بررسی برنامه های آنتی ویروس برای کاربران شخصی. مروری بر برنامه های ضد ویروس برای کاربران شخصی 5 طبقه بندی برنامه های ضد ویروس را ارائه می دهد

برنامه های ضد ویروس به دو دسته آنتی ویروس های خالص و آنتی ویروس های دو منظوره طبقه بندی می شوند.

شکل 14. طرح طبقه بندی برنامه های آنتی ویروس

آنتی ویروس های خالص با وجود یک موتور آنتی ویروس که عملکرد اسکن توسط الگوها را انجام می دهد متمایز می شوند. نکته اساسی در این مورد این است که درمان در صورت شناخته شدن ویروس امکان پذیر است. آنتی ویروس های خالص به نوبه خود با توجه به نوع دسترسی به فایل ها به دو دسته تقسیم می شوند: آنهایی که دسترسی را کنترل می کنند (در صورت دسترسی) یا در صورت تقاضا (در صورت تقاضا). به طور معمول، محصولات در دسترس را مانیتور و محصولات در صورت تقاضا را اسکنر می نامند.

محصول مورد تقاضا طبق طرح زیر کار می کند: کاربر می خواهد چیزی را بررسی کند و یک درخواست (تقاضا) صادر می کند که پس از آن بررسی انجام می شود. محصول در دسترسی یک برنامه مقیم است که دسترسی را نظارت می کند و در زمان دسترسی بررسی می کند.

علاوه بر این، برنامه های ضد ویروس، مانند ویروس ها، بسته به پلتفرمی که این آنتی ویروس در آن کار می کند، قابل تقسیم بندی هستند. از این نظر، در کنار ویندوز یا لینوکس، پلتفرم‌ها می‌توانند شامل Microsoft Exchange Server، مایکروسافت آفیس، یادداشت های لوتوس.

برنامه های دو منظوره برنامه هایی هستند که هم در نرم افزارهای آنتی ویروس و هم در نرم افزارهای غیر آنتی ویروس استفاده می شوند. به عنوان مثال، CRC-checker - یک بازرس تغییرات مبتنی بر جمع کنترل - می تواند نه تنها برای گرفتن ویروس ها استفاده شود. انواع برنامه های دو منظوره مسدود کننده های رفتاری هستند که رفتار سایر برنامه ها را تجزیه و تحلیل می کنند و در صورت شناسایی اقدامات مشکوک، آنها را مسدود می کنند. مسدود کننده های رفتاری با یک آنتی ویروس کلاسیک با هسته آنتی ویروس متفاوت است که ویروس هایی را که در آزمایشگاه آنالیز شده اند و برای آنها الگوریتم درمانی تجویز شده است، شناسایی و درمان می کند، مسدود کننده های رفتاری نمی دانند چگونه ویروس ها را درمان کنند، زیرا آنها چیزی در مورد آنها نمی دانند. این خاصیت مسدود کننده ها به آنها اجازه می دهد با هر ویروسی، از جمله ویروس های ناشناخته، کار کنند. این موضوع امروزه اهمیت ویژه ای دارد، زیرا توزیع کنندگان ویروس ها و آنتی ویروس ها از کانال های انتقال داده یکسان، یعنی اینترنت استفاده می کنند. در عین حال، شرکت آنتی ویروس همیشه به زمان نیاز دارد تا خود ویروس را دریافت کند، آن را تجزیه و تحلیل کند و ماژول های درمانی مناسب را بنویسد. برنامه های گروه دو منظوره فقط به شما اجازه می دهند تا زمانی که شرکت یک ماژول درمانی بنویسد، از انتشار ویروس جلوگیری کنید.

برنامه های آنتی ویروس

برای تشخیص، حذف و محافظت در برابر ویروس های کامپیوتریانواع مختلفی از برنامه های ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. به چنین برنامه هایی آنتی ویروس می گویند. انواع برنامه های آنتی ویروس زیر وجود دارد:

برنامه ها - آشکارسازها

برنامه ها - پزشکان یا فاژها

حسابرسان برنامه

برنامه های فیلتر

برنامه های واکسن یا ایمن سازها

برنامه های آشکارساز مشخصه امضای یک ویروس خاص را در رم و فایل ها جستجو می کنند و در صورت شناسایی، پیام مربوطه را صادر می کنند. عیب چنین برنامه های ضد ویروسی این است که فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده باشند.

برنامه‌های دکتر یا فاژها، و همچنین برنامه‌های واکسن، نه تنها فایل‌های آلوده به ویروس‌ها را پیدا می‌کنند، بلکه آنها را «درمان» می‌کنند. بدنه برنامه ویروس از فایل حذف می شود و فایل ها به حالت اولیه خود باز می گردند. فاژها در ابتدای کار خود به دنبال ویروس ها در RAM می گردند و آنها را از بین می برند و تنها پس از آن به "درمان" پرونده ها می پردازند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی. برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند. معروف ترین آنها عبارتند از: Aidstest، Scan، Norton AntiVirus، Doctor Web.

با توجه به اینکه ویروس‌های جدید دائماً ظاهر می‌شوند، برنامه‌های تشخیص و برنامه‌های پزشک به سرعت قدیمی می‌شوند و به‌روزرسانی‌های منظم لازم است.

برنامه های حسابرسی یکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و مناطق سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نشده است به یاد می آورند و سپس به صورت دوره ای یا به درخواست کاربر مقایسه می کنند. وضعیت فعلیبا اصل تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود. به عنوان یک قاعده، حالت ها بلافاصله پس از بارگیری سیستم عامل مقایسه می شوند. هنگام مقایسه، طول فایل، کد کنترل چرخه ای (جمع چک فایل)، تاریخ و زمان اصلاح و سایر پارامترها بررسی می شود. برنامه‌های حسابرسی الگوریتم‌های نسبتاً پیشرفته‌ای دارند، ویروس‌های مخفی را شناسایی می‌کنند و حتی می‌توانند تغییرات نسخه برنامه در حال بررسی را از تغییرات ایجاد شده توسط ویروس پاک کنند. از جمله برنامه های حسابرسان، برنامه Adinf است که به طور گسترده در روسیه استفاده می شود.

برنامه‌های فیلتر یا «نگهبان» برنامه‌های ساکن کوچکی هستند که برای شناسایی فعالیت‌های رایانه‌ای مشکوک که مشخصه ویروس‌ها است، طراحی شده‌اند. چنین اقداماتی ممکن است:

تلاش برای تصحیح فایل ها با پسوندهای COM، EXE

تغییر ویژگی های فایل

نوشتن مستقیم روی دیسک در آدرس مطلق

در بخش های بوت دیسک بنویسید

هنگامی که هر برنامه ای سعی می کند اقدامات مشخص شده را انجام دهد، "نگهبان" پیامی را برای کاربر ارسال می کند و پیشنهاد می کند که عمل مربوطه را ممنوع یا مجاز کند. برنامه های فیلتر بسیار مفید هستند، زیرا می توانند ویروس را در ابتدایی ترین مرحله وجودش قبل از تولید مثل شناسایی کنند. با این حال، آنها فایل ها و دیسک ها را "درمان" نمی کنند. برای از بین بردن ویروس ها باید از برنامه های دیگری مانند فاژها استفاده کنید.

واکسن ها یا ایمن سازها برنامه های مقیمی هستند که از عفونت پرونده جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و در نتیجه ریشه نکند. برنامه های واکسن در حال حاضر کاربرد محدودی دارند.

شناسایی به موقع فایل‌ها و دیسک‌های آلوده به ویروس، از بین بردن کامل ویروس‌های شناسایی شده در هر رایانه، به جلوگیری از انتشار یک ویروس همه‌گیر به رایانه‌های دیگر کمک می‌کند.

سلاح اصلی در مبارزه با ویروس ها برنامه های ضد ویروس هستند. آنها نه تنها به شناسایی ویروس ها، از جمله ویروس هایی که استفاده می کنند، اجازه می دهند روش های مختلفپنهان کردن، بلکه آنها را از رایانه حذف کنید. آخرین عملیات می تواند بسیار پیچیده باشد و کمی زمان ببرد.

عفونت آنتی ویروس بدافزار

برای کار موفق، ویروس ها باید بررسی کنند که آیا فایل قبلاً آلوده شده است (توسط همان ویروس). بنابراین آنها از خود تخریبی اجتناب می کنند. برای این کار، ویروس ها از یک امضا استفاده می کنند. اکثر ویروس های رایج (از جمله ویروس های ماکرو) از امضای کاراکتر استفاده می کنند. ویروس های پیچیده تر (چند شکلی) از امضای الگوریتم استفاده می کنند. صرف نظر از نوع امضای ویروس، برنامه های ضد ویروس از آنها برای تشخیص "عفونت های کامپیوتری" استفاده می کنند. پس از آن، برنامه آنتی ویروس سعی می کند ویروس شناسایی شده را از بین ببرد. با این حال، این فرآیند به پیچیدگی ویروس و کیفیت برنامه آنتی ویروس بستگی دارد. همانطور که قبلا ذکر شد، اسب های تروجان و ویروس های چند شکلی سخت ترین تشخیص هستند. اولین آنها بدن خود را به برنامه اضافه نمی کنند، بلکه آن را در داخل آن تعبیه می کنند. از سوی دیگر، برنامه های ضد ویروس باید زمان زیادی را صرف تعیین امضای ویروس های چند شکلی کنند. واقعیت این است که امضای آنها با هر کپی جدید تغییر می کند.

برای شناسایی، حذف و محافظت در برابر ویروس های کامپیوتری، وجود دارد برنامه های ویژهآنتی ویروس نامیده می شود. برنامه های ضد ویروس مدرن محصولات چند منظوره ای هستند که هم ابزارهای پیشگیرانه و هم برای درمان ویروس و بازیابی اطلاعات را ترکیب می کنند.

تعداد و تنوع ویروس ها بسیار زیاد است و برای شناسایی سریع و کارآمد آنها، یک برنامه آنتی ویروس باید پارامترهای خاصی را داشته باشد:

1. ثبات و قابلیت اطمینان کار.

2. ابعاد پایگاه داده ویروس برنامه (تعداد ویروس هایی که توسط برنامه به درستی شناسایی می شوند): با در نظر گرفتن ظاهر ثابت ویروس های جدید، پایگاه داده باید به طور مرتب به روز شود.

3. توانایی برنامه برای شناسایی انواع ویروس ها، و قابلیت کار با فایل ها انواع مختلف(آرشیو، اسناد).

4. وجود یک مانیتور مقیم که تمام فایل های جدید را "در حال پرواز" بررسی می کند (یعنی به طور خودکار، همانطور که روی دیسک نوشته می شوند).

5. سرعت برنامه، در دسترس بودن ویژگی های اضافینوع الگوریتم برای تعیین زوج برای برنامه ناشناختهویروس ها (اسکن اکتشافی).

6. امکان بازیابی فایل های آلوده بدون پاک کردن آنها هارد دیسک، اما فقط با حذف ویروس ها از آنها.

7. درصد موارد مثبت کاذب برنامه (تشخیص اشتباه ویروس در یک فایل "تمیز").

8. کراس پلتفرم (در دسترس بودن نسخه های برنامه برای سیستم عامل های مختلف).

طبقه بندی برنامه های آنتی ویروس:

1. برنامه های آشکارساز جستجو و شناسایی ویروس ها را در رم و رسانه های خارجی فراهم می کنند و پس از شناسایی پیام مربوطه را صادر می کنند. آشکارسازها وجود دارد:

جهانی - در کار خود برای بررسی تغییرناپذیری فایل ها با شمارش و مقایسه با یک استاندارد چک جمع استفاده کنید.

تخصصی - ویروس های شناخته شده را با امضای آنها جستجو کنید (بخش کد تکراری).

2. برنامه های دکتر (فاژها) نه تنها فایل های آلوده به ویروس را پیدا می کنند، بلکه آنها را "درمان" می کنند، یعنی. بدنه برنامه ویروس را از فایل حذف کنید و فایل ها را به حالت اولیه خود بازگردانید. فاژها در ابتدای کار خود به دنبال ویروس ها در RAM می گردند و آنها را از بین می برند و تنها پس از آن به "درمان" پرونده ها می پردازند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی. برنامه های پزشک که برای یافتن و از بین بردن تعداد زیادی ویروس طراحی شده اند.

3. حسابرسان برنامه یکی از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند. ممیزان وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نشده است به یاد می آورند و سپس به صورت دوره ای یا بنا به درخواست کاربر، وضعیت فعلی را با حالت اصلی مقایسه می کنند. تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود.

4. برنامه های فیلتر (watchmen) برنامه های ساکن کوچکی هستند که برای شناسایی اقدامات مشکوک در حین کار رایانه که مشخصه ویروس ها هستند طراحی شده اند. چنین اقداماتی ممکن است:

تلاش برای تصحیح فایل ها با پسوندهای COM و EXE.

تغییر ویژگی های فایل؛

نوشتن مستقیم روی دیسک در آدرس مطلق؛

نوشتن در بخش های بوت دیسک؛

5. برنامه های واکسن (ایمن ساز) برنامه های مقیمی هستند که از عفونت فایل جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است Bezrukov N. ویروس شناسی کامپیوتری: کتاب درسی [ منبع الکترونیکی]: http://vx.netlux.org/lib/anb00.html..

در واقع، معماری برنامه های آنتی ویروس بسیار پیچیده تر است و به توسعه دهنده خاص بستگی دارد. اما یک واقعیت غیرقابل انکار است: تمام فناوری هایی که من در مورد آنها صحبت کردم به قدری در هم تنیده شده اند که گاهی اوقات درک زمانی که یکی راه اندازی می شود و دیگری شروع به کار می کند غیرممکن است. این تعامل فن آوری های ضد ویروس به آنها اجازه می دهد تا به طور موثر در مبارزه با ویروس ها استفاده شوند. اما فراموش نکنید که هیچ محافظت کاملی وجود ندارد و تنها راه برای هشدار دادن به خودتان است مشکلات مشابه -- به روز رسانی مداومسیستم عامل، یک فایروال به خوبی پیکربندی شده، یک آنتی ویروس که اغلب به روز می شود، و - از همه مهمتر - فایل های مشکوک را از اینترنت اجرا / دانلود نکنید.

اسکنرها (نام های دیگر: فاژها، پلی فاژها)

اصل عملیات اسکنرهای ویروسبر اساس بررسی فایل ها، سکتورها و حافظه سیستمو ویروس های شناخته شده و جدید (برای اسکنر ناشناخته) را در آنها جستجو کنید. به اصطلاح "ماسک" برای جستجوی ویروس های شناخته شده استفاده می شود. یک ویروس ماسک یک دنباله کد ثابت خاص برای آن ویروس خاص است. اگر ویروس حاوی ماسک دائمی نباشد یا طول این ماسک به اندازه کافی بزرگ نباشد، از روش های دیگری استفاده می شود. نمونه ای از چنین روشی است زبان الگوریتمیتوصیف همه چیز گزینه های ممکنکدی که هنگام آلوده شدن به این نوع ویروس با آن مواجه می شود. این روش توسط برخی از آنتی ویروس ها برای شناسایی ویروس های چند شکلی استفاده می شود.

بسیاری از اسکنرها نیز از الگوریتم‌های «اسکن ابتکاری» استفاده می‌کنند. تجزیه و تحلیل توالی دستورات در شی بررسی شده، جمع آوری برخی از آمار و تصمیم گیری برای هر شی بررسی شده.

اسکنرها را نیز می توان به دو دسته تقسیم کرد - "جهانی" و "تخصصی". اسکنرهای جهانی برای جست و جو و خنثی کردن انواع ویروس ها طراحی شده اند، صرف نظر از سیستم عاملی که اسکنر برای کارکرد در آن طراحی شده است. اسکنرهای تخصصی برای خنثی کردن تعداد محدودی از ویروس ها یا فقط یک دسته از آنها مانند ویروس های ماکرو طراحی شده اند.

اسکنرها نیز به دو دسته "ساکن" (مانیتور) تقسیم می شوند که "در حال پرواز" و "غیر ساکن" سیستم را فقط در صورت تقاضا اسکن می کنند. به عنوان یک قاعده، اسکنرهای "مقیم" از سیستم قابل اطمینان تری محافظت می کنند، زیرا آنها بلافاصله به ظاهر یک ویروس واکنش نشان می دهند، در حالی که یک اسکنر "غیر مقیم" فقط در راه اندازی بعدی قادر به شناسایی ویروس است.

اسکنرهای CRC

اصل عملکرد اسکنرهای CRC بر اساس محاسبه مبالغ CRC (جمع های چک) برای فایل ها / بخش های سیستم موجود بر روی دیسک است. سپس این مبالغ CRC و همچنین برخی اطلاعات دیگر در پایگاه داده آنتی ویروس ذخیره می شوند: طول پرونده، تاریخ آخرین تغییر آنها و غیره. دفعه بعد که اسکنرهای CRC اجرا می شوند، داده های موجود در پایگاه داده را با مقادیر واقعی شمارش شده بررسی می کنند. اگر اطلاعات فایل ثبت شده در پایگاه داده با مقادیر واقعی مطابقت نداشته باشد، اسکنرهای CRC سیگنال می دهند که فایل اصلاح شده یا آلوده به ویروس است.

اسکنرهای CRC قادر به گرفتن ویروس در لحظه ظهور آن در سیستم نیستند، اما این کار را تنها پس از مدتی، پس از انتشار ویروس در سراسر رایانه انجام می دهند. اسکنرهای CRC نمی توانند ویروس را در فایل های جدید (در پست الکترونیک، در فلاپی دیسک ها، در فایل های بازیابی شده از پشتیبان، یا هنگام باز کردن بسته بندی فایل ها از بایگانی)، زیرا پایگاه داده آنها اطلاعاتی در مورد این فایل ها ندارد. علاوه بر این، به طور دوره ای ویروس هایی وجود دارند که از این "ضعف" اسکنرهای CRC استفاده می کنند و فقط دوباره آلوده می شوند. فایل های تولید شدهو بنابراین برای آنها نامرئی می ماند.

مسدود کننده ها

مسدود کننده های آنتی ویروس برنامه های مقیمی هستند که موقعیت های "خطرناک ویروس" را رهگیری می کنند و کاربر را در مورد آن آگاه می کنند. تماس‌های «ویروس خطرناک» شامل تماس‌هایی برای باز کردن برای نوشتن روی فایل‌های اجرایی، نوشتن در بخش‌های راه‌اندازی دیسک‌ها یا MBR یک هارد دیسک، تلاش‌های برنامه‌ها برای باقی ماندن ساکن و غیره است، یعنی تماس‌هایی که برای ویروس‌ها معمول هستند. در زمان تولید مثل

از مزایای مسدود کننده ها می توان به توانایی آنها در شناسایی و توقف ویروس در اولین مرحله تولید مثل آن اشاره کرد. معایب شامل وجود راه هایی برای دور زدن محافظت از مسدود کننده ها و تعداد زیادی از مثبت کاذب است.

ایمن سازها

ایمن سازها به دو نوع تقسیم می شوند: ایمن سازهای گزارش دهنده عفونت و ایمن سازهای مسدودکننده عفونت. اولین ها معمولاً تا انتهای فایل ها نوشته می شوند (طبق اصل ویروس فایل) و هر بار که فایل راه اندازی می شود، از نظر تغییرات بررسی می شود. مضرات چنین ایمن سازها تنها یک است، اما کشنده است: ناتوانی مطلق در گزارش عفونت با یک ویروس پنهان. بنابراین، چنین ایمن سازها، و همچنین مسدود کننده ها، در حال حاضر عملا استفاده نمی شوند.

نوع دوم ایمن سازی سیستم را در برابر حمله نوع خاصی از ویروس محافظت می کند. فایل‌های روی دیسک‌ها به گونه‌ای اصلاح می‌شوند که ویروس آن‌ها را برای مواردی که قبلاً آلوده شده‌اند، می‌گیرد. برای محافظت در برابر ویروس مقیم، برنامه ای که یک کپی از ویروس را تقلید می کند به حافظه کامپیوتر وارد می شود. هنگامی که راه اندازی می شود، ویروس به طور تصادفی به آن برخورد می کند و معتقد است که سیستم قبلاً آلوده شده است.

این نوع ایمن سازی نمی تواند جهانی باشد، زیرا ایمن سازی فایل ها در برابر همه ویروس های شناخته شده غیرممکن است.

^ طبقه بندی آنتی ویروس ها بر اساس تنوع زمانی

به گفته والری کونیاوسکی ، ابزارهای ضد ویروس را می توان به دو گروه بزرگ تقسیم کرد - تجزیه و تحلیل داده ها و تجزیه و تحلیل فرآیندها.

^ تجزیه و تحلیل داده ها

تجزیه و تحلیل داده ها شامل "حسابرسان" و "پلی فاژها" است. "حسابرسان" پیامدهای فعالیت ویروس های رایانه ای و سایر برنامه های مخرب را تجزیه و تحلیل می کنند. پیامدهایی در تغییر داده ها نشان داده می شوند که نباید تغییر کنند. این واقعیت تغییر داده است که نشانه فعالیت برنامه های مخرب از دیدگاه "حسابرس" است. به عبارت دیگر، «حسابرسان» یکپارچگی داده ها را کنترل می کنند و در صورت نقض یکپارچگی، در مورد وجود برنامه های مخرب در محیط رایانه تصمیم می گیرند.

"پلی فاژها" متفاوت عمل می کنند. آنها قطعات را بر اساس تجزیه و تحلیل داده ها انتخاب می کنند کد مخرب(مثلاً با امضای آن) و بر این اساس در مورد وجود برنامه های مخرب نتیجه گیری می کنند. حذف یا "درمان" داده های آلوده به ویروس به جلوگیری از عواقب منفی اجرای بدافزار کمک می کند. بنابراین، بر اساس تجزیه و تحلیل "در استاتیک" از پیامدهای ناشی از "در پویایی" جلوگیری می شود.

طرح کار هر دو "حسابرسان" و "پلی فاژها" تقریباً یکسان است - داده ها را مقایسه کنید (یا آنها چک جمع) با یک یا چند نمونه مرجع. داده ها با داده ها مقایسه می شوند. بنابراین، برای پیدا کردن یک ویروس در رایانه خود، باید آن را قبلا "کار کرده باشد" تا عواقب فعالیت آن ظاهر شود. این روش فقط می تواند ویروس های شناخته شده ای را پیدا کند که قطعات کد یا امضای آنها قبلاً توضیح داده شده است. بعید است که بتوان چنین حفاظتی را قابل اعتماد نامید.


^ تجزیه و تحلیل فرآیند

ابزارهای ضد ویروس مبتنی بر تجزیه و تحلیل فرآیند تا حدودی متفاوت عمل می کنند. «آنالیزگرهای اکتشافی»، مانند آنهایی که در بالا توضیح داده شد، داده ها را (روی دیسک، در یک کانال، در حافظه و غیره) تجزیه و تحلیل می کنند. تفاوت اساسی این است که تجزیه و تحلیل با این فرض انجام می شود که کد مورد تجزیه و تحلیل داده نیست، بلکه دستورات است (در رایانه هایی با معماری فون نویمان، داده ها و دستورات غیرقابل تشخیص هستند و بنابراین باید یک یا آن فرضیه مطرح شود. در طول تجزیه و تحلیل.)

«تحلیل‌گر اکتشافی» دنباله‌ای از عملیات را انتخاب می‌کند، به هر یک از آن‌ها رتبه‌بندی «خطر» معینی اختصاص می‌دهد و بر اساس کلیت «خطر» تصمیم می‌گیرد که آیا این توالی از عملیات بخشی از کد مخرب است یا خیر. خود کد اجرا نمی شود.

نوع دیگری از آنتی ویروس های مبتنی بر فرآیند «بلاک کننده های رفتار» هستند. در این حالت، کد مشکوک مرحله به مرحله اجرا می شود تا زمانی که مجموعه اقدامات آغاز شده توسط کد به عنوان رفتار "خطرناک" (یا "ایمن") ارزیابی شود. در این حالت، کد تا حدی اجرا می شود، زیرا تکمیل کد مخرب بیشتر قابل تشخیص است. روش های سادهتحلیل داده ها.

فناوری های تشخیص ویروس

فناوری های مورد استفاده در آنتی ویروس ها را می توان به دو گروه تقسیم کرد:

• 
  فن آوری های تجزیه و تحلیل امضا
  
• 
  فن آوری های تحلیل احتمالی
  

• 
  تحلیل اکتشافی
  
• 
  تحلیل رفتاری
  
• 
  تجزیه و تحلیل جمع چک
  

• 
  مجموعه آنتی ویروس برای محافظت از ایستگاه های کاری
  
• 
  مجموعه آنتی ویروس برای محافظت از سرورهای فایل
  
• 
  مجموعه آنتی ویروس برای محافظت از سیستم های پستی
  
• 
  مجموعه آنتی ویروس برای محافظت از دروازه ها.

افرادی که دائماً در رایانه کار می کنند اغلب در حین کار با رایانه با مشکلاتی روبرو می شوند ، شروع به درخواست کمک از برنامه نویسان می کنند ، اگرچه در بیشتر موارد چنین حوادثی به دلیل بی توجهی و عدم آموزش خود کاربر اتفاق می افتد. از این گذشته ، مشکلات اصلی دقیقاً با آلوده شدن رایانه به ویروس است. مفهوم و طبقه بندی ویروس های کامپیوتری مبنایی است که آگاهی از آن می تواند از 50 درصد مشکلات کامپیوتر کاربر جلوگیری کند.

دانش قدرت است

بیایید سعی کنیم تعریف کنیم که ویروس کامپیوتر چیست. مانند زندگی واقعی، ویروس موجودی است که قادر به کپی برداری خود و تولید مثل کنترل نشده است. این برنامه ای است که می تواند به طور مستقل، بدون اطلاع کاربر، توسعه دهد، عملکردهای تعیین شده در آن توسط برنامه نویس را انجام دهد. این برای ابتلا به ویروس یا جلوگیری از عفونت رایانه شما کافی نیست، اما در ساده ترین موارد به شما کمک می کند حداقل زنگ هشدار را به صدا درآورید و با یک متخصص تماس بگیرید. طبقه بندی ویروس های رایانه ای به دومی کمک می کند تا ابزار مورد نیاز برای ذخیره رایانه شما را با دقت انتخاب کند. پس بیایید سعی کنیم آن را کشف کنیم.

مفهوم کلی

با مقایسه کمی قبل از یک ویروس کامپیوتری با یک میکروارگانیسم واقعی، می توان مشابهی را با چیزی که یک ویروس یا کرم خاص را آلوده می کند ترسیم کرد. یکی از موارد اساسی طبقه بندی ویروس های رایانه ای بر اساس زیستگاه است، زیرا بسته به هدف، مکان ویروس در محیط رایانه نیز متفاوت خواهد بود. در اینجا یک طرح استاندارد کلی وجود دارد.

1. ویروس های فایل شاید امروزه رایج ترین ویروس ها ویروس هایی باشند که فایل های کامپیوتر شما را آلوده می کنند. در بیشتر موارد، آنها برای انجام وظایف خود به فایل های اجرایی یا کتابخانه های برنامه نفوذ می کنند. این ویروس ها یک اسکریپت نوشته شده در یک زبان برنامه نویسی برنامه نویسی (مثلا جاوا) هستند.
2. بوت ویروس ها همانطور که از نام آن مشخص است، زمانی که سیستم عامل بوت می شود، شروع به کار می کنند. آنها کد خود را در بخش بوت ویندوز می نویسند.
3. ویروس های شبکه یک چیز نسبتاً ناخوشایند که کپی هایی از خود را از طریق شبکه، پست یا سیستم های پیام رسانی مانند ICQ ارسال می کند. لحظه ناخوشایند دیگر این است که چنین ویروسی می تواند تا زمانی که تمام فضای رایانه کاربر را پر کند، تکثیر می شود و در بدترین حالت نیز با حذف برنامه های کاربر شروع به آزادسازی فضا برای خود می کند.
4. ماکرو ویروس ها فقط فایل های برنامه هایی که از ماکروها پشتیبانی می کنند، مانند Office، تحت تأثیر قرار می گیرند.

شایان ذکر است که چنین طبقه بندی ویروس ها نمی تواند کامل باشد، زیرا توسعه این عفونت ثابت نمی ماند و ویروس هایی وجود دارد که می توان آنها را به چندین زیرگروه نسبت داد.

احتیاط - خطر!

ویروس ها را می توان از زوایای کاملا متفاوت مشاهده کرد. اگر در مورد آنها با توجه به میزان تأثیر بر سیستم صحبت کنیم، طبقه بندی ویروس های رایانه ای به طور خلاصه به این صورت خواهد بود:

متخصصان کار می کنند

طبقه بندی ویروس های رایانه ای و برنامه های ضد ویروس شایسته ذکر ویژه است. اکثر متخصصانی که در زمینه امنیت رایانه کار می کنند طبقه بندی ها و روش های خاص خود را برای تعیین ویروس های رایانه ای دارند. به عنوان مثال، آزمایشگاه معروف کسپرسکی. پس از سال ها کار، آنها شاید دقیق ترین طبقه بندی ویروس های کامپیوتری را ایجاد کرده اند. Kaspersky انواع زیر را از "آفت ها" شناسایی می کند:

1. ویروس های شبکه از قبل شناخته شده کرم هایی هستند که از ایمیل برای انتشار استفاده می کنند.
2. بسته بندی ها اینها فقط آفات هستند و نه ویروس هایی که برای یک هدف خاص ارسال می شوند. وظیفه آنها آرشیو کردن پرونده ها به گونه ای است که نمی توان آنها را از حالت فشرده خارج کرد. اغلب، هنگام بایگانی، آنها علاوه بر این اطلاعات را نیز رمزگذاری می کنند.
3. ابزارهای مخرب
4. برنامه های تروجان نام آنها از اسطوره اسب تروا گرفته شده است. مطابق با نمونه اولیه خود، چنین ویروس هایی خود را به عنوان برنامه های بی ضرر برای نفوذ به رایانه پنهان می کنند. هدف اصلی آنها دسترسی به مهاجم برای کنترل رایانه شما است. در اینجا چند زیرمجموعه نیز وجود دارد:

1) ویروس ها، برای کنترل از راه دورکامپیوتر شما؛

2) ویروس ها برای دانلود نرم افزارهای مخرب از اینترنت؛

3) برنامه هایی که ویروس های دیگر را بدون مجوز روی رایانه نصب می کنند.

چگونه مبتلا شویم

Forewarned forearmed است. حکمت عامیانه چنین می گوید. دانستن اینکه کجا و چگونه ممکن است یک ویروس کامپیوتری را گرفتار کنید، می تواند از مشکلات بزرگ مرتبط با حذف آن جلوگیری کند. جلوگیری از عفونت بسیار ساده تر از درمان کامپیوتر پس از ورود ویروس به آن است. همچنین طبقه بندی ویروس های رایانه ای بر اساس روش آلودگی وجود دارد:

محافظت در برابر ویروس

همانطور که قبلاً مشخص شده است ، برنامه های مخرب بسیار متنوعی وجود دارد. هیچ طبقه بندی واحدی از ویروس ها به محافظت در برابر آنها کمک نمی کند. کلاهبرداران و هرزنامه‌نویسان رایانه‌ای بسیار زیاد هستند که نمی‌توان با دست خود با همه آنها مقابله کرد. به همین دلیل است که تعداد زیادی آنتی ویروس وجود دارد که می تواند به حل این مشکل کمک کند. بیایید به آنها از نظر نگاه کنیم کاربران عادی.

رایج ترین آنتی ویروس آنتی ویروس کسپرسکی است. این برنامه که در تمام فروشگاه های ممکن به کاربران ارائه می شود، قادر است به طور قابل اعتماد از رایانه شما در برابر بدافزار محافظت کند. با این حال، کاربران پیشرفته از عوارض جانبی قابل توجه این قابلیت اطمینان آگاه هستند. "Kaspersky" نه تنها سیستم را به شدت بارگذاری می کند و در صورت کوچکترین خطر زنگ هشدار را به صدا در می آورد، بلکه اجازه کار کافی با برنامه های کاربر را نمی دهد. بنابراین ، در حال حاضر ، این آنتی ویروس عمدتاً در شرکت ها استفاده می شود ، زیرا خرید آن از بخش حسابداری آسان تر است و کمیسیون های بررسی امنیتی بسیار به آن وفادارتر هستند. شایان ذکر است که به لطف این آزمایشگاه، طبقه بندی اولیه ویروس های رایانه ای ایجاد شد. این پیام که یک ویروس در رایانه پیدا شده است که توسط آنتی ویروس آنها صادر می شود، متاسفانه همیشه حاوی اطلاعات قابل اعتماد نیست.

یک جایگزین شایسته برای Kaspersky می تواند NOD32 باشد. به طور قابل اعتماد و محکم محافظت می کند، به خصوص برای کاربران عادی، وجود دارد نسخه های رایگان. مانند ساعت و بدون خرابی کار می کند، اما قابلیت اطمینان مطلق را فقط در پیکربندی کامل پولی فراهم می کند. بنابراین، اگر دانلود نسخه های هک شده پشتیبانی نشده را حذف کنیم، تنها ایراد این آنتی ویروس قیمت خواهد بود.

Dr.Web را به حق می توان پیشرو در میان آنتی ویروس ها دانست. او به دنبال شهرت و درآمد نیست، او برای دانلود همه در وب سایت خود فراهم می کند نسخه آزمایشیبا عملکرد کامل یکی از ویژگی های اصلی "دکتر" امکان تعلیق کامل عملکرد سیستم عامل است که به شما امکان می دهد حتی "حیله گرترین آفات" را نیز بگیرید. این برنامه از دسته بندی ویروس ها خود استفاده می کند. این ابزار به سرعت و کارآمد کرم های کامپیوتری را پیدا می کند و ویروس های مقیم قادر به "پنهان شدن" در RAM نیستند.

دشمن را باید از روی دید شناخت

بنابراین، طبقه بندی ویروس های کامپیوتری در بالا مورد بحث قرار گرفت. با مثال‌ها، احتمالاً درک آن برای شما آسان‌تر خواهد بود، بنابراین برای وضوح چند مورد را ارائه می‌کنیم.

Trj.Reboot - رایانه شما را مجبور به راه اندازی مجدد می کند.

استراحت - عفونی می کند اسناد مایکروسافت Word و همچنین متغیرهای سراسری. به خصوص در ویندوز 98 محبوب و مرتبط بود. نتیجه کار نمایش یک پیام اطلاعاتی است.

Marburg - فایل های اجرایی را با پسوند EXE آلوده می کند و آنها را در دایرکتوری های مختلف راه اندازی می کند که در نتیجه اندازه آنها افزایش می یابد.

Flame یک کرم کامپیوتری است که توسط آزمایشگاه کسپرسکی کشف شده است. ویژگی آن این است که از چندین ده قسمت تشکیل شده است که هر کدام عملکرد خاص خود را دارند.

به ایمنی فکر کنید

در این مقاله به مفهوم و طبقه بندی ویروس های کامپیوتری پرداخته شد. اگر همه چیز نوشته شده را با دقت و با دقت بخوانید، احتمالاً قبلاً متوجه شده اید که حفاظت مطلق وجود ندارد. با وجود این، انتخاب ابزار حفاظتی بر روی شانه های شما قرار می گیرد. آخرین چیزی که قابل ذکر است فقط چند نکته مفید است:

1. از سایت های مشکوک دیدن نکنید و لینک های ارسال شده توسط افراد غریبه را دنبال نکنید.
2. فریب تبلیغات و پاپ آپ ها را در اینترنت نخورید.
3. اگر برنامه ها را از اینترنت دانلود می کنید، مطمئن شوید که منبع امن است.
4. اگر به دنبال برنامه ای هستید، سعی کنید آن را در منابع محبوب دانلود کنید، نه در پشت شبکه جهانی وب.
5. از رسانه هایی که ممکن است در رایانه های عمومی (کافه های اینترنتی) قرار داده شده باشند استفاده نکنید.

با پیروی از این نکات ساده، حتی می توانید بدون آنتی ویروس کار کنید. و شما فقط برای مطالعه یا خودسازی به طبقه بندی ویروس های کامپیوتری نیاز خواهید داشت.

این برنامه ها را می توان به پنج گروه اصلی طبقه بندی کرد: فیلترها، آشکارسازها، ممیزان، پزشکان و واکسیناتورها.

فیلترهای آنتی ویروس- اینها برنامه های مقیمی هستند که کاربر را از تمام تلاش های یک برنامه برای نوشتن روی دیسک و حتی بیشتر از آن برای قالب بندی آن و همچنین سایر اقدامات مشکوک (به عنوان مثال، تلاش برای تغییر تنظیمات CMOS) مطلع می کنند. این از شما می خواهد که این عمل را مجاز یا رد کنید. اصل عملکرد این برنامه ها بر اساس رهگیری بردارهای وقفه مربوطه است. مزیت برنامه های این کلاس در مقایسه با برنامه ها - آشکارسازها، جهانی بودن در رابطه با ویروس های شناخته شده و ناشناخته است، در حالی که آشکارسازها برای انواع خاصی که در حال حاضر برای برنامه نویس شناخته شده است نوشته می شوند. این به ویژه در حال حاضر صادق است، زمانی که بسیاری از ویروس های جهش یافته ظاهر شده اند که کد دائمی ندارند. با این حال، برنامه‌های فیلتر نمی‌توانند ویروس‌هایی را که مستقیماً به BIOS دسترسی دارند و همچنین ویروس‌های BOOT را که حتی قبل از راه‌اندازی آنتی‌ویروس فعال می‌شوند، در مرحله اولیه بارگیری DOS ردیابی کنند. سؤالات زمان زیادی را از کاربر می‌گیرد و اعصاب او را به هم می‌زند. . هنگام نصب برخی از فیلترهای ضد ویروس، ممکن است با سایر برنامه های مقیمی که از همان وقفه ها استفاده می کنند، تداخل داشته باشند که به سادگی کار نمی کنند.

پرکاربردترین در کشور ما برنامه های آشکارساز، یا بهتر است بگوییم، برنامه هایی که ترکیب می شوند آشکارساز و دکتر. معروف ترین نمایندگان این کلاس - Aidstest، Doctor Web، MicroSoft AntiVirus در زیر با جزئیات بیشتری مورد بحث قرار خواهند گرفت. ردیاب های ضد ویروس برای ویروس های خاص طراحی شده اند و بر اساس مقایسه توالی کدهای موجود در بدنه ویروس با کدهای برنامه های در حال بررسی است. بسیاری از برنامه های آشکارساز همچنین به شما امکان می دهند فایل ها یا دیسک های آلوده را با حذف ویروس ها از آنها "درمان" کنید (البته درمان فقط برای ویروس هایی که برنامه آشکارساز شناخته شده است پشتیبانی می شود). چنین برنامه هایی باید به طور مرتب به روز شوند، زیرا به سرعت قدیمی می شوند و نمی توانند انواع جدیدی از ویروس ها را شناسایی کنند.

حسابرسان- اینها برنامه هایی هستند که وضعیت فعلی فایل ها و مناطق سیستم دیسک را تجزیه و تحلیل می کنند و آن را با اطلاعات ذخیره شده قبلی در یکی از فایل های داده حسابرس مقایسه می کنند. این وضعیت بخش BOOT، جدول FAT، و همچنین طول فایل‌ها، زمان ایجاد آنها، ویژگی‌ها، جمع‌بندی چک را بررسی می‌کند. با تجزیه و تحلیل پیام های برنامه بازرس، کاربر می تواند تصمیم بگیرد که آیا تغییرات ناشی از ویروس است یا خیر. هنگام صدور چنین پیام هایی، نباید وحشت کرد، زیرا علت تغییرات، به عنوان مثال، در طول برنامه، ممکن است به هیچ وجه ویروس نباشد.

به آخرین گروهشامل ناکارآمدترین آنتی ویروس ها - واکسیناتورها. آنها مشخصات یک ویروس خاص را در برنامه ای که واکسینه می شود می نویسند تا ویروس آن را قبلاً آلوده بداند.

در کشور ما، همانطور که در بالا ذکر شد، برنامه های ضد ویروسی که عملکرد آشکارسازها و پزشکان را ترکیب می کنند، محبوبیت خاصی به دست آورده اند. معروف ترین آنها برنامه AIDSTEST توسط D.N. لوزینسکی. این برنامه در سال 1988 اختراع شد و از آن زمان تاکنون به طور مداوم بهبود یافته و گسترش یافته است. در روسیه، تقریباً هر رایانه شخصی سازگار با IBM یکی از نسخه های این برنامه را دارد. یکی از آخرین نسخه هابیش از 1500 ویروس را شناسایی می کند.

Aidstest برای رفع برنامه های آلوده به ویروس های رایج (غیر چند شکلی) طراحی شده است که کد خود را تغییر نمی دهند. این محدودیت به این دلیل است که این برنامه با استفاده از کدهای شناسایی ویروس ها را جستجو می کند. اما در عین حال سرعت بسیار بالایی در بررسی فایل ها حاصل می شود.

برای عملکرد عادی، aidstest مستلزم آن است که هیچ آنتی ویروس مقیمی در حافظه وجود نداشته باشد که نوشتن روی فایل های برنامه را مسدود کند، بنابراین باید با مشخص کردن گزینه unload برای خود برنامه مقیم یا با استفاده از ابزار مناسب، آن ها را خالی کرد.

هنگامی که راه اندازی شد، Aidstest رم را برای ویروس های شناخته شده بررسی می کند و آنها را بی ضرر می کند. در این مورد، تنها عملکرد ویروس مرتبط با تولید مثل فلج می شود، در حالی که سایر عوارض جانبی ممکن است باقی بماند. بنابراین، برنامه پس از پایان خنثی سازی ویروس در حافظه، درخواست راه اندازی مجدد را صادر می کند. اگر اپراتور رایانه شخصی یک برنامه نویس سیستم نیست که ویژگی های ویروس ها را مطالعه می کند، قطعاً باید این توصیه را دنبال کنید. چرا باید با دکمه RESET راه‌اندازی مجدد کنید، زیرا ممکن است در طی "راه‌اندازی مجدد گرم" برخی ویروس‌ها باقی بمانند. علاوه بر این، بهتر است دستگاه و Aidstest را با یک فلاپی دیسک محافظت شده از نوشتن راه اندازی کنید، زیرا وقتی از یک دیسک آلوده راه اندازی می شود، ویروس می تواند خود را به عنوان ساکن در حافظه بنویسد و از ضد عفونی جلوگیری کند.

Aidstest بدن خود را برای ویروس های شناخته شده آزمایش می کند و همچنین آلودگی آن را با یک ویروس ناشناخته با اعوجاج در کد آن قضاوت می کند. در این حالت، مواردی از آلارم های کاذب ممکن است، به عنوان مثال، زمانی که یک آنتی ویروس توسط یک بسته بندی فشرده شده است. این برنامه رابط گرافیکی ندارد و حالت های عملکرد آن با استفاده از کلیدها تنظیم می شود. با تعیین مسیر، می توانید نه کل دیسک، بلکه یک زیر شاخه جداگانه را بررسی کنید.

معایب برنامه Aidstest:

ویروس های پلی مورفیک را نمی شناسد.

مجهز به یک تحلیلگر اکتشافی نیست که به آن امکان می دهد ویروس های ناشناخته را پیدا کند.

نمی داند چگونه فایل های موجود در آرشیو را بررسی و درمان کند.

ویروس ها را در برنامه های پردازش شده توسط بسته کننده های فایل های اجرایی مانند EXEPACK، DIET، PKLITE و غیره شناسایی نمی کند.

مزایای تست ایدز:

آسان برای استفاده؛

بسیار سریع کار می کند؛

بخش قابل توجهی از ویروس ها را می شناسد.

به خوبی با برنامه حسابرسی Adinf یکپارچه شده است.

تقریباً روی هر رایانه ای کار می کند.

اخیراً محبوبیت یک برنامه ضد ویروس دیگر به نام Doctor Web که توسط Dialog-Science ارائه شده است، به سرعت در حال افزایش است. این برنامه در سال 1994 توسط I.A. دانیلوف. دکتر. وب، مانند Aidstest، متعلق به کلاس آشکارسازها - پزشکان است، اما بر خلاف دومی، دارای یک به اصطلاح "آنالیزگر اکتشافی" است - الگوریتمی که به شما امکان می دهد ویروس های ناشناخته را شناسایی کنید. همانطور که نام برنامه از انگلیسی ترجمه شده است، "وب شفابخش" به پاسخ برنامه نویسان داخلی به تهاجم ویروس های جهش یافته خود اصلاح شونده تبدیل شده است که در هنگام تکثیر، بدن آنها را تغییر می دهند به طوری که یک زنجیره مشخص از آنها وجود ندارد. بایت هایی که در نسخه اصلی ویروس وجود داشت باقی می ماند. این برنامه با این واقعیت پشتیبانی می شود که یک مجوز بزرگ (برای 2000 رایانه) توسط اداره کل به دست آمده است. منابع اطلاعاتتحت رئیس جمهور فدراسیون روسیه، و دومین خریدار بزرگ "وب" - "Inkombank".

کنترل حالت ها و همچنین در Aidtest با کمک کلیدها انجام می شود. کاربر می تواند به برنامه بگوید که هم کل دیسک و هم زیر شاخه ها یا گروه فایل ها را آزمایش کند، یا از بررسی دیسک ها خودداری کند و فقط RAM را آزمایش کند. به نوبه خود، می توانید یا فقط حافظه پایه یا علاوه بر این، حافظه توسعه یافته را نیز آزمایش کنید. مانند Aidstest، دکتر وب می‌تواند گزارشی در مورد کار ایجاد کند، یک مولد کاراکتر سیریلیک را بارگیری کند، از کار با سخت‌افزار و سیستم نرم‌افزار Sheriff پشتیبانی کند.

تست هارد دیسک دکتر Web-om بسیار بیشتر از Aidstest-ohm زمان می برد، بنابراین هر کاربر نمی تواند زمان زیادی را صرف بررسی روزانه کل هارد دیسک کند. ممکن است به چنین کاربرانی توصیه شود که فلاپی دیسک های وارد شده از خارج را با دقت بیشتری بررسی کنند. اگر اطلاعات روی فلاپی دیسک بایگانی شود (و اخیراً برنامه ها و داده ها فقط به این شکل از ماشینی به ماشین دیگر منتقل می شوند؛ حتی شرکت های تولیدی نرم افزار، مانند Borland، محصولات خود را بسته بندی می کنند)، باید آن را در یک پوشه جداگانه روی هارد دیسک خود باز کنید و بلافاصله، بدون معطلی، Dr. وب، به عنوان پارامتر به جای نام درایو، مسیر کامل این زیر شاخه را به آن می دهد. و با این حال، حداقل هر دو هفته یک بار، اسکن کامل "هارد دیسک" برای ویروس ها باید با حداکثر سطح تجزیه و تحلیل اکتشافی انجام شود.

همانطور که در مورد Aidstest، در طول آزمایش اولیه، نباید به برنامه اجازه دهید فایل هایی را که در آنها ویروس را شناسایی می کند، ضد عفونی کند، زیرا نمی توان رد کرد که توالی بایت های پذیرفته شده توسط آنتی ویروس به عنوان یک الگو می تواند در یک الگو باشد. برنامه سالم

برخلاف Aidstest، Dr. وب:

ویروس های چند شکلی را تشخیص می دهد.

مجهز به یک تحلیلگر اکتشافی؛

می تواند فایل های موجود در آرشیو را بررسی و درمان کند.

به شما امکان می دهد فایل های واکسینه شده با CPAV و همچنین بسته بندی شده با LZEXE، PKLITE، DIET را آزمایش کنید.

شرکت "دیالوگ-علم" ارائه می دهد نسخه های مختلف DrWeb برای DOS. همانطور که می دانید دو نسخه برای DOS وجود دارد که به طور سنتی به آنها گفته می شود 16 بیتیو 32 بیتی(دکتر وب برای DOS/386، DrWeb386 نیز نامیده می شود). این نام ها (16 بیتی و 32 بیتی) به طور کامل ماهیت تفاوت بین نسخه های DOS را نشان می دهد ، اما مستقیماً از نام ها فقط برای متخصصان واضح است. فقط نسخه 32 بیتی همه چیز را دارد عملکرد، ذاتی دیگر نسخه های مدرن Doctor Web (به ویژه نسخه های ویندوز).

نسخه 16 بیتی، به دلیل محدودیت های اعمال شده در میزان حافظه موجود توسط سیستم عامل، برخی از مهمترین "ویژگی های" امروزی را ندارد، به ویژه در آن گنجانده نشده است (و به دلیل موارد ذکر شده محدودیت های حافظه، آنها را نمی توان گنجاند) :

ماژول های "سرویس" برای ویروس های شناخته شده انواع مدرن(به ویژه، ما در مورد ویروس های ماکرو و مخفی صحبت می کنیم).

ماژول های تحلیلگر اکتشافی برای شناسایی ویروس های ناشناخته از انواع مدرن؛

ماژول هایی برای باز کردن انواع مدرن بایگانی ها و برنامه های بسته بندی شده ویندوز و غیره.

بنابراین، اگرچه نسخه 16 بیتی از پایگاه داده ویروس (فایل های VDB) مشابه نسخه های 32 بیتی استفاده می کند، فقدان برخی از ماژول ها پردازش ویروس های مربوطه را غیرممکن می کند.

علاوه بر این، به همین دلایل، نسخه 16 بیتی از برخی نرم افزارها و سخت افزارهای مدرن پشتیبانی نمی کند که ممکن است آن را ناپایدار یا نادرست کند.

از آنجایی که نسخه 32 بیتی کاملاً کاربردی است و همانطور که از نام دیگر آن - Doctor Web for DOS/386 پیداست، می توان در حین اجرا در DOS روی رایانه هایی با پردازنده حداقل 386 از آن استفاده کرد، همه کاربرانی که به یک نسخه نیاز دارند. Doctor Web for DOS باید دقیقاً از او استفاده کند.

در مورد نسخه 16 بیتی، انتشار آن همچنان ادامه دارد زیرا هنوز ناوگانی از ماشین های قدیمی در پلتفرم 86/286 وجود دارد که نسخه 32 بیتی نمی تواند کار کند.

(محافظت نرم افزار ضد ویروس)

یک محصول نرم افزاری جالب آنتی ویروس AVSP است. این برنامه یک آشکارساز، یک پزشک، یک ممیزی را ترکیب می کند و حتی برخی از عملکردهای فیلتر مقیم را دارد (ممنوعیت نوشتن روی فایل هایی با ویژگی READ ONLY). آنتی ویروس می تواند ویروس های شناخته شده و ناشناخته را درمان کند، علاوه بر این، در مورد روش درمان آخرین برنامهمی تواند توسط کاربر گزارش شود. علاوه بر این، AVSP می تواند ویروس های خود اصلاح کننده و Stealth (Stealth) را درمان کند.

هنگامی که AVSP را راه اندازی می کنید، سیستمی از پنجره ها با منوها و اطلاعات مربوط به وضعیت برنامه ظاهر می شود. بسیار راحت سیستم اشاره متنی، که توضیحی در مورد هر آیتم منو می دهد. به صورت کلاسیک با کلید F1 نامیده می شود و هنگام جابجایی از یک مورد به مورد دیگر تغییر می کند. همچنین مزیت بی اهمیتی در عصر ما از ویندوز و "نیمه محور" (OS / 2) پشتیبانی از ماوس است. یک اشکال قابل توجه رابط AVSP عدم امکان انتخاب آیتم های منو با فشار دادن یک کلید با حرف مربوطه است، اگرچه این تا حدودی با توانایی انتخاب یک مورد با فشار دادن ALT و تعداد مربوط به تعداد این مورد جبران می شود. مورد

بسته AVSP نیز شامل درایور مقیم AVSP.SYS، که به شما امکان می دهد اکثر ویروس های نامرئی را شناسایی کنید (به جز ویروس هایی مانند Ghost-1963 یا DIR)، ویروس ها را در طول مدت کار آنها غیرفعال کنید و همچنین تغییر فایل های READ ONLY را ممنوع می کند.

یکی دیگر از عملکردهای AVSP.SYS این است غیرفعال کردن ویروس های مقیم در حالی که AVSP.EXE در حال اجرا استبا این حال، همراه با ویروس ها، درایور برخی از برنامه های ساکن دیگر را نیز غیرفعال می کند. اولین باری که AVSP را اجرا می کنید، باید سیستم خود را برای ویروس های شناخته شده تست کنید. در عین حال بررسی می کند رم، بخش BOOT و فایل ها. در برخی موارد، حتی می توانید فایل های خراب شده توسط یک ویروس ناشناخته را بازیابی کنید. می‌توانید چک‌هایی را برای اندازه فایل‌ها، چک‌جمع‌های آن‌ها، وجود ویروس‌ها در آن‌ها یا همه این‌ها با هم نصب کنید. همچنین می توانید مشخص کنید که دقیقاً چه چیزی را بررسی کنید (بخش بوت، حافظه یا فایل ها). مانند اکثر برنامه های آنتی ویروس، در اینجا نیز به کاربر این امکان داده می شود که بین سرعت و کیفیت یکی را انتخاب کند. ماهیت یک بررسی با سرعت بالا این است که کل فایل اسکن نمی شود، بلکه فقط ابتدای آن اسکن می شود. بنابراین می توان اکثر ویروس ها را کشف کرد. اگر ویروس در وسط نوشته شده باشد یا فایل به چندین ویروس آلوده شده باشد (در این مورد به نظر می رسد ویروس های "قدیمی" توسط "جوانان" به وسط فشار داده می شوند)، برنامه متوجه آن نخواهد شد. بنابراین، بهینه سازی کیفیت باید تنظیم شود، به خصوص که در تست کیفیت AVSP زمان زیادی از تست سرعت بالا نمی برد.

در تشخیص خودکارویروس های جدید AVSP می توانند اشتباهات زیادی انجام دهند. بنابراین، هنگام شناسایی خودکار یک الگو، نباید خیلی تنبل باشید و بررسی کنید که آیا واقعاً یک ویروس است و آیا این الگو در برنامه های سالم یافت می شود یا خیر.

اگر یک ویروس شناخته شده در طول فرآیند AVSP شناسایی شود، باید همان اقداماتی را که هنگام کار با Aidstest و Dr. وب: فایل را روی دیسک کپی کنید، از فلاپی پشتیبان راه اندازی مجدد کنید و AVSP را اجرا کنید. همچنین مطلوب است که درایور AVSP.SYS در حافظه بارگذاری شود، زیرا به برنامه اصلی کمک می کند تا ویروس های Stealth را ضد عفونی کند.

یکی دیگر از ویژگی های مفید این است جداساز داخلی. با کمک آن می توانید متوجه شوید که آیا ویروسی در فایل وجود دارد یا در حین بررسی دیسک یک AVSP مثبت کاذب رخ داده است. علاوه بر این، می توانید سعی کنید روش عفونت، اصل ویروس و همچنین مکانی که بایت های جایگزین شده فایل را "پنهان" کرده است (اگر با این نوع ویروس سر و کار داریم) پیدا کنید. همه اینها به شما امکان می دهد تا یک روش حذف ویروس بنویسید و فایل های خراب را بازیابی کنید. یکی دیگه ویژگی مفید- استرداد مجرم نقشه بصری تغییرات. نقشه تغییر به شما امکان می دهد ارزیابی کنید که آیا این تغییرات با ویروس مطابقت دارد یا خیر، و همچنین منطقه جستجوی بدنه ویروس را در حین جداسازی محدود کنید.

برنامه AVSP دارای دو الگوریتم برای خنثی کردن ویروس های مخفی ("نامرئی") است و هر دوی آنها تنها در صورتی کار می کنند که یک ویروس فعال در حافظه وجود داشته باشد. زمانی که این الگوریتم‌ها اجرا می‌شوند، این اتفاق می‌افتد: همه فایل‌ها در فایل‌های داده کپی می‌شوند و سپس پاک می‌شوند. فقط فایل هایی با ویژگی SYSTEM ذخیره می شوند. در Adinf، روند حذف Stealth ها بسیار ساده تر است.

برنامه AVSP همچنین وضعیت بخش های بوت را نظارت می کند. اگر بخش BOOT در فلاپی دیسک آلوده است و آنتی ویروس قادر به درمان آن نیست، باید کد بوت را پاک کنید. فلاپی دیسک غیر سیستمی می شود، اما داده ها از بین نمی روند. شما نمی توانید این کار را با وینچستر انجام دهید. اگر تغییراتی در یکی از بخش‌های BOOT دیسک سخت شناسایی شود، AVSP پیشنهاد می‌کند آن را در برخی از فایل‌ها ذخیره کرده و سپس سعی کنید ویروس را حذف کنید.

آنتی ویروس مایکروسافت

نسخه های مدرن MS-DOS (به عنوان مثال، 6.22) شامل یک آنتی ویروس است برنامه مایکروسافتآنتی ویروس (MSAV). این آنتی ویروس می تواند در حالت آشکارساز-پزشک و ممیزی کار کند. MSAV دارد رابط سبک MS-Windowsماوس به طور طبیعی پشتیبانی می شود. به خوبی اجرا شده است کمک زمینه:یک اشاره برای تقریبا هر آیتم منو، برای هر موقعیتی وجود دارد. دسترسی به آیتم های منو به صورت جهانی اجرا می شود: برای این کار می توانید از کلیدهای مکان نما، کلیدهای کلیدی (F1-F9)، کلیدهای مربوط به یکی از حروف نام مورد و همچنین ماوس استفاده کنید. یک ناراحتی جدی در هنگام استفاده از برنامه این است که جداول را با داده های مربوط به پرونده ها در یک فایل ذخیره نمی کند، بلکه آنها را در همه فهرست ها پراکنده می کند.

پس از راه اندازی، برنامه مولد کاراکتر خود را بارگیری می کند و درخت دایرکتوری دیسک فعلی را می خواند و پس از آن به منوی اصلی خارج می شود. مشخص نیست که چرا درخت دایرکتوری را بلافاصله هنگام راه اندازی بخوانید: در نهایت، کاربر ممکن است نخواهد دیسک فعلی را بررسی کند.

در طی اولین بررسی، MSAV فایل‌های CHKLIST.MS را در هر دایرکتوری حاوی فایل‌های اجرایی ایجاد می‌کند، که در آن اطلاعات مربوط به اندازه، تاریخ، زمان، ویژگی‌ها و همچنین جمع‌بندی چک فایل‌های کنترل‌شده را می‌نویسد. طی بررسی های بعدی، برنامه فایل ها را با اطلاعات موجود در فایل های CHKLIST.MS مقایسه می کند. اگر اندازه و تاریخ تغییر کرده باشد، برنامه کاربر را در این مورد مطلع می کند و اقدامات بعدی را درخواست می کند: اطلاعات را به روز کنید (به روز رسانی)، تاریخ و زمان را مطابق با داده های موجود در CHKLIST.MS (تعمیر) تنظیم کنید، ادامه دهید، نادیده بگیرید. تغییر در فایل داده شده(ادامه)، چک را لغو کنید (توقف کنید).

در منوی Options می توانید برنامه را به دلخواه خود پیکربندی کنید. در اینجا می‌توانید حالت جستجوی ویروس‌های نامرئی (Anti-Stealth) را تنظیم کنید، همه فایل‌ها (نه فقط قابل اجرا) را بررسی کنید (همه فایل‌ها را بررسی کنید)، و همچنین ایجاد جداول CHKLIST.MS را مجاز یا ممنوع کنید (ایجاد چک‌جمع‌های جدید). علاوه بر این، می توانید حالت ذخیره گزارش کار انجام شده را در یک فایل تنظیم کنید. اگر گزینه Create Backup را تنظیم کنید، قبل از حذف ویروس از یک فایل آلوده، کپی آن با پسوند VIR ذخیره می شود.

از منوی اصلی، می توانید با فشار دادن کلید F9 لیستی از ویروس های شناخته شده برای MSAV را مشاهده کنید. با این کار پنجره ای با نام ویروس ها ظاهر می شود. برای دیدن بیشتر اطلاعات دقیقدر مورد یک ویروس، باید مکان نما را به نام آن ببرید و ENTER را فشار دهید. با تایپ حروف اول نام ویروس مورد نظر می توانید به سرعت به سمت آن بروید. اطلاعات مربوط به ویروس را می توان با انتخاب آیتم منوی مناسب به چاپگر خروجی داد.

(Diskinfoscope پیشرفته)

ADinf متعلق به کلاس برنامه های حسابرس است. این برنامه توسط D.Yu ساخته شده است. موستوف در سال 1991

خانواده برنامه های ADinf، حسابرسان دیسکی هستند که برای کار بر روی آنها طراحی شده اند کامپیوترهای شخصیاداره می شود سیستم های عامل MS-DOS، MS-Windows 3.xx، Windows 95/98 و Windows NT/2000. کار برنامه ها بر اساس نظارت منظم بر تغییرات رخ داده در هارد دیسک است. اگر ویروسی ظاهر شود، ADinf آن را بر اساس تغییراتی که در سیستم فایل و/یا بخش بوت دیسک ایجاد می کند، شناسایی کرده و کاربر را در مورد آن مطلع می کند. برخلاف اسکنرهای ضد ویروس، ADinf از "پرتره" (امضا) ویروس های خاص در کار خود استفاده نمی کند. بنابراین، ADinf به ویژه در شناسایی ویروس های جدید که هنوز پادزهری برای آنها یافت نشده است، موثر است.

به ویژه باید توجه داشت که ADinf از توابع سیستم عامل برای کنترل دیسک ها استفاده نمی کند. بخش دیسک را به بخش می خواند و به طور مستقل ساختار سیستم فایل را تجزیه می کند، که به آن اجازه می دهد تا ویروس های مخفی را شناسایی کند.

در صورت نصب واحد درمانی Adinf در سیستم ( ADinf درمان مدول ، سپس این پشت سر هم قادر است نه تنها عفونت ظاهر شده را تشخیص دهد، بلکه با موفقیت از بین ببرد. آزمایش نشان داده است که ماژول ADinf Cure قادر است با موفقیت با 97٪ از ویروس ها مقابله کند و بازیابی شود. فایل های خراببایت دقیق

خواص مفید ADinf به مبارزه با ویروس ها محدود نمی شود. در واقع، ADinf سیستمی است که به شما امکان می دهد امنیت اطلاعات روی دیسک ها را نظارت کنید و هرگونه تغییر حتی جزئی را در سیستم فایل شناسایی کنید، یعنی تغییرات در مناطق سیستم، تغییرات فایل، ایجاد و حذف دایرکتوری ها، ایجاد، حذف، تغییر نام. و انتقال فایل ها از دایرکتوری به کاتالوگ. ترکیب اطلاعات کنترل شده به صورت انعطاف پذیر پیکربندی شده است که به شما امکان می دهد فقط آنچه را که نیاز دارید کنترل کنید.

اولین نسخه این برنامه در سال 1991 منتشر شد و از آن زمان ADinf به شایستگی محبوب ترین حسابرس در روسیه و کشورهای اتحاد جماهیر شوروی سابق بوده است. امروزه شمارش تعداد کاربران قانونی و غیرقانونی ADinf دشوار است. بیش از 2500 مشترک شرکتی Dialog-Science Anti-Virus Kit که شامل ADinf می شود، از رایانه های خود با آن محافظت می کنند. برنامه ADinf گواهینامه هایی را در سیستم صدور گواهینامه GOST R، سیستم صدور گواهینامه امنیت اطلاعات وزارت دفاع و گواهی کمیسیون فنی دولتی زیر نظر رئیس جمهور دریافت کرد. فدراسیون روسیه(به عنوان بخشی از کیت آنتی ویروس Dialog-Science). این برنامه به طور مداوم در حال بهبود است و همیشه در لبه فناوری های مدرن قرار دارد.

در ابتدا، حسابرس ADinf برای سیستم عامل MS-DOS توسعه یافت. نسخه های بعدی این برنامه برای Windows 3.xx و Windows 95/98/NT منتشر شد. اکنون خانواده ای از حسابرسان سازگار برای سیستم عامل های مختلف وجود دارد. همه انواع ADinf امروزه از سیستم های فایل ویندوز 95/98، نام فایل ها و فهرست های طولانی پشتیبانی می کنند و ساختار داخلی فایل های اجرایی را تجزیه می کنند. فایل های ویندوز 95/98 و NT.

بنابراین، برنامه Adinf:

این دارد سرعت بالاکار؛

قادر به مقاومت در برابر ویروس ها در حافظه است.

به شما این امکان را می دهد که دیسک را با خواندن آن توسط بخش از طریق BIOS و بدون استفاده کنترل کنید سیستم قطع می شود DOS، که می تواند توسط یک ویروس رهگیری شود.

می تواند تا 32000 فایل را در هر درایو مدیریت کند.

بر خلاف AVSP، که در آن کاربر باید تجزیه و تحلیل کند که آیا دستگاه به ویروس Stealth آلوده شده است، ابتدا از هارد دیسک و سپس از فلاپی دیسک مرجع بوت می شود، در ADinf این عملیات به طور خودکار انجام می شود.

بر خلاف سایر آنتی ویروس ها، Advanced Diskinfoscope نیازی به بوت شدن از فلاپی دیسک مرجع و محافظت شده از نوشتن ندارد. هنگام بارگیری از هارد دیسک، قابلیت اطمینان حفاظت کاهش نمی یابد.

ADinf دارای یک رابط دوستانه به خوبی اجرا شده است، که بر خلاف AVSP، نه در متن، بلکه در حالت گرافیکی اجرا می شود.

هنگام نصب ADinf در سیستم، امکان تغییر نام فایل اصلی ADINF.EXE و نام جداول وجود دارد، در حالی که کاربر می تواند هر نامی را تعیین کند. این یک ویژگی بسیار مفید است، زیرا اخیراً ویروس های زیادی ظاهر شده اند که آنتی ویروس ها را "شکار" می کنند (به عنوان مثال، ویروسی وجود دارد که برنامه Aidstest را تغییر می دهد به طوری که به جای صفحه نمایش اسپلش DialogueScience، می نویسد: "Lozinsky یک stump”)، شامل و فراتر از ADinf.

چندین نسخه از حسابرس Adinf برای سیستم عامل های مختلف وجود دارد. هر کدام از آنها ویژگی های خاص خود را دارند.

ممیز، مامور رسیدگی ADinf طراحی شده برای سیستم عامل های MS-DOS و ویندوز 95/98. این توسعه اولین نسخه حسابرس است که در سال 1991 ایجاد شد. امروزه ADinf قابل اعتمادترین ابزار برای شناسایی ویروس های شناخته شده و ناشناخته جدید است. این تنها حسابرس در جهان است که چک می کند سیستم فایلخواندن توسط بخش ها به طور مستقیم از طریق بایوس کامپیوتر.

ممیز، مامور رسیدگی ADinf برای ویندوز طراحی شده برای سیستم عامل Windows 3.xx. به تمام ویژگی های حسابرس ADinf، این نسخه از برنامه یک ویژگی راحت اضافه می کند رابط کاربری گرافیکیکاربر.

ممیز، مامور رسیدگی ADinf Pro برای کنترل ایمنی اطلاعات بسیار ارزشمند، مانند پایگاه‌های داده یا اسناد، در محیط سیستم‌عامل‌های MS-DOS، Windows 3.xx و Windows 95/98 طراحی شده است. یکی از ویژگی های این نسخه از برنامه، استفاده از یک تابع هش 64 بیتی برای کنترل یکپارچگی فایل ها است که توسط شرکت معروف روسی LAN-Crypto توسعه یافته است. استفاده از این تابع هش نه تنها تشخیص تغییرات تصادفی فایل یا تغییرات ناشی از ویروس‌ها را تضمین می‌کند، بلکه تغییر عمدی اطلاعات روی دیسک را غیرممکن می‌کند.

ممیز، مامور رسیدگی ADinf32 یک برنامه 32 بیتی چند رشته ای برای عملیات است سیستم های ویندوز 95/98 و ویندوز NT با رابط کاربری مدرن. این نسخه از برنامه نه تنها تمام مزایای سایر گزینه ها را دارد، بلکه در مقایسه با آنها موارد جدید زیادی نیز دارد.

لازم به ذکر است که برنامه Adinf به خوبی با سایر برنامه های کیت DSAV از Dialog-Science ادغام شده است. به عنوان مثال، Adinf لیستی از فایل های جدید و تغییر یافته روی دیسک ایجاد می کند، در حالی که Aidstest و DrWeb می توانند فایل های این لیست را بررسی کنند که زمان اجرای این برنامه ها را به میزان قابل توجهی کاهش می دهد.

(AntiViral Toolkit Pro)

این برنامه توسط ZAO Kaspersky Lab ساخته شده است. AVP یکی از پیشرفته ترین مکانیسم های تشخیص ویروس را دارد. امروزه AVP عملاً به هیچ وجه کمتر از همتایان غربی نیست.

AVP حداکثر خدمات را در اختیار کاربران قرار می دهد - امکان به روز رسانی پایگاه داده های آنتی ویروس از طریق اینترنت، امکان تنظیم پارامترها اسکن خودکارو ضد عفونی فایل های آلوده به‌روزرسانی‌ها در وب‌سایت AVP تقریباً هر هفته ظاهر می‌شوند و پایگاه داده شامل توضیحاتی برای تقریباً 40000 ویروس است.

AVP از چندین ماژول مهم تشکیل شده است:

• 1) اسکنر AVP چک ها دیسکهای سختبرای عفونت ویروسی می توانید یک جستجوی کامل تنظیم کنید که در آن برنامه تمام فایل ها را پشت سر هم بررسی می کند و همچنین حالت بررسی فایل های بایگانی شده را تنظیم می کند. یکی از مزایای اصلی AVP این است مبارزه با ماکرو ویروس ها. کاربر می تواند حالت خاصی را انتخاب کند که در آن اسناد ایجاد می شوند فرمت مایکروسافتدفتر. پس از شناسایی ویروس ها یا فایل های آلوده، AVP چندین گزینه برای انتخاب ارائه می دهد: حذف ویروس ها از فایل ها، حذف خود فایل های آلوده یا انتقال آنها به یک پوشه خاص.
• 2) AVP نظارت کنید. این برنامه به طور خودکار بارگذاری می شود زمانی که راه اندازی ویندوز. AVP Monitor به طور خودکار تمامی فایل های راه اندازی شده بر روی کامپیوتر و اسناد باز شده را بررسی می کند و در صورت حمله ویروس، کاربر را از آن مطلع می کند. علاوه بر این، در بیشتر موارد، AVP Monitor به سادگی از راه اندازی فایل آلوده جلوگیری می کند و اجرای آن را مسدود می کند. این ویژگی برنامه برای کسانی که دائما با فایل های جدید زیادی سر و کار دارند، به عنوان مثال برای کاربران فعالاینترنت (از آنجایی که اجرای AVP هر پنج دقیقه برای بررسی فایل های دانلود شده غیرممکن است، AVP Monitor در اینجا به کمک می آید).
• 3) AVP بازرس - آخرین و بسیار مهم ماژول کیت AVP که به شما امکان می دهد حتی ویروس های ناشناخته را بگیرید. "Inspector" از روشی برای کنترل تغییرات اندازه فایل استفاده می کند. با نفوذ به یک فایل، ویروس به ناچار حجم آن را افزایش می دهد و "بازرس" به راحتی آن را تشخیص می دهد.

علاوه بر تمام موارد فوق، به اصطلاح وجود دارد مرکز کنترل AVP - "کنترل پنل" برای تمام برنامه های مجموعه AVP. مهمترین ویژگی این برنامه Task Scheduler داخلی است که به شما این امکان را می دهد بررسی سریع(و در صورت لزوم - و درمان سیستم) در حالت خودکار، بدون مشارکت کاربر، اما در زمان مشخص شده توسط وی.