Datoru antivīrusu programmu salīdzinošā analīze. Pretvīrusu programmatūras salīdzinošā analīze Pretvīrusu programmu vispārīgie raksturojumi un salīdzinošā analīze
Uzvedība salīdzinošās īpašības pretvīrusu programmas- diezgan atbildīgs uzdevums gan vairākuma lietotāju iedibināto preferenču dēļ, gan izredzes izraisīt neapmierinātību ar ražošanas uzņēmumiem, kuri saskaņā ar testa rezultātiem atradās reitinga zemākajās rindās.
Viena lieta ir forumos izplatīt informāciju par antivīrusa priekšrocībām un trūkumiem; cita lieta ir iepazīstināt lietotājus ar labi pazīstamu zīmolu produktu salīdzinošās pārbaudes rezultātiem.
Šajā situācijā labākais risinājums ir piesaistīt pazīstamus speciālistus, kuri profesionāli nodarbojas ar pretvīrusu programmatūras testēšanu. Viens no tiem ir eksperti no neatkarīgā Krievijas informācijas un analītiskā portāla informācijas drošība Anti-Malware.ru, kas bija iesaistīti tālāk norādīto pretvīrusu programmu testēšanā.
Pārbaudei tika izmantotas šādas pretvīrusu programmas:
- - Kaspersky Anti-Virus 7.0
- - Eset Nod32 2.7
- - DrWeb 4.44
- - Norton Anti-Virus 2007
- - Avira AntiVir PE Classic 7.0.
Lai novērtētu pārbaudīto programmu galveno kritēriju - aizsardzības kvalitāti, tika ņemti vērā šādi parametri:
- - heiristiskās analīzes kvalitāte;
- - reakcijas ātrums, atklājot vīrusus;
- - parakstu analīzes kvalitāte;
- - uzvedības bloķētāja kvalitāte;
- - spēja ārstēt aktīvas infekcijas;
- - spēja identificēt aktīvos rootkits;
- - pašaizsardzības kvalitāte;
- - spēja atbalstīt iepakotājus;
- - viltus pozitīvu rezultātu biežums.
rezultātus
datorvīrusu programma
|
Kritērijs |
Kaspersky Anti-Virus |
Norton Anti-Virus |
|||
|
Resursu intensitāte |
|||||
|
Ērtības |
|||||
|
Funkcionalitāte |
|||||
|
Izturība pret neveiksmēm |
|||||
|
Iestatījumu elastība |
|||||
|
Viegli uzstādīt |
|||||
|
Ātruma reakcija |
|||||
|
Parakstu noteikšana |
|||||
|
Heiristiskais analizators |
|||||
|
Uzvedības bloķētājs |
|||||
|
Aktīvās infekcijas ārstēšana |
|||||
|
Aktīvo sakņu komplektu noteikšana |
|||||
|
Pašaizsardzība |
|||||
|
Iepakotāju atbalsts |
|||||
|
Viltus pozitīvi |
|||||
Saskaņā ar pretvīrusu programmu salīdzinošās testēšanas rezultātiem pirmajā vietā iznāca Kaspersky Anti-Virus 7.0, par 15 punktiem mazāk ieguva Norton Anti-Virus 2007, bet trešo rezultātu uzrādīja pretvīrusu programma Eset Nod32 2.7.
Kopējos testu rezultātus ietekmēja dažādi kritēriji, pēc kuriem tika vērtētas antivīrusu programmas, un būtu nekorekti jebkuru programmu saukt par absolūtu līderi kaut vai tāpēc, ka dažādi antivīrusu programmu parametri dažādiem lietotājiem ir vispievilcīgākie, lai gan galvenais kritērijs- aizsardzības kvalitāte, protams, ir prioritāte.
Labākos rezultātus Kaspersky Anti-Virus 7.0 salīdzinošajā testēšanā nosaka reakcijas ātrums uz jauniem draudiem, bieža vīrusu datu bāzu atjaunināšana, uzvedības bloķētāja klātbūtne, kas nav atrodama citās pretvīrusu programmās, iespēja noņemt sakņu komplektus un efektīva pašaizsardzība.
Kaspersky Anti-Virus 7.0 priekšrocības ietver arī tās lielo funkcionālo diapazonu: aktīvo sakņu komplektu noteikšana un inaktivēšana, ātra pārbaude HTTP trafiks, iespēja mainīt ļaunprogrammatūras ietekmi, avārijas seku programmas klātbūtne, efektīva centrālā procesora slodzes regulēšana.
Kaspersky Anti-Virus 7.0 trūkumi ietver zemu izturību pret kļūmēm un salīdzinoši zemo heiristiskās analīzes efektivitāti, kas novērš uzticamu pretestību tiem draudu veidiem, kas pašlaik Kaspersky Anti-Virus 7.0 nav zināmi. Starp Kaspersky Anti-Virus 7.0 negatīvajām īpašībām ir liels skaits kļūdaini pozitīvu, kas īpaši kaitina dažus lietotājus.
Norton Anti-Virus 2007, kas atrodas otrajā pozīcijā, piesaista ar savu lietotājam draudzīgo saskarni, parakstu noteikšanas efektivitāti un zemo viltus trauksmju skaitu.
Tajā pašā laikā Norton Anti-Virus 2007 patērē diezgan daudz sistēmas resursu un tam ir zems reakcijas ātrums. Tā proaktīvā aizsardzība nav pati spēcīgākā, un iepakotāju atbalsts ir nedaudz ierobežots. Norton Anti-Virus 2007 pielāgošanas iespējas ir ierobežotas, kas neļauj to pielāgot plašam lietotāju lokam.Eset Nod32 2.7, kas ieņēma trešo vietu, spēcīgākās puses bija tās efektīvais heiristiskais analizators un minimālais sistēmas patēriņš. resursi, ko īpaši atzīmē ne pārāk “ātro” datoru īpašnieki.
Eset Nod32 2.7 trūkumi ietver nepietiekami ātru reakciju uz jauniem draudiem, minimālu spēju noteikt aktīvos sakņu komplektus un novērst aktīvās infekcijas sekas. Arī novecojušais interfeiss ir jāatjaunina.
Doctor Web pretvīrusu programmas ceturtā vieta ir saistīta ar aktīva bloķētāja neesamību, efektīvi instrumenti aktīvas infekcijas apkarošana un sakņu komplektu noteikšana. Arī Doctor Web heiristiskā analizatora efektivitāte atstāj daudz ko vēlēties. Neskatoties uz visiem šī antivīrusa trūkumiem, nevar nepieminēt diezgan augsto iestatījumu elastību, reakcijas ātrumu un instalācijas algoritmu, kas ir pieejams pat visnepieredzējušākajam lietotājam.
Avira AntiVir PE Classic 7.0 uzrādīja sliktākos rezultātus salīdzinājumā ar citiem testa dalībniekiem. Un, lai gan tā parakstu detektors un analītiskais analizators ir salīdzinoši labi, neefektīvi aizsardzības pasākumi un zemā spēja novērst programmu infekciju sekas ir nobīdījusi Avira AntiVir PE Classic 7.0 uz pēdējo vietu.
Vienīgā Avira AntiVir PE Classic 7.0 priekšrocība salīdzinājumā ar citiem testēšanas dalībniekiem ir tā, ka tā ir bezmaksas. Citiem pretvīrusu produktiem ir aptuveni tādas pašas izmaksas (1000 rubļu robežās), lai gan vietējie Kaspersky Anti-Virus un Doctor Web, kuriem ir augstāks tehniskā atbalsta kvalitātes līmenis, izskatās nedaudz pievilcīgāki.
Ievads
1. Teorētiskā daļa
1.1. Informācijas drošības jēdziens
1.2. Apdraudējumu veidi
1.3 Informācijas drošības metodes
2. Dizaina daļa
2.1. Datorvīrusu klasifikācija
2.2. Pretvīrusu programmas jēdziens
2.3. Pretvīrusu produktu veidi
2.4. Pretvīrusu pakotņu salīdzinājums
Secinājums
Izmantotās literatūras saraksts
Pieteikums
Ievads
Jaunu izstrāde informācijas tehnoloģijas un vispārējā datorizācija ir novedusi pie tā, ka informācijas drošība kļūst ne tikai obligāta, bet arī viena no informācijas sistēmu īpašībām. Ir diezgan liela informācijas apstrādes sistēmu klase, kuras izstrādē drošības faktoram ir galvenā loma.
Personālo datoru plašā izplatība ir saistīta ar pašreproducējošu vīrusu programmu rašanos, kas traucē normālu datora darbību, iznīcina disku failu struktūru un bojā datorā glabāto informāciju.
Neskatoties uz daudzās valstīs pieņemtajiem likumiem datornoziegumu apkarošanai un īpašas pretvīrusu programmatūras izstrādei, jaunu programmatūras vīrusu skaits nepārtraukti pieaug. Tam nepieciešams lietotājs personālais dators zināšanas par vīrusu būtību, inficēšanās metodēm ar vīrusiem un aizsardzību pret tiem.
Vīrusi ar katru dienu kļūst arvien sarežģītāki, kā rezultātā būtiski mainās draudu profils. Bet pretvīrusu programmatūras tirgus nestāv uz vietas, piedāvājot daudzus produktus. To lietotāji, izklāstot problēmu tikai vispārīgi, bieži vien palaiž garām svarīgas nianses un galu galā rada ilūziju par aizsardzību, nevis pašu aizsardzību.
Šīs darbības mērķis kursa darbs ir veikt pretvīrusu pakotņu salīdzinošu analīzi.
Lai sasniegtu šo mērķi, darbā tiek atrisināti šādi uzdevumi:
Apgūt informācijas drošības, datorvīrusu un pretvīrusu rīku jēdzienus;
Noteikt informācijas drošības apdraudējumu veidus, aizsardzības metodes;
Izpētīt datorvīrusu un pretvīrusu programmu klasifikāciju;
Uzvedība salīdzinošā analīze pretvīrusu pakotnes;
Izveidojiet pretvīrusu programmu.
Darba praktiskā nozīme.
Iegūtos rezultātus un kursa darba materiālu var izmantot par pamatu neatkarīgai antivīrusu programmu salīdzināšanai.
Kursa darba struktūra.
Kursa darbs sastāv no ievada, divām sadaļām, noslēguma un literatūras saraksta.
datorvīrusu drošības antivīruss
1. Teorētiskā daļa
Veicot pretvīrusu pakotņu salīdzinošo analīzi, ir jādefinē šādi jēdzieni:
1 Informācijas drošība.
2 Draudu veidi.
3 Informācijas drošības metodes.
Pāriesim pie šo jēdzienu detalizētas apskates:
1.1. Informācijas drošības jēdziens
Neskatoties uz arvien pieaugošajiem centieniem radīt datu aizsardzības tehnoloģijas, to ievainojamība mūsdienu apstākļos ne tikai nesamazinās, bet nepārtraukti palielinās. Tāpēc arvien vairāk pieaug ar informācijas aizsardzību saistīto problēmu aktualitāte.
Informācijas drošības problēma ir daudzšķautņaina un sarežģīta un aptver vairākus svarīgus uzdevumus. Piemēram, datu konfidencialitāte, kas tiek nodrošināta, izmantojot dažādas metodes un līdzekļus. Līdzīgu informācijas drošības uzdevumu sarakstu var turpināt. Mūsdienu informācijas tehnoloģiju un īpaši tīklu tehnoloģiju intensīva attīstība rada tam visus priekšnoteikumus.
Informācijas aizsardzība ir pasākumu kopums, kura mērķis ir nodrošināt datu ievadīšanai, glabāšanai, apstrādei un pārsūtīšanai izmantotās informācijas un resursu integritāti, pieejamību un, ja nepieciešams, konfidencialitāti.
Līdz šim ir formulēti divi informācijas aizsardzības pamatprincipi:
1 datu integritāte – aizsardzība pret kļūmēm, kas izraisa informācijas zudumu, kā arī aizsardzība pret nesankcionētu datu radīšanu vai iznīcināšanu;
2 informācijas konfidencialitāte.
Aizsardzība pret kļūmēm, kas izraisa informācijas zudumu, tiek veikta uzticamības palielināšanas virzienā atsevišķi elementi un sistēmas, kas ievada, uzglabā, apstrādā un pārraida datus, atsevišķu elementu un sistēmu dublēšanu un dublēšanu, dažādu, tostarp autonomu, enerģijas avotu izmantošanu, lietotāju kvalifikācijas līmeņa paaugstināšanu, aizsardzību pret netīšām un tīšām darbībām, kas izraisa iekārtas atteici, programmatūras un aizsargātās informācijas iznīcināšana vai maiņa (pārveidošana).
Aizsardzību pret nesankcionētu datu radīšanu vai iznīcināšanu nodrošina informācijas fiziska aizsardzība, aizsargājamās informācijas elementu ierobežošana un piekļuves ierobežošana, aizsargātās informācijas slēgšana tās tiešās apstrādes laikā, programmatūras un aparatūras sistēmu, ierīču un specializētas programmatūras izstrāde, lai novērstu nesankcionētu iznīcināšanu. piekļuve aizsargātai informācijai.
Informācijas konfidencialitāti nodrošina piekļuves subjektu identifikācija un autentifikācija, piesakoties sistēmā, izmantojot ID un paroli, ārējo ierīču identificēšana pēc fiziskajām adresēm, programmu, sējumu, direktoriju, failu identificēšana pēc nosaukuma, informācijas šifrēšana un atšifrēšana, norobežošana. un piekļuves kontrolei.
Starp pasākumiem, kuru mērķis ir informācijas aizsardzība, galvenie ir tehniskie, organizatoriski un juridiskie.
Tehniskie pasākumi ietver aizsardzību pret nesankcionētu piekļuvi sistēmai, īpaši svarīgu datoru apakšsistēmu dublēšanu, organizāciju datortīkli ar iespēju pārdalīt resursus atsevišķu saišu darbības traucējumu gadījumā, uzstādīšana rezerves sistēmas barošanas bloki, telpu aprīkošana ar slēdzenēm, signalizāciju uzstādīšana utt.
Organizatoriskie pasākumi ietver: datorcentra apsardzi (informātikas telpas); pakalpojumu līguma noslēgšana datortehnika ar cienījamu organizāciju ar labu reputāciju; izslēdzot iespēju, ka ar datortehniku strādā nepiederošas personas, nejaušas personas un tā tālāk.
Tiesiskie pasākumi ietver standartu izstrādi, kas nosaka atbildību par datortehnikas atspējošanu un programmatūras iznīcināšanu (maiņu), sabiedrības kontroli pār izstrādātājiem un lietotājiem. datorsistēmas un programmas.
Jāuzsver, ka neviena aparatūra, programmatūra vai kādi citi risinājumi nevar garantēt absolūtu uzticamību un datu drošību datorsistēmās. Tajā pašā laikā ir iespējams samazināt zaudējumu risku, bet tikai tad, ja integrēta pieeja informācijas aizsardzībai.
1.2. Apdraudējumu veidi
Pasīvie draudi galvenokārt ir vērsti uz neatļautu izmantošanu informācijas resursi informācijas sistēmu, neietekmējot tās darbību. Piemēram, nesankcionēta piekļuve datu bāzēm, sakaru kanālu noklausīšanās utt.
Aktīvo apdraudējumu mērķis ir traucēt normālu informācijas sistēmas darbību, apzināti ietekmējot tās sastāvdaļas. Aktīvie draudi ietver, piemēram, datora vai tā operētājsistēmas atspējošanu, datora programmatūras iznīcināšanu, sakaru līniju pārtraukšanu utt. Aktīvus draudus var radīt hakeri, ļaunprātīga programmatūra un tamlīdzīgi.
Tīši apdraudējumi tiek iedalīti arī iekšējos (kas rodas pārvaldītās organizācijas ietvaros) un ārējos.
Iekšējos draudus visbiežāk nosaka sociālā spriedze un grūts morālais klimats.
Ārējos draudus var noteikt konkurentu ļaunprātīga rīcība, ekonomiskie apstākļi un citi iemesli (piemēram, dabas katastrofas).
Galvenie draudi informācijas drošībai un informācijas sistēmas normālai darbībai ir:
Konfidenciālas informācijas noplūde;
Informācijas kompromitēšana;
Informācijas resursu neatļauta izmantošana;
Nepareiza informācijas resursu izmantošana;
Neatļauta informācijas apmaiņa starp abonentiem;
Informācijas atteikums;
Informācijas pakalpojumu pārkāpšana;
Nelikumīga privilēģiju izmantošana.
Konfidenciālas informācijas noplūde ir konfidenciālas informācijas nekontrolēta izpaušana ārpus informācijas sistēmas vai to personu loka, kurām tā tika uzticēta darba gaitā vai kļuva zināma darba gaitā. Šīs noplūdes iemesls var būt:
Konfidenciālas informācijas izpaušana;
Informācijas nodošana, izmantojot dažādus, galvenokārt tehniskos, kanālus;
Neatļauta piekļuve konfidenciālai informācijai Dažādi ceļi.
Informācijas izpaušana no tās īpašnieka vai turētāja puses ir tīša vai neuzmanīga to amatpersonu un lietotāju, kuriem attiecīgā informācija tika uzticēta noteiktajā kārtībā, dienesta vai darba laikā, kā rezultātā ar to iepazinās personas, kurām nebija atļauts piekļuvi šai informācijai.
Iespējama nekontrolēta konfidenciālas informācijas zaudēšana, izmantojot vizuāli optiskos, akustiskos, elektromagnētiskos un citus kanālus.
Neatļauta piekļuve ir nelikumīga un apzināta konfidenciālas informācijas iegūšana, ko veic persona, kurai nav tiesību piekļūt aizsargātai informācijai.
Visizplatītākie nesankcionētas piekļuves veidi informācijai ir:
Elektroniskā starojuma pārtveršana;
Klausīšanās ierīču izmantošana;
Fotografēšana no attāluma;
Akustiskā starojuma pārtveršana un printera teksta atjaunošana;
Datu nesēju kopēšana, pārvarot drošības pasākumus;
Maskēšana kā reģistrēts lietotājs;
Maskēšana kā sistēmas pieprasījumi;
Programmatūras slazdu izmantošana;
Programmēšanas valodu un operētājsistēmu trūkumu izmantošana;
Nelegāls savienojums ar speciāli izstrādātas aparatūras iekārtām un sakaru līnijām, kas nodrošina piekļuvi informācijai;
Aizsardzības mehānismu ļaunprātīga atteice;
Šifrētas informācijas atšifrēšana ar īpašām programmām;
Informācijas infekcijas.
Uzskaitītās nesankcionētas piekļuves metodes prasa diezgan daudz tehnisko zināšanu un atbilstošu aparatūru vai programmatūras izstrāde no zagļa. Piemēram, tiek izmantoti tehniskie noplūdes kanāli – tie ir fiziski ceļi no konfidenciālās informācijas avota līdz uzbrucējam, pa kuriem iespējams iegūt aizsargātu informāciju. Noplūdes kanālu cēlonis ir ķēžu risinājumu konstrukcijas un tehnoloģiskās nepilnības vai elementu ekspluatācijas nodilums. Tas viss ļauj hakeriem izveidot pārveidotājus, kas darbojas pēc noteiktiem fiziskiem principiem, veidojot šiem principiem raksturīgu informācijas pārraides kanālu - noplūdes kanālu.
Tomēr ir arī diezgan primitīvi nesankcionētas piekļuves veidi:
Uzglabāšanas līdzekļu un dokumentālo atkritumu zādzība;
Iniciatīva sadarbība;
Tieksme uz sadarbību no zagļa puses;
Izziņa;
Noklausīšanās;
Novērošana un citi veidi.
Jebkurš konfidenciālas informācijas nopludināšanas veids var radīt būtisku materiālu un morālu kaitējumu gan organizācijai, kurā darbojas informācijas sistēma, gan tās lietotājiem.
Pastāv un pastāvīgi tiek izstrādāts ļoti daudz dažādu kaitīgo programmu, kuru mērķis ir sabojāt informāciju datu bāzēs un datoru programmatūrā. Lielais šo programmu šķirņu skaits neļauj mums izstrādāt pastāvīgus un uzticamus aizsardzības līdzekļus pret tām.
Tiek uzskatīts, ka vīrusu raksturo divas galvenās iezīmes:
Spēja pašreproducēt;
Spēja iejaukties skaitļošanas procesā (iegūt kontroli).
Informācijas resursu neatļauta izmantošana, no vienas puses, ir tās noplūdes sekas un līdzeklis to kompromitēšanai. No otras puses, tam ir neatkarīga nozīme, jo tas var radīt lielu kaitējumu pārvaldītajai sistēmai vai tās abonentiem.
Informācijas resursu kļūdaina izmantošana, lai gan tā ir atļauta, tomēr var izraisīt minēto resursu iznīcināšanu, noplūdi vai kompromitēšanu.
Neatļauta informācijas apmaiņa starp abonentiem var novest pie tā, ka kāds no viņiem saņem informāciju, kurai viņam ir aizliegts piekļūt. Sekas ir tādas pašas kā nesankcionētai piekļuvei.
1.3 Informācijas drošības metodes
Informācijas drošības sistēmu izveide balstās uz šādiem principiem:
1 Sistemātiska pieeja aizsardzības sistēmas izveidei, kas nozīmē savstarpēji saistītu organizatorisku, programmatūras, optimālu kombināciju. Aparatūras, fiziskās un citas īpašības, ko apstiprina iekšzemes un ārvalstu drošības sistēmu izveides prakse un izmanto visos informācijas apstrādes tehnoloģiskā cikla posmos.
2 Sistēmas nepārtrauktas attīstības princips. Šis princips, kas ir viens no datorinformācijas sistēmu pamatprincipiem, vēl jo vairāk attiecas uz informācijas drošības sistēmām. Informācijas apdraudējuma ieviešanas metodes tiek nepārtraukti pilnveidotas, tāpēc informācijas sistēmu drošības nodrošināšana nevar būt vienreizējs pasākums. Šis ir nepārtraukts process, kas sastāv no racionālāko metožu, metožu un veidu informācijas drošības sistēmu uzlabošanas pamatojuma un ieviešanas, nepārtrauktas uzraudzības, vājo vietu un vājo vietu identificēšanas, potenciālo informācijas noplūdes kanālu un jaunu nesankcionētas piekļuves metožu,
3 Aizsardzības sistēmas uzticamības nodrošināšana, tas ir, neiespējamība samazināt uzticamības līmeni atteices, atteices, hakera tīšas darbības vai lietotāju un apkopes personāla netīšu kļūdu gadījumā sistēmā.
4 Aizsardzības sistēmas darbības kontroles nodrošināšana, tas ir, aizsardzības mehānismu darbības uzraudzības līdzekļu un metožu izveide.
5 Visu veidu ļaunprātīgas programmatūras novēršanas rīku nodrošināšana.
6 Sistēmas izmantošanas ekonomiskās iespējamības nodrošināšana. Aizsardzība, kas izpaužas kā iespējamā kaitējuma pārsniegums no draudu ieviešanas pār informācijas drošības sistēmu izstrādes un darbības izmaksām.
Informācijas drošības problēmu risināšanas rezultātā mūsdienu informācijas sistēmām vajadzētu būt šādām galvenajām iezīmēm:
Dažādas konfidencialitātes pakāpes informācijas pieejamība;
Nodrošinot kriptogrāfiskā aizsardzība dažādas konfidencialitātes pakāpes informācija datu pārsūtīšanas laikā;
Obligāta informācijas plūsmas vadība, kā vietējie tīkli, un pārraidot pa sakaru kanāliem lielos attālumos;
Neatļautas piekļuves mēģinājumu, notikumu informācijas sistēmā un izdrukāto dokumentu reģistrēšanas un uzskaites mehānisma klātbūtne;
Obligāti jānodrošina programmatūras un informācijas integritāte;
Informācijas drošības sistēmas atjaunošanas līdzekļu pieejamība;
Magnētisko datu nesēju obligāta uzskaite;
Datortehnikas un magnētisko datu nesēju fiziskās drošības pieejamība;
Īpaša sistēmas informācijas drošības pakalpojuma pieejamība.
Informācijas drošības nodrošināšanas metodes un līdzekļi.
Šķērslis ir metode, kā fiziski bloķēt uzbrucēja ceļu uz aizsargāto informāciju.
Piekļuves kontrole – informācijas aizsardzības metodes, regulējot visu resursu izmantošanu. Šīm metodēm ir jānovērš visi iespējamie nesankcionētas informācijas piekļuves veidi. Piekļuves kontrole ietver šādus drošības līdzekļus:
Lietotāju, personāla un sistēmas resursu identifikācija (katram objektam piešķirot personīgo identifikatoru);
Objekta vai subjekta identifikācija pēc tiem uzrādītā identifikatora;
Darba apstākļu atļaušana un radīšana noteikto noteikumu ietvaros;
Aizsargāto resursu pieprasījumu reģistrācija;
Reakcija uz neatļautu darbību mēģinājumiem.
Šifrēšanas mehānismi – informācijas kriptogrāfiska slēgšana. Šīs aizsardzības metodes arvien vairāk tiek izmantotas gan apstrādājot, gan glabājot informāciju magnētiskajos datu nesējos. Pārraidot informāciju pa tālsatiksmes sakaru kanāliem, šī metode ir vienīgā uzticamā.
Cīņa pret ļaunprātīgas programmatūras uzbrukumiem ietver dažādu organizatorisku pasākumu kopumu un pretvīrusu programmu izmantošanu.
Viss tehnisko līdzekļu komplekts ir sadalīts aparatūrā un fiziskajā.
Aparatūra – ierīces, kas iebūvētas tieši datortehnikā, vai ierīces, kas ar to saskaras, izmantojot standarta interfeisu.
Fiziskie līdzekļi ietver dažādus inženiertehniskās ierīces un struktūras, kas novērš uzbrucēju fizisku iekļūšanu aizsargājamās telpās un aizsargā personālu (personālās drošības iekārtas), materiālos resursus un finanses, informāciju no prettiesiskām darbībām.
Programmatūras rīki ir īpašas programmas un programmatūras pakotnes, kas paredzētas informācijas aizsardzībai informācijas sistēmās.
No drošības sistēmu programmatūras ir jāizvēlas arī programmatūra, kas realizē šifrēšanas (kriptogrāfijas) mehānismus. Kriptogrāfija ir zinātne, kas nodrošina pārsūtīto ziņojumu slepenību un/vai autentiskumu (autentitāti).
Organizatoriskie līdzekļi veic savu sarežģīto ražošanas darbību regulēšanu informācijas sistēmās un izpildītāju attiecības uz tiesiska pamata tā, ka organizatorisko pasākumu dēļ kļūst neiespējama vai būtiski apgrūtināta konfidenciālas informācijas izpaušana, noplūde un nesankcionēta piekļuve.
Tiesību aizsardzības līdzekļus nosaka valsts tiesību akti, kas regulē ierobežotas pieejamības informācijas izmantošanas, apstrādes un nosūtīšanas noteikumus un nosaka sodus par šo noteikumu pārkāpšanu.
Pie morāli ētiskajiem aizsardzības līdzekļiem pieder visa veida uzvedības normas, kas tradicionāli veidojušās iepriekš, veidojas, informācijai izplatoties valstī un pasaulē, vai ir īpaši izstrādātas. Morāles un ētikas standarti var būt nerakstīti vai formalizēti noteiktā noteikumu vai noteikumu kopumā. Šīs normas, kā likums, nav juridiski apstiprinātas, taču, tā kā to neievērošana noved pie organizācijas prestiža krituma, tās tiek uzskatītas par obligātajām.
2. Dizaina daļa
Projektēšanas daļā ir jāveic šādas darbības:
1 Definējiet datorvīrusa jēdzienu un datorvīrusu klasifikāciju.
2 Definējiet pretvīrusu programmas jēdzienu un pretvīrusu rīku klasifikāciju.
3. Veiciet pretvīrusu pakotņu salīdzinošu analīzi.
2.1. Datorvīrusu klasifikācija
Vīruss ir programma, kas var inficēt citas programmas, iekļaujot tajās modificētu kopiju, kurai ir iespēja tālāk pavairot.
Vīrusus var iedalīt klasēs pēc šādām galvenajām pazīmēm:
Destruktīvas iespējas
Darbības algoritma iezīmes;
Dzīvotne;
Pēc to destruktīvajām spējām vīrusus var iedalīt:
nekaitīgi, tas ir, tie nekādā veidā neietekmē datora darbību (izņemot brīvās atmiņas samazināšanu diskā tā izplatīšanas rezultātā);
Nebīstams, kura ietekmi ierobežo diska brīvās atmiņas un grafikas, skaņas un citu efektu samazināšanās;
Bīstami vīrusi, kas var izraisīt nopietnus datora darbības traucējumus;
Ļoti bīstams, kura algoritms apzināti satur procedūras, kas var novest pie programmu zaudēšanas, datu iznīcināšanas, sistēmas atmiņas apgabalos ierakstītās datora darbībai nepieciešamās informācijas dzēšanas.
Vīrusa darbības algoritma iezīmes var raksturot ar šādām īpašībām:
Dzīvesvieta;
Maskēšanās algoritmu izmantošana;
Polimorfisms;
Rezidentu vīrusi.
Termins “dzīvesvieta” attiecas uz vīrusu spēju atstāt savas kopijas sistēmas atmiņā, pārtvert noteiktus notikumus un izsaukt procedūras atklāto objektu (failu un sektoru) inficēšanai. Tādējādi rezidentu vīrusi ir aktīvi ne tikai inficētās programmas darbības laikā, bet arī pēc programmas darbības beigām. Šādu vīrusu pastāvīgās kopijas paliek dzīvotspējīgas līdz nākamajai atsāknēšanai, pat ja tiek iznīcināti visi diskā esošie inficētie faili. Bieži vien no šādiem vīrusiem nav iespējams atbrīvoties, atjaunojot visas failu kopijas no izplatīšanas diskiem vai rezerves kopijām. Vīrusa pastāvīgā kopija paliek aktīva un atkal inficējas izveidotos failus. Tas pats attiecas uz sāknēšanas vīrusiem — diska formatēšana, kad atmiņā ir pastāvīgs vīruss, ne vienmēr izārstē disku, jo daudzi pastāvīgie vīrusi atkal inficē disku pēc tā formatēšanas.
Nerezidentu vīrusi. Nerezidentu vīrusi, gluži pretēji, ir aktīvi diezgan īsu laiku - tikai tajā brīdī, kad tiek palaista inficētā programma. Lai izplatītos, viņi diskā meklē neinficētus failus un raksta uz tiem. Pēc tam, kad vīrusa kods nodod kontroli uz resursdatora programmu, vīrusa ietekme uz operētājsistēmas darbību tiek samazināta līdz nullei līdz nākamajai jebkuras inficētās programmas palaišanai. Tāpēc ar nerezidentiem vīrusiem inficētos failus ir daudz vieglāk izdzēst no diska, neļaujot vīrusam tos inficēt vēlreiz.
Stealth vīrusi. Stealth vīrusi vienā vai otrā veidā slēpj to klātbūtnes faktu sistēmā. Maskēšanās algoritmu izmantošana ļauj vīrusiem pilnībā vai daļēji paslēpties sistēmā. Visizplatītākais slepenais algoritms ir pārtvert operētājsistēmas pieprasījumus lasīt (rakstīt) inficētos objektus. Šajā gadījumā slepenie vīrusi tos vai nu uz laiku izārstē, vai to vietā “aizvieto” neinficētas informācijas sadaļas. Makrovīrusu gadījumā vispopulārākā metode ir makro skatīšanas izvēlnes zvanu atspējošana. Ir zināmi visu veidu slepenie vīrusi, izņemot Windows vīrusus - sāknēšanas vīrusus, DOS failu vīrusus un pat makrovīrusus. Stealth vīrusu parādīšanās, kas inficē Windows faili, visticamāk, tas ir laika jautājums.
Polimorfie vīrusi. Paššifrēšanu un polimorfismu izmanto gandrīz visu veidu vīrusi, lai pēc iespējas sarežģītu vīrusu noteikšanas procedūru. Polimorfos vīrusus ir diezgan grūti atklāt vīrusus, kuriem nav parakstu, tas ir, tie nesatur nevienu nemainīgu koda daļu. Vairumā gadījumu diviem viena un tā paša polimorfā vīrusa paraugiem nebūs vienas atbilstības. Tas tiek panākts, šifrējot vīrusa galveno daļu un modificējot atšifrēšanas programmu.
Pie polimorfajiem vīrusiem pieder tie, kurus nevar noteikt, izmantojot tā sauktās vīrusu maskas – konstanta koda sadaļas, kas raksturīgas konkrētam vīrusam. Tas tiek panākts divos galvenajos veidos – šifrējot galveno vīrusa kodu ar mainīgu saucienu un nejaušu atšifrētāja komandu kopu, vai arī mainot pašu izpildāmo vīrusa kodu. Dažādas sarežģītības pakāpes polimorfisms ir sastopams visu veidu vīrusos - no sāknēšanas un failu DOS vīrusiem līdz Windows vīrusiem.
Pamatojoties uz to dzīvotni, vīrusus var iedalīt:
Fails;
Boot;
Makrovīrusi;
Tīkls.
Failu vīrusi. Failu vīrusi vai nu dažādos veidos ievada sevi izpildāmajos failos, vai veido dublētos failus (pavadvīrusi), vai izmanto failu sistēmas organizācijas īpatnības (saites vīrusi).
Failu vīrusu var ievadīt gandrīz visos izpildāmajos failos visās populārajās operētājsistēmās. Mūsdienās ir zināmi vīrusi, kas inficē visu veidu standarta DOS izpildāmos objektus: pakešu faili(BAT), lejupielādējami draiveri (SYS, tostarp īpašie faili IO.SYS un MSDOS.SYS) un izpildāmie binārie faili (EXE, COM). Ir vīrusi, kas inficē citu operētājsistēmu izpildāmos failus - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, tostarp Windows 3.x un Windows95 VxD draiverus.
Ir vīrusi, kas inficē failus, kas satur avota teksti programmas, bibliotēkas vai objektu moduļi. Ir iespējams arī vīruss ierakstīties datu failos, taču tas notiek vai nu vīrusa kļūdas rezultātā, vai arī tad, kad izpaužas tā agresīvās īpašības. Makrovīrusi savu kodu ieraksta arī datu failos – dokumentos vai izklājlapās, taču šie vīrusi ir tik specifiski, ka tiek klasificēti kā atsevišķa grupa.
Boot vīrusi. Sāknēšanas vīrusi inficē disketes sāknēšanas sektoru un cietā diska sāknēšanas sektoru jeb galveno sāknēšanas ierakstu (MBR). Boot vīrusu darbības princips ir balstīts uz algoritmiem operētājsistēmas palaišanai, ieslēdzot vai restartējot datoru – pēc nepieciešamajām instalētās aparatūras (atmiņas, disku u.c.) pārbaudēm sistēmas sāknēšanas programma nolasa pirmo fizisko sektoru. sāknēšanas diska (A:, C: vai CD-ROM atkarībā no BIOS iestatījumos iestatītajiem parametriem) un nodod kontroli uz to.
Disketes vai kompaktdiska gadījumā vadību saņem sāknēšanas sektors, kas analizē diska parametru tabulu (BPB - BIOS Parameter Block), aprēķina operētājsistēmas sistēmas failu adreses, nolasa tos atmiņā un palaiž. izpildi. Sistēmas faili parasti MSDOS.SYS un IO.SYS, vai IBMDOS.COM un IBMBIO.COM, vai citi atkarībā no instalētā versija DOS, Windows vai citas operētājsistēmas. Ja sāknēšanas diskā nav operētājsistēmas failu, programma, kas atrodas diska sāknēšanas sektorā, parāda kļūdas ziņojumu un iesaka nomainīt sāknēšanas disku.
Cietā diska gadījumā vadību saņem programma, kas atrodas cietā diska MBR. Šī programma analizē diska nodalījuma tabulu, aprēķina aktīvā sāknēšanas sektora adresi (parasti šis sektors ir diska C sāknēšanas sektors), ielādē to atmiņā un nodod tai vadību. Saņemot kontroli, cietā diska aktīvais sāknēšanas sektors disks veic tādas pašas darbības kā disketes sāknēšanas sektors.
Inficējot diskus, sāknēšanas vīrusi “aizvieto” savu kodu, nevis jebkuru programmu, kas iegūst kontroli sistēmas sāknēšanas laikā. Tāpēc inficēšanās princips visās iepriekš aprakstītajās metodēs ir vienāds: vīruss “piespiež” sistēmu, kad tā tiek restartēta, nolasīt atmiņā un dot kontroli nevis sākotnējam bootloader kodam, bet gan vīrusa kodam.
Disketes tiek inficētas vienīgajā zināmajā veidā – vīruss raksta savu kodu disketes sāknēšanas sektora oriģinālā koda vietā. Cietais disks tiek inficēts trīs iespējamos veidos - vīruss tiek uzrakstīts vai nu MBR koda vietā, vai arī sāknēšanas diska sāknēšanas sektora koda vietā (parasti disks C, vai arī tas maina aktīvā sāknēšanas sektora adresi diskā Sadalījuma tabula, kas atrodas cietā diska MBR.
Makro vīrusi. Makrovīrusi inficē failus, piemēram, vairāku populāru redaktoru dokumentus un izklājlapas. Makrovīrusi ir programmas, kas rakstītas valodās (makro valodās), kas iebūvētas dažās datu apstrādes sistēmās. Lai pavairotu, šādi vīrusi izmanto makro valodu iespējas un ar to palīdzību pārsūta sevi no viena inficētā faila uz citiem. Visizplatītākie ir makrovīrusi Microsoft Word, Excel un Office97. Ir arī makrovīrusi, kas inficē Ami Pro dokumentus un Microsoft Access datu bāzes.
Tīkla vīrusi. Tīkla vīrusi ietver vīrusus, kas aktīvi izmanto vietējo un globālo tīklu protokolus un iespējas, lai izplatītos. Tīkla vīrusa galvenais darbības princips ir iespēja patstāvīgi pārsūtīt tā kodu uz attālo serveri vai darbstaciju. “Pilnvērtīgiem” tīkla vīrusiem ir arī iespēja palaist savu kodu attālā datorā vai vismaz “piespiest” lietotāju palaist inficētu failu. Tīkla vīrusu piemērs ir tā sauktie IRC tārpi.
IRC (Internet Relay Chat) ir īpašs protokols, kas paredzēts reāllaika saziņai starp interneta lietotājiem. Šis protokols nodrošina viņiem iespēju "sarunāties" internetā, izmantojot īpaši izstrādātu programmatūru. Papildus vispārējo konferenču apmeklēšanai IRC lietotājiem ir iespēja tērzēt viens pret vienu ar jebkuru citu lietotāju. Turklāt ir diezgan liels skaits IRC komandu, ar kuru palīdzību lietotājs var iegūt informāciju par citiem lietotājiem un kanāliem, mainīt dažus IRC klienta iestatījumus utt. Ir arī iespēja sūtīt un saņemt failus – tieši uz šo spēju ir balstīti IRC tārpi. Jaudīga un plaša IRC klientu komandu sistēma ļauj, pamatojoties uz to skriptiem, izveidot datorvīrusus, kas nosūta savu kodu uz IRC tīklu lietotāju datoriem, tā sauktos “IRC tārpus”. Šo IRC tārpu darbības princips ir aptuveni vienāds. Izmantojot IRC komandas, darba skripta fails (skripts) tiek automātiski nosūtīts no inficētā datora katram jaunam lietotājam, kas pievienojas kanālam. Nosūtītais skripta fails aizstāj standarta, un nākamās sesijas laikā tikko inficētais klients izsūtīs tārpu. Daži IRC tārpi satur arī Trojas komponentu: atbilstoši norādītajam atslēgvārdi radīt destruktīvu ietekmi uz ietekmētajiem datoriem. Piemēram, tārps "pIRCH.Events". noteikta komanda dzēš visus failus lietotāja diskā.
Ir liels skaits kombināciju - piemēram, failu sāknēšanas vīrusi, kas inficē gan failus, gan disku sāknēšanas sektorus. Šādiem vīrusiem, kā likums, ir diezgan sarežģīts darbības algoritms, tie bieži izmanto oriģinālas metodes, kā iekļūt sistēmā, un izmanto slepenas un polimorfās tehnoloģijas. Vēl viens šādas kombinācijas piemērs ir tīkla makrovīruss, kas ne tikai inficē rediģētos dokumentus, bet arī nosūta savas kopijas pa e-pastu.
Papildus šai klasifikācijai daži vārdi jāsaka par citām ļaunprātīgām programmām, kuras dažreiz tiek sajauktas ar vīrusiem. Šīm programmām nav iespēju pašām izplatīties kā vīrusiem, taču tās var radīt tikpat destruktīvus bojājumus.
Trojas zirgi (loģiskās bumbas vai laika bumbas).
Trojas zirgi ietver programmas, kas izraisa jebkādu destruktīvu efektu, tas ir, atkarībā no noteiktiem apstākļiem vai katru reizi, kad tās tiek palaistas, tās iznīcina informāciju diskos, “pakar” sistēmu utt. Kā piemēru varam minēt šo gadījumu – kad šāda programma sesijas laikā internetā nosūtīja savu autoru identifikatorus un paroles no datoriem, kuros tā dzīvoja. Lielākā daļa labi zināmo Trojas zirgu ir programmas, kas kaut kādu veidu “vilto”. noderīgas programmas, jaunas populāru utilītu versijas vai to papildinājumi. Ļoti bieži tie tiek nosūtīti uz BBS stacijām vai elektroniskām konferencēm. Salīdzinot ar vīrusiem, Trojas zirgi netiek plaši izmantoti šādu iemeslu dēļ – tie vai nu iznīcina paši sevi kopā ar pārējiem diskā esošajiem datiem, vai atmasko savu klātbūtni un tos iznīcina ietekmētais lietotājs.
2.2. Pretvīrusu programmas jēdziens
Datorvīrusu apkarošanas metodes var iedalīt vairākās grupās:
Vīrusu infekcijas profilakse un sagaidāmā šādas infekcijas radītā kaitējuma samazināšana;
Antivīrusu programmu lietošanas metodes, tostarp zināmo vīrusu neitralizācija un noņemšana;
Nezināma vīrusa noteikšanas un noņemšanas metodes.
Datora infekcijas novēršana.
Viena no galvenajām vīrusu apkarošanas metodēm, tāpat kā medicīnā, ir savlaicīga profilakse. Datora profilakse ietver nelielu noteikumu ievērošanu, kas var ievērojami samazināt iespēju iegūt vīrusu un zaudēt jebkādus datus.
Lai noteiktu datora “higiēnas” pamatnoteikumus, ir jānoskaidro galvenie vīrusa iekļūšanas veidi datorā un datortīklos.
Mūsdienās galvenais vīrusu avots ir globālais tīkls Internets. Lielākais skaitlis Vīrusu infekcijas rodas, apmainoties ar burtiem Word/Office97 formātos. Ar makrovīrusu inficēta redaktora lietotājs, pats to nezinot, nosūta inficētās vēstules adresātiem, kuri savukārt nosūta jaunas inficētās vēstules utt. Jums vajadzētu izvairīties no saskarsmes ar aizdomīgiem informācijas avotiem un izmantot tikai likumīgus (licencētus) programmatūras produktus.
Bojātu objektu atjaunošana.
Vairumā vīrusu infekcijas gadījumu inficēto failu un disku atjaunošanas procedūra ir saistīta ar piemērota antivīrusa palaišanu, kas var neitralizēt sistēmu. Ja vīruss nav zināms nevienam antivīrusam, tad pietiek ar inficēto failu nosūtīt antivīrusu ražotājiem un pēc kāda laika saņemt “atjaunināšanas” zāles pret vīrusu. Ja laiks negaida, tad vīruss būs jāneitralizē pašam. Lielākajai daļai lietotāju tas ir nepieciešams dublējumkopijas jūsu informāciju.
Vispārīgi informācijas drošības rīki ir noderīgi ne tikai aizsardzībai pret vīrusiem. Ir divi galvenie šo fondu veidi:
1 Informācijas kopēšana – failu un disku sistēmas apgabalu kopiju izveide.
2 Piekļuves kontrole novērš nesankcionētu informācijas izmantošanu, jo īpaši aizsardzību pret programmu un datu izmaiņām, ko veic vīrusi, nepareizi darbojošās programmas un kļūdainas lietotāja darbības.
Savlaicīga vīrusu inficēto failu un disku atklāšana un atklāto vīrusu pilnīga iznīcināšana katrā datorā palīdz izvairīties no vīrusu epidēmijas izplatīšanās uz citiem datoriem.
Galvenais ierocis cīņā pret vīrusiem ir pretvīrusu programmas. Tie ļauj ne tikai atklāt vīrusus, tostarp vīrusus, kas izmanto dažādas maskēšanas metodes, bet arī noņemt tos no datora.
Ir vairākas pamata vīrusu noteikšanas metodes, ko izmanto pretvīrusu programmas. Tradicionālākā vīrusu meklēšanas metode ir skenēšana.
Datorvīrusu atklāšanai, noņemšanai un aizsardzībai pret tiem ir izstrādātas vairāku veidu īpašas programmas, kas ļauj atklāt un iznīcināt vīrusus. Šādas programmas sauc par pretvīrusu programmām.
2.3. Pretvīrusu produktu veidi
Detektoru programmas. Detektoru programmas RAM un failos meklē konkrētam vīrusam raksturīgu parakstu un, kad tas tiek atklāts, izdod atbilstošu ziņojumu. Šādu pretvīrusu programmu trūkums ir tāds, ka tās var atrast tikai tādus vīrusus, kas ir zināmi šādu programmu izstrādātājiem.
Ārstu programmas. Doktora vai fāga programmas, kā arī vakcīnu programmas ne tikai atrod ar vīrusiem inficētos failus, bet arī tos “apstrādā”, tas ir, izņem no faila vīrusa programmas korpusu, atgriežot failus sākotnējā stāvoklī. Sava darba sākumā fāgi meklē vīrusus RAM, tos iznīcinot un tikai pēc tam pāriet uz failu “tīrīšanu”. Starp fāgiem ir polifāgi, tas ir, ārstu programmas, kas paredzētas liela skaita vīrusu meklēšanai un iznīcināšanai. Slavenākie no tiem: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Ņemot vērā to, ka pastāvīgi parādās jauni vīrusi, detektoru programmas un ārstu programmas ātri noveco, un ir nepieciešami regulāri versiju atjauninājumi.
Auditoru programmas (inspektori) ir viens no uzticamākajiem aizsardzības līdzekļiem pret vīrusiem.
Auditori (inspektori) pārbauda, vai diskā esošajos datos nav neredzamu vīrusu. Turklāt inspektors nedrīkst izmantot operētājsistēmas rīkus, lai piekļūtu diskiem, kas nozīmē, ka aktīvs vīruss nevarēs pārtvert šo piekļuvi.
Fakts ir tāds, ka vairāki vīrusi, iekļūstot failos (tas ir, pievienojot faila beigām vai sākumam), aizvieto ierakstus par šo failu mūsu operētājsistēmas failu piešķiršanas tabulās.
Auditori (inspektori) atceras sākotnējo programmu, direktoriju un diska sistēmas apgabalu stāvokli, kad dators nav inficēts ar vīrusu, un pēc tam periodiski vai pēc lietotāja pieprasījuma salīdzina pašreizējo stāvokli ar sākotnējo. Konstatētās izmaiņas tiek parādītas monitora ekrānā. Parasti stāvokļu salīdzināšana tiek veikta tūlīt pēc operētājsistēmas ielādes. Salīdzinot, tiek pārbaudīts faila garums, cikliskais kontroles kods (faila kontrolsumma), modifikācijas datums un laiks un citi parametri. Auditoru programmām (inspektoriem) ir diezgan izstrādāti algoritmi, tās atklāj slepenus vīrusus un var pat attīrīt pārbaudāmās programmas versijas izmaiņas no vīrusa veiktajām izmaiņām.
Auditoru (inspektoru) nepieciešams palaist, kad dators vēl nav inficēts, lai tas katra diska saknes direktorijā varētu izveidot tabulu ar visu nepieciešamo informāciju par failiem, kas atrodas šajā diskā, kā arī par tā bagāžnieka laukumu. Lai izveidotu katru tabulu, tiks pieprasīta atļauja. Turpmāko palaišanas laikā auditors (inspektors) skenēs diskus, salīdzinot datus par katru failu ar tā ierakstiem.
Ja tiks konstatētas infekcijas, auditors (inspektors) varēs izmantot savu dziedināšanas moduli, kas atjaunos vīrusa bojāto failu. Lai atjaunotu failus, inspektoram nekas nav jāzina par konkrētu vīrusa veidu, pietiek izmantot tabulās saglabātos datus par failiem.
Turklāt, ja nepieciešams, var izsaukt pretvīrusu skeneri.
Filtrēšanas programmas (monitori). Filtru programmas (monitori) jeb “sargi” ir nelielas rezidentu programmas, kas paredzētas, lai datora darbības laikā atklātu aizdomīgas darbības, kas raksturīgas vīrusiem. Šādas darbības var būt:
Mēģinājumi labot failus ar COM, EXE paplašinājumiem;
Mainīt faila atribūtus;
Tieša rakstīšana uz diska absolūtā adresē;
Rakstīt diska sāknēšanas sektoros;
Kad kāda programma mēģina veikt norādītās darbības, “apsargs” nosūta lietotājam ziņojumu un piedāvā aizliegt vai atļaut attiecīgo darbību. Filtru programmas ir ļoti noderīgas, jo tās spēj atklāt vīrusu agrīnākajā tā pastāvēšanas stadijā pirms replikācijas. Tomēr tie “netīra” failus un diskus. Lai iznīcinātu vīrusus, jāizmanto citas programmas, piemēram, fāgi.
Vakcīnas vai imunizētāji. Vakcīnas ir pastāvīgas programmas, kas novērš failu inficēšanos. Vakcīnas tiek izmantotas, ja nav ārstu programmu, kas "ārstē" šo vīrusu. Vakcinācija iespējama tikai pret zināmie vīrusi. Vakcīna modificē programmu vai disku tā, lai tas neietekmētu tās darbību, un vīruss to uztvers kā inficētu un tāpēc neiesakņosies. Pašlaik vakcīnu programmas ir ierobežotas.
Skeneris. Darbības princips pretvīrusu skeneri pamatā ir failu, sektoru un sistēmas atmiņas pārbaude un zināmu un jaunu (skenerim nezināmu) vīrusu meklēšana. Lai meklētu zināmus vīrusus, tiek izmantotas tā sauktās “maskas”. Vīrusa maska ir kāda pastāvīga koda secība, kas raksturīga šim konkrētajam vīrusam. Ja vīruss nesatur pastāvīgu masku vai šīs maskas garums nav pietiekami garš, tad tiek izmantotas citas metodes. Šādas metodes piemērs ir algoritmiskā valoda, aprakstot visu iespējamie varianti kodu, kas var rasties, inficējoties ar šāda veida vīrusu. Šo pieeju izmanto daži antivīrusi, lai noteiktu polimorfos vīrusus. Skenerus var iedalīt arī divās kategorijās – “universālie” un “specializētie”. Universālie skeneri ir paredzēti visu veidu vīrusu meklēšanai un neitralizācijai neatkarīgi no operētājsistēmas, kurā skeneris ir paredzēts darbam. Specializētie skeneri ir paredzēti, lai neitralizētu ierobežotu skaitu vīrusu vai tikai vienas vīrusu klases, piemēram, makrovīrusus. Speciālie skeneri, kas paredzēti tikai makrovīrusiem, bieži vien izrādās ērtākais un uzticamākais risinājums dokumentu pārvaldības sistēmu aizsardzībai MSWord un MSExcel vidēs.
Skeneri tiek iedalīti arī “rezidentos” (monitori, apsargi), kas veic skenēšanu lidojuma laikā, un “nerezidenti”, kas skenē sistēmu tikai pēc pieprasījuma. Parasti “rezidentu” skeneri nodrošina uzticamāku sistēmas aizsardzību, jo tie nekavējoties reaģē uz vīrusa parādīšanos, savukārt “nerezidentu” skeneri vīrusu spēj identificēt tikai nākamās palaišanas laikā. No otras puses, pastāvīgais skeneris var nedaudz palēnināt datora darbību, tostarp iespējamu viltus pozitīvu rezultātu dēļ.
Visu veidu skeneru priekšrocības ietver to daudzpusību, trūkumi ir salīdzinoši zemais vīrusu skenēšanas ātrums.
CRC skeneri. CRC skeneru darbības princips ir balstīts uz CRC summu aprēķināšanu ( kontrolsummas) failiem/sistēmas sektoriem, kas atrodas diskā. Šīs CRC summas pēc tam tiek saglabātas pretvīrusu datubāzē, kā arī cita informācija: failu garums, to pēdējās modifikācijas datumi utt. Pēc tam palaišanas CRC skeneri salīdzina datubāzē esošos datus ar faktiskajām aprēķinātajām vērtībām. Ja datu bāzē ierakstītā faila informācija nesakrīt ar reālajām vērtībām, tad CRC skeneri signalizē, ka fails ir modificēts vai inficēts ar vīrusu. CRC skeneri, kas izmanto pretslēpšanas algoritmus, ir diezgan spēcīgs ierocis pret vīrusiem: gandrīz 100% vīrusu tiek atklāti gandrīz uzreiz pēc to parādīšanās datorā. Tomēr šāda veida antivīrusiem ir raksturīgs trūkums, kas ievērojami samazina to efektivitāti. Šis trūkums ir tāds, ka CRC skeneri nespēj notvert vīrusu brīdī, kad tas parādās sistēmā, bet to dara tikai kādu laiku vēlāk, pēc tam, kad vīruss ir izplatījies visā datorā. CRC skeneri nevar atklāt vīrusu jaunos failos (e-pastā, disketēs, failos, kas atjaunoti no dublējuma vai izpakojot failus no arhīva), jo to datubāzēs nav informācijas par šiem failiem. Turklāt periodiski parādās vīrusi, kas izmanto šo CRC skeneru “vājumu”, inficē tikai jaunizveidotos failus un tādējādi paliek tiem neredzami.
Bloķētāji. Bloķētāji ir pastāvīgas programmas, kas pārtver “vīrusiem bīstamas” situācijas un informē lietotāju par to. “Vīrusu bīstami” ietver izsaukumus atvērt rakstīšanai izpildāmos failos, ierakstīšanu disku sāknēšanas sektoros vai cietā diska MBR, programmu mēģinājumus palikt rezidentiem un tā tālāk, tas ir, izsaukumus, kas ir tipiski vīrusiem reproducēšanas brīdis. Dažkārt dažas bloķētāja funkcijas tiek ieviestas pastāvīgajos skeneros.
Bloķētāju priekšrocības ietver to spēju atklāt un apturēt vīrusu agrīnā tā vairošanās stadijā. Trūkumi ietver veidus, kā apiet bloķētāju aizsardzību, un lielu skaitu viltus pozitīvu rezultātu.
Jāatzīmē arī tāds pretvīrusu rīku virziens kā pretvīrusu bloķētāji, kas izgatavoti datoru aparatūras komponentu veidā. Visizplatītākā ir BIOS iebūvētā rakstīšanas aizsardzība cietā diska MBR. Tomēr, tāpat kā programmatūras bloķētāju gadījumā, šādu aizsardzību var viegli apiet, tieši ierakstot diska kontrollera portos, un DOS utilīta FDISK palaišana nekavējoties izraisa aizsardzības “viltus pozitīvu”.
Ir vēl vairāki universāli aparatūras bloķētāji, taču papildus iepriekš uzskaitītajiem trūkumiem pastāv arī problēmas ar saderību ar standarta datoru konfigurācijām un to instalēšanas un konfigurēšanas sarežģītību. Tas viss padara aparatūras bloķētājus ārkārtīgi nepopulārus salīdzinājumā ar citiem pretvīrusu aizsardzības veidiem.
2.4. Pretvīrusu pakotņu salīdzinājums
Neatkarīgi no tā, kāda informācijas sistēma ir jāaizsargā, svarīgākais parametrs, salīdzinot antivīrusus, ir spēja atklāt vīrusus un citas ļaunprogrammatūras.
Tomēr, lai gan šis parametrs ir svarīgs, tas nebūt nav vienīgais.
Fakts ir tāds, ka pretvīrusu aizsardzības sistēmas efektivitāte ir atkarīga ne tikai no tās spējas atklāt un neitralizēt vīrusus, bet arī no daudziem citiem faktoriem.
Antivīrusam jābūt ērtam lietošanā, nenovēršot datora lietotāja uzmanību no savu tiešo pienākumu veikšanas. Ja antivīruss kaitina lietotāju ar pastāvīgiem pieprasījumiem un ziņojumiem, agrāk vai vēlāk tas tiks atspējots. Pretvīrusu saskarnei jābūt draudzīgai un saprotamai, jo ne visiem lietotājiem ir liela pieredze darbā ar datorprogrammām. Neizprotot ekrānā redzamā ziņojuma nozīmi, jūs to neapzināti varat atļauties vīrusu infekcija pat ar instalētu antivīrusu.
Ērtākais pretvīrusu aizsardzības režīms ir tad, kad tiek skenēti visi atvērtie faili. Ja antivīruss nevar darboties šajā režīmā, lietotājam katru dienu būs jāveic visu disku skenēšana, lai atklātu jaunizveidotos vīrusus. Šī procedūra var ilgt desmitiem minūšu vai pat stundu, ja mēs runājam par lieliem diskiem, kas instalēti, piemēram, serverī.
Tā kā katru dienu parādās jauni vīrusi, ir nepieciešams periodiski atjaunināt pretvīrusu datubāzi. Pretējā gadījumā pretvīrusu aizsardzības efektivitāte būs ļoti zema. Mūsdienu antivīrusi pēc atbilstošas konfigurācijas var automātiski atjaunināt pretvīrusu datu bāzes datus, izmantojot internetu, nenovēršot lietotāju un administratoru uzmanību no šī ikdienas darba veikšanas.
Aizsargājot lielu korporatīvo tīklu, priekšplānā izvirzās tāds antivīrusu salīdzināšanas parametrs kā tīkla vadības centra klātbūtne. Ja korporatīvais tīkls apvieno simtiem un tūkstošiem darbstaciju, desmitiem un simtiem serveru, ir gandrīz neiespējami organizēt efektīvu pretvīrusu aizsardzību bez tīkla vadības centra. Viens vai vairāki sistēmas administratori nevarēs apiet visas darbstacijas un serverus, tajos instalējot un konfigurējot pretvīrusu programmas. Šeit ir vajadzīgas tehnoloģijas, kas ļauj centralizēti instalēt un konfigurēt antivīrusus visos korporatīvā tīkla datoros.
Aizsargājot tādas interneta vietnes kā pasta serveri, un ziņojumapmaiņas pakalpojumu serveriem ir jāizmanto specializēti pretvīrusu rīki. Parastās pretvīrusu programmas, kas paredzētas failu skenēšanai, nespēs atrast ļaunprātīgu kodu ziņojumapmaiņas serveru datu bāzēs vai datu plūsmā, kas iet caur pasta serveriem.
Parasti, salīdzinot pretvīrusu produktus, tiek ņemti vērā citi faktori. Valdības aģentūras, ja citas lietas ir vienādas, var dot priekšroku vietējā ražojuma antivīrusiem, kuriem ir visi nepieciešamie sertifikāti. Būtisku lomu spēlē arī viena vai otra antivīrusu rīka iegūtā reputācija datoru lietotāju un sistēmu administratoru vidū. Personīgajām vēlmēm var būt arī liela nozīme izvēlē.
Antivīrusu izstrādātāji bieži izmanto neatkarīgu testu rezultātus, lai pierādītu savu produktu priekšrocības. Tajā pašā laikā lietotāji bieži nesaprot, kas tieši un kā tika pārbaudīts šajā testā.
Šajā darbā salīdzinošai analīzei tika veiktas šobrīd populārākās pretvīrusu programmas, proti: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure , Avira, Avast!, AVG, Microsoft.
Britu žurnāls Virus Bulletin bija viens no pirmajiem, kas testēja pretvīrusu produktus. Pirmie testi, kas publicēti viņu tīmekļa vietnē, datēti ar 1998. gadu. Testa pamatā ir ļaunprātīgas programmatūras kolekcija WildList. Lai veiksmīgi nokārtotu testu, ir jāidentificē visi šajā kolekcijā esošie vīrusi un jāuzrāda nulles kļūdaini pozitīvu rezultātu līmenis “tīru” žurnālfailu kolekcijā. Testēšana tiek veikta vairākas reizes gadā dažādās operētājsistēmās; Produkti, kas sekmīgi nokārtojuši testu, saņem VB100% balvu. 1. attēlā parādīts, cik VB100% balvu saņēma dažādu antivīrusu kompāniju produkti.
Protams, žurnālu Virus Bulletin var saukt par vecāko antivīrusu testētāju, taču tā patriarha statuss to neatbrīvo no antivīrusu kopienas kritikas. Pirmkārt, WildList ietver tikai vīrusus un tārpus, un tas ir paredzēts tikai Windows platformai. Otrkārt, kolekcijā WildList ir neliels skaits kaitīgo programmu un tā tiek papildināta ļoti lēni: mēnesī kolekcijā parādās tikai daži desmiti jaunu vīrusu, savukārt, piemēram, AV-Test kolekcija šajā laikā tiek papildināta ar vairākiem desmitiem vai. pat simtiem tūkstošu ļaunprātīgas programmatūras kopiju.
Tas viss liek domāt, ka savā pašreizējā formā WildList kolekcija ir morāli novecojusi un neatspoguļo reālo situāciju ar vīrusiem internetā. Tā rezultātā testi, kuru pamatā ir WildList kolekcija, kļūst arvien bezjēdzīgāki. Tie ir piemēroti, lai reklamētu produktus, kas tos ir izturējuši, taču tie faktiski neatspoguļo pretvīrusu aizsardzības kvalitāti.
1. attēls — sekmīgi nokārtoto VB testu skaits 100%
Neatkarīgas pētniecības laboratorijas, piemēram, AV-Comparatives, AV-Tests, divreiz gadā pārbauda pretvīrusu produktus pēc pieprasījuma, lai noteiktu ļaunprātīgas programmatūras noteikšanas līmeni. Tajā pašā laikā kolekcijās, kurās tiek veikta pārbaude, ir līdz miljonam ļaunprātīgas programmatūras, un tās tiek regulāri atjauninātas. Testu rezultāti tiek publicēti šo organizāciju mājaslapās (www.AV-Comparatives.org, www.AV-Test.org) un pazīstamos datoržurnālos PC World, PC Welt. Nākamo testu rezultāti ir parādīti zemāk:
2. attēls — kopējais ļaunprātīgas programmatūras noteikšanas līmenis saskaņā ar AV-Test
Ja runājam par izplatītākajiem produktiem, tad pēc šo testu rezultātiem pirmajā trijniekā ir tikai Kaspersky Lab un Symantec risinājumi. Īpašu uzmanību ir pelnījis testu līderis Avira.
Pētniecības laboratoriju AV-Comparatives un AV-Test testiem, tāpat kā jebkuram testam, ir savi plusi un mīnusi. Priekšrocības ir tādas, ka testēšana tiek veikta lielām ļaunprātīgas programmatūras kolekcijām un ka šajās kolekcijās ir daudz dažādu veidu ļaunprātīgas programmatūras. Negatīvā puse ir tāda, ka šajās kolekcijās ir ne tikai “svaigi” ļaunprātīgas programmatūras paraugi, bet arī salīdzinoši veci. Parasti tiek izmantoti paraugi, kas savākti pēdējo sešu mēnešu laikā. Turklāt šajos testos tiek analizēti verifikācijas rezultāti cietais disks pēc pieprasījuma, savukārt reālajā dzīvē lietotājs lejupielādē inficētos failus no interneta vai saņem tos kā pielikumus pa e-pastu. Ir svarīgi noteikt šādus failus tieši tajā brīdī, kad tie parādās lietotāja datorā.
Mēģinājumu izstrādāt testēšanas metodiku, kas necieš no šīs problēmas, veica viens no vecākajiem britu datoržurnāliem PC Pro. Viņu testā tika izmantota ļaunprātīgas programmatūras kolekcija, kas tika atklāta divas nedēļas pirms testa trafikā, kas šķērso MessageLabs serverus. MessageLabs saviem klientiem piedāvā filtrēšanas pakalpojumus dažādi veidi trafiku, un tā kaitīgo programmu kolekcija patiešām atspoguļo situāciju ar datorvīrusu izplatību internetā.
Žurnāla PC Pro komanda nevis vienkārši skenēja inficētos failus, bet gan simulēja lietotāju darbības: inficētie faili tika pievienoti vēstulēm kā pielikumi, un šīs vēstules tika lejupielādētas datorā, kurā bija instalēts antivīruss. Turklāt, izmantojot speciāli rakstītus skriptus, inficētie faili tika lejupielādēti no Web servera, t.i., tika simulēta sērfošana internetā. Apstākļi, kādos tiek veikti šādi testi, ir pēc iespējas tuvāki reālajiem, kas nevarēja tikai ietekmēt rezultātus: vairumam antivīrusu noteikšanas līmenis izrādījās ievērojami zemāks nekā ar vienkāršu skenēšanu pēc pieprasījuma AV- Salīdzinošie un AV-Test testi. Šādos testos liela nozīme ir tam, cik ātri antivīrusu izstrādātāji reaģē uz jaunas ļaunprogrammatūras parādīšanos, kā arī kādi proaktīvi mehānismi tiek izmantoti ļaunprogrammatūras atklāšanai.
Pretvīrusu atjauninājumu izlaišanas ātrums ar jaunas ļaunprogrammatūras parakstiem ir viens no svarīgākajiem efektīvas pretvīrusu aizsardzības komponentiem. Jo ātrāk tiek izlaists parakstu datu bāzes atjauninājums, jo mazāk laika lietotājs paliks neaizsargāts.
3. attēls. Vidējais reakcijas laiks uz jauniem draudiem
Pēdējā laikā jauna ļaunprogrammatūra parādās tik bieži, ka pretvīrusu laboratorijām tik tikko ir laiks reaģēt uz jaunu paraugu parādīšanos. Šādā situācijā rodas jautājums, kā antivīruss var cīnīties ne tikai ar jau zināmiem vīrusiem, bet arī jauniem draudiem, kuriem vēl nav atbrīvots noteikšanas paraksts.
Lai atklātu nezināmus draudus, tiek izmantotas tā sauktās proaktīvās tehnoloģijas. Šīs tehnoloģijas var iedalīt divos veidos: heiristika (tās atklāj ļaunprātīgu programmatūru, pamatojoties uz to koda analīzi) un uzvedības bloķētāji (tās bloķē ļaunprātīgas programmatūras darbības, kad tās darbojas datorā, pamatojoties uz to uzvedību).
Runājot par heiristiku, to efektivitāti jau sen ir pētījusi Andreasa Klimenti vadītā pētniecības laboratorija AV-Comparatives. AV-Comparatives komanda izmanto īpašu tehniku: antivīrusi tiek pārbaudīti pret pašreizējo vīrusu kolekciju, bet tie izmanto antivīrusu ar parakstiem, kas ir trīs mēnešus veci. Tādējādi antivīrusam ir jācīnās pret ļaunprātīgu programmatūru, par kuru tas neko nezina. Pretvīrusi tiek pārbaudīti, skenējot cietajā diskā esošo ļaunprogrammatūras kolekciju, tāpēc tiek pārbaudīta tikai heiritikas efektivitāte. Šajos testos netiek izmantota cita proaktīva tehnoloģija, uzvedības bloķētājs. Pat vislabākā heiristika pašlaik uzrāda tikai aptuveni 70% noteikšanas līmeni, un daudzi no tiem arī cieš no kļūdaini pozitīviem tīriem failiem. Tas viss liecina, ka pagaidām šo proaktīvās noteikšanas metodi var izmantot tikai vienlaikus ar paraksta metodi.
Kas attiecas uz citu proaktīvu tehnoloģiju - uzvedības bloķētāju, šajā jomā nopietni salīdzinoši testi nav veikti. Pirmkārt, daudziem pretvīrusu produktiem (Doctor Web, NOD32, Avira un citiem) nav uzvedības bloķētāja. Otrkārt, šādu testu veikšana ir saistīta ar dažām grūtībām. Fakts ir tāds, ka, lai pārbaudītu uzvedības bloķētāja efektivitāti, nav nepieciešams skenēt disku ar ļaunprātīgu programmu kolekciju, bet gan palaist šīs programmas savā datorā un novērot, cik veiksmīgi antivīruss bloķē to darbības. Šis process ir ļoti darbietilpīgs, un tikai daži pētnieki spēj veikt šādus testus. Viss, kas šobrīd ir pieejams plašākai sabiedrībai, ir AV-Comparatives komandas veikto atsevišķu produktu testu rezultāti. Ja testēšanas laikā antivīrusi veiksmīgi bloķēja tiem nezināmu kaitīgo programmu darbības, kamēr tās darbojās datorā, tad produkts saņēma Proaktīvās aizsardzības balvu. Šobrīd šādus apbalvojumus ir saņēmusi F-Secure ar DeepGuard uzvedības tehnoloģiju un Kaspersky Anti-Virus ar Proactive Protection moduli.
Infekciju novēršanas tehnoloģijas, kuru pamatā ir ļaunprātīgas programmatūras uzvedības analīze, kļūst arvien izplatītākas, un satraucošs ir visaptverošu salīdzinošo testu trūkums šajā jomā. Nesen AV-Test pētījumu laboratorijas speciālisti par šo jautājumu rīkoja plašu diskusiju, kurā piedalījās arī antivīrusu produktu izstrādātāji. Šīs diskusijas rezultāts bija jauna metodika, lai pārbaudītu pretvīrusu produktu spēju izturēt nezināmus draudus.
Augsts ļaunprātīgas programmatūras noteikšanas līmenis, izmantojot dažādas tehnoloģijas, ir viena no svarīgākajām antivīrusu īpašībām. Tomēr tikpat svarīga īpašība ir viltus pozitīvu rezultātu trūkums. Viltus pozitīvi var nodarīt lietotājam ne mazāku kaitējumu kā vīrusu infekcija: bloķējiet darbu nepieciešamās programmas, bloķējiet piekļuvi vietnēm un tā tālāk.
Savas izpētes laikā AV-Comparatives, pētot pretvīrusu iespējas atklāt ļaunprātīgu programmatūru, veic arī tīru failu kolekciju viltus pozitīvu rezultātu testus. Saskaņā ar testu lielākais skaitlis viltus pozitīvi tika atklāti Doctor Web un Avira antivīrusos.
Nav 100% aizsardzības pret vīrusiem. Lietotāji ik pa laikam saskaras ar situāciju, kad viņu datorā ir iekļuvusi kaitīga programma un dators tiek inficēts. Tas notiek tāpēc, ka datorā vispār nebija pretvīrusu, vai arī tāpēc, ka antivīruss neatklāja ļaunprogrammatūru, izmantojot ne paraksta, ne proaktīvas metodes. Šādā situācijā ir svarīgi, lai, instalējot datorā antivīrusu ar svaigām parakstu datu bāzēm, antivīruss spētu ne tikai atklāt kaitīgo programmu, bet arī veiksmīgi novērst visas tās darbības sekas un izārstēt aktīvo infekciju. Tajā pašā laikā ir svarīgi saprast, ka vīrusu radītāji nemitīgi pilnveido savas “prasmes”, un dažus no viņu darbiem ir diezgan grūti noņemt no datora - ļaunprogrammatūra var Dažādi ceļi maskē to klātbūtni sistēmā (tostarp izmantojot rootkit) un pat traucē pretvīrusu programmu darbību. Turklāt nepietiek tikai ar inficētā faila dzēšanu vai dezinficēšanu, jums ir jānovērš visas ļaunprātīgā procesa veiktās izmaiņas sistēmā un pilnībā jāatjauno sistēmas funkcionalitāte. Krievijas portāla Anti-Malware.ru komanda veica līdzīgu testu, tā rezultāti parādīti 4. attēlā.
4. attēls. Aktīvās infekcijas ārstēšana
Iepriekš tika apspriestas dažādas pieejas antivīrusu testēšanai, un tika parādīts, kādi antivīrusu darbības parametri tiek ņemti vērā testēšanas laikā. Varam secināt, ka vieniem antivīrusiem izdevīgs izrādās viens rādītājs, citiem – cits. Tajā pašā laikā likumsakarīgi, ka antivīrusu izstrādātāji savos reklāmas materiālos koncentrējas tikai uz tiem testiem, kuros viņu produkti ieņem vadošās pozīcijas. Piemēram, Kaspersky Lab koncentrējas uz reakcijas ātrumu uz jaunu draudu parādīšanos, Eset uz savu heiristisko tehnoloģiju jaudu, Doctor Web apraksta savas priekšrocības aktīvo infekciju ārstēšanā.
Tāpēc ir jāveic dažādu testu rezultātu sintēze. Šeit apkopotas pozīcijas, ko antivīrusi ieņēma apskatītajos testos, kā arī sniegts integrēts vērtējums – kādu vietu konkrētais produkts ieņem vidēji visos testos. Rezultātā labāko trijniekā ieguva: Kaspersky, Avira, Symantec.
Pamatojoties uz analizētajām pretvīrusu pakotnēm, tika izveidots programmatūras produkts, kas paredzēts ar SVC 5.0 vīrusu inficētu failu meklēšanai un apstrādei. Šis vīruss neizraisa nesankcionētu failu dzēšanu vai kopēšanu, bet būtiski traucē pilnvērtīgu datora programmatūras darbību.
Inficētās programmas ir garākas par avota kodu. Tomēr, pārlūkojot direktorijus inficētā datorā, tas nebūs redzams, jo vīruss pārbauda, vai atrastais fails ir inficēts. Ja fails ir inficēts, neinficētā faila garums tiek ierakstīts DTA.
Šo vīrusu var noteikt šādi. Vīrusu datu apgabalā ir rakstzīmju virkne "(c) 1990 by SVC,Ver. 5.0", pēc kuras vīrusu, ja tas atrodas diskā, var noteikt.
Rakstot pretvīrusu programmu, tiek veikta šāda darbību secība:
1 Katram skenētajam failam tiek noteikts tā izveides laiks.
2 Ja sekunžu skaits ir sešdesmit, tad tiek pārbaudīti trīs baiti ar nobīdi, kas vienāda ar “faila garums mīnus 8AN”. Ja tie ir vienādi ar attiecīgi 35H, 2EN, 30H, tad fails ir inficēts.
3 Tiek atšifrēti pirmie 24 sākotnējā koda baiti, kas atrodas nobīdē “faila garums mīnus 01CFН plus 0BAAN”. Dekodēšanas taustiņi atrodas nobīdēs “faila garums mīnus 01CFН plus 0С1АН” un “faila garums mīnus 01CFН plus 0С1BN”.
4 Dekodētie baiti tiek pārrakstīti uz programmas sākumu.
5 Fails tiek “saīsināts” līdz vērtībai “faila garums mīnus 0С1F”.
Programma tika izveidota TurboPascal programmēšanas vidē. Programmas teksts ir parādīts A pielikumā.
Secinājums
Kursa darbā tika veikta antivīrusu pakotņu salīdzinošā analīze.
Analīzes laikā tika veiksmīgi atrisināti darba sākumā izvirzītie uzdevumi. Tādējādi tika pētīti informācijas drošības, datorvīrusu un pretvīrusu rīku jēdzieni, informācijas drošības apdraudējumu veidi, aizsardzības metodes, apskatīta datorvīrusu un pretvīrusu programmu klasifikācija un antivīrusu salīdzinošā analīze. pakotnes tika veiktas, tika uzrakstīta programma, kas meklē inficētos failus.
Darba gaitā iegūtos rezultātus var izmantot, izvēloties pretvīrusu līdzekli.
Visi iegūtie rezultāti tiek atspoguļoti darbā, izmantojot diagrammas, tāpēc lietotājs var patstāvīgi pārbaudīt galīgajā diagrammā izdarītos secinājumus, kas atspoguļo dažādu antivīrusu produktu testu identificēto rezultātu sintēzi.
Darba gaitā iegūtos rezultātus var izmantot par pamatu neatkarīgai antivīrusu programmu salīdzināšanai.
Ņemot vērā IT tehnoloģiju plašo pielietojumu, piedāvātais kursa darbs ir aktuāls un atbilst tam izvirzītajām prasībām. Darba gaitā tika apskatīti populārākie antivīrusu rīki.
Izmantotās literatūras saraksts
1 Anin B. Datorinformācijas aizsardzība. - Sanktpēterburga. : BHV – Sanktpēterburga, 2000. – 368 lpp.
2 Artjunovs V.V. Informācijas aizsardzība: mācību grāmata. - metode. pabalstu. M.: Libērija - Bibinform, 2008. - 55 lpp. – (Bibliotekārs un laiks. 21.gs.; 99.nr.).
3 Korņejevs I.K., E.A.Stepanovs Informācijas aizsardzība birojā: mācību grāmata. – M.: Prospekt, 2008. – 333 lpp.
5 Kuprijanovs A.I. Informācijas aizsardzības pamati: mācību grāmata. pabalstu. – 2. izd. izdzēsts – M.: Akadēmija, 2007. – 254 lpp. – (Augstākā profesionālā izglītība).
6 Semenenko V. A., N. V. Fedorovs Programmatūras un aparatūras informācijas aizsardzība: mācību grāmata. palīdzība studentiem universitātes – M.: MGIU, 2007. – 340 lpp.
7 Tsirlovs V. L. Informācijas drošības pamati: īss kurss. – Rostova n/d: Fēnikss, 2008. – 254 lpp. (Profesionālā izglītība).
Pieteikums
Programmu saraksts
ProgrammaANTIVĪRUS;
Izmanto dos, crt, printeri;
Tips St80 = virkne;
FileInfection: File Of Byte;
SearchFile:SearchRec;
Masa: St80 masīvs;
Masbaits: baitu masīvs;
Pozīcija,I,J,K:baits;
Num,NumberOfFile,NumberOfInfFile:Word;
Flag,NextDisk,Error:Boolean;
Key1,Key2,Key3,NumError:Byte;
MasScreen: baitu absolūtais masīvs USD B800:0000;
Procedūra Izārstēšana (St: St80);
I: baits; MasCure: Array Of Byte;
Piešķirt(FileInfection,St); Atiestatīt (FileInfection);
NumError:=IOResult;
If(NumError<>
Meklēt(FileInfection,FileSize(FileInfection) - ($0C1F - $0C1A));
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Lasīt(FileInfection,Key1);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Lasīt(FileInfection,Key2);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Meklēt(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
I:=1 līdz 24 dariet
Lasīt(FileInfection,MasCure[i]);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Key3:=MasCure[i];
MasCure[i]:=Key3;
Meklēt(FileInfection,0);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
I:=1 līdz 24 veiciet Write(FileInfection,MasCure[i]);
Meklēt(FileInfection,FileSize(FileInfection) - $0C1F);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Saīsināt (FileInfection);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Aizvērt (FileInfection); NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Procedūra F1 (St: St80);
FindFirst(St + "*.*", $3F, SearchFile);
Kamēr (SearchFile.Attr = $10) Un (DosError = 0) Un
((SearchFile.Name = ".") Vai (SearchFile.Name = "..")) Dariet
FindNext(SearchFile);
Kamēr (DosError = 0) Do
Ja tiek nospiests taustiņš, tad
If (Ord(ReadKey) = 27) Then Halt;
If (SearchFile.Attr = $10) Tad
Mas[k]:=St + SearchFile.Name + "\";
If(SearchFile.Attr<>10 USD) Tad
NumberOfFile:=NumberOfFile + 1;
UnpackTime(SearchFile.Time, DT);
I:=18 līdz 70 veiciet MasScreen:=20 USD;
Write(St + SearchFile.Name," ");
Ja (Dt.Sec = 60) Tad
Piešķirt(FileInfection,St + SearchFile.Name);
Atiestatīt (FileInfection);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Meklēt(FileInfection,FileSize(FileInfection) - $8A);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
I:=1 līdz 3 veiciet Read(FileInfection,MasByte[i]);
Aizvērt (FileInfection);
NumError:=IOResult;
If(NumError<>0) Tad Begin Error:=True; Izeja; Beigas;
Ja (Masbaits = $35) Un (Masbaits = $2E) Un
(Masbaits = 30 USD) Pēc tam
NumberOfInfFile:=NumberOfInfFile + 1;
Write(St + SearchFile.Name," inficēts.",
"Dzēst?");
Ja (Ord(Ch) = 27) Tad Iziet;
Līdz (Ch = "Y") vai (Ch = "y") vai (Ch = "N")
Ja (Ch = "Y") Vai (Ch = "y") Tad
Cure(St + SearchFile.Name);
If(NumError<>0) Pēc tam iziet;
I:=0 līdz 79 veiciet MasScreen:=20 USD;
FindNext(SearchFile);
GoToXY(29,1); TextAttr:=$1E; GoToXY(20,2); TextAttr:=17 ASV dolāri;
Writeln("Programma dlya poiska i lecheniya fajlov,");
Writeln("saragennih SVC50.");
TextAttr:=$4F; GoToXY(1,25);
Write(" ESC - iziet ");
TextAttr:=$1F; GoToXY(1,6);
Write("Kakoj disk proveit?");
If (Ord(Disk) = 27) Tad Iziet;
R.Ah:=$0E; R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah:=19 ASV dolāri; Intr($21,R);
Karogs:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disk) + ":\";
Writeln("Testiruetsya disks ",St," ");
Writeln ("Testiruetsya fajl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Ja (k = 0) vai kļūda, tad Flag:=False;
Ja (k > 0) Tad K:=K-1;
Ja (k=0) Tad Flag:=False;
Ja (k > 0) Tad K:=K-1;
Writeln("Pārbaudīts fajlovs - ",NumberOfFile);
Writeln("Zarageno fajlov - ",InfFile numurs);
Writeln("Izlecheno fajlov - ",Num);
Write("Pārbaudīt narkotiku disku? ");
Ja (Ord(Ch) = 27) Tad Iziet;
Līdz (Ch = "Y") vai (Ch = "y") vai (Ch = "N") vai (Ch = "n");
Ja (Ch = "N") Vai (Ch = "n") Tad NextDisk:=False;
Kursa darbs
“Mūsdienu pretvīrusu programmu salīdzinošā analīze”
IEVADS
1. NODAĻA. Galvenā informācija par datorvīrusiem
1.1. Datorvīrusu jēdziens
1.2 Datorvīrusu veidi
1.3. Vīrusu iespiešanās ceļi, parādīšanās pazīmes datorā
1.4 Pretvīrusu rīki
2. NODAĻA. Pretvīrusu programmu salīdzinošā analīze
SECINĀJUMS
Izmantoto avotu saraksts
Ievads
Mēs dzīvojam divu gadu tūkstošu mijā, kad cilvēce ir iegājusi jaunas zinātnes un tehnoloģijas revolūcijas laikmetā. Līdz divdesmitā gadsimta beigām cilvēki bija apguvuši daudzus matērijas un enerģijas pārveidošanas noslēpumus un varēja izmantot šīs zināšanas, lai uzlabotu savu dzīvi. Taču bez matērijas un enerģijas cilvēka dzīvē milzīgu lomu spēlē vēl viena sastāvdaļa – informācija. Šī ir visdažādākā informācija, ziņas, ziņas, zināšanas, prasmes. Mūsu gadsimta vidū parādījās īpašas ierīces - datori, kas bija vērsti uz informācijas glabāšanu un konvertēšanu, un notika datoru revolūcija. Pateicoties informācijas tehnoloģiju straujajai attīstībai un to izplatībai visās cilvēka darbības sfērās, ir pieaudzis noziegumu skaits pret informācijas drošību. Mūsdienās personālo datoru plašā izmantošana diemžēl ir izrādījusies saistīta ar pašreplicējošu vīrusu programmu rašanos, kas traucē normālu datora darbību, iznīcina disku failu struktūru un bojā datorā glabāto informāciju. . Neskatoties uz daudzās valstīs pieņemtajiem likumiem datornoziegumu apkarošanai un īpašas pretvīrusu programmatūras izstrādei, jaunu programmatūras vīrusu skaits nepārtraukti pieaug. Tas prasa, lai personālā datora lietotājam būtu zināšanas par vīrusu būtību, vīrusu inficēšanās metodēm un aizsardzību pret tiem.
Vīrusi ar katru dienu kļūst arvien sarežģītāki, kā rezultātā būtiski mainās draudu profils. Taču pretvīrusu programmatūras tirgus nestāv uz vietas, piedāvājot daudzus šķietami identiskus produktus. To lietotāji, izklāstot problēmu tikai vispārīgi, bieži vien palaiž garām svarīgas nianses un galu galā rada ilūziju par aizsardzību, nevis pašu aizsardzību.
Kursa darba rakstīšanai tika izmantoti šādi avoti: Bezrukov N.N. “Datorvīrusi”, Mostovoy D.Yu. "Mūsdienu tehnoloģijas cīņai pret vīrusiem", Mogiļeva A.V. "Informātika: mācību grāmata pedagoģisko universitāšu studentiem." mācību grāmata Mogiļeva satur plašu informāciju par teorētiskie pamati datorzinātnes, programmatūra, programmēšanas valodas un metodes, datortehnoloģijas, informācijas sistēmas, datortīkli un telekomunikācijas, datormodelēšana. Skaidri un saprotami izskaidroti dažādi datorvīrusi, to šķirnes un apkarošanas līdzekļi.
Pamatojoties uz izpētīto literatūru, mēģināsim izdomāt, kas ir jāaizsargā, kā to darīt un kam jāpievērš īpaša uzmanība.
1. NODAĻA. VISPĀRĪGA INFORMĀCIJA PAR DATORVĪRUSIEM
1.1. Datorvīrusu jēdziens.
Datorvīruss ir programma, parasti maza izmēra (no 200 līdz 5000 baitiem), kas darbojas pati, daudzkārt kopē savu kodu, pievienojot to citu programmu kodiem (“vairo”) un traucē pareiza darbība datoru un/vai iznīcina magnētiskajos diskos saglabāto informāciju (programmas un datus).
Ir arī mazāk “ļaundabīgie” vīrusi, kas izraisa, piemēram, datuma atiestatīšanu datorā, mūzikas vīrusi (atskaņojot kādu melodiju), kas izraisa attēla parādīšanos displeja ekrānā vai informācijas izkropļojumus. , “burtu sadragāšanās” utt. .d.
Datorvīrusu radīšanu no juridiskā viedokļa var klasificēt kā noziegumu.
Iemesli, kas liek kvalificētiem programmētājiem radīt datorvīrusus, ir interesanti, jo šis darbs netiek apmaksāts un nevar nest slavu. Acīmredzot vīrusu radītājiem tas ir sevis apliecināšanas veids, veids, kā pierādīt savu kvalifikāciju un spējas. Datorvīrusu radīšanu veic kvalificēti programmētāji, kuri viena vai otra iemesla dēļ nav atraduši sev vietu lietderīgās darbībās, attīstībā lietojumprogrammas cieš no sāpīgas iedomības vai mazvērtības kompleksa. Tie jaunie programmētāji, kuriem ir grūtības sazināties ar apkārtējiem cilvēkiem, arī kļūst par vīrusu radītājiem un nesastop atzinību no speciālistiem, kuriem datorjomas morāles un ētikas jēdziens ir svešs. Arī paši pretvīrusu programmatūras ražotāji var radīt vīrusus peļņas gūšanai. Izveidojot jauns vīruss vai pārveidojot veco, ražotāji nekavējoties izlaiž pretvīrusu produktus, lai tos apkarotu, tādējādi apsteidzot savus konkurentus.
Ir arī speciālisti, kas savus spēkus un talantu velta cīņai ar datorvīrusiem. Krievijā tie ir slaveni programmētāji D. Lozinskis, D. Mostovojs, I. A. Daņilovs, N. Bezrukovs uc Viņi pētīja daudzus datorvīrusus, izstrādāja pretvīrusu programmas, ieteikumus par pasākumiem, lai novērstu vīrusu iznīcināšanu datorinformācijā un vīrusu izplatīšanos. datorvīrusu epidēmijas.
Galvenās briesmas, viņuprāt, ir nevis paši datorvīrusi, bet gan datoru lietotāji un datorprogrammas, nav gatavs cīnīties ar vīrusiem, uzvedas neprasmīgi, saskaroties ar datorinfekcijas simptomiem, viegli krīt panikā, kas paralizē normālu darbu.
1.2 Datorvīrusu veidi
Sīkāk apskatīsim datorvīrusu galvenās iezīmes, pretvīrusu programmu īpašības un pasākumus programmu un datu aizsardzībai no datorvīrusiem visizplatītākajā MSDOS sistēmā.
Pēc aptuvenām aplēsēm, šajās dienās Ir vairāk nekā desmit tūkstoši dažādu vīrusu. To skaitīšanu sarežģī fakts, ka daudzi vīrusi maz atšķiras viens no otra, ir viena un tā paša vīrusa varianti, un, otrādi, viens un tas pats vīruss var mainīt savu izskatu un iekodēt sevi. Patiesībā vīrusu pamatā nav ļoti daudz pamata ideju (vairāki desmiti).
Starp dažādiem datorvīrusiem ir jāizšķir šādas grupas:
- boot ( boot ) vīrusi inficēt programmu bootstrap dators, kas tiek saglabāts disketes vai cietā diska sāknēšanas sektorā un tiek palaists datora sāknēšanas laikā;
- failu vīrusi vienkāršākajā gadījumā tie inficē atjauninātos failus, bet var izplatīties arī caur dokumentu failiem (WordforWindows sistēmām) un pat nemaz nemodificēt failus, bet tikai ar tiem ir kaut kas saistīts;
- sāknēšanas failu vīrusi ir gan sāknēšanas, gan failu vīrusu pazīmes;
-draiveru vīrusi inficēt datora ierīču draiverus vai palaist sevi, iekļaujot konfigurācijas failā papildu rindiņu.
No vīrusiem, kas nedarbojas personālajos datoros, kuros darbojas operētājsistēma MSDOS, ir jāpiemin tīkla vīrusi, izplatīts tīklos, kas savieno daudzus desmitus un simtiem tūkstošu datoru.
Apsvērsim darbības principus sāknēšanas vīrusi. Katram disketim vai cietajam diskam ir pakalpojumu sektori, ko operētājsistēma izmanto savām vajadzībām, tostarp sāknēšanas sektors. Papildus informācijai par disketi (celiņu skaits, sektoru skaits utt.) tajā tiek saglabāta neliela sāknēšanas programma.
Vienkāršākie sāknēšanas vīrusi, kas atrodas inficētā datora atmiņā, nosaka neinficētu disketi diskdzinī un veic šādas darbības:
Viņi piešķir noteiktu disketes apgabalu un padara to nepieejamu operētājsistēmai (atzīmējot, piemēram, kā sliktu);
Nomainiet sāknēšanas programmu disketes sāknēšanas sektorā, kopējot pareizo sāknēšanas programmu, kā arī tās kodu disketes piešķirtajā apgabalā;
Tie organizē vadības nodošanu tā, lai vispirms tiktu izpildīts vīrusa kods un tikai pēc tam bootstrap programma.
Magnētiskie diski Vinčesteras tipa datori parasti tiek sadalīti vairākos loģiskos nodalījumos. Šajā gadījumā sāknēšanas programmas ir pieejamas gan MBR (MasterBootRecord - galvenais sāknēšanas ieraksts), gan cietā diska sāknēšanas nodalījumā, kuras inficēšanās var notikt tāpat kā disketes sāknēšanas sektora inficēšanās. . Tomēr sāknēšanas programma MBR, pārejot uz sāknēšanas programmu cietā diska sāknēšanas nodalījumam, izmanto tā saukto nodalījuma tabulu, kurā ir informācija par sāknēšanas nodalījuma pozīciju diskā. Vīruss var izkropļot partitiontable informāciju un tādējādi pārsūtīt kontroli uz tā kodu, kas ierakstīts diskā, oficiāli nemainot sāknēšanas programma.
Tagad apskatīsim darbības principus failu vīrusi. Faila vīruss ne vienmēr ir rezidents; tas, piemēram, var iegult sevi izpildāmā faila kodā. Kad tiek izpildīts inficēts fails, vīruss iegūst kontroli, veic dažas darbības un atgriež kontroli pār kodu, kurā tas tika iegults. Darbības, ko vīruss veic, ietver inficēšanai piemērota faila meklēšanu, ievietošanu tajā, lai iegūtu kontroli pār failu, un kāda efekta, piemēram, skaņas vai grafikas, radīšana. Ja faila vīruss ir rezidents, tas tiek instalēts atmiņā un spēj inficēt failus un izpausties neatkarīgi no sākotnējā inficētā faila.
Inficējot failu, vīruss vienmēr mainīs savu kodu, bet ne vienmēr veiks citas izmaiņas. Jo īpaši var nemainīties faila sākums un garums (kas iepriekš tika uzskatīts par infekcijas pazīmi). Piemēram, vīrusi var izkropļot informāciju par failiem, kas tiek glabāti magnētisko disku apkalpošanas zonā - failu piešķiršanas tabulā (Fat - fileallocation table), tādējādi padarot neiespējamu darbu ar failiem. Tā uzvedas “Dir” ģimenes vīrusi.
Šodien vairāk nekā jebkad agrāk, antivīruss programmatūra ir ne tikai populārākais jebkuras operētājsistēmas drošības sistēmā, bet arī viena no tās galvenajām sastāvdaļām. Un, ja iepriekš lietotājam bija ļoti ierobežota, pieticīga izvēle, tagad jūs varat atrast daudz šādu programmu. Bet, ja paskatās uz sarakstu “Top 10 antivīrusi”, jūs ievērosiet, ka ne visi no tiem ir vienādi. funkcionalitāte. Apskatīsim populārākos iepakojumus. Tajā pašā laikā analīzē tiks iekļauta gan maksas, gan shareware (antivīruss 30 dienām), gan brīvi izplatītas lietojumprogrammas. Bet vispirms vispirms.
10 populārākie pretvīrusi operētājsistēmai Windows: testēšanas kritēriji
Pirms sākat veidot reitingu, jums, iespējams, vajadzētu iepazīties ar pamata kritērijiem, kas tiek izmantoti vairumā gadījumu, testējot šādu programmatūru.
Protams, ir vienkārši neiespējami ņemt vērā visus zināmos iepakojumus. Tomēr starp visiem, kas paredzēti, lai nodrošinātu datorsistēmas aizsardzību visplašākajā nozīmē, var identificēt populārāko. Tajā pašā laikā mēs ņemsim vērā gan neatkarīgo laboratoriju oficiālos vērtējumus, gan lietotāju atsauksmes, kuri praksē izmanto šo vai citu programmatūras produktu. Turklāt, mobilās programmas netiks ietekmēta, koncentrēsimies uz stacionārām sistēmām.
Kas attiecas uz pamata testu veikšanu, parasti tie ietver vairākus galvenos aspektus:
- maksas un bezmaksas versiju pieejamība un ierobežojumi, kas saistīti ar funkcionalitāti;
- standarta skenēšanas ātrums;
- ātra iespējamo apdraudējumu identificēšana un iespēja tos noņemt vai karantīnā, izmantojot iebūvētos algoritmus;
- pretvīrusu datu bāzu atjaunināšanas biežums;
- pašaizsardzība un uzticamība;
- papildu funkciju pieejamība.
Kā redzams no iepriekš minētā saraksta, pretvīrusu programmatūras darbības pārbaude ļauj noteikt konkrētā produkta stiprās un vājās puses. Tālāk es apskatīšu populārākās programmatūras pakotnes, kas iekļautas Top 10 antivīrusu sarakstā, kā arī norādīšu to galvenās īpašības, protams, ņemot vērā to cilvēku viedokļus, kuri tos izmanto savā ikdienas darbā.
Kaspersky Lab programmatūras produkti
Vispirms apskatīsim Kaspersky Lab izstrādātos programmatūras moduļus, kas ir ārkārtīgi populāri postpadomju telpā.
Šeit nav iespējams izcelt tikai vienu programmu, jo starp tām var atrast standarta Kaspersky Antivirus skeneri un tādus moduļus kā Interneta drošība un pārnēsājamas utilītas, piemēram, Virus Noņemšanas rīks, un pat sāknēšanas diski bojātām Rescue Disc sistēmām.
Tūlīt ir vērts atzīmēt divus galvenos trūkumus: pirmkārt, spriežot pēc atsauksmēm, gandrīz visas programmas, ar retiem izņēmumiem, ir maksas vai koplietošanas programmatūra, un, otrkārt, Sistēmas prasības nepamatoti augsts, kas neļauj tos izmantot salīdzinoši vājās konfigurācijās. Protams, tas atbaida daudzus parastos lietotājus, lai gan Kaspersky Antivirus vai Internet Security aktivizācijas atslēgas var viegli atrast globālajā tīmeklī.
No otras puses, aktivizācijas situāciju var labot citā veidā. Piemēram, Kaspersky atslēgas var ģenerēt, izmantojot īpašas lietojumprogrammas, piemēram, Key Manager. Tiesa, šī pieeja ir, maigi izsakoties, pretlikumīga, tomēr kā izeju to izmanto daudzi lietotāji.
Darbības ātrums uz modernām mašīnām ir vidējs (nez kāpēc tiek radītas arvien jaunas smagsvara versijas jaunām konfigurācijām), taču pastāvīgi tiek atjauninātas datu bāzes, unikālas tehnoloģijas zināmu vīrusu identificēšanai un noņemšanai un potenciāli bīstamas programmasšeit augšā. Nav pārsteidzoši, ka Kapersky Laboratory šodien ir līderis drošības programmatūras izstrādātāju vidū.
Un vēl divi vārdi par atkopšanas disku. Tas ir unikāls savā veidā, jo tas sāk skeneri no grafiskais interfeiss pat pirms pašas Windows sākuma, ļaujot noņemt draudus pat no RAM.
Tas pats attiecas uz pārnēsājamo utilītu Virus Removal Tool, kas var izsekot jebkuram apdraudējumam inficētajā terminālī. To var salīdzināt tikai ar līdzīgu lietderību no Dr. Web.
Aizsardzība no Dr. Web
Mūsu priekšā ir vēl viens no spēcīgākajiem pārstāvjiem drošības jomā - slavenais “Doctor Web”, kurš kopš neatminamiem laikiem ir bijis visas pretvīrusu programmatūras izveides pirmsākumi.
Starp milzīgo programmu skaitu varat atrast arī standarta skenerus, drošības rīkus sērfošanai internetā, pārnēsājamas utilītas un atkopšanas diskus. Nevar visu uzskaitīt.
Var saukt par galveno faktoru par labu šī izstrādātāja programmatūrai liels ātrums darbs, tūlītēja draudu noteikšana ar iespēju pilnībā noņemt vai izolēt, kā arī mērena slodze uz sistēmu kopumā. Kopumā no vairuma lietotāju viedokļa šī ir sava veida viegla Kaspersky versija. Šeit joprojām ir kaut kas interesants. Jo īpaši tas ir Dr. Web Katana. Tiek uzskatīts, ka šis ir jaunas paaudzes programmatūras produkts. Tas ir vērsts uz "smilšu" tehnoloģiju izmantošanu, t.i., apdraudējuma ievietošanu "mākonī" vai "smilšu kastē" (lai kā jūs to vēlaties saukt) analīzei, pirms tas iekļūst sistēmā. Tomēr, ja paskatās, šeit nav īpašu jauninājumu, jo šī tehnika tika izmantota jau atpakaļ bezmaksas antivīruss Panda. Turklāt, pēc daudzu lietotāju domām, Dr. Web Katana ir sava veida drošības telpa ar tām pašām tehnoloģijām. Tomēr vispārīgi runājot, jebkura šī izstrādātāja programmatūra ir diezgan stabila un jaudīga. Nav pārsteidzoši, ka daudzi lietotāji dod priekšroku šādām paketēm.
ESET programmas
Runājot par top 10 antivīrusiem, nevar nepieminēt vēl vienu spilgtu šīs jomas pārstāvi - Uzņēmums ESET, kas kļuva slavens ar tik slavenu produktu kā NOD32. Nedaudz vēlāk piedzima ESET modulis Viedā drošība.
Ja mēs apsvērsim šīs programmas, mēs varam atzīmēt interesantu punktu. Lai aktivizētu visas pakotnes funkcionalitāti, varat veikt divas darbības. No vienas puses, tā ir oficiālas licences iegūšana. No otras puses, jūs varat instalēt izmēģinājuma antivīruss bezmaksas, taču aktivizējiet to ik pēc 30 dienām. Interesanta ir arī situācija ar aktivizāciju.
Kā atzīmē absolūti visi lietotāji, par ESET Smart Drošība (vai standarta antivīrusam) oficiālajā vietnē jūs varat atrast brīvi izplatītas atslēgas pieteikšanās un paroles veidā. Vēl nesen varēja izmantot tikai šos datus. Tagad process ir kļuvis nedaudz sarežģītāks: vispirms ir jāpiesakās un jāievada parole īpašā vietnē, jāpārveido par licences numuru un tikai pēc tam jāievada reģistrācijas laukā pašā programmā. Tomēr, ja jūs nepievēršat uzmanību šādiem sīkumiem, varat atzīmēt, ka šis antivīruss ir viens no labākajiem. Lietotāju atzīmētie plusi:
- vīrusu parakstu datu bāzes tiek atjauninātas vairākas reizes dienā,
- draudu identificēšana visaugstākajā līmenī,
- nav konfliktu ar sistēmas komponentiem (ugunsmūri),
- iepakojumam ir visspēcīgākā pašaizsardzība,
- nav viltus trauksmes utt.
Atsevišķi ir vērts atzīmēt, ka sistēmas slodze ir minimāla, un pretaizdzīšanas moduļa izmantošana pat ļauj aizsargāt datus no zādzībām vai ļaunprātīgas izmantošanas personīga labuma gūšanai.
AVG antivīruss
AVG Antivirus ir maksas programmatūra, kas izstrādāta, lai nodrošinātu visaptverošu drošību datorsistēmām (ir arī bezmaksas, saīsināta versija). Un, lai gan šodien šī pakete vairs nav starp pieciniekiem, tā tomēr demonstrē diezgan lielu ātrumu un stabilitāti.
Principā tas ir ideāli piemērots lietošanai mājās, jo papildus ātrumam tam ir ērts rusificēts interfeiss un vairāk vai mazāk stabila uzvedība. Tiesa, kā atzīmē daži lietotāji, dažreiz tas spēj palaist garām draudus. Un tas neattiecas uz vīrusiem kā tādiem, bet gan uz spiegprogrammatūra vai reklamēt "junkprogrammatūru", ko sauc par ļaunprātīgu programmatūru un reklāmprogrammatūru. Pats programmas modulis, lai arī tas tiek plaši reklamēts, tomēr, pēc lietotāju domām, izskatās nedaudz nepabeigts. Un papildu ugunsmūris bieži var izraisīt konfliktus ar “vietējo” Windows ugunsmūri, ja abi moduļi ir aktīvi.
Avira pakete
Avira ir vēl viens antivīrusu saimes loceklis. Tas būtiski neatšķiras no vairuma līdzīgu iepakojumu. Tomēr, ja jūs par to lasāt lietotāju atsauksmes, jūs varat atrast diezgan interesantus ierakstus.
Daudzi cilvēki nekādā gadījumā neiesaka izmantot bezmaksas versiju, jo tajā vienkārši trūkst dažu moduļu. Lai nodrošinātu drošu aizsardzību, jums būs jāiegādājas maksas produkts. Bet šāds antivīruss ir piemērots 8. un 10. versijām, kurās pati sistēma izmanto daudz resursu, un pakotne tos izmanto zemākajā līmenī. Principā Avira ir vislabāk piemērota, teiksim, budžeta klēpjdatoriem un vājiem datoriem. Tomēr tīkla instalēšana nav iespējama.
Mākoņpakalpojums Panda Cloud
Bezmaksas vienā reizē kļuva par gandrīz revolūciju pretvīrusu tehnoloģiju jomā. Tā sauktās smilšu kastes izmantošana aizdomīga satura iesniegšanai analīzei, pirms tas nokļūst sistēmā, ir padarījis šo lietojumprogrammu īpaši populāru visu līmeņu lietotāju vidū.
Un tieši ar “smilšu kasti” šis antivīruss mūsdienās ir saistīts. Jā, patiešām, šī tehnoloģija, atšķirībā no citām programmām, ļauj novērst draudu iekļūšanu sistēmā. Piemēram, jebkurš vīruss vispirms saglabā savu ķermeni cietajā diskā vai operatīvajā atmiņā un tikai pēc tam sāk savu darbību. Šeit lieta nenonāk pie saglabāšanas. Vispirms aizdomīgais fails tiek nosūtīts uz mākoņpakalpojumu, kur tas tiek pārbaudīts, un tikai pēc tam to var saglabāt sistēmā. Tiesa, kā stāsta aculiecinieki, diemžēl tas var aizņemt diezgan daudz laika un nevajadzīgi noslogot sistēmu. No otras puses, ir vērts sev pajautāt, kas ir svarīgāk: drošība vai pagarināts verifikācijas laiks? Taču mūsdienīgām datoru konfigurācijām ar interneta pieslēguma ātrumu 100 Mbit/s un lielāku to var izmantot bez problēmām. Starp citu, sava aizsardzība tiek nodrošināta tieši caur “mākoni”, kas dažkārt izraisa kritiku.
Avast Pro pretvīrusu skeneris
Tagad daži vārdi par citu ievērojamu pārstāvi. Tas ir diezgan populārs daudzu lietotāju vidū, taču, neskatoties uz to, ka ir viena un tā pati smilškaste, pretspiegprogrammatūra, tīkla skeneris, ugunsmūris un virtuālais konts, diemžēl Avast Pro Antivirus ir pārspējis galvenos veiktspējas, funkcionalitātes un uzticamības rādītājus nepārprotami zaudē tādi giganti kā Kaspersky Lab programmatūras produkti vai lietojumprogrammas, kas izmanto Bitdefender tehnoloģijas, lai gan demonstrē lielu skenēšanas ātrumu un zemu resursu patēriņu.
Lietotājus šiem produktiem piesaista galvenokārt tas bezmaksas versija Pakete ir maksimāli funkcionāla un daudz neatšķiras no maksas programmatūras. Turklāt šis antivīruss darbojas visās Windows versijās, tostarp Windows 10, un lieliski darbojas pat novecojušajās iekārtās.
360 drošības paketes
Pirms mums, iespējams, ir viens no ātrākajiem mūsdienu antivīrusiem - 360 Security, ko izstrādājuši Ķīnas speciālisti. Kopumā visi produkti ar marķējumu “360” izceļas ar apskaužamu darbības ātrumu (tā pati interneta pārlūkprogramma 360 Safety Browser).
Neskatoties uz tās galveno mērķi, programmai ir papildu moduļi, lai novērstu operētājsistēmas ievainojamības un optimizētu to. Bet ne darbības ātrumu, ne bezmaksas izplatīšanu nevar salīdzināt ar viltus trauksmēm. Programmu sarakstā, kurām ir visaugstākie rādītāji šim kritērijam, šī programmatūra ieņem vienu no pirmajām vietām. Pēc daudzu ekspertu domām, konflikti sistēmas līmenī rodas papildu optimizētāju dēļ, kuru darbība krustojas ar pašas OS uzdevumu izpildi.
Programmatūras produkti, kuru pamatā ir Bitdefender tehnoloģijas
Vēl viens “vecais vīrs” starp slavenākajiem operētājsistēmu aizstāvjiem ir Bitdefender. Diemžēl 2015. gadā tas zaudēja plaukstu Kaspersky Lab produktiem, tomēr antivīrusu veidā, tā teikt, ir viens no tendencēm.
Ja paskatās nedaudz uzmanīgāk, jūs ievērosiet, ka daudzas mūsdienu programmas (tā pati 360 drošības pakete) dažādās variācijās ir izgatavotas tieši uz šo tehnoloģiju pamata. Neskatoties uz bagātīgo funkcionālo bāzi, tai ir arī savi trūkumi. Pirmkārt, jūs neatradīsit krievu antivīrusu (rusificēto) Bitdefender, jo tas dabā vispār nepastāv. Otrkārt, neskatoties uz jaunāko tehnoloģiju sasniegumu izmantošanu sistēmas aizsardzībā, diemžēl tas uzrāda pārāk lielu viltus pozitīvu rezultātu skaitu (starp citu, pēc ekspertu domām, tas ir raksturīgi visai programmu grupai, kas izveidota, pamatojoties uz Bitdefender). Papildu optimizētāja komponentu un to ugunsmūru klātbūtne parasti ietekmē tādu antivīrusu darbību, kas nav iekšā labāka puse. Bet jūs nevarat noliegt šīs lietojumprogrammas ātrumu. Turklāt verifikācijai tiek izmantots P2P, taču verifikācijas vispār nav E-pasts reāllaikā, kas daudziem nepatīk.
Antivīruss no Microsoft
Vēl viena lietojumprogramma, kas izceļas ar apskaužamu darbību ar vai bez iemesla, ir pati Microsoft produkts sauc par Security Essentials.
Šī pakete ir iekļauta Top 10 antivīrusu sarakstā, acīmredzot, tikai tāpēc, ka tā ir paredzēta tikai Windows sistēmām, kas nozīmē, ka tā neizraisa absolūti nekādus konfliktus sistēmas līmenī. Turklāt kurš gan cits, ja ne Microsoft speciālisti, zina visas savas operētājsistēmas drošības robus un ievainojamības. Starp citu, interesants fakts ir tas, ka sākotnējās Windows 7 un Windows 8 versijās standarta komplektācijā bija MSE, bet tad nez kāpēc šis komplekts tika pamests. Tomēr operētājsistēmai Windows tas var kļūt par vienkāršāko risinājumu drošības ziņā, lai gan jūs nevarat paļauties uz īpašu funkcionalitāti.
McAfee lietotne
Kas attiecas uz šo lietojumprogrammu, tas izskatās diezgan interesants. Taču vislielāko popularitāti tas ir ieguvis pielietojuma jomā mobilajās ierīcēs ar visa veida bloķēšanu, tomēr galddatoros šis antivīruss uzvedas ne sliktāk.
Programmai ir zema līmeņa atbalsts P2P tīkliem, kopīgojot Instant Messenger failus, kā arī piedāvā 2 līmeņu aizsardzību, kurā galvenā loma ir WormStopper un ScriptStopper moduļiem. Taču kopumā, pēc patērētāju domām, funkcionalitāte ir vidējā līmenī, un pati programma vairāk orientēta uz spiegprogrammatūras, datoru tārpu un Trojas zirgu identificēšanu un izpildāmo skriptu vai kaitīgo kodu iekļūšanas novēršanu sistēmā.
Kombinētie antivīrusi un optimizētāji
Protams, šeit tika ņemti vērā tikai tie, kas iekļauti Top 10 antivīrusu sarakstā. Ja mēs runājam par citu šāda veida programmatūru, mēs varam atzīmēt dažas paketes, kuru komplektos ir pretvīrusu moduļi.
Kam dot priekšroku?
Protams, visiem antivīrusiem ir noteiktas līdzības un atšķirības. Ko uzstādīt? Šeit jums jāvadās no vajadzībām un nodrošinātā aizsardzības līmeņa. Parasti, korporatīvajiem klientiem Ir vērts iegādāties kaut ko jaudīgāku ar tīkla instalēšanas iespēju (Kaspersky, Dr. Web, ESET). Attiecībā uz lietošanu mājās, šeit lietotājs izvēlas to, kas viņam nepieciešams (ja vēlas, jūs pat varat atrast antivīrusu uz gadu - bez reģistrācijas vai iegādes). Bet, ja paskatās uz lietotāju atsauksmēm, labāk ir instalēt Panda Cloud, pat neskatoties uz nelielu sistēmas papildu slodzi un laiku, kas nepieciešams, lai reģistrētos smilšu kastē. Bet šeit ir pilnīga garantija, ka draudi nekādā veidā neiekļūs sistēmā. Tomēr katrs var brīvi izvēlēties, kas tieši viņam nepieciešams. Ja aktivizēšana nav grūta, lūdzu: ESET produkti labi darbojas mājas sistēmās. Bet optimizētāju ar pretvīrusu moduļiem kā galveno aizsardzības līdzekli izmantošana ir ārkārtīgi nevēlama. Nav arī iespējams pateikt, kura programma ieņem pirmo vietu: ir tik daudz lietotāju, tik daudz viedokļu.
Galvenie vērtēšanas kritēriji, kas ietvēra 200 rādītājus, bija:
- aizsardzība pret vīrusu;
- Lietošanas ērtums;
- ietekme uz datora ātrumu.
Aizsardzība pret ļaunprātīgu programmatūru ir vissvarīgākais vērtēšanas kritērijs: šīs parametru grupas rādītāji veidoja 65% no kopējā antivīrusu reitinga. Lietošanas vieglums un ietekme uz datora ātrumu veidoja attiecīgi 25% un 10% no kopējā rezultāta.
Pretvīrusu programmas tika atlasītas izpētei, pamatojoties uz popularitāti patērētāju vidū un pieejamību. Šī iemesla dēļ pētīto pretvīrusu programmu sarakstā bija:
- Bezmaksas programmas - gan iebūvētas, gan piedāvātas atsevišķi.
- Maksas programmas no vadošajiem antivīrusu zīmoliem. Pamatojoties uz atlases principiem, pētījumā netika iekļautas šo zīmolu programmatūras produktu dārgākās versijas.
- Vērtējumā varēja iekļaut tikai vienu maksas produktu no viena zīmola vienai operētājsistēmai. Otro produktu varēja iekļaut tikai tad, ja tas bija bezmaksas.
Šoreiz starptautiskajā pētījumā tika iekļauti arī šajā kategorijā izstrādātie produkti Krievijas uzņēmumi. Parasti starptautiskās testēšanas produktu sarakstā ir produkti ar pietiekamu tirgus daļu un augstu atpazīstamību patērētāju vidū, tāpēc Krievijas notikumu iekļaušana pētījumā norāda uz to plašo pārstāvniecību un pieprasījumu ārvalstīs.
Top desmit operētājsistēmai Windows
Visi desmitniekā esošie antivīrusi tiek galā ar aizsardzību pret spiegprogrammatūru un aizsargā pret pikšķerēšanu - mēģinājumiem piekļūt konfidenciāliem datiem. Bet starp antivīrusiem ir atšķirības aizsardzības līmenī, kā arī šīs vai citas funkcijas klātbūtnē vai neesamībā pārbaudītajās antivīrusa versijās.
Kopsavilkuma tabulā parādīti desmit labākās programmas pēc kopvērtējuma. Tas ņem vērā arī pakešu iezīmes to funkciju kopuma ziņā.
Cik laba ir standarta Windows 10 aizsardzība?
No 2018. gada februāra to personālo datoru lietotāju procentuālā daļa, kuros darbojas operētājsistēma Windows un ir instalēti galddatori OS Windows 10, sasniedza 43%. Šādos datoros antivīruss ir instalēts pēc noklusējuma - sistēmu aizsargā Windows Defender programma, kas ir iekļauta operētājsistēmā.
Standarta antivīruss, kuru, spriežot pēc statistikas, izmanto lielākā daļa cilvēku, reitingā bija tikai 17. vietā. Runājot par kopējo veiktspēju, Windows Defender ieguva 3,5 punktus no iespējamiem 5,5.
Pēdējam iebūvēta aizsardzība Windows versijas Ar katru gadu tas kļūst labāks, taču joprojām neatbilst daudzu specializēto pretvīrusu programmu līmenim, tostarp tām, kuras tiek izplatītas bez maksas. Windows Defender uzrādīja apmierinošus rezultātus tiešsaistes aizsardzības ziņā, taču pilnībā neizturēja pikšķerēšanas un pretizspiedējprogrammatūras testus. Starp citu, aizsardzību pret pikšķerēšanu apgalvo pretvīrusu ražotāji. Izrādījās arī, ka tas slikti aizsargā jūsu datoru bezsaistē.
Windows Defender dizaina ziņā ir diezgan vienkāršs. Tas skaidri ziņo par konkrēta apdraudējuma klātbūtni, skaidri parāda aizsardzības līmeni, un tam ir “vecāku kontroles” funkcija, kas ierobežo bērnu iespēju apmeklēt nevēlamus resursus.
Standarta Windows aizsardzība 10 var saukt tikai par pienācīgu. Pamatojoties uz kopējo vērtējumu, 16 programmas personālā datora aizsardzībai operētājsistēmā Windows OS izrādījās labākas par to. Ieskaitot četras bezmaksas.
Teorētiski uz Windows Defender var paļauties tikai tad, ja lietotājam ir ieslēgti regulāri atjauninājumi, viņa dators lielāko daļu laika ir savienots ar internetu un ir pietiekami attīstīts, lai apzināti izvairītos no aizdomīgu vietņu apmeklēšanas. Tomēr Roskachestvo iesaka instalēt specializētu pretvīrusu pakotni, lai nodrošinātu lielāku pārliecību par datora drošību.
Kā mēs pārbaudījām
Pārbaude tika veikta pasaulē kvalificētākajā laboratorijā, kas specializējas pretvīrusu programmās sešu mēnešu laikā. Kopumā tika veiktas četras ļaunprātīgas programmatūras aizsardzības testu grupas: vispārējais tiešsaistes aizsardzības tests, bezsaistes tests, viltus pozitīvu rezultātu tests un automātiskā un pēc pieprasījuma skenēšanas pārbaude. Mazākā mērā gala vērtējumu ietekmēja antivīrusa lietošanas ērtuma un tā ietekmes uz datora ātrumu pārbaude.
- Vispārējā aizsardzība
Katra pretvīrusu pakotne tiešsaistē tika pārbaudīta pret vīrusu kopumu, kuru kopējais skaits pārsniedz 40 000. Tika arī pārbaudīts, cik labi antivīruss tiek galā ar pikšķerēšanas uzbrukumiem – kad kāds mēģina piekļūt lietotāja konfidenciālajiem datiem. Tika veikts tests aizsardzībai pret izpirkuma programmatūru, kas ierobežo piekļuvi datoram un tajā esošajiem datiem izpirkuma maksas nolūkā. Turklāt tiek veikta USB diska, kurā ir ļaunprātīga programmatūra, tiešsaistes pārbaude. Tas nepieciešams, lai noskaidrotu, cik labi antivīruss tiek galā ar vīrusu atrašanu un iznīcināšanu, ja iepriekš nav zināma ne ļaunprātīgu failu klātbūtne, ne to izcelsme.
- USB bezsaistes pārbaude
Ļaunprātīgas programmatūras noteikšana, kas atrodas USB diskdzinī, kas savienots ar datoru. Pirms skenēšanas dators vairākas nedēļas bija atvienots no interneta, lai antivīrusu pakotnes nebūtu 100% atjauninātas.
- Viltus trauksme
Mēs pārbaudījām, cik efektīvi antivīruss identificē reālus draudus un izlaiž failus, kas faktiski ir droši, bet kurus produkts klasificē kā bīstamus.
- Automātiska un pēc pieprasījuma skenēšanas pārbaude
Mēs pārbaudījām, cik efektīvi skenēšanas funkcija darbojas automātiska pārbaude datorā, lai noteiktu ļaunprātīgas programmatūras klātbūtni un manuāli palaišanu. Pētījumā arī tika pārbaudīts, vai skenēšanu var ieplānot noteikts laiks kad dators netiek lietots.