrných informací je nekontrolované uvolnění důvěrných informací mimo informační systém nebo okruh osob, kterým byly při výkonu práce svěřeny nebo se o nich při výkonu práce dozvěděly. Tento únik může být způsoben:

Zveřejňování důvěrných informací;

Přenos informací prostřednictvím různých, zejména technických, kanálů;

Neoprávněný přístup k důvěrným informacím různé způsoby.

Zpřístupnění informace jejím vlastníkem nebo držitelem je úmyslné nebo nedbalé jednání úředníků a uživatelů, kterým byla příslušná informace předepsaným způsobem svěřena jejich službou nebo prací, které vedlo k tomu, že s ní byly seznámeny osoby, kterým nebylo umožněno přístup k těmto informacím.

Je možná nekontrolovaná ztráta důvěrných informací prostřednictvím vizuálně-optických, akustických, elektromagnetických a dalších kanálů.

Neoprávněný přístup je nezákonné záměrné získání důvěrných informací osobou, která nemá právo na přístup k chráněným informacím.

Nejběžnější způsoby neoprávněného přístupu k informacím jsou:

Zachycování elektronického záření;

Používání odposlouchávacích zařízení;

Fotografování na dálku;

Zachycování akustického záření a obnova tiskového textu;

Kopírování paměťových médií překonáním bezpečnostních opatření;

Maskování jako registrovaný uživatel;

Maskování jako systémové požadavky;

Použití softwarových pastí;

Využití nedostatků programovacích jazyků a operačních systémů;

Nezákonné připojení k zařízení a komunikačním linkám speciálně navrženého hardwaru, který poskytuje přístup k informacím;

Škodlivé selhání ochranných mechanismů;

Dešifrování zašifrovaných informací speciálními programy;

Informační infekce.

Uvedené způsoby neoprávněného přístupu vyžadují poměrně velké technické znalosti a odpovídající hardware resp vývoj softwaru od zloděje. Využívají se například technické únikové kanály – jedná se o fyzické cesty od zdroje důvěrných informací k útočníkovi, přes které je možné získat chráněné informace. Příčinou únikových kanálů jsou konstrukční a technologické nedostatky v obvodovém řešení nebo provozní opotřebení prvků. To vše umožňuje hackerům vytvářet konvertory fungující na určitých fyzikálních principech, které tvoří kanál pro přenos informací, který je těmto principům vlastní – únikový kanál.

Existují však také docela primitivní způsoby neoprávněného přístupu:

Krádeže paměťových médií a dokumentárního odpadu;

Iniciativní spolupráce;

Sklon ke spolupráci ze strany zloděje;

Poptávka;

Odposlechy;

Pozorování a další způsoby.

Jakékoli způsoby úniku důvěrných informací mohou vést k významným materiálním a morálním škodám jak pro organizaci, kde informační systém funguje, tak pro jeho uživatele.

Existuje a neustále se vyvíjí obrovské množství škodlivých programů, jejichž účelem je poškodit informace v databázích a počítačovém softwaru. Velké množství odrůd těchto programů nám neumožňuje vyvinout trvalé a spolehlivé prostředky ochrany proti nim.

Předpokládá se, že virus je charakterizován dvěma hlavními rysy:

Schopnost sebereprodukce;

Schopnost zasahovat do výpočetního procesu (získat kontrolu).

Neoprávněné využívání informačních zdrojů je na jedné straně důsledkem jejich úniku a prostředkem k jejich kompromitaci. Na druhou stranu má nezávislý význam, protože může způsobit velké škody řízenému systému nebo jeho účastníkům.

Chybné použití informačních zdrojů, i když je povoleno, může přesto vést ke zničení, úniku nebo ohrožení uvedených zdrojů.

Neoprávněná výměna informací mezi účastníky může vést k tomu, že jeden z nich obdrží informace, ke kterým má zakázán přístup. Následky jsou stejné jako v případě neoprávněného přístupu.

1.3 Metody zabezpečení informací

Tvorba informačních bezpečnostních systémů je založena na následujících principech:

1 Systematický přístup k budování systému ochrany, což znamená optimální kombinaci vzájemně souvisejících organizačních, softwarových,. Hardwarové, fyzikální a další vlastnosti potvrzené praxí vytváření domácích i zahraničních ochranných systémů a používané ve všech fázích technologického cyklu zpracování informací.

2 Princip neustálého vývoje systému. Tento princip, který je jedním ze základních principů počítačových informačních systémů, je ještě důležitější pro systémy informační bezpečnosti. Metody implementace hrozeb pro informace se neustále zdokonalují, a proto zajištění bezpečnosti informačních systémů nemůže být jednorázovým úkonem. Jedná se o kontinuální proces spočívající ve zdůvodňování a zavádění nejracionálnějších metod, metod a způsobů zlepšování systémů informační bezpečnosti, průběžného monitorování, identifikace jeho úzkých míst a slabin, potenciálních kanálů pro únik informací a nových metod neoprávněného přístupu,

3 Zajištění spolehlivosti ochranného systému, to znamená nemožnost snížení úrovně spolehlivosti v případě poruch, poruch, úmyslného jednání hackera nebo neúmyslných chyb uživatelů a personálu údržby v systému.

4 Zajištění kontroly nad fungováním ochranného systému, to znamená vytvoření prostředků a metod pro sledování výkonu ochranných mechanismů.

5 Poskytování všech druhů nástrojů proti malwaru.

6 Zajištění ekonomické proveditelnosti používání systému. Ochrana, která je vyjádřena převisem možných škod z implementace hrozeb nad náklady na vývoj a provoz systémů informační bezpečnosti.

V důsledku řešení problémů informační bezpečnosti by moderní informační systémy měly mít tyto hlavní vlastnosti:

Dostupnost informací různého stupně důvěrnosti;

Poskytování kryptografická ochrana informace různého stupně důvěrnosti během přenosu dat;

Povinné řízení toku informací, jako v lokální sítě a při přenosu prostřednictvím komunikačních kanálů na velké vzdálenosti;

Přítomnost mechanismu pro evidenci a účtování pokusů o neoprávněný přístup, událostí v informačním systému a tištěných dokumentů;

Povinné zajištění integrity softwaru a informací;

Dostupnost prostředků pro obnovu systému informační bezpečnosti;

Povinná evidence magnetických médií;

Dostupnost fyzického zabezpečení počítačového vybavení a magnetických médií;

Dostupnost speciální služby informační bezpečnosti systému.

Metody a prostředky zajištění informační bezpečnosti.

Překážka je způsob fyzického blokování cesty útočníka k chráněným informacím.

Řízení přístupu – metody ochrany informací regulací využívání všech zdrojů. Tyto metody musí odolávat všem možným způsobům neoprávněného přístupu k informacím. Řízení přístupu zahrnuje následující bezpečnostní funkce:

Identifikace uživatelů, personálu a systémových zdrojů (přiřazení osobního identifikátoru každému objektu);

Identifikace předmětu nebo subjektu pomocí identifikátoru, který je jim předložen;

Povolování a vytváření pracovních podmínek v rámci stanovených předpisů;

Registrace požadavků na chráněné zdroje;

Reakce na pokusy o neoprávněné akce.

Šifrovací mechanismy – kryptografické uzavírání informací. Tyto způsoby ochrany se stále více používají jak při zpracování, tak při ukládání informací na magnetická média. Při přenosu informací dálkovými komunikačními kanály je tato metoda jediná spolehlivá.

Boj proti malwarovým útokům zahrnuje soubor různých organizačních opatření a používání antivirových programů.

Celý soubor technických prostředků je rozdělen na hardwarové a fyzické.

Hardware – zařízení zabudovaná přímo do počítačového vybavení nebo zařízení, která se s ním propojují pomocí standardního rozhraní.

Mezi fyzické prostředky patří různé inženýrská zařízení a struktury, které brání fyzickému pronikání útočníků do chráněných objektů a chrání personál (osobní bezpečnostní prostředky), materiální zdroje a finance, informace před protiprávním jednáním.

Softwarové nástroje jsou speciální programy a softwarové balíčky určené k ochraně informací v informačních systémech.

Mezi softwarem zabezpečovacího systému je také nutné vybrat software, který implementuje šifrovací (kryptografické) mechanismy. Kryptografie je věda zajišťující utajení a/nebo autenticitu (pravost) přenášených zpráv.

Organizační prostředky provádějí svou komplexní regulaci produkční činnosti v informačních systémech a vztahů výkonných umělců na právním základě tak, aby se znemožnění nebo výrazné ztížení vyzrazení, úniku a neoprávněného přístupu k důvěrným informacím stalo organizačními opatřeními.

Legislativní opravné prostředky jsou určeny legislativními akty dané země, které upravují pravidla pro použití, zpracování a přenos důvěrných informací a stanoví sankce za porušení těchto pravidel.

Morální a etické prostředky ochrany zahrnují všechny druhy norem chování, které se dříve tradičně vyvíjely, formují se při šíření informací v zemi a ve světě nebo jsou speciálně vyvinuty. Morální a etické normy mohou být nepsané nebo formalizované v určitém souboru pravidel nebo předpisů. Tyto normy zpravidla nejsou právně schváleny, ale protože jejich nedodržení vede k poklesu prestiže organizace, jsou považovány za povinné.

2. Návrhová část

V části návrhu je třeba provést následující kroky:

1 Definujte pojem počítačový virus a klasifikaci počítačových virů.

2 Definujte pojem antivirový program a klasifikaci antivirových nástrojů.

3 Proveďte srovnávací analýzu antivirových balíčků.

2.1 Klasifikace počítačových virů

Virus je program, který může infikovat jiné programy tím, že do nich vloží upravenou kopii, která má schopnost další reprodukce.

Viry lze rozdělit do tříd podle následujících hlavních charakteristik:

Destruktivní možnosti

Vlastnosti provozního algoritmu;

Místo výskytu;

Podle jejich destruktivní schopnosti lze viry rozdělit na:

Neškodné, to znamená, že žádným způsobem neovlivňují provoz počítače (kromě snížení volné paměti na disku v důsledku jeho distribuce);

Nerizikové, jejichž dopad je omezen úbytkem volné paměti na disku a grafickými, zvukovými a jinými efekty;

Nebezpečné viry, které mohou vést k vážným poruchám počítače;

Velmi nebezpečné, jehož algoritmus záměrně obsahuje postupy, které mohou vést ke ztrátě programů, zničení dat, vymazání informací nezbytných pro provoz počítače zaznamenaných v oblastech systémové paměti

Vlastnosti algoritmu operace viru lze charakterizovat následujícími vlastnostmi:

Rezidence;

Použití stealth algoritmů;

Polymorfismus;

Rezidentní viry.

Pojem „rezidence“ označuje schopnost virů zanechat své kopie v systémové paměti, zachytit určité události a volat procedury pro infikování detekovaných objektů (souborů a sektorů). Rezidentní viry jsou tedy aktivní nejen během běhu infikovaného programu, ale i po jeho ukončení. Rezidentní kopie takových virů zůstávají životaschopné až do příštího restartu, i když jsou všechny infikované soubory na disku zničeny. Často je nemožné zbavit se takových virů obnovením všech kopií souborů z distribučních disků nebo záložních kopií. Rezidentní kopie viru zůstává aktivní a znovu infikuje generované soubory. Totéž platí pro boot viry – zformátování disku, když je v paměti rezidentní virus, ne vždy disk vyléčí, protože mnoho rezidentních virů po zformátování disk znovu infikuje.

Nerezidentní viry. Nerezidentní viry jsou naopak aktivní poměrně krátkou dobu – pouze v okamžiku spuštění infikovaného programu. Pro šíření hledají neinfikované soubory na disku a zapisují na ně. Poté, co kód viru předá kontrolu hostitelskému programu, se dopad viru na provoz operačního systému sníží na nulu až do dalšího spuštění jakéhokoli infikovaného programu. Proto je mnohem snazší smazat soubory infikované nerezidentními viry z disku, aniž by je virus mohl znovu infikovat.

Stealth viry. Stealth viry tak či onak skrývají skutečnost své přítomnosti v systému. Použití stealth algoritmů umožňuje virům zcela nebo částečně se skrýt v systému. Nejběžnějším stealth algoritmem je zachytit požadavky operačního systému na čtení (zápis) infikovaných objektů. V tomto případě je stealth viry buď dočasně vyléčí, nebo na jejich místo „nahradí“ neinfikované části informací. V případě makrovirů je nejoblíbenější metodou zakázání volání nabídky zobrazení maker. Stealth viry všech typů jsou známé, s výjimkou virů Windows - boot viry, souborové viry DOS a dokonce i makroviry. Vznik stealth virů, které infikují soubory Windows, je s největší pravděpodobností otázkou času.

Polymorfní viry. Samošifrování a polymorfismus využívají téměř všechny typy virů, aby se co nejvíce zkomplikovala procedura detekce viru. Polymorfní viry jsou poměrně obtížně detekovatelné viry, které nemají signaturu, to znamená, že neobsahují jediný konstantní úsek kódu. Ve většině případů dva vzorky stejného polymorfního viru nebudou mít jedinou shodu. Toho je dosaženo zašifrováním hlavního těla viru a úpravou dešifrovacího programu.

Polymorfní viry zahrnují ty, které nelze detekovat pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby – zašifrováním hlavního virového kódu proměnným pokřikem a náhodnou sadou příkazů decryptoru, nebo změnou samotného spustitelného virového kódu. Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows.

Podle jejich stanoviště lze viry rozdělit na:

Soubor;

Bota;

makroviry;

Síť.

Souborové viry. Souborové viry se buď různými způsoby injektují do spustitelných souborů, nebo vytvářejí duplicitní soubory (doprovodné viry), nebo využívají zvláštnosti organizace souborového systému (linkové viry).

Souborový virus může být zaveden do téměř všech spustitelných souborů všech populárních operačních systémů. Dnes jsou známy viry, které infikují všechny typy standardních spustitelných objektů DOS: dávkové soubory(BAT), ovladače ke stažení (SYS, včetně speciálních souborů IO.SYS a MSDOS.SYS) a spustitelné binární soubory (EXE, COM). Existují viry, které infikují spustitelné soubory jiných operačních systémů - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, včetně ovladačů Windows 3.xa Windows95 VxD.

Existují viry, které infikují soubory obsahující zdrojové texty programy, knihovny nebo objektové moduly. Je také možné, aby byl virus zaznamenán v datových souborech, ale děje se tak buď v důsledku chyby viru, nebo když se projeví jeho agresivní vlastnosti. Makroviry také zapisují svůj kód do datových souborů – dokumentů nebo tabulek, ale tyto viry jsou natolik specifické, že jsou klasifikovány jako samostatná skupina.

Spouštěcí viry. Zaváděcí viry infikují spouštěcí sektor diskety a spouštěcí sektor nebo hlavní spouštěcí záznam (MBR) pevného disku. Princip fungování boot virů je založen na algoritmech pro spouštění operačního systému při zapnutí nebo restartu počítače - po nezbytných testech instalovaného hardwaru (paměti, disků atd.) načte systémový bootovací program první fyzický sektor spouštěcího disku (A:, C: nebo CD-ROM v závislosti na parametrech nastavených v nastavení BIOS) a přenese na něj řízení.

V případě diskety nebo CD přebírá řízení boot sektor, který analyzuje tabulku parametrů disku (BPB - BIOS Parameter Block), vypočítá adresy souborů operačního systému, načte je do paměti a spustí pro provedení. Systémové soubory obvykle MSDOS.SYS a IO.SYS, nebo IBMDOS.COM a IBMBIO.COM nebo jiné v závislosti na nainstalovaná verze DOS, Windows nebo jiné operační systémy. Pokud na spouštěcím disku nejsou žádné soubory operačního systému, program umístěný v zaváděcím sektoru disku zobrazí chybovou zprávu a navrhne výměnu zaváděcího disku.

V případě pevného disku přijímá řízení program umístěný v MBR pevného disku. Tento program analyzuje tabulku rozdělení disku, vypočítá adresu aktivního zaváděcího sektoru (obvykle je tento sektor spouštěcím sektorem disku C), nahraje jej do paměti a předá mu řízení. jednotka provádí stejné akce jako spouštěcí sektor diskety.

Při infikování disků „nahrazují“ spouštěcí viry jejich kód namísto jakéhokoli programu, který získá kontrolu při spouštění systému. Princip infekce je tedy u všech výše popsaných metod stejný: virus „nutí“ systém po restartu načíst do paměti a předat řízení nikoli původnímu kódu bootloaderu, ale kódu viru.

Diskety se infikují jediným známým způsobem – virus zapíše svůj kód místo původního kódu boot sektoru diskety. Pevný disk je infikován třemi možnými způsoby - virus je zapsán buď místo kódu MBR, nebo místo kódu boot sektoru bootovacího disku (obvykle jednotka C, nebo upravuje adresu aktivního boot sektoru v disku Tabulka oddílů umístěná v MBR pevného disku.

Makroviry. Makroviry infikují soubory, jako jsou dokumenty a tabulky několika populárních editorů. Makroviry jsou programy napsané v jazycích (makrojazycích) zabudované do některých systémů zpracování dat. K reprodukci takové viry využívají schopnosti makro jazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru do jiných. Nejrozšířenější jsou makroviry pro Microsoft Word, Excel a Office97. Existují také makroviry, které infikují dokumenty Ami Pro a databáze Microsoft Access.

Síťové viry. Síťové viry zahrnují viry, které k šíření aktivně využívají protokoly a možnosti místních a globálních sítí. Hlavním principem fungování síťového viru je schopnost nezávisle přenést svůj kód na vzdálený server nebo pracovní stanici. „Plnohodnotné“ síťové viry mají také schopnost spustit svůj kód na vzdáleném počítači nebo alespoň „donutit“ uživatele ke spuštění infikovaného souboru. Příkladem síťových virů jsou takzvaní IRC červi.

IRC (Internet Relay Chat) je speciální protokol určený pro komunikaci mezi uživateli internetu v reálném čase. Tento protokol jim poskytuje možnost internetové „konverzace“ pomocí speciálně vyvinutého softwaru. Kromě účasti na generálních konferencích mají uživatelé IRC možnost chatovat jeden na jednoho s jakýmkoli jiným uživatelem. Kromě toho existuje poměrně velké množství IRC příkazů, s jejichž pomocí může uživatel získat informace o dalších uživatelích a kanálech, změnit některá nastavení IRC klienta a podobně. Nechybí ani možnost odesílat a přijímat soubory – právě na této schopnosti jsou IRC červi založeni. Výkonný a rozsáhlý příkazový systém IRC klientů umožňuje na základě jejich skriptů vytvářet počítačové viry, které přenášejí svůj kód do počítačů uživatelů IRC sítí, tzv. „IRC červy“. Princip činnosti těchto IRC červů je přibližně stejný. Pomocí příkazů IRC je z infikovaného počítače automaticky odeslán soubor pracovního skriptu (skript) každému novému uživateli, který se připojí ke kanálu. Odeslaný soubor skriptu nahradí standardní a během další relace nově infikovaný klient červa odešle. Někteří IRC červi také obsahují trojský kůň: podle specifikace klíčová slova mít destruktivní účinky na postižené počítače. Například červ "pIRCH.Events". určitý tým vymaže všechny soubory na disku uživatele.

Existuje velké množství kombinací – například viry zavádějící soubory, které infikují soubory i spouštěcí sektory disků. Takové viry mají zpravidla poměrně složitý operační algoritmus, často používají originální metody pronikání do systému a používají stealth a polymorfní technologie. Dalším příkladem takové kombinace je síťový makrovirus, který nejen infikuje upravované dokumenty, ale také posílá své kopie e-mailem.

Kromě této klasifikace je třeba říci několik slov o dalším malwaru, který je někdy zaměňován s viry. Tyto programy nemají schopnost samy se šířit jako viry, ale mohou způsobit stejně destruktivní škody.

Trojské koně (logické bomby nebo časované bomby).

Trojské koně zahrnují programy, které způsobují jakékoli destruktivní účinky, to znamená, že v závislosti na určitých podmínkách nebo při každém spuštění ničí informace na discích, „zavěšují“ systém atd. Jako příklad můžeme uvést tento případ – kdy takový program během relace na internetu odeslal identifikátory a hesla svého autora z počítačů, kde žil. Nejznámější trojské koně jsou programy, které „falšují“ nějaký druh užitečné programy, nové verze oblíbených nástrojů nebo jejich doplňky. Velmi často jsou zasílány na stanice BBS nebo elektronické konference. Ve srovnání s viry nejsou trojské koně příliš využívány z následujících důvodů – buď se zničí spolu se zbytkem dat na disku, nebo demaskují svou přítomnost a jsou zničeni postiženým uživatelem.

2.2 Koncepce antivirového programu

Metody boje proti počítačovým virům lze rozdělit do několika skupin:

Prevence virové infekce a snížení očekávaného poškození takovou infekcí;

Způsoby použití antivirových programů, včetně neutralizace a odstranění známých virů;

Metody detekce a odstranění neznámého viru.

Prevence infekce počítače.

Jednou z hlavních metod boje proti virům je stejně jako v medicíně včasná prevence. Počítačová prevence zahrnuje dodržování malého počtu pravidel, která mohou výrazně snížit pravděpodobnost nákazy virem a ztráty jakýchkoli dat.

Pro stanovení základních pravidel počítačové „hygieny“ je nutné zjistit hlavní způsoby pronikání viru do počítače a počítačových sítí.

Hlavním zdrojem virů je dnes globální síť Internet. Největší číslo K virovým infekcím dochází při výměně dopisů ve formátech Word/Office97. Uživatel editoru infikovaného makrovirem, aniž by o tom věděl, zasílá infikované dopisy příjemcům, kteří zase posílají nové infikované dopisy a tak dále. Měli byste se vyhnout kontaktu s podezřelými zdroji informací a používat pouze legitimní (licencované) softwarové produkty.

Obnova poškozených předmětů.

Ve většině případů virové infekce spočívá postup obnovy infikovaných souborů a disků na spuštění vhodného antiviru, který dokáže neutralizovat systém. Pokud virus nezná žádný antivirus, pak stačí infikovaný soubor odeslat výrobcům antiviru a po chvíli obdržet „aktualizační“ lék proti viru. Pokud čas nepočká, budete muset virus neutralizovat sami. Pro většinu uživatelů je nutné mít zálohy tvé informace.

Obecné nástroje pro zabezpečení informací jsou užitečné nejen pro ochranu před viry. Existují dva hlavní typy těchto fondů:

1 Kopírování informací – vytváření kopií souborů a systémových oblastí disků.

2 Kontrola přístupu zabraňuje neoprávněnému použití informací, zejména ochrana před změnami programů a dat viry, nefunkčními programy a chybnými akcemi uživatele.

Včasná detekce virem infikovaných souborů a disků a úplné zničení detekovaných virů na každém počítači pomáhá zabránit šíření virové epidemie na další počítače.

Hlavní zbraní v boji proti virům jsou antivirové programy. Umožňují nejen detekovat viry, včetně virů, které používají různé maskovací metody, ale také je z počítače odstranit.

Existuje několik základních metod detekce virů, které používají antivirové programy. Nejtradičnějším způsobem vyhledávání virů je skenování.

Pro detekci, odstranění a ochranu před počítačovými viry bylo vyvinuto několik typů speciálních programů, které umožňují detekovat a ničit viry. Takové programy se nazývají antivirové programy.

2.3 Typy antivirových produktů

Detekční programy. Detekční programy vyhledávají signaturu charakteristickou pro konkrétní virus v RAM a souborech, a když jsou detekovány, vydávají odpovídající zprávu. Nevýhodou těchto antivirových programů je, že mohou najít pouze viry, které jsou známé vývojářům takových programů.

Lékařské programy. Lékařské nebo fágové programy, stejně jako očkovací programy, soubory infikované viry nejen najdou, ale také je „ošetří“, to znamená, že odstraní tělo virového programu ze souboru a vrátí soubory do původního stavu. Na začátku své práce fágové vyhledávají viry v RAM, ničí je a teprve potom přistupují k „čištění“ souborů. Mezi fágy jsou polyfágy, tedy lékařské programy určené k vyhledávání a ničení velkého množství virů. Nejznámější z nich: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a programy lékařů rychle zastarávají a jsou vyžadovány pravidelné aktualizace verzí.

Auditorské programy (inspektoři) patří mezi nejspolehlivější prostředky ochrany před viry.

Auditoři (inspektoři) kontrolují data na disku, zda neobsahují neviditelné viry. Kromě toho inspektor nesmí používat nástroje operačního systému pro přístup k diskům, což znamená, že aktivní virus nebude schopen tento přístup zachytit.

Faktem je, že řada virů, které se vkládají do souborů (tj. připojují se na konec nebo začátek souboru), nahrazují záznamy o tomto souboru v alokačních tabulkách souborů našeho operačního systému.

Auditoři (inspektoři) si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru. Porovnání stavů se zpravidla provádí ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry. Auditorské programy (inspektoři) mají poměrně vyvinuté algoritmy, detekují stealth viry a mohou dokonce vyčistit změny ve verzi kontrolovaného programu od změn provedených virem.

Auditora (inspektora) je nutné spustit v době, kdy počítač ještě není infikován, aby mohl v kořenovém adresáři každého disku vytvořit tabulku se všemi potřebnými informacemi o souborech, které jsou na tomto disku, a také o jeho zavazadlovém prostoru. K vytvoření každé tabulky bude vyžadováno povolení. Během následujících spuštění bude auditor (inspektor) skenovat disky a porovnávat data o každém souboru s jeho záznamy.

V případě zjištění infekcí bude moci auditor (inspektor) použít vlastní ozdravný modul, který obnoví soubor poškozený virem. Pro obnovu souborů nemusí inspektor vědět nic o konkrétním typu viru, stačí použít data o souborech uložená v tabulkách.

V případě potřeby lze navíc zavolat antivirový skener.

Filtrační programy (monitory). Filtrační programy (monitory) nebo „hlídači“ jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, charakteristické pro viry. Takové akce mohou být:

Pokusy o opravu souborů s příponami COM, EXE;

Změna atributů souboru;

Přímý zápis na disk na absolutní adresu;

Zápis do boot sektorů disku;

Když se jakýkoli program pokusí provést zadané akce, „strážný“ odešle zprávu uživateli a nabídne zákaz nebo povolení příslušné akce. Filtrační programy jsou velmi užitečné, protože jsou schopny detekovat virus v nejranější fázi jeho existence před replikací. Soubory a disky však „nečistí“. Chcete-li zničit viry, musíte použít jiné programy, jako jsou fágy.

Vakcíny nebo imunizátory. Vakcíny jsou rezidentní programy, které zabraňují infekcím souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známé viry. Vakcína upraví program nebo disk tak, že neovlivní jeho činnost a virus jej bude vnímat jako infikovaný, a proto se nezakoření. V současné době mají očkovací programy omezené použití.

Skener. Princip činnosti antivirové skenery je založeno na kontrole souborů, sektorů a systémové paměti a jejich vyhledávání na známé a nové (pro skener neznámé) viry. K vyhledávání známých virů se používají tzv. „masky“. Maska viru je nějaká konstantní sekvence kódu specifická pro tento konkrétní virus. Pokud virus neobsahuje trvalou masku, nebo délka této masky není dostatečně dlouhá, pak se používají jiné metody. Příkladem takové metody je algoritmický jazyk, popisující vše možné možnosti kód, který se může objevit při infekci virem tohoto typu. Tento přístup používají některé antiviry k detekci polymorfních virů. Skenery lze také rozdělit do dvou kategorií – „univerzální“ a „specializované“. Univerzální skenery jsou navrženy tak, aby vyhledávaly a neutralizovaly všechny typy virů bez ohledu na operační systém, ve kterém je skener navržen. Specializované skenery jsou navrženy tak, aby neutralizovaly omezený počet virů nebo pouze jednu třídu virů, například makroviry. Specializované skenery určené pouze pro makroviry se často ukazují jako nejpohodlnější a nejspolehlivější řešení pro ochranu systémů správy dokumentů v prostředích MSWord a MSExcel.

Skenery se také dělí na „rezidentní“ (monitory, strážní), které provádějí skenování za chodu, a „nerezidentní“, které skenují systém pouze na vyžádání. „Rezidentní“ skenery zpravidla poskytují spolehlivější ochranu systému, protože okamžitě reagují na výskyt viru, zatímco „nerezidentní“ skener je schopen virus identifikovat až při jeho příštím spuštění. Na druhou stranu rezidentní skener může počítač poněkud zpomalit, a to i kvůli možným falešným poplachům.

Mezi výhody skenerů všech typů patří jejich univerzálnost, nevýhodou je relativně nízká rychlost skenování virů.

CRC skenery. Princip činnosti skenerů CRC je založen na výpočtu součtů CRC ( kontrolní součty) pro soubory/systémové sektory na disku. Tyto částky CRC jsou pak uloženy v antivirové databázi, stejně jako některé další informace: délky souborů, data jejich poslední úpravy a tak dále. Při následném spuštění skenery CRC porovnávají data obsažená v databázi se skutečnými vypočtenými hodnotami. Pokud se informace o souboru zaznamenané v databázi neshodují se skutečnými hodnotami, pak skenery CRC signalizují, že soubor byl upraven nebo infikován virem. CRC skenery využívající anti-stealth algoritmy jsou poměrně silnou zbraní proti virům: téměř 100 % virů je detekováno téměř okamžitě poté, co se objeví v počítači. Tento typ antiviru má však svou vlastní chybu, která výrazně snižuje jejich účinnost. Tato nevýhoda spočívá v tom, že CRC skenery nejsou schopny zachytit virus v okamžiku, kdy se objeví v systému, ale udělají to až o něco později, poté, co se virus rozšíří po celém počítači. CRC skenery nemohou detekovat virus v nových souborech (v e-mailu, na disketách, v souborech obnovených ze zálohy nebo při rozbalování souborů z archivu), protože jejich databáze neobsahují informace o těchto souborech. Navíc se pravidelně objevují viry, které využívají této „slabosti“ CRC skenerů, infikují pouze nově vytvořené soubory a zůstávají pro ně neviditelné.

Blokátory. Blokátory jsou rezidentní programy, které zachytí „virově nebezpečné“ situace a upozorní na to uživatele. Mezi „virově nebezpečné“ patří volání k otevření pro zápis do spustitelných souborů, zápis do spouštěcích sektorů disků nebo MBR pevného disku, pokusy programů zůstat rezidentní atd., tedy volání typická pro viry na okamžik reprodukce. Někdy jsou některé funkce blokování implementovány v rezidentních skenerech.

Mezi výhody blokátorů patří jejich schopnost detekovat a zastavit virus v nejranější fázi jeho reprodukce. Nevýhody zahrnují existenci způsobů, jak obejít blokovací ochranu a velké množství falešných poplachů.

Je také nutné poznamenat takový směr antivirových nástrojů, jako jsou antivirové blokátory, vyrobené ve formě počítačových hardwarových komponent. Nejběžnější je ochrana proti zápisu zabudovaná v BIOSu v MBR pevného disku. Stejně jako v případě softwarových blokátorů však lze takovou ochranu snadno obejít přímým zápisem na porty řadiče disku a spuštění DOSové utility FDISK okamžitě způsobí „falešnou pozitivitu“ ochrany.

Existuje několik univerzálnějších hardwarových blokátorů, ale kromě výše uvedených nevýhod existují také problémy s kompatibilitou se standardními konfiguracemi počítačů a složitostí jejich instalace a konfigurace. To vše dělá hardwarové blokátory extrémně nepopulárními ve srovnání s jinými typy antivirové ochrany.

2.4 Porovnání antivirových balíčků

Bez ohledu na to, jaký informační systém je potřeba chránit, nejdůležitějším parametrem při porovnávání antivirů je schopnost detekovat viry a další malware.

Jakkoli je tento parametr důležitý, není zdaleka jediný.

Faktem je, že účinnost systému antivirové ochrany závisí nejen na jeho schopnosti detekovat a neutralizovat viry, ale také na mnoha dalších faktorech.

Použití antiviru by mělo být pohodlné, aniž by odvádělo pozornost uživatele počítače od plnění jeho přímých povinností. Pokud antivirus uživatele obtěžuje neustálými požadavky a zprávami, dříve nebo později bude deaktivován. Rozhraní antiviru by mělo být přátelské a srozumitelné, protože ne všichni uživatelé mají rozsáhlé zkušenosti s prací s počítačovými programy. Bez pochopení významu zprávy, která se objeví na obrazovce, můžete nevědomky povolit virová infekce i s nainstalovaným antivirem.

Nejpohodlnějším režimem antivirové ochrany je kontrola všech otevřených souborů. Pokud antivirus není schopen pracovat v tomto režimu, uživatel bude muset každý den spouštět kontrolu všech disků, aby detekoval nově se vyskytující viry. Tento postup může trvat desítky minut nebo dokonce hodiny, pokud mluvíme o velkých discích instalovaných například na serveru.

Protože se nové viry objevují každý den, je nutné pravidelně aktualizovat antivirovou databázi. V opačném případě bude účinnost antivirové ochrany velmi nízká. Moderní antiviry se po příslušné konfiguraci mohou automaticky aktualizovat antivirové databáze data přes internet, aniž by odváděli pozornost uživatelů a správců od této rutinní práce.

Při ochraně velké podnikové sítě vystupuje do popředí takový parametr pro porovnávání antivirů, jako je přítomnost síťového řídicího centra. Li firemní síť spojuje stovky a tisíce pracovních stanic, desítky a stovky serverů, je téměř nemožné organizovat účinnou antivirovou ochranu bez síťového řídicího centra. Jeden nebo více správci systému nebudou moci obejít všechny pracovní stanice a servery instalací a konfigurací antivirových programů na nich. Zde jsou zapotřebí technologie, které umožňují centralizovanou instalaci a konfiguraci antivirů na všechny počítače v podnikové síti.

Ochrana internetových stránek jako např poštovní servery a servery služeb zasílání zpráv vyžaduje použití specializovaných antivirových nástrojů. Běžné antivirové programy určené ke skenování souborů nebudou schopny najít škodlivý kód v databázích serverů pro zasílání zpráv nebo v toku dat procházejících poštovními servery.

Při porovnávání antivirových produktů se obvykle berou v úvahu další faktory. Vládní agentury mohou za stejných okolností upřednostňovat antiviry domácí výroby, které mají všechny potřebné certifikáty. Významnou roli hraje také reputace, kterou si ten či onen antivirový nástroj získal mezi uživateli počítačů a správci systému. Významnou roli při výběru mohou hrát i osobní preference.

Vývojáři antivirů často používají výsledky nezávislých testů, aby prokázali výhody svých produktů. Uživatelé přitom často nechápou, co přesně a jak bylo v tomto testu testováno.

V této práci byly srovnávací analýze podrobeny aktuálně nejpopulárnější antivirové programy, a to: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F -Secure, Avira, Avast!, AVG, Microsoft.

Britský časopis Virus Bulletin byl jedním z prvních, který testoval antivirové produkty. První testy zveřejněné na jejich webových stránkách pocházejí z roku 1998. Test je založen na kolekci malwaru WildList. Pro úspěšné absolvování testu je nutné identifikovat všechny viry v této kolekci a prokázat nulovou úroveň falešných poplachů na kolekci „čistých“ log souborů. Testování se provádí několikrát ročně na různých operačních systémech; Produkty, které úspěšně projdou testem, obdrží ocenění VB100 %. Obrázek 1 ukazuje, kolik ocenění VB100 % získaly produkty od různých antivirových společností.

Časopis Virus Bulletin lze samozřejmě označit za nejstarší antivirový tester, ale jeho status patriarchy jej nezbavuje kritiky antivirové komunity. Za prvé, WildList obsahuje pouze viry a červy a je pouze pro platformu Windows. Zadruhé, sbírka WildList obsahuje malé množství škodlivých programů a je doplňována velmi pomalu: ve sbírce se objeví jen několik desítek nových virů za měsíc, zatímco například sbírka AV-Test je během této doby doplněna o několik desítek resp. dokonce stovky tisíc kopií škodlivého softwaru.

To vše nasvědčuje tomu, že v současné podobě je kolekce WildList morálně zastaralá a neodráží skutečnou situaci s viry na internetu. Výsledkem je, že testy založené na kolekci WildList ztrácí smysl. Jsou dobré pro reklamu produktů, které jimi prošly, ale ve skutečnosti neodrážejí kvalitu antivirové ochrany.

Obrázek 1 – Počet úspěšně složených VB testů 100 %

Nezávislé výzkumné laboratoře, jako jsou AV-Comparatives, AV-Tests, testují antivirové produkty dvakrát ročně na úroveň detekce malwaru na vyžádání. Kolekce, na kterých se testuje, přitom obsahují až milion malwaru a jsou pravidelně aktualizovány. Výsledky testů jsou publikovány na webových stránkách těchto organizací (www.AV-Comparatives.org, www.AV-Test.org) a ve známých počítačových časopisech PC World, PC Welt. Výsledky dalších testů jsou uvedeny níže:

Obrázek 2 – Celková míra detekce malwaru podle AV-Test

Pokud mluvíme o nejběžnějších produktech, pak podle výsledků těchto testů jsou v první trojici pouze řešení od společností Kaspersky Lab a Symantec. Zvláštní pozornost si zaslouží Avira, lídr v testech.

Testy z výzkumných laboratoří AV-Comparatives a AV-Test mají jako každý test svá pro a proti. Výhodou je, že testování se provádí na velkých sbírkách malwaru a že tyto sbírky obsahují širokou škálu typů malwaru. Nevýhodou je, že tyto sbírky obsahují nejen „čerstvé“ vzorky malwaru, ale i relativně staré. Obvykle se používají vzorky odebrané za posledních šest měsíců. Tyto testy navíc analyzují výsledky ověření pevný disk na vyžádání, zatímco v reálném životě si uživatel stahuje infikované soubory z internetu nebo je dostává jako přílohy e-mailem. Je důležité takové soubory detekovat přesně v okamžiku, kdy se objeví na počítači uživatele.

Pokus o vývoj metodiky testování, která tímto problémem netrpí, učinil jeden z nejstarších britských počítačových časopisů PC Pro. Jejich test používal sbírku malwaru objeveného dva týdny před testem v provozu procházejícím servery MessageLabs. MessageLabs nabízí svým klientům služby filtrování různé typy provozu a jeho sbírka škodlivých programů skutečně odráží situaci s šířením počítačových virů na internetu.

Tým časopisu PC Pro nekontroloval pouze infikované soubory, ale simuloval akce uživatelů: infikované soubory byly připojeny k dopisům jako přílohy a tyto dopisy byly staženy do počítače s nainstalovaným antivirem. Kromě toho byly pomocí speciálně napsaných skriptů stahovány infikované soubory z webového serveru, tj. simulováno surfování po internetu. Podmínky, za kterých se takové testy provádějí, se co nejvíce blíží skutečným, což nemohlo ovlivnit výsledky: úroveň detekce většiny antivirů se ukázala být výrazně nižší než u jednoduché kontroly na vyžádání v AV- Srovnávací a AV-Test testy. V takových testech hraje důležitou roli, jak rychle vývojáři antivirů reagují na vznik nového malwaru a také jaké proaktivní mechanismy se používají k detekci malwaru.

Rychlost, s jakou jsou antivirové aktualizace vydávány se signaturami nového malwaru, je jednou z nejdůležitějších součástí účinné antivirové ochrany. Čím rychleji je aktualizace databáze podpisů vydána, tím méně času zůstane uživatel nechráněný.

Obrázek 3 – Průměrná doba odezvy na nové hrozby

V poslední době se nový malware objevuje tak často, že antivirové laboratoře sotva stihnou zareagovat na výskyt nových vzorků. V takové situaci vyvstává otázka, jak může antivirus čelit nejen již známým virům, ale i novým hrozbám, pro které ještě není uvolněna detekční signatura.

K detekci neznámých hrozeb se používají tzv. proaktivní technologie. Tyto technologie lze rozdělit na dva typy: heuristické (detekují malware na základě analýzy jejich kódu) a behaviorální blokátory (blokují akce malwaru při spuštění na počítači na základě jejich chování).

Když už jsme u heuristiky, jejich účinnost již dlouho studuje AV-Comparatives, výzkumná laboratoř vedená Andreasem Climentim. Tým AV-Comparatives používá speciální techniku: antiviry jsou kontrolovány podle aktuální kolekce virů, ale používají antivirus s podpisy starými tři měsíce. Antivirus tedy musí bojovat proti malwaru, o kterém nic neví. Antiviry jsou kontrolovány skenováním sbírky malwaru na pevném disku, takže je testována pouze účinnost heuristiky. Další proaktivní technologie, behaviorální blokátor, se v těchto testech nepoužívá. I ty nejlepší heuristiky v současnosti vykazují míru detekce pouze kolem 70 % a mnoho z nich také trpí falešnými poplachy na čistých souborech. To vše naznačuje, že tuto proaktivní metodu detekce lze prozatím používat pouze současně s metodou podpisu.

Pokud jde o další proaktivní technologii – behaviorální blokátor, v této oblasti nebyly provedeny žádné seriózní srovnávací testy. Za prvé, mnoho antivirových produktů (Doctor Web, NOD32, Avira a další) nemá blokátor chování. Za druhé, provádění takových testů je spojeno s určitými obtížemi. Faktem je, že pro testování účinnosti behaviorálního blokátoru nemusíte skenovat disk sbírkou škodlivých programů, ale spouštět tyto programy v počítači a sledovat, jak úspěšně antivirus blokuje jejich akce. Tento proces je velmi pracný a jen málo výzkumníků je schopno takové testy provést. Vše, co je v současnosti dostupné široké veřejnosti, jsou výsledky individuálních testů produktů, které provedl tým AV-Comparatives. Pokud antiviry během testování úspěšně zablokovaly akce jim neznámých škodlivých programů, když byly spuštěny v počítači, získal produkt ocenění Proactive Protection Award. V současné době taková ocenění obdržely společnosti F-Secure s behaviorální technologií DeepGuard a Kaspersky Anti-Virus s modulem Proaktivní ochrany.

Technologie prevence infekcí založené na analýze chování malwaru jsou stále rozšířenější a nedostatek komplexních srovnávacích testů v této oblasti je alarmující. Nedávno k této problematice vedli specialisté z výzkumné laboratoře AV-Test rozsáhlou diskuzi, do které se zapojili i vývojáři antivirových produktů. Výsledkem této diskuse byla nová metodika testování schopnosti antivirových produktů odolat neznámým hrozbám.

Vysoká úroveň detekce malwaru pomocí různých technologií je jednou z nejdůležitějších vlastností antiviru. Neméně důležitou vlastností je však absence falešných poplachů. Falešné poplachy mohou uživateli způsobit neméně škody než virová infekce: blokovat práci potřebné programy, blokovat přístup k webům a tak dále.

V průběhu svého výzkumu AV-Comparatives spolu se studiem schopností antivirů detekovat malware také provádí testy na falešné poplachy u sbírek čistých souborů. Podle testu největší počet falešné poplachy byly zjištěny u antivirů Doctor Web a Avira.

Neexistuje 100% ochrana proti virům. Uživatelé se čas od času setkávají se situací, kdy jim do počítače pronikl škodlivý program a počítač se infikuje. K tomu dochází buď proto, že v počítači nebyl vůbec žádný antivirus, nebo proto, že antivirus nezjistil malware pomocí podpisu ani proaktivních metod. V takové situaci je důležité, aby při instalaci antiviru s čerstvými databázemi signatur do počítače dokázal antivir nejen detekovat škodlivý program, ale také úspěšně eliminovat všechny následky jeho činnosti a vyléčit aktivní infekci. Zároveň je důležité pochopit, že tvůrci virů neustále zlepšují své „dovednosti“ a některé jejich výtvory je poměrně obtížné odstranit z počítače – malware může různé způsoby maskovat jejich přítomnost v systému (včetně používání rootkitů) a dokonce zasahovat do provozu antivirových programů. Kromě toho nestačí infikovaný soubor pouze smazat nebo dezinfikovat, musíte odstranit všechny změny provedené škodlivým procesem v systému a zcela obnovit funkčnost systému. Tým ruského portálu Anti-Malware.ru provedl podobný test, jeho výsledky jsou uvedeny na obrázku 4.

Obrázek 4 – Léčba aktivní infekce

Výše byly diskutovány různé přístupy k testování antivirů a bylo ukázáno, jaké parametry provozu antiviru jsou při testování zohledňovány. Můžeme dojít k závěru, že pro některé antiviry je jeden indikátor výhodný, pro jiné - jiný. Je přitom přirozené, že se vývojáři antivirů ve svých reklamních materiálech zaměřují pouze na ty testy, kde jejich produkty zaujímají přední místa. Například Kaspersky Lab se zaměřuje na rychlost reakce na vznik nových hrozeb, Eset na sílu svých heuristických technologií, Doctor Web popisuje své výhody při léčbě aktivních infekcí.

Proto by měla být provedena syntéza výsledků různých testů. To shrnuje pozice, které antiviry zaujaly v kontrolovaných testech, a také poskytuje integrované hodnocení - jaké místo v průměru zaujímá konkrétní produkt ve všech testech. V důsledku toho byli první tři vítězové: Kaspersky, Avira, Symantec.

Na základě analyzovaných antivirových balíčků byl vytvořen softwarový produkt určený k vyhledávání a léčbě souborů infikovaných virem SVC 5.0. Tento virus nevede k neoprávněnému mazání nebo kopírování souborů, ale výrazně zasahuje do plného provozu počítačového softwaru.

Infikované programy jsou delší než zdrojový kód. Při procházení adresářů na infikovaném počítači to však nebude vidět, protože virus kontroluje, zda je nalezený soubor infikován nebo ne. Pokud je soubor infikován, délka neinfikovaného souboru je zaznamenána v DTA.

Tento virus můžete detekovat následovně. V oblasti virových dat je řetězec znaků "(c) 1990 by SVC,Ver. 5.0", pomocí kterého lze virus, pokud je na disku, detekovat.

Při psaní antivirového programu se provádí následující sekvence akcí:

1 U každého naskenovaného souboru je stanovena doba jeho vytvoření.

2 Pokud je počet sekund šedesát, pak jsou tři bajty kontrolovány s posunem rovným „délce souboru mínus 8AN“. Pokud jsou rovny 35H, 2EN, 30H, pak je soubor infikován.

3 Je dekódováno prvních 24 bajtů původního kódu, které jsou umístěny na offsetu „délka souboru mínus 01CFН plus 0BAAN“. Dekódovací klíče jsou umístěny na offsetech „délka souboru mínus 01CFН plus 0С1АН“ a „délka souboru mínus 01CFН plus 0С1BN“.

4 Dekódované bajty jsou přepsány na začátek programu.

5 Soubor je „zkrácen“ na hodnotu „délka souboru mínus 0С1F“.

Program byl vytvořen v programovacím prostředí TurboPascal. Text programu je uveden v příloze A.

Závěr

V této práci byla provedena srovnávací analýza antivirových balíčků.

V průběhu analýzy byly úspěšně vyřešeny úkoly položené na začátku práce. Byly tak studovány pojmy informační bezpečnosti, počítačové viry a antivirové nástroje, byly identifikovány typy hrozeb pro informační bezpečnost, metody ochrany, zvážena klasifikace počítačových virů a antivirových programů a srovnávací analýza antivirových programů. balíčků, byl napsán program, který vyhledává infikované soubory.

Výsledky získané během práce lze použít při výběru antivirového agenta.

Všechny získané výsledky jsou v práci promítnuty pomocí diagramů, takže uživatel může nezávisle zkontrolovat závěry vyvozené ve výsledném diagramu, který odráží syntézu zjištěných výsledků různých testů antivirových produktů.

Výsledky získané v průběhu práce lze použít jako základ pro nezávislé srovnání antivirových programů.

S ohledem na široké využití IT technologií je předložená práce v kurzu relevantní a splňuje požadavky na ni. Během práce byly zváženy nejoblíbenější antivirové nástroje.

Seznam použité literatury

1 Anin B. Ochrana počítačových informací. - Petrohrad. : BHV – Petrohrad, 2000. – 368 s.

2 Artyunov V.V. Ochrana informací: učebnice. – metoda. příspěvek. M.: Libérie - Bibinform, 2008. - 55 s. – (Knihovník a doba. 21. století; vydání č. 99).

3 Korneev I.K., E.A. Stepanov Ochrana informací v kanceláři: učebnice. – M.: Prospekt, 2008. – 333 s.

5 Kupriyanov A.I. Základy ochrany informací: učebnice. příspěvek. – 2. vyd. vymazáno – M.: Akademie, 2007. – 254 s. – (Vyšší odborné vzdělání).

6 Semenenko V. A., N. V. Fedorov Ochrana informací o softwaru a hardwaru: učebnice. pomoc pro studenty vysoké školy – M.: MGIU, 2007. – 340 s.

7 Tsirlov V. L. Základy informační bezpečnosti: krátký kurz. – Rostov n/d: Phoenix, 2008. – 254 s. (Odborné vzdělání).

aplikace

Výpis programu

Program ANTIVIRUS;

Používá dos, crt, tiskárnu;

Typ St80 = Řetězec;

FileInfection:File Of Byte;

SearchFile:SearchRec;

Mas: Array of St80;

MasByte:Array of Byte;

Pozice,I,J,K:Byte;

Číslo,ČísloSouboru,ČísloVSouboru:Slovo;

Flag,NextDisk,Error:Boolean;

Klíč1,Klíč2,Klíč3,NumError:Byte;

Masová obrazovka:Array Of Byte Absolute $ B800:0000;

Postup vytvrzení (St: St80);

I: Byte; MasCure: Array Of Byte;

Assign(FileInfection,St); Reset(FileInfection);

NumError:=IOResult;

If(NumError<>

Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Read(FileInfection,Key1);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Read(FileInfection,Key2);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Pro I:=1 až 24 do

Read(FileInfection,MasCure[i]);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Key3:=MasCure[i];

MasCure[i]:=Key3;

Seek(FileInfection,0);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Pro I:=1 až 24 do Write(FileInfection,MasCure[i]);

Seek(FileInfection,FileSize(FileInfection) - $0C1F);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Truncate(FileInfection);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Close(FileInfection); NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Postup Fl(St: St80);

FindFirst(St + "*.*", $3F, SearchFile);

While (SearchFile.Attr = 10 $) And (DosError = 0) And

((SearchFile.Name = ".") Nebo (SearchFile.Name = "..")) Proveďte

NajítDalší(VyhledatSoubor);

Zatímco (DosError = 0) Do

Pokud KeyPressted Then

If (Ord(ReadKey) = 27) Then Halt;

If (SearchFile.Attr = 10 $) Potom

Mas[k]:=St + SearchFile.Name + "\";

If(SearchFile.Attr<>10 $) Pak

NumberOfFile:=NumberOfFile + 1;

UnpackTime(SearchFile.Time, DT);

Pro I:=18 až 70 do MasScreen:=$20;

Write(St + SearchFile.Name," ");

If (Dt.Sec = 60) Pak

Assign(FileInfection,St + SearchFile.Name);

Reset(FileInfection);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Seek(FileInfection,FileSize(FileInfection) - $8A);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

Pro I:=1 až 3 do Read(FileInfection,MasByte[i]);

Close(FileInfection);

NumError:=IOResult;

If(NumError<>0) Potom Begin Error:=True; Výstup; Konec;

If (MasByte = $ 35) And (MasByte = $ 2E) And

(MasByte = 30 $) Pak

NumberOfInfFile:=NumberOfInfFile + 1;

Write(St + SearchFile.Name," infikováno.",

"Smazat?");

If (Ord(Ch) = 27) Then Exit;

Do (Ch = "Y") Nebo (Ch = "y") Nebo (Ch = "N")

If (Ch = "Y") Nebo (Ch = "y") Pak

Cure(St + SearchFile.Name);

If(NumError<>0) Poté Exit;

Pro I:=0 až 79 do MasScreen:=$20;

NajítDalší(VyhledatSoubor);

GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;

Writeln("Program dlya poiska i lecheniya fajlov,");

Writeln("zaragennih SVC50.");

TextAttr:=$4F; GoToXY(1,25);

Write(" ESC - exit ");

TextAttr:=$1F; GoToXY(1,6);

Write("Kakoj disk prokázat?");

If (Ord(Disk) = 27) Then Exit;

R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;

Intr($21,R); R.Ah:=19 $; Intr($21,R);

Příznak:=(R.Al = (Ord(UpCase(Disk))-65));

St:=UpCase(Disk) + ":\";

Writeln("Testiruetsya disk ",St," ");

Writeln("Testiruetsya fajl");

PočetSouboru:=0;

NumberOfInfFile:=0;

If (k = 0) Or Error Then Flag:=False;

Jestliže (k > 0) Pak K:=K-1;

If (k=0) Then Flag:=False;

Jestliže (k > 0) Pak K:=K-1;

Writeln("Ověřený fajlov - ",NumberOfFile);

Writeln("Zarageno fajlov - ",NumberOfInfFile);

Writeln("Izlecheno fajlov - ",Num);

Write("Zkontrolovat drogoj disk?");

If (Ord(Ch) = 27) Then Exit;

Dokud (Ch = "Y") Nebo (Ch = "y") Nebo (Ch = "N") Nebo (Ch = "n");

If (Ch = "N") Nebo (Ch = "n") Then NextDisk:=False;

Práce na kurzu

"Srovnávací analýza moderních antivirových programů"

ÚVOD

KAPITOLA 1. Obecná informace o počítačových virech

1.1 Pojem počítačové viry

1.2 Typy počítačových virů

1.3 Cesty pronikání virů, známky výskytu na počítači

1.4 Antivirové nástroje

KAPITOLA 2. Srovnávací analýza antivirových programů

ZÁVĚR

Seznam použitých zdrojů

Úvod

Žijeme na přelomu dvou tisíciletí, kdy lidstvo vstoupilo do éry nové vědeckotechnické revoluce. Do konce dvacátého století si lidé osvojili mnohá tajemství přeměny hmoty a energie a dokázali tyto znalosti využít ke zlepšení svého života. Ale vedle hmoty a energie hraje v životě člověka obrovskou roli ještě jedna složka – informace. Jedná se o širokou škálu informací, zpráv, zpráv, znalostí, dovedností. V polovině našeho století se objevila speciální zařízení - počítače, zaměřené na ukládání a převádění informací a nastala počítačová revoluce. Díky rychlému rozvoji informačních technologií a jejich pronikání do všech sfér lidské činnosti se zvýšil počet trestných činů proti informační bezpečnosti. Dnes se bohužel ukázalo, že rozšířené používání osobních počítačů je spojeno se vznikem samoreplikujících virových programů, které narušují normální provoz počítače, ničí souborovou strukturu disků a poškozují informace uložené v počítači. . Navzdory zákonům přijatým v mnoha zemích k boji proti počítačové kriminalitě a vývoji speciálního antivirového softwaru počet nových softwarových virů neustále roste. To vyžaduje, aby uživatel osobního počítače měl znalosti o povaze virů, způsobech napadení viry a ochraně proti nim.

Viry jsou každým dnem sofistikovanější, což má za následek významnou změnu profilu hrozeb. Trh s antivirovým softwarem však nestojí a nabízí mnoho zdánlivě identických produktů. Jejich uživatelům, kteří problém prezentují pouze obecně, často uniknou důležité nuance a skončí s iluzí ochrany namísto ochrany samotné.

K napsání práce v kurzu byly použity následující zdroje: Bezrukov N.N. "Počítačové viry", Mostovoy D.Yu. "Moderní technologie pro boj s viry", Mogilev A.V. "Informatika: učebnice pro studenty pedagogických univerzit." učebnice Mogilev obsahuje rozsáhlé informace o teoretické základy informatika, software, programovací jazyky a metody, výpočetní technika, informační systémy, počítačové sítě a telekomunikace, počítačové modelování. Jasným a přístupným způsobem jsou vysvětleny různé počítačové viry, jejich odrůdy a způsoby boje proti nim.

Na základě prostudované literatury se pokusíme přijít na to, co je potřeba chránit, jak na to a na co bychom si měli dát obzvlášť pozor.

KAPITOLA 1. OBECNÉ INFORMACE O POČÍTAČOVÝCH VIRY

1.1 Pojem počítačové viry.

Počítačový virus je program, obvykle malé velikosti (od 200 do 5000 bajtů), který běží sám o sobě, mnohokrát zkopíruje svůj kód, připojí ho ke kódům jiných programů („namnoží se“) a naruší správné fungování počítače a/nebo ničí informace (programy a data) uložené na magnetických discích.

Existují i ​​méně „zhoubné“ viry, které způsobují například přenastavení data v počítači, hudební viry (hrající nějakou melodii), vedoucí k zobrazení obrazu na displeji nebo ke zkreslení zobrazení informací. , „roztříštění písmen“ atd. .d.

Vytváření počítačových virů lze z právního hlediska klasifikovat jako trestný čin.

Zajímavé jsou důvody, které nutí kvalifikované programátory vytvářet počítačové viry, protože tato práce není placená a nemůže přinést slávu. Pro tvůrce virů je to zjevně způsob sebepotvrzení, způsob, jak prokázat svou kvalifikaci a schopnosti. Tvorbu počítačových virů provádějí kvalifikovaní programátoři, kteří z toho či onoho důvodu nenašli pro sebe místo v užitečných činnostech, ve vývoji aplikační programy trpí bolestivou domýšlivostí nebo komplexem méněcennosti. Ti mladí programátoři, kteří mají potíže s komunikací s okolím, se také stávají tvůrci virů a nesetkávají se s uznáním odborníků, kterým je pojem morálky a etiky v počítačové oblasti cizí. Sami výrobci antivirového softwaru mohou vytvářet viry za účelem zisku. Po vytvoření nový virus nebo úpravou toho starého výrobci okamžitě uvolňují antivirové produkty, aby s nimi bojovali, čímž předběhnou své konkurenty.

Existují také specialisté, kteří věnují svou sílu a talent boji proti počítačovým virům. V Rusku jsou to slavní programátoři D. Lozinskij, D. Mostovoy, I. A. Danilov, N. Bezrukov a další Studovali mnoho počítačových virů, vyvinuli antivirové programy, doporučení na opatření, jak zabránit virům ve zničení počítačových informací a šíření epidemie počítačových virů.

Hlavním nebezpečím podle jejich názoru nejsou počítačové viry samotné, ale uživatelé počítačů a počítačové programy, není připravena vypořádat se s viry, chová se nešikovně, když se setká s příznaky počítačové infekce, snadno propadá panice, což paralyzuje běžnou práci.

1.2 Typy počítačových virů

Podívejme se blíže na hlavní znaky počítačových virů, vlastnosti antivirových programů a opatření k ochraně programů a dat před počítačovými viry v nejrozšířenějším systému MSDOS.

Podle přibližných odhadů tyto dny Existuje více než deset tisíc různých virů. Jejich počítání je komplikované tím, že mnoho virů se od sebe liší jen málo, jsou variantami téhož viru, a naopak stejný virus může změnit svůj vzhled a zakódovat se. Ve skutečnosti neexistuje příliš mnoho základních základních myšlenek, které jsou základem virů (několik desítek).

Mezi různými počítačovými viry je třeba rozlišovat následující skupiny:

- bota ( bota ) viry infikovat program bootstrap počítač, uložený v zaváděcím sektoru diskety nebo pevného disku a spuštěný při spuštění počítače;

- souborové viry v nejjednodušším případě infikují aktualizované soubory, ale mohou se také šířit prostřednictvím souborů dokumentů (systémy WordforWindows) a dokonce soubory vůbec neupravovat, pouze s nimi mít něco společného;

- viry spouštěcích souborů mít známky spouštěcích i souborových virů;

-viry ovladače infikovat ovladače počítačových zařízení nebo se samy spouštějí vložením dalšího řádku do konfiguračního souboru.

Z virů, které nefungují na osobních počítačích s operačním systémem MSDOS, je třeba zmínit síťové viry, distribuované v sítích spojujících mnoho desítek a stovek tisíc počítačů.

Podívejme se na principy fungování boot viry. Každá disketa nebo pevný disk má servisní sektory používané operačním systémem pro své vlastní potřeby, včetně spouštěcího sektoru. Kromě informací o disketě (počet stop, počet sektorů atd.) ukládá malý spouštěcí program.

Nejjednodušší boot viry, které se nacházejí v paměti infikovaného počítače, detekují neinfikovanou disketu v mechanice a provádějí následující akce:

Přidělují určitou oblast diskety a znepřístupňují ji operačnímu systému (označují ji například jako špatnou);

Nahraďte spouštěcí program v zaváděcím sektoru diskety, zkopírujte správný spouštěcí program a jeho kód do přidělené oblasti diskety;

Organizují přenos kontroly tak, že se nejprve spustí kód viru a teprve potom bootstrap program.

Magnetické disky Počítače typu Winchester jsou obvykle rozděleny do několika logických oddílů. V tomto případě jsou spouštěcí programy dostupné jak v MBR (MasterBootRecord - hlavní spouštěcí záznam), tak v zaváděcím oddílu pevného disku, k jejichž infekci může dojít stejně jako k infekci zaváděcího sektoru diskety. . Spouštěcí program v MBR však používá při přechodu na spouštěcí program pro spouštěcí oddíl pevného disku tzv. tabulku oddílů, která obsahuje informace o poloze spouštěcího oddílu na disku. Virus může zkreslit informace v Partitiontable a přenést tak kontrolu na svůj kód zapsaný na disk, aniž by se formálně změnil spouštěcí program.

Nyní se podívejme na principy fungování souborové viry. Souborový virus nemusí být nutně rezidentní, může se například vložit do kódu spustitelného souboru. Když je infikovaný soubor spuštěn, virus získá kontrolu, provede některé akce a vrátí řízení kódu, do kterého byl vložen. Mezi akce, které virus provádí, patří vyhledání souboru vhodného k infekci, jeho vložení do něj, aby získal kontrolu nad souborem, a vytvoření nějakého efektu, například zvuku nebo grafiky. Pokud je souborový virus rezidentní, pak je nainstalován v paměti a je schopen infikovat soubory a projevit se nezávisle na původním infikovaném souboru.

Při infikování souboru virus vždy změní svůj kód, ale ne vždy provede jiné změny. Zejména se nesmí změnit začátek souboru a jeho délka (což bylo dříve považováno za známku infekce). Viry mohou například zkreslovat informace o souborech uložených v servisní oblasti magnetických disků – alokační tabulce souborů (Fat – fileallocation table), čímž znemožní jakoukoli práci se soubory. Takto se chovají viry z rodiny „Dir“.

Dnes, více než kdy jindy, antivirus software je nejen nejoblíbenější v bezpečnostním systému jakéhokoli operačního systému, ale také jednou z jeho hlavních součástí. A pokud dříve měl uživatel velmi omezený, skromný výběr, nyní takových programů najdete spoustu. Ale když se podíváte na seznam „Top 10 antivirů“, všimnete si, že ne všechny jsou stejné, pokud jde o funkčnost. Podívejme se na nejoblíbenější balíčky. Zároveň bude analýza zahrnovat jak placený, tak shareware (antivir na 30 dní) a volně distribuované aplikace. Ale nejdřív.

Top 10 antivirů pro Windows: testovací kritéria

Než začnete sestavovat hodnocení, měli byste se pravděpodobně seznámit se základními kritérii, která se při testování takového softwaru ve většině případů používají.

Přirozeně je prostě nemožné vzít v úvahu všechny známé balíčky. Mezi všemi, které jsou určeny k zajištění ochrany počítačového systému v nejširším slova smyslu, lze však identifikovat nejoblíbenější. Zároveň zohledníme jak oficiální hodnocení nezávislých laboratoří, tak recenze uživatelů, kteří ten či onen softwarový produkt používají v praxi. Kromě, mobilní programy neovlivní, zaměříme se na stacionární systémy.

Pokud jde o provádění základních testů, zpravidla zahrnují několik hlavních aspektů:

• dostupnost placených a bezplatných verzí a omezení související s funkčností;
• standardní rychlost skenování;
• rychlá identifikace potenciálních hrozeb a schopnost je odstranit nebo umístit do karantény pomocí vestavěných algoritmů;
• četnost aktualizace antivirových databází;
• sebeobrana a spolehlivost;
• dostupnost dalších funkcí.

Jak je vidět z výše uvedeného seznamu, kontrola fungování antivirového softwaru vám umožňuje určit silné a slabé stránky konkrétního produktu. Dále zvážím nejoblíbenější softwarové balíčky zahrnuté v Top 10 antivirů a také uvedu jejich hlavní charakteristiky, samozřejmě s ohledem na názory lidí, kteří je používají ve své každodenní práci.

Softwarové produkty Kaspersky Lab

Nejprve se podívejme na softwarové moduly vyvinuté společností Kaspersky Lab, které jsou mimořádně populární v postsovětském prostoru.

Není možné zde vyčlenit pouze jeden program, protože mezi nimi najdete standardní antivirový skener Kaspersky a moduly jako internetová bezpečnost a přenosné nástroje jako Virus Nástroj pro odstranění, a dokonce spouštěcí disky pro poškozené systémy Rescue Disc.

Okamžitě stojí za zmínku dvě hlavní nevýhody: za prvé, soudě podle recenzí, téměř všechny programy, se vzácnými výjimkami, jsou placené nebo shareware, a za druhé, Požadavky na systém nepřiměřeně vysoké, což znemožňuje jejich použití v relativně slabých konfiguracích. To přirozeně odstrašuje mnoho běžných uživatelů, ačkoli aktivační klíče pro Kaspersky Antivirus nebo Internet Security lze snadno najít na World Wide Web.

Na druhou stranu lze aktivační situaci napravit i jiným způsobem. Například klíče Kaspersky lze generovat pomocí speciálních aplikací, jako je Správce klíčů. Je pravda, že tento přístup je mírně řečeno nezákonný, nicméně jako východisko jej používá mnoho uživatelů.

Rychlost provozu na moderních strojích je průměrná (z nějakého důvodu vzniká stále více těžkých verzí pro nové konfigurace), ale neustále aktualizované databáze, unikátní technologie pro identifikaci a odstraňování známých virů a potenciálně nebezpečné programy tady nahoře. Není divu, že Kapersky Laboratory je dnes lídrem mezi vývojáři bezpečnostního softwaru.

A ještě dvě slova o disku pro obnovu. Svým způsobem je jedinečný, protože se z něj spouští skener grafické rozhraní ještě před spuštěním samotného Windows, což vám umožní odstranit hrozby i z RAM.

Totéž platí pro přenosnou utilitu Virus Removal Tool, která dokáže sledovat jakoukoli hrozbu na infikovaném terminálu. Srovnat se dá jen s podobnou utilitou od Dr. Web.

Ochrana před Dr. Web

Před námi je další z nejsilnějších představitelů v oblasti bezpečnosti - slavný „Doctor Web“, který stál u zrodu vzniku veškerého antivirového softwaru od nepaměti.

Mezi obrovským množstvím programů můžete také najít standardní skenery, bezpečnostní nástroje pro surfování po internetu, přenosné nástroje a disky pro obnovu. Nemůžete vyjmenovat všechno.

Hlavním faktorem ve prospěch softwaru tohoto vývojáře lze nazvat vysoká rychlost práce, okamžitá detekce hrozeb s možností buď úplného odstranění nebo izolace, stejně jako mírné zatížení systému jako celku. Obecně se z pohledu většiny uživatelů jedná o jakousi odlehčenou verzi Kaspersky. Pořád je tu něco zajímavého. Konkrétně se jedná o Dr. Web Katana. Předpokládá se, že se jedná o softwarový produkt nové generace. Zaměřuje se na využití „pískových“ technologií, tedy umístění hrozby do „cloudu“ nebo „sandboxu“ (jak to chcete nazvat) k analýze předtím, než pronikne do systému. Nicméně, když se na to podíváte, nejsou zde žádné zvláštní inovace, protože tato technika byla použita zpět Antivirus zdarma Panda. Podle mnoha uživatelů navíc Dr. Web Katana je druh bezpečnostního prostoru se stejnými technologiemi. Obecně však lze říci, že jakýkoli software od tohoto vývojáře je poměrně stabilní a výkonný. Není divu, že mnoho uživatelů takové balíčky preferuje.

programy ESET

Když už mluvíme o 10 nejlepších antivirech, nelze nezmínit dalšího jasného zástupce této oblasti - Společnost ESET, která se proslavila tak slavným produktem, jakým je NOD32. O něco později se zrodil modul ESET Chytré zabezpečení.

Pokud vezmeme v úvahu tyto programy, můžeme si všimnout zajímavého bodu. Chcete-li aktivovat plnou funkčnost jakéhokoli balíčku, můžete udělat dvě věci. Jednak jde o získání oficiální licence. Na druhou stranu můžete nainstalovat zkušební antivirus zdarma, ale aktivujte jej každých 30 dní. Zajímavá je i situace s aktivací.

Jak poznamenávají absolutně všichni uživatelé, pro ESET Smart Zabezpečení (nebo pro standardní antivirus) na oficiálních stránkách můžete najít volně distribuované klíče v podobě loginu a hesla. Donedávna bylo možné používat pouze tato data. Nyní se proces poněkud zkomplikoval: nejprve se musíte přihlásit a heslo na speciální webové stránce, převést je na licenční číslo a teprve poté je zadat do registračního pole v samotném programu. Pokud však těmto maličkostem nevěnujete pozornost, můžete si všimnout, že tento antivirus je jedním z nejlepších. Výhody zaznamenané uživateli:

• virové databáze jsou aktualizovány několikrát denně,
• identifikace hrozeb na nejvyšší úrovni,
• nedochází ke konfliktům se systémovými komponentami (firewall),
• balíček má nejsilnější sebeobranu,
• nedochází k falešným poplachům atd.

Samostatně stojí za zmínku, že zatížení systému je minimální a použití modulu Anti-Theft dokonce umožňuje chránit data před krádeží nebo zneužitím pro osobní zisk.

AVG Antivirus

AVG Antivirus je placený software navržený tak, aby poskytoval komplexní zabezpečení počítačových systémů (k dispozici je také bezplatná, zkrácená verze). A ačkoli dnes tento balíček již nepatří mezi pět nejlepších, přesto vykazuje poměrně vysokou rychlost a stabilitu.

V zásadě je ideální pro domácí použití, protože má kromě rychlosti pohodlné rusifikované rozhraní a víceméně stabilní chování. Je pravda, že jak někteří uživatelé poznamenávají, někdy je schopen přehlédnout hrozby. A to neplatí pro viry jako takové, ale spíše pro spyware nebo reklamní „junk“ s názvem Malware and Adware. Vlastní modul programu, i když je široce inzerován, stále podle uživatelů vypadá poněkud nedokončený. A další firewall může často způsobit konflikty s „nativním“ firewallem Windows, pokud jsou oba moduly aktivní.

Balíček Avira

Avira je dalším členem rodiny antivirů. Od většiny podobných balíčků se zásadně neliší. Pokud si však o něm přečtete uživatelské recenze, můžete najít docela zajímavé příspěvky.

Mnoho lidí nedoporučuje používat bezplatnou verzi za žádných okolností, protože některé moduly v ní prostě chybí. Abyste zajistili spolehlivou ochranu, budete si muset zakoupit placený produkt. Ale takový antivirus je vhodný pro verze 8 a 10, ve kterých samotný systém využívá spoustu prostředků a balíček je využívá na nejnižší úrovni. V zásadě je Avira nejvhodnější pro, řekněme, levné notebooky a slabé počítače. Síťová instalace však nepřipadá v úvahu.

Cloudová služba Panda Cloud

Zdarma se svého času stalo téměř revolucí na poli antivirových technologií. Použití takzvaného „sandboxu“ k odeslání podezřelého obsahu k analýze předtím, než pronikne do systému, učinilo tuto aplikaci obzvláště oblíbenou mezi uživateli všech úrovní.

A právě s „pískovištěm“ je dnes tento antivirus spojen. Ano, skutečně tato technologie na rozdíl od jiných programů umožňuje zabránit pronikání hrozeb do systému. Jakýkoli virus si například nejprve uloží své tělo na pevný disk nebo do paměti RAM a teprve poté zahájí svou činnost. Zde se věc neřeší. Nejprve je podezřelý soubor odeslán do cloudové služby, kde je zkontrolován, a teprve poté může být uložen do systému. Pravda, podle očitých svědků to bohužel může zabrat poměrně dost času a zbytečně to zatěžuje systém. Na druhou stranu stojí za to si položit otázku, co je důležitější: zabezpečení nebo delší doba ověřování? Pro moderní počítačové konfigurace s rychlostí připojení k internetu 100 Mbit/s a vyšší je však bez problémů použitelný. Mimochodem, jeho vlastní ochrana je poskytována právě prostřednictvím „cloudu“, který někdy vyvolává kritiku.

Antivirový skener Avast Pro

Nyní pár slov o dalším významném zástupci, který je mezi mnoha uživateli poměrně oblíbený, ale i přes přítomnost stejného sandboxu, anti-spywaru, síťového skeneru, firewallu a virtuálního účtu bohužel Avast Pro Antivirus překonává z hlediska hlavní ukazatele výkonu, funkčnosti a spolehlivosti jednoznačně prohrává s takovými giganty, jako jsou softwarové produkty Kaspersky Lab nebo aplikace využívající technologie Bitdefender, i když vykazuje vysokou rychlost skenování a nízkou spotřebu zdrojů.

To, co uživatele na těchto produktech přitahuje, je především to bezplatná verze Balíček je maximálně funkční a od placeného softwaru se příliš neliší. Tento antivirus navíc funguje na všech verzích Windows včetně Windows 10 a funguje skvěle i na zastaralých strojích.

360 bezpečnostních balíčků

Před námi je pravděpodobně jeden z nejrychlejších antivirů naší doby - 360 Security, vyvinutý čínskými specialisty. Obecně platí, že všechny produkty označené „360“ se vyznačují záviděníhodnou rychlostí provozu (stejný internetový prohlížeč 360 Safety Browser).

Navzdory svému hlavnímu účelu má program další moduly pro odstranění zranitelností operačního systému a jeho optimalizaci. Ale ani rychlost provozu, ani bezplatná distribuce se nedají srovnávat s falešnými poplachy. V seznamu programů, které mají nejvyšší ukazatele pro toto kritérium, zaujímá tento software jedno z prvních míst. Podle mnoha odborníků vznikají konflikty na systémové úrovni kvůli dalším optimalizátorům, jejichž působení se protíná s prováděním úkolů samotného OS.

Softwarové produkty založené na technologiích Bitdefender

Dalším „starým mužem“ mezi nejznámějšími ochránci operačních systémů je Bitdefender. Bohužel v roce 2015 přišla o dlaň s produkty Kaspersky Lab, přesto v antivirovém módu takříkajíc patří k trendsetterům.

Když se podíváte trochu blíže, všimnete si, že mnoho moderních programů (stejný balíček 360 ​​Security) v různých variantách je vyrobeno právě na základě těchto technologií. Přes bohatou funkční základnu má i své nedostatky. Za prvé, nenajdete ruský antivirus (rusifikovaný) Bitdefender, protože v přírodě vůbec neexistuje. Zadruhé, i přes využití nejnovějšího technologického vývoje z hlediska ochrany systému bohužel vykazuje příliš vysoký počet falešných poplachů (to je mimochodem podle odborníků typické pro celou skupinu programů vytvořených na bázi tzv. Bitdefender). Přítomnost dalších komponent optimalizace a jejich vlastních firewallů obecně ovlivňuje chování takových antivirů, které nejsou in lepší strana. Rychlost této aplikace ale upřít nelze. K ověření se navíc používá P2P, ale k ověření vůbec nedochází E-mailem v reálném čase, což se mnoha lidem nelíbí.

Antivirus od společnosti Microsoft

Další aplikací, která se vyznačuje záviděníhodným provozem s rozumem i bez něj, je jeho vlastní produkt společnosti Microsoft s názvem Security Essentials.

Tento balíček je zařazen do Top 10 antivirů zřejmě jen proto, že je určen výhradně pro systémy Windows, což znamená, že nezpůsobuje absolutně žádné konflikty na systémové úrovni. Kromě toho, kdo jiný, když ne specialisté z Microsoftu, zná všechny bezpečnostní díry a zranitelnosti vlastních operačních systémů. Mimochodem, zajímavým faktem je, že počáteční sestavení Windows 7 a Windows 8 měla MSE jako standard, ale pak z nějakého důvodu tuto sadu opustili. Pro Windows se však může stát nejjednodušším řešením z hlediska zabezpečení, i když nelze počítat s žádnou speciální funkcí.

aplikace McAfee

Co se týče této aplikace, vypadá docela zajímavě. Největší oblibu si však získal v oblasti aplikací na mobilních zařízeních se všemi druhy blokování, na stolních počítačích se však tento antivirus nechová o nic hůř.

Program disponuje nízkoúrovňovou podporou P2P sítí při sdílení souborů Instant Messengeru a nabízí i 2úrovňovou ochranu, ve které mají hlavní roli moduly WormStopper a ScriptStopper. Obecně ale platí, že funkčnost je podle spotřebitelů na průměrné úrovni a samotný program je zaměřen spíše na identifikaci spywaru, počítačových červů a trojských koní a zabránění pronikání spustitelných skriptů nebo škodlivého kódu do systému.

Kombinované antiviry a optimalizátory

Zde byly samozřejmě brány v úvahu pouze ty, které jsou zařazeny do Top 10 antivirů. Pokud mluvíme o jiném softwaru tohoto druhu, můžeme si všimnout některých balíčků obsahujících antivirové moduly ve svých sadách.

Čemu dát přednost?

Všechny antiviry mají přirozeně určité podobnosti a rozdíly. Co nainstalovat? Zde je třeba vycházet z potřeb a úrovně poskytované ochrany. Obvykle, korporátním klientům Vyplatí se pořídit něco výkonnějšího s možností síťové instalace (Kaspersky, Dr. Web, ESET). Pokud jde o domácí použití, zde si uživatel vybere, co potřebuje (v případě potřeby můžete dokonce najít antivirus na rok - bez registrace nebo nákupu). Pokud se však podíváte na uživatelské recenze, je lepší nainstalovat Panda Cloud, a to i přes určité dodatečné zatížení systému a čas, který zabere kontrola v karanténě. Tady je ale úplná záruka, že hrozba do systému žádným způsobem nepronikne. Každý si však může svobodně vybrat, co přesně potřebuje. Pokud aktivace není obtížná, prosím: Produkty ESET fungují na domácích systémech dobře. Ale používat optimalizátory s antivirovými moduly jako hlavní prostředek ochrany je krajně nežádoucí. Není také možné říci, který program je na prvním místě: existuje tolik uživatelů, tolik názorů.

Hlavní hodnotící kritéria, která zahrnovala 200 ukazatelů, byla:

• ochrana proti viru;
• Snadnost použití;
• vliv na rychlost počítače.

Ochrana proti malwaru je nejdůležitějším hodnotícím kritériem: ukazatele v této skupině parametrů tvořily 65 % z celkového hodnocení antiviru. Snadné použití a dopad na rychlost počítače tvořily 25 % a 10 % celkového skóre.

Antivirové programy byly pro výzkum vybrány na základě oblíbenosti mezi spotřebiteli a cenové dostupnosti. Z tohoto důvodu seznam studovaných antivirových programů zahrnoval:

• Bezplatné programy – jak vestavěné, tak nabízené samostatně.
• Placené programy od předních antivirových značek. Na základě principů výběru studie nezahrnovala nejdražší verze softwarových produktů těchto značek.
• Do hodnocení mohl být zařazen pouze jeden placený produkt od jedné značky pro jeden operační systém. Druhý produkt mohl být zařazen do hodnocení pouze v případě, že by byl zdarma.

Mezinárodní studie tentokrát zahrnovala i produkty vyvinuté v kategorii ruské společnosti. Seznam produktů pro mezinárodní testování zpravidla zahrnuje produkty s dostatečným podílem na trhu a vysokým uznáním mezi spotřebiteli, takže zahrnutí ruského vývoje do studie naznačuje jejich široké zastoupení a poptávku v zahraničí.

Top Ten pro Windows

Všechny antiviry v první desítce si poradí s ochranou proti spywaru a chrání před phishingem – pokusy o získání přístupu k důvěrným datům. Mezi antiviry jsou však rozdíly v úrovni ochrany a také v přítomnosti nebo nepřítomnosti té či oné funkce v testovaných verzích antiviru.

Souhrnná tabulka uvádí deset nejlepší programy podle celkového hodnocení. Bere také v úvahu vlastnosti balíčků z hlediska jejich sady funkcí.

Jak dobrá je standardní ochrana Windows 10?

K únoru 2018 procento uživatelů PC s operačním systémem Windows s nainstalovanými stolními počítači OS Windows 10, činil 43 %. Na takových počítačích je antivirus standardně nainstalován – systém je chráněn programem Windows Defender, který je součástí operačního systému.

Standardní antivirus, který, soudě podle statistik, používá většina lidí, byl v žebříčku až na 17. místě. Pokud jde o celkový výkon, Windows Defender dosáhl skóre 3,5 z možných 5,5.

Vestavěná ochrana pro ty druhé Verze Windows Je rok od roku lepší, ale stále nedosahuje úrovně mnoha specializovaných antivirových programů, včetně těch, které jsou distribuovány zdarma. Windows Defender vykázal uspokojivé výsledky z hlediska online ochrany, ale zcela propadl v testech phishingu a anti-ransomwaru. Mimochodem, ochranu proti phishingu si nárokují výrobci antivirů. Ukázalo se také, že při ochraně vašeho počítače offline odvádí špatnou práci.

Windows Defender je z hlediska designu poměrně jednoduchý. Jasně hlásí přítomnost konkrétní hrozby, jasně demonstruje úroveň ochrany a má funkci „rodičovské kontroly“, která omezuje děti v návštěvách nechtěných zdrojů.

Standard Ochrana Windows 10 lze nazvat pouze slušným. Na základě celkového hodnocení se ukázalo, že 16 programů pro ochranu osobního počítače v OS Windows je lepší než on. Včetně čtyř bezplatných.

Teoreticky se na Windows Defender můžete spolehnout pouze v případě, že má uživatel zapnuté pravidelné aktualizace, jeho počítač je většinu času připojen k internetu a je dostatečně pokročilý, aby se vědomě vyhýbal návštěvě podezřelých stránek. Roskachestvo však doporučuje nainstalovat specializovaný antivirový balíček pro větší důvěru v zabezpečení vašeho PC.

Jak jsme testovali

Testování probíhalo v nejkvalifikovanější světové laboratoři specializované na antivirové programy po dobu šesti měsíců. Byly provedeny celkem čtyři skupiny testů ochrany proti malwaru: obecný online test ochrany, offline test, test falešně pozitivních testů a test automatického skenování a skenování na vyžádání. V menší míře výsledné hodnocení ovlivnilo prověření jednoduchosti používání antiviru a jeho vlivu na rychlost počítače.

• Obecná ochrana

Každý antivirový balíček byl online testován proti sadě virů, kterých bylo celkem více než 40 000. Bylo také kontrolováno, jak dobře si antivirus poradí s phishingovými útoky – když se někdo snaží získat přístup k důvěrným datům uživatele. Byl proveden test ochrany před ransomwarem, který omezuje přístup k počítači a datům na něm za účelem výkupného. Kromě toho se provádí online test USB disku obsahujícího malware. Je potřeba zjistit, jak dobře si antivir poradí s vyhledáváním a likvidací virů, když není předem známa přítomnost škodlivých souborů ani jejich původ.

• USB offline test

Detekce malwaru umístěného na USB disku připojeném k počítači. Před kontrolou byl počítač na několik týdnů odpojen od internetu, aby antivirové balíčky nebyly 100% aktuální.

• Falešný poplach

Testovali jsme, jak efektivně antivirus identifikuje skutečné hrozby a přeskakuje soubory, které jsou ve skutečnosti bezpečné, ale které produkt klasifikuje jako nebezpečné.

• Automatický a na vyžádání test skenování

Zkontrolovali jsme, jak efektivně funguje funkce skenování, když automatická kontrola počítač na přítomnost malwaru a při ručním spuštění. Studie také testovala, zda je možné naplánovat skenování určitý čas když se počítač nepoužívá.