Prehľad antivírusových programov pre osobných používateľov. Prehľad antivírusových programov pre osobných používateľov 5 uvádza klasifikáciu antivírusových programov

Antivírusové programy sa delia na čisté antivírusy a dvojúčelové antivírusy.

Obr.14. Klasifikačná schéma antivírusové programy

Čisté antivírusy sa vyznačujú prítomnosťou antivírusového motora, ktorý vykonáva funkciu skenovania podľa vzorov. Základom v tomto prípade je, že liečba je možná, ak je vírus známy. Čisté antivírusy sa zas delia do dvoch kategórií podľa typu prístupu k súborom: tie, ktoré kontrolujú prístup (on access) alebo on demand (on demand). Produkty na prístup sa zvyčajne nazývajú monitory a produkty na požiadanie sa nazývajú skenery.

Produkt na požiadanie funguje podľa nasledujúcej schémy: používateľ chce niečo skontrolovať a vydá požiadavku (dopyt), po ktorej sa kontrola vykoná. Produkt s prístupom je rezidentný program, ktorý monitoruje prístup a vykonáva kontrolu v čase prístupu.

Okrem toho antivírusové programy, podobne ako vírusy, možno rozdeliť v závislosti od platformy, v rámci ktorej tento antivírus funguje. V tomto zmysle môžu platformy spolu s Windows alebo Linux zahŕňať Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Dvojúčelové programy sú programy používané v antivírusovom aj nevírusovom softvéri. Napríklad CRC-checker – kontrolný inšpektor zmien založený na kontrolnom súčte – sa dá použiť nielen na zachytenie vírusov. Rôzne dvojúčelové programy sú blokátory správania, ktoré analyzujú správanie iných programov a ak sa zistia podozrivé akcie, zablokujú ich. Behaviorálne blokátory sa od klasického antivírusu líšia antivírusovým jadrom, ktoré rozpoznáva a lieči vírusy, ktoré boli analyzované v laboratóriu a pre ktoré bol predpísaný liečebný algoritmus, behaviorálne blokátory nevedia, ako vírusy liečiť, pretože o nich nič nevedia. Táto vlastnosť blokátorov im umožňuje pracovať s akýmikoľvek vírusmi, vrátane neznámych. To je dnes obzvlášť dôležité, pretože distribútori vírusov a antivírusov používajú rovnaké kanály na prenos údajov, teda internet. Zároveň antivírusová spoločnosť vždy potrebuje čas na získanie samotného vírusu, jeho analýzu a napísanie vhodných modulov liečby. Programy z dvojúčelovej skupiny vám umožňujú blokovať šírenie vírusu, kým spoločnosť nenapíše modul liečby.

Antivírusové programy

Na zistenie, odstránenie a ochranu pred počítačové vírusy Bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a ničiť vírusy. Takéto programy sa nazývajú antivírusové programy. Existujú nasledujúce typy antivírusových programov:

programy-detektory

programov-lekárov alebo fágov

programových audítorov

filtračné programy

očkovacie programy alebo imunizátory.

Detekčné programy vyhľadajú charakteristiku konkrétneho vírusu v pamäti RAM a v súboroch a v prípade zistenia vydajú príslušnú správu. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

Lekárske programy či fágy, ako aj očkovacie programy nielen nachádzajú súbory infikované vírusmi, ale ich aj „liečia“, t.j. telo vírusového programu sa odstráni zo súboru, čím sa súbory vrátia do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečbe“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich sú: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a sú potrebné pravidelné aktualizácie.

Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú Aktuálny stav s originálom. Zistené zmeny sa zobrazia na obrazovke monitora. Stavy sa spravidla porovnávajú ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú pomerne pokročilé algoritmy, detegujú stealth vírusy a dokonca dokážu vyčistiť zmeny verzie kontrolovaného programu od zmien vykonaných vírusom. Medzi programami-audítormi je v Rusku široko používaný program Adinf.

Filtračné programy alebo „strážcovia“ sú malé rezidentné programy určené na detekciu podozrivej činnosti počítača, ktorá je charakteristická pre vírusy. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM, EXE

zmena atribútov súboru

Priamy zápis na disk na absolútnu adresu

Zápis do zavádzacích sektorov disku

Keď sa ktorýkoľvek program pokúsi vykonať zadané akcie, „strážca“ pošle používateľovi správu a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtračné programy sú veľmi užitočné, pretože sú schopné odhaliť vírus v najskoršom štádiu jeho existencie pred reprodukciou. Súbory a disky však „neliečia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy.

Vakcíny alebo imunizátory sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní ich prácu a vírus ich bude vnímať ako infikované, a preto sa nezakorení. Vakcinačné programy majú v súčasnosti obmedzené využitie.

Včasná detekcia súborov a diskov infikovaných vírusmi, úplné zničenie zistených vírusov na každom počítači pomáha zabrániť šíreniu vírusovej epidémie na ďalšie počítače.

Hlavnou zbraňou v boji proti vírusom sú antivírusové programy. Umožňujú nielen detekovať vírusy, vrátane vírusov, ktoré používajú rôzne metódy zamaskovať, ale aj odstrániť z počítača. Posledná operácia môže byť dosť komplikovaná a zaberie nejaký čas.

malware antivírusová infekcia

Pre svoju úspešnú prácu musia vírusy skontrolovať, či je súbor už infikovaný (rovnakým vírusom). Vyhýbajú sa tak sebadeštrukcii. Vírusy na to používajú podpis. Väčšina bežných vírusov (vrátane makrovírusov) používa znakové podpisy. Zložitejšie vírusy (polymorfné) používajú podpisy algoritmov. Bez ohľadu na typ vírusovej signatúry ich antivírusové programy používajú na detekciu „počítačových infekcií“. Potom sa antivírusový program pokúsi zničiť zistený vírus. Tento proces však závisí od zložitosti vírusu a kvality antivírusového programu. Ako už bolo spomenuté, najťažšie je odhaliť trójske kone a polymorfné vírusy. Prvý z nich nepridáva svoje telo do programu, ale vkladá ho do neho. Na druhej strane, antivírusové programy musia stráviť pomerne veľa času na určenie signatúry polymorfných vírusov. Faktom je, že ich podpisy sa menia s každou novou kópiou.

Na detekciu, odstránenie a ochranu pred počítačovými vírusmi existujú špeciálne programy nazývaný antivírus. Moderné antivírusové programy sú multifunkčné produkty, ktoré kombinujú preventívnu aj antivírusovú liečbu a nástroje na obnovu dát.

Počet a rozmanitosť vírusov je veľká a na ich rýchlu a efektívnu detekciu musí antivírusový program spĺňať určité parametre:

1. Stabilita a spoľahlivosť práce.

2. Rozmery vírusovej databázy programu (počet vírusov, ktoré program správne deteguje): berúc do úvahy neustály výskyt nových vírusov, databáza by sa mala pravidelne aktualizovať.

3. Schopnosť programu detekovať rôzne typy vírusov a schopnosť pracovať so súbormi rôzne druhy(archívy, dokumenty).

4. Prítomnosť rezidentného monitora, ktorý kontroluje všetky nové súbory „za chodu“ (teda automaticky, ako sa zapisujú na disk).

5. Rýchlosť programu, dostupnosť pridané vlastnosti typ algoritmov na určovanie pár programu neznámy vírusy (heuristické skenovanie).

6. Schopnosť obnoviť infikované súbory bez ich vymazania pevný disk, ale iba odstránením vírusov z nich.

7. Percento falošne pozitívnych výsledkov programu (chybná detekcia vírusu v „čistom“ súbore).

8. Cross-platform (dostupnosť verzií programu pre rôzne operačné systémy).

Klasifikácia antivírusových programov:

1. Detekčné programy zabezpečujú vyhľadávanie a detekciu vírusov v RAM a na externých médiách a pri detekcii vydávajú zodpovedajúcu správu. Existujú detektory:

Univerzálne - používajú vo svojej práci na kontrolu nemennosti súborov počítaním a porovnávaním so štandardom kontrolného súčtu;

Špecializované - vyhľadávanie známych vírusov podľa ich podpisu (opakujúca sa časť kódu).

2. Lekárske programy (fágy) vírusom napadnuté súbory nielen nachádzajú, ale aj „liečia“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečbe“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov.

3. Program-auditori patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora.

4. Filtračné programy (watchmen) sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, ktoré sú charakteristické pre vírusy. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM a EXE;

Zmena atribútov súboru;

Priamy zápis na disk na absolútnu adresu;

Zápis do zavádzacích sektorov disku;

5. Očkovacie programy (imunizátory) sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom Bezrukov N. Počítačová virológia: Učebnica [ Elektronický zdroj]: http://vx.netlux.org/lib/anb00.html..

V skutočnosti je architektúra antivírusových programov oveľa zložitejšia a závisí od konkrétneho vývojára. Jeden fakt je však nepopierateľný: všetky technológie, o ktorých som hovoril, sú navzájom tak úzko prepojené, že niekedy nie je možné pochopiť, kedy sa jedna spustí a druhá začne fungovať. Táto interakcia antivírusových technológií umožňuje ich najefektívnejšie využitie v boji proti vírusom. Nezabúdajte však, že dokonalá ochrana neexistuje a je to jediný spôsob, ako sa pred ním varovať podobné problémy -- neustále aktualizácie OS, dobre nakonfigurovaný firewall, často aktualizovaný antivírus a – čo je najdôležitejšie – nespúšťať/sťahovať podozrivé súbory z internetu.

Skenery (iné názvy: fágy, polyfágy)

Princíp činnosti vírusové skenery na základe kontroly súborov, sektorov a systémová pamäť a hľadať v nich známe a nové (pre skener neznáme) vírusy. Na vyhľadávanie známych vírusov sa používajú takzvané „masky“. Vírusová maska ​​je nejaká konštantná kódová sekvencia špecifická pre tento konkrétny vírus. Ak vírus neobsahuje trvalú masku, alebo dĺžka tejto masky nie je dostatočne veľká, potom sa používajú iné metódy. Príkladom takejto metódy je algoritmický jazyk popisujúci všetko možné možnosti kód, s ktorým sa možno stretnúť pri infikovaní týmto typom vírusu. Tento prístup používajú niektoré antivírusy na detekciu polymorfných vírusov.

Mnoho skenerov tiež používa algoritmy „heuristického skenovania“, t.j. analýza postupnosti príkazov v kontrolovanom objekte, zber niektorých štatistík a rozhodovanie pre každý kontrolovaný objekt.

Skenery možno tiež rozdeliť do dvoch kategórií – „univerzálne“ a „špecializované“. Univerzálne skenery sú určené na vyhľadávanie a neutralizáciu všetkých typov vírusov bez ohľadu na operačný systém, v ktorom je skener navrhnutý. Špecializované skenery sú navrhnuté tak, aby neutralizovali obmedzený počet vírusov alebo len jednu z nich, napríklad makrovírusy.

Skenery sa tiež delia na „rezidentné“ (monitory) skenovanie „za chodu“ a „nerezidentné“ skenovanie systému len na požiadanie. „Rezidentné“ skenery spravidla poskytujú spoľahlivejšiu ochranu systému, pretože okamžite reagujú na objavenie sa vírusu, zatiaľ čo „nerezidentný“ skener dokáže vírus identifikovať až pri jeho ďalšom spustení.

CRC skenery

Princíp činnosti CRC skenerov je založený na výpočte CRC súčtov (kontrolných súčtov) pre súbory / systémové sektory prítomné na disku. Tieto sumy CRC sú potom uložené v antivírusovej databáze, ako aj niektoré ďalšie informácie: dĺžka súborov, dátumy ich poslednej úpravy atď. Pri ďalšom spustení skenerov CRC skontrolujú údaje obsiahnuté v databáze so skutočne napočítanými hodnotami. Ak sa informácie o súbore zaznamenané v databáze nezhodujú so skutočnými hodnotami, potom skenery CRC signalizujú, že súbor bol upravený alebo infikovaný vírusom.

CRC skenery nie sú schopné zachytiť vírus v momente jeho objavenia sa v systéme, ale dokážu to až po určitom čase, keď sa vírus rozšíri do celého počítača. CRC skenery nedokážu detekovať vírus v nových súboroch (v e-mail, na disketách, v súboroch obnovených zo zálohy alebo pri rozbaľovaní súborov z archívu), pretože ich databázy neobsahujú informácie o týchto súboroch. Okrem toho sa pravidelne vyskytujú vírusy, ktoré využívajú túto „slabosť“ skenerov CRC, infikujú len znova generované súbory a tak zostať pre nich neviditeľné.

Blokátory

Antivírusové blokátory sú rezidentné programy, ktoré zachytávajú „vírusovo nebezpečné“ situácie a upozorňujú na to používateľa. Hovory „nebezpečné pre vírusy“ zahŕňajú volania na otvorenie na zapisovanie do spustiteľných súborov, zapisovanie do zavádzacích sektorov diskov alebo MBR pevného disku, pokusy programov zostať rezidentné atď., čiže volania typické pre vírusy. v čase rozmnožovania.

Medzi výhody blokátorov patrí ich schopnosť odhaliť a zastaviť vírus v najskoršom štádiu jeho rozmnožovania. Medzi nevýhody patrí existencia spôsobov, ako obísť ochranu blokátorov a veľké množstvo falošných poplachov.

Imunizátory

Imunizátory sa delia na dva typy: imunizátory hlásiace infekciu a imunizátory blokujúce infekciu. Prvé sa zvyčajne zapisujú na koniec súborov (podľa princípu súborového vírusu) a pri každom spustení súboru sa kontroluje, či nedošlo k zmenám. Nevýhoda takýchto imunizátorov je len jedna, ale smrteľná: absolútna neschopnosť nahlásiť infekciu stealth vírusom. Preto sa takéto imunizátory, rovnako ako blokátory, v súčasnosti prakticky nepoužívajú.

Druhý typ imunizácie chráni systém pred napadnutím konkrétnym typom vírusu. Súbory na diskoch sú upravené tak, že ich vírus vezme za už infikované. Na ochranu pred rezidentným vírusom sa do pamäte počítača vloží program, ktorý napodobňuje kópiu vírusu. Po spustení naň vírus narazí a domnieva sa, že systém je už infikovaný.

Tento typ imunizácie nemôže byť univerzálny, pretože nie je možné imunizovať súbory proti všetkým známym vírusom.

^ Klasifikácia antivírusov na základe časovej variability

Podľa Valeryho Konyavského antivírusové nástroje možno rozdeliť do dvoch veľkých skupín – analyzujúce dáta a analyzujúce procesy.

^ Analýza údajov

Analýza údajov zahŕňa „audítorov“ a „polyfágy“. „Audítori“ analyzujú dôsledky činnosti počítačových vírusov a iných škodlivých programov. Dôsledky sa prejavia v zmene údajov, ktoré by sa meniť nemali. Práve skutočnosť zmeny údajov sa z pohľadu „audítora“ podpisuje pod činnosť škodlivých programov. Inými slovami, „audítori“ kontrolujú integritu údajov a pri porušení integrity rozhodujú o prítomnosti škodlivých programov v počítačovom prostredí.

„Polyfágy“ pôsobia inak. Vyberajú fragmenty na základe analýzy údajov škodlivý kód(napríklad jeho podpisom) a na základe toho urobia záver o prítomnosti škodlivých programov. Odstránenie alebo „liečba“ údajov infikovaných vírusom pomáha predchádzať negatívnym dôsledkom spustenia škodlivého softvéru. Tým sa na základe analýzy „v statike“ predchádza následkom vznikajúcim „v dynamike“.

Schéma práce „audítorov“ aj „polyfágov“ je takmer rovnaká – porovnajte údaje (resp. kontrolný súčet) s jednou alebo viacerými referenčnými vzorkami. Údaje sa porovnávajú s údajmi. Na nájdenie vírusu v počítači teda potrebujete, aby už „fungoval“, aby sa prejavili následky jeho činnosti. Táto metóda dokáže nájsť iba známe vírusy, pre ktoré boli predtým opísané fragmenty kódu alebo podpisy. Je nepravdepodobné, že takúto ochranu možno nazvať spoľahlivou.


^ Procesná analýza

Antivírusové nástroje založené na analýze procesov fungujú trochu inak. "Heuristické analyzátory", ako sú opísané vyššie, analyzujú údaje (na disku, v kanáli, v pamäti atď.). Základný rozdiel je v tom, že analýza sa vykonáva za predpokladu, že analyzovaný kód nie sú dáta, ale príkazy (v počítačoch s von Neumannovou architektúrou sú dáta a príkazy nerozoznateľné, a preto je potrebné predložiť jeden alebo druhý predpoklad). počas analýzy.)

„Heuristický analyzátor“ vyberie postupnosť operácií, každej z nich pridelí určité hodnotenie „nebezpečenstva“ a na základe nastaveného „nebezpečenstva“ rozhodne, či je táto postupnosť operácií súčasťou škodlivého kódu. Samotný kód sa nespustí.

Ďalším typom antivírusu založeného na procese sú "blokátory správania". V tomto prípade sa podozrivý kód spúšťa krok za krokom, až kým súbor akcií iniciovaných kódom nie je vyhodnotený ako „nebezpečné“ (alebo „bezpečné“) správanie. V tomto prípade je kód čiastočne vykonaný, pretože dokončenie škodlivého kódu môže byť detekované viac jednoduché metódy analýza dát.

Technológie detekcie vírusov

Technológie používané v antivírusoch možno rozdeliť do dvoch skupín:


  • Technológie analýzy podpisov

  • Technológie pravdepodobnostnej analýzy

Technológie analýzy podpisov

Analýza podpisov je metóda detekcie vírusov, ktorá kontroluje prítomnosť vírusových podpisov v súboroch. Analýza podpisov je najznámejšou metódou detekcie vírusov a používa sa takmer vo všetkých moderných antivírusoch. Na vykonanie kontroly potrebuje antivírus súbor vírusových signatúr, ktorý je uložený v antivírusovej databáze.

Vzhľadom na to, že analýza signatúr zahŕňa kontrolu súborov na prítomnosť vírusových signatúr, antivírusovú databázu je potrebné pravidelne aktualizovať, aby bol antivírus aktuálny. Samotný princíp fungovania analýzy podpisov určuje aj limity jej funkčnosti - schopnosť detekovať len známe vírusy - skener podpisov je proti novým vírusom bezmocný.

Na druhej strane prítomnosť vírusových podpisov implikuje možnosť liečby infikovaných súborov zistených analýzou signatúr. Liečba však nie je prijateľná pre všetky vírusy – trójske kone a väčšinu červov nie je možné liečiť kvôli ich konštrukčným vlastnostiam, keďže ide o integrálne moduly vytvorené tak, aby spôsobovali škody.

Kompetentná implementácia vírusovej signatúry umožňuje odhaliť známe vírusy so 100% istotou.

Technológie pravdepodobnostnej analýzy

Technológie pravdepodobnostnej analýzy sú zase rozdelené do troch kategórií:

  • Heuristická analýza

  • Behaviorálna analýza

  • Analýza kontrolného súčtu

Heuristická analýza

Heuristická analýza je technológia založená na pravdepodobnostných algoritmoch, ktorej výsledkom je identifikácia podozrivých objektov. Heuristická analýza kontroluje štruktúru súboru a jeho súlad s vírusovými šablónami. Najpopulárnejšou heuristickou technikou je kontrola obsahu súboru na modifikácie už známych vírusových podpisov a ich kombinácií. To pomáha odhaliť hybridy a nové verzie predtým známych vírusov bez dodatočnej aktualizácie antivírusovej databázy.

Heuristická analýza sa používa na detekciu neznámych vírusov a v dôsledku toho nezahŕňa liečbu. Táto technológia nie je schopný na 100% určiť vírus, ktorý má pred sebou, alebo nie, a ako každý pravdepodobnostný algoritmus prehreší s falošnými poplachmi.

^ Behaviorálna analýza

Behaviorálna analýza je technológia, pri ktorej sa rozhoduje o povahe kontrolovaného objektu na základe analýzy operácií, ktoré vykonáva. Behaviorálna analýza má veľmi úzku praktickú aplikáciu, pretože väčšinu akcií typických pre vírusy môžu vykonávať bežné aplikácie. Najznámejšie sú behaviorálne analyzátory skriptov a makier, pretože zodpovedajúce vírusy takmer vždy vykonávajú množstvo podobných akcií.

Bezpečnostné funkcie zabudované v systéme BIOS možno tiež klasifikovať ako analyzátory správania. Keď sa pokúsite vykonať zmeny v zázname MBR počítača, analyzátor akciu zablokuje a používateľovi zobrazí príslušné upozornenie.

Okrem toho môžu analyzátory správania sledovať pokusy o priamy prístup k súborom a vykonanie zmien zavádzací záznam formátovanie diskety pevné disky atď.

Behaviorálne analyzátory pre svoju prácu nepoužívajú ďalšie objekty, ako sú vírusové databázy, a preto nedokážu rozlíšiť známe a neznáme vírusy – všetky podozrivé programy sú a priori považované za neznáme vírusy. Podobne vlastnosti fungovania nástrojov, ktoré implementujú technológie behaviorálnej analýzy, neimplikujú liečbu.

^ Analýza kontrolného súčtu

Analýza kontrolného súčtu je spôsob, ako sledovať zmeny v objektoch počítačového systému. Na základe analýzy charakteru zmien - simultánnosť, hromadný charakter, identické zmeny v dĺžkach súborov - možno usúdiť, že systém je infikovaný. Analyzátory kontrolných súčtov (nazývané aj „audítori zmien“), podobne ako analyzátory správania, pri svojej práci nepoužívajú ďalšie objekty a verdikt o prítomnosti vírusu v systéme vydávajú výlučne metódou expertného hodnotenia. Podobné technológie sa používajú aj v prístupových skeneroch - pri prvej kontrole sa zo súboru vyberie kontrolný súčet a umiestni sa do vyrovnávacej pamäte, pred ďalšou kontrolou toho istého súboru sa kontrolný súčet znova zoberie, porovná a ak nenastanú žiadne zmeny, súbor sa považuje za neinfikovaný.

^ Antivírusové komplexy

Antivírusový komplex - súbor antivírusov používajúcich rovnaký antivírusový motor alebo motory, určený na riešenie praktické problémy na zabezpečenie antivírusovej bezpečnosti počítačové systémy. Súčasťou antivírusového komplexu sú aj nástroje na aktualizáciu antivírusových databáz.

Okrem toho môže antivírusový komplex dodatočne zahŕňať analyzátory správania a audítorov zmien, ktoré nepoužívajú antivírusový modul.

Existujú nasledujúce typy antivírusových komplexov:

  • Antivírusový komplex na ochranu pracovných staníc

  • Antivírusový komplex na ochranu súborových serverov

  • Antivírusový komplex na ochranu poštových systémov

  • Antivírusový komplex na ochranu brán.

Ľudia, ktorí neustále pracujú na počítači, sa často stretávajú s problémami počas jeho prevádzky, začínajú volať o pomoc programátorov, hoci vo väčšine prípadov k takýmto incidentom dochádza v dôsledku nepozornosti a nedostatočného vzdelania samotného používateľa. Koniec koncov, hlavné problémy prichádzajú práve s infekciou počítača vírusom. Pojem a klasifikácia počítačových vírusov je základom, ktorého znalosťou je možné predísť 50 % problémov na počítači používateľa.

Poznanie je moc

Skúsme definovať, čo je to počítačový vírus. Ako v skutočnom živote, vírus je organizmus schopný sebakopírovania a nekontrolovaného rozmnožovania. Ide o program, ktorý sa môže nezávisle, bez vedomia používateľa, vyvíjať, vykonávať svoje funkcie, ktoré v ňom programátor stanovil. Na zachytenie vírusu alebo zabránenie infekcii počítača to nestačí, no v najjednoduchších prípadoch vám to pomôže aspoň zazvoniť na poplach a zavolať špecialistu. Klasifikácia počítačových vírusov im pomôže presne vybrať nástroj potrebný na záchranu počítača. Skúsme teda prísť na to.

Všeobecná koncepcia

Pri porovnaní trochu skoršieho počítačového vírusu so skutočným mikroorganizmom je možné urobiť paralelu s tým, čo infikuje konkrétny vírus alebo červ. Jednou zo základných je klasifikácia počítačových vírusov podľa biotopu, pretože v závislosti od účelu sa bude líšiť aj umiestnenie vírusu v prostredí počítača. Tu je všeobecná štandardná schéma.

  1. Súborové vírusy. Azda najčastejšie sú dnes vírusy, ktoré infikujú súbory vo vašom počítači. Vo väčšine prípadov infiltrujú spustiteľné súbory alebo programové knižnice, aby mohli vykonávať svoje úlohy. Tieto vírusy sú skripty napísané v skriptovacom programovacom jazyku (napr. Java).
  2. zavádzacie vírusy. Ako už názov napovedá, spúšťajú sa pri zavádzaní operačného systému. Zapisujú svoj kód do zavádzacieho sektora systému Windows.
  3. sieťové vírusy. Pomerne nepríjemná vec, ktorá posiela svoje kópie cez sieť, poštu alebo systémy správ ako ICQ. Ďalším nepríjemným momentom je, že takýto vírus sa môže množiť, kým nezaplní všetko miesto v počítači používateľa a v horšom prípade si začne uvoľňovať miesto aj sám sebe mazaním používateľských programov.
  4. Makrovírusy. Ovplyvnené sú iba súbory aplikácií, ktoré podporujú makrá, ako napríklad Office.

Stojí za zmienku, že takáto klasifikácia vírusov nemôže byť úplná, pretože vývoj tejto infekcie sa nezastaví a existujú vírusy, ktoré možno pripísať niekoľkým podtypom.

Pozor – nebezpečenstvo!

Na vírusy sa dá pozerať z úplne iných uhlov pohľadu. Ak o nich hovoríme podľa stupňa vplyvu na systém, klasifikácia počítačových vírusov bude stručne vyzerať takto:


Pracujú špecialisti

Osobitnú zmienku si zaslúži klasifikácia počítačových vírusov a antivírusových programov. Väčšina odborníkov pracujúcich v oblasti počítačovej bezpečnosti má svoje vlastné klasifikácie a spôsoby označovania počítačových vírusov. Napríklad známy Kaspersky Lab. Po dlhých rokoch práce vytvorili azda najpodrobnejšiu klasifikáciu počítačových vírusov. Kaspersky identifikuje nasledujúce typy „škodcov“:

  1. Už známe sieťové vírusy sú červy, ktoré na šírenie využívajú e-mail.
  2. Packers. Sú to skôr len škodcovia a nie vírusy odoslané na konkrétny účel. Ich úlohou je archivovať súbory tak, aby sa nedali rozbaliť. Často pri archivácii navyše kódujú informácie.
  3. Škodlivé nástroje.
  4. Trójske kone. Ich názov pochádza z mýtu o trójskom koni. V súlade s ich prototypom sa takéto vírusy maskujú ako neškodné programy, aby prenikli do počítača. Ich hlavným funkčným účelom je poskytnúť útočníkovi prístup na kontrolu vášho počítača. Sú tu aj niektoré podkategórie:

1) vírusy, napr diaľkové ovládanie tvoj počitač;

2) vírusy na sťahovanie škodlivého softvéru z internetu;

3) programy, ktoré inštalujú do počítača iné vírusy bez povolenia.

Ako sa nakaziť

Vopred varovaný je predpažený. Tak hovorí ľudová múdrosť. Vedieť, kde a ako je možné chytiť počítačový vírus, môže predísť obrovským problémom spojeným s jeho odstránením. Zabrániť infekcii je oveľa jednoduchšie ako vyliečiť počítač po tom, čo sa do neho dostal vírus. Existuje aj klasifikácia počítačových vírusov podľa spôsobu infekcie:

Vírusová ochrana

Ako už bolo jasné, existuje veľké množstvo škodlivých programov. Ani jedna klasifikácia vírusov nepomôže chrániť sa pred nimi. Existuje toľko počítačových podvodníkov a spamerov, že je nemožné vysporiadať sa so všetkými vlastnými rukami. Preto existuje veľké množstvo antivírusových programov, ktoré môžu pomôcť pri riešení tohto problému. Pozrime sa na ne z hľadiska bežných používateľov.

Najbežnejším antivírusovým programom je Kaspersky Anti-Virus. Tento program, ktorý je ponúkaný používateľom vo všetkých možných obchodoch, dokáže spoľahlivo ochrániť váš počítač pred škodlivým softvérom. Pokročilí používatelia si však uvedomujú významné vedľajšie účinky tejto spoľahlivosti. "Kaspersky" nielenže veľmi zaťažuje systém a spúšťa alarm pri najmenšom nebezpečenstve, ale tiež neumožňuje adekvátne pracovať s používateľskými aplikáciami. Preto sa tento antivírus v súčasnosti používa hlavne v podnikoch, pretože je ľahšie ho kúpiť podľa účtovného oddelenia a komisie na kontrolu bezpečnosti sú mu oveľa lojálnejšie. Stojí za zmienku, že vďaka tomuto laboratóriu vznikla základná klasifikácia počítačových vírusov. Správa, že v počítači bol nájdený vírus, ktorý vydáva ich antivírus, žiaľ, nie vždy obsahuje spoľahlivé informácie.

Dôstojnou náhradou za Kaspersky môže byť NOD32. Spoľahlivo a pevne chráni, najmä pre bežných používateľov, existujú bezplatné verzie. Funguje ako hodinky a bez porúch, no absolútnu spoľahlivosť poskytuje len v plnej platenej konfigurácii. Preto jedinou nevýhodou tohto antivírusu bude cena, ak vylúčime sťahovanie nepodporovaných napadnutých verzií.

Dr.Web možno právom považovať za lídra medzi antivírusmi. Nenaháňa slávu a zárobky, poskytuje všetkým na svojom webe na stiahnutie skúšobná verzia s plnou funkčnosťou. Jednou z hlavných vlastností "Doktora" je schopnosť úplne pozastaviť prevádzku operačného systému, čo vám umožní chytiť aj tých "prefíkaných škodcov". Tento program používa vlastnú klasifikáciu vírusov. Nástroj rýchlo a efektívne nájde počítačové červy a rezidentné vírusy sa nedokážu „skryť“ v pamäti RAM.

Nepriateľ musí byť známy zrakom

Klasifikácia počítačových vírusov bola teda diskutovaná vyššie. S príkladmi by vám to bolo asi ľahšie porozumieť, preto pre názornosť uvedieme niekoľko.

Trj.Reboot – Vynúti reštart počítača.

Relax - infikuje dokumenty spoločnosti Microsoft Word, ako aj globálne premenné. Populárny a relevantný bol najmä na Windows 98. Výsledkom práce je zobrazenie informačnej správy.

Marburg - infikuje spustiteľné súbory s príponou EXE a spúšťa ich v rôznych adresároch, v dôsledku čoho sa ich veľkosť zvyšuje.

Flame je počítačový červ objavený spoločnosťou Kaspersky Lab. Jeho zvláštnosťou je, že sa skladá z niekoľkých desiatok častí, z ktorých každá má svoju funkčnosť.

Myslite na bezpečnosť

V tomto článku sme sa zaoberali koncepciou a klasifikáciou počítačových vírusov. Ak ste si pozorne a premyslene prečítali všetko napísané, pravdepodobne ste už pochopili, že absolútna ochrana neexistuje. Napriek tomu výber ochranných prostriedkov padá na vaše plecia. Posledná vec, ktorá stojí za zmienku, je len pár užitočných rád:

  1. Nenavštevujte podozrivé stránky a nesledujte odkazy odoslané cudzími ľuďmi.
  2. Nenechajte sa zmiasť reklamami a kontextovými oknami na internete.
  3. Ak sťahujete programy z internetu, uistite sa, že zdroj je bezpečný.
  4. Ak hľadáte program, skúste si ho stiahnuť z populárnych zdrojov, a nie zo zadnej strany World Wide Web.
  5. Nepoužívajte médiá, ktoré mohli byť vložené do verejných počítačov (internetových kaviarní).

Podľa týchto jednoduchých tipov sa zaobídete aj bez antivírusu. A klasifikáciu počítačových vírusov budete potrebovať iba na štúdium alebo sebarozvoj.

Tieto programy možno rozdeliť do piatich hlavných skupín: filtre, detektory, audítori, lekári a vakcinátori.

Antivírusové filtre- Ide o rezidentné programy, ktoré upozorňujú používateľa na všetky pokusy programu o zápis na disk, a ešte viac o jeho formátovanie, ako aj iné podozrivé akcie (napríklad pokusy o zmenu nastavení CMOS). Zobrazí sa výzva na povolenie alebo odmietnutie tejto akcie. Princíp fungovania týchto programov je založený na zachytení zodpovedajúcich vektorov prerušenia. Výhodou programov tejto triedy v porovnaní s programami-detektormi je univerzálnosť vo vzťahu k známym aj neznámym vírusom, pričom detektory sú písané pre konkrétne typy, ktoré programátor v súčasnosti pozná. To platí najmä teraz, keď sa objavilo veľa mutantných vírusov, ktoré nemajú trvalý kód. Filtračné programy však nedokážu sledovať vírusy, ktoré priamo pristupujú do BIOSu, ako aj BOOT vírusy, ktoré sú aktivované ešte pred spustením antivírusu, v počiatočnej fáze načítania DOSu. Otázky zaberajú používateľovi veľa času a lezú mu na nervy . Pri inštalácii niektorých antivírusových filtrov môže dôjsť ku konfliktom s inými rezidentnými programami, ktoré používajú rovnaké prerušenia, ktoré jednoducho prestanú fungovať.

U nás najpoužívanejší detektorové programy, alebo skôr programy, ktoré sa kombinujú detektor a lekár. Najznámejší predstavitelia tejto triedy - Aidstest, Doctor Web, MicroSoft AntiVirus budú podrobnejšie diskutované nižšie. Antivírusové detektory sú určené pre špecifické vírusy a sú založené na porovnaní sekvencie kódov obsiahnutých v tele vírusu s kódmi kontrolovaných programov. Mnohé programy na detekciu tiež umožňujú „liečiť“ infikované súbory alebo disky odstránením vírusov z nich (samozrejme, liečba je podporovaná len pre vírusy, ktoré program detektora pozná). Takéto programy je potrebné pravidelne aktualizovať, pretože rýchlo zastarávajú a nedokážu odhaliť nové typy vírusov.

audítorov- sú to programy, ktoré analyzujú aktuálny stav súborov a systémových oblastí disku a porovnávajú ho s informáciami predtým uloženými v jednom z dátových súborov audítora. Kontroluje sa tak stav BOOT sektora, FAT tabuľky, ako aj dĺžka súborov, čas ich vytvorenia, atribúty, kontrolný súčet. Analýzou správ inšpekčného programu sa môže používateľ rozhodnúť, či zmeny sú spôsobené vírusom alebo nie. Pri vydávaní takýchto správ by ste nemali panikáriť, pretože príčinou zmien, napríklad dĺžky programu, vôbec nemusí byť vírus.

Komu posledná skupina zahŕňajú najúčinnejšie antivírusy - vakcinátorov. Do očkovaného programu zapisujú charakteristiky konkrétneho vírusu, aby ho vírus považoval už za infikovaný.

V našej krajine, ako už bolo spomenuté vyššie, si získali obľubu najmä antivírusové programy, ktoré kombinujú funkcie detektorov a lekárov. Najznámejší z nich je program AIDSTEST od D.N. Ložinský. Tento program bol vynájdený v roku 1988 a odvtedy sa neustále zdokonaľuje a rozširuje. V Rusku má takmer každý osobný počítač kompatibilný s IBM jednu z verzií tohto programu. Jeden z najnovšie verzie deteguje viac ako 1500 vírusov.

Aidstest je určený na opravu programov infikovaných bežnými (nepolymorfnými) vírusmi, ktoré nemenia svoj kód. Toto obmedzenie je spôsobené tým, že tento program vyhľadáva vírusy pomocou identifikačných kódov. Zároveň sa však dosiahne veľmi vysoká rýchlosť kontroly súborov.

Pre svoje normálne fungovanie Aidstest vyžaduje, aby v pamäti neboli žiadne rezidentné antivírusy, ktoré blokujú zápis do programových súborov, takže by sa mali uvoľniť buď zadaním možnosti uvoľnenia pre samotný rezidentný program, alebo pomocou príslušnej pomôcky.

Po spustení Aidstest skontroluje RAM, či neobsahuje vírusy, ktoré sú mu známe, a zneškodní ich. V tomto prípade sú paralyzované iba funkcie vírusu spojené s reprodukciou, zatiaľ čo iné vedľajšie účinky môžu zostať. Preto program po ukončení neutralizácie vírusu v pamäti vydá požiadavku na reštart. Touto radou by ste sa určite mali riadiť, ak operátor PC nie je systémový programátor študujúci vlastnosti vírusov. Prečo by ste mali reštartovať pomocou tlačidla RESET, pretože počas „teplého reštartu“ môžu niektoré vírusy pretrvávať. Okrem toho je lepšie spustiť stroj a Aidstest s disketou chránenou proti zápisu, pretože pri spustení z infikovaného disku sa vírus môže zapísať do pamäte ako rezident a zabrániť dezinfekcii.

Aidstest testuje svoje telo na známe vírusy a tiež posudzuje jeho infekciu neznámym vírusom podľa deformácií v jeho kóde. V tomto prípade sú možné prípady falošných poplachov, napríklad keď je antivírus komprimovaný balíčkom. Program nemá grafické rozhranie a jeho režimy činnosti sa nastavujú pomocou klávesov. Zadaním cesty môžete skontrolovať nie celý disk, ale samostatný podadresár.

Nevýhody programu AIDStest:

Nerozpoznáva polymorfné vírusy;

Nie je vybavený heuristickým analyzátorom, ktorý mu umožňuje nájsť neznáme vírusy;

Nevie, ako kontrolovať a spracovávať súbory v archívoch;

Nerozpoznáva vírusy v programoch spracovaných baličmi spustiteľných súborov ako EXEPACK, DIET, PKLITE atď.

Výhody AIDStestu:

Jednoduché použitie;

Funguje veľmi rýchlo;

Rozpoznáva významnú časť vírusov;

Dobre integrovaný s programom auditu Adinf;

Funguje takmer na každom počítači.

V poslednej dobe rýchlo rastie obľuba ďalšieho antivírusového programu Doctor Web, ktorý ponúka Dialog-Science. Tento program bol vytvorený v roku 1994 I.A. Danilov. DR. Web, rovnako ako Aidstest, patrí do triedy detektorov - lekárov, ale na rozdiel od nich má takzvaný "heuristický analyzátor" - algoritmus, ktorý vám umožňuje odhaliť neznáme vírusy. „Healing web“, ako je názov programu preložený z angličtiny, sa stal odpoveďou domácich programátorov na inváziu samomodifikujúcich mutantných vírusov, ktoré pri množení upravujú svoje telo tak, že v ňom nie je jediný charakteristický bajt. reťazec, ktorý bol prítomný v pôvodnej verzii vírusu. Tento program podporuje fakt, že veľkú licenciu (na 2000 počítačov) získalo Generálne riaditeľstvo informačné zdroje za prezidenta Ruskej federácie a druhým najväčším nákupcom „webu“ – „Inkombank“.

Ovládanie režimov, ako aj v Aidteste, sa vykonáva pomocou kláves. Používateľ môže programu prikázať, aby otestoval celý disk aj jednotlivé podadresáre či skupiny súborov, alebo odmietnuť kontrolu diskov a testovať iba RAM. Otestovať môžete buď len základnú pamäť, alebo navyše aj rozšírenú. Rovnako ako Aidstest, Doctor Web dokáže vytvoriť správu o práci, načítať generátor znakov azbuky, podporovať prácu s hardvérovým a softvérovým systémom Sheriff.

Testovanie pevného disku Dr. Web-om zaberá oveľa viac času ako Aidstest-ohm, takže nie každý používateľ si môže dovoliť venovať toľko času dennej kontrole celého pevného disku. Takýmto používateľom možno odporučiť, aby pozornejšie kontrolovali diskety prinesené zvonka. Ak sú informácie na diskete v archíve (a v poslednej dobe sa programy a dáta prenášajú zo stroja na stroj iba v tejto forme; aj výrobné firmy softvér, ako je Borland, zabaľte svoje produkty), mali by ste ho rozbaliť do samostatného adresára na pevnom disku a okamžite, bez meškania spustiť Dr. Web, pričom ako parameter namiesto názvu jednotky uvedie úplnú cestu k tomuto podadresáru. A predsa je potrebné aspoň raz za dva týždne vykonať kompletnú kontrolu „pevného disku“ na prítomnosť vírusov s úlohou maximálnej úrovne heuristickej analýzy.

Rovnako ako v prípade Aidstest, počas počiatočného testovania by ste nemali dovoliť programu dezinfikovať súbory, v ktorých deteguje vírus, pretože nemožno vylúčiť, že sekvenciu bajtov akceptovaných antivírusom ako vzor možno nájsť v zdravý program.

Na rozdiel od AIDStestu, Dr. web:

rozpoznáva polymorfné vírusy;

vybavené heuristickým analyzátorom;

vie kontrolovať a spracovávať súbory v archívoch;

umožňuje testovať súbory očkované CPAV, ako aj zabalené s LZEXE, PKLITE, DIET.

Spoločnosť "Dialogue-Science" ponúka rôzne verzie DrWeb pre DOS. Ako viete, existujú dve verzie pre DOS, ktoré sa tradične nazývajú 16-bitový a 32-bitový(ten sa tiež nazýva Doctor Web pre DOS/386, DrWeb386). Tieto názvy (16-bit a 32-bit) plne odrážajú podstatu rozdielu medzi verziami pre DOS, ale priamo z názvov je to zrejmé iba špecialistom. Iba 32-bitová verzia má všetko funkčnosť, ktorá je súčasťou iných moderných verzií Doctor Web (najmä verzií pre Windows).

16-bitová verzia z dôvodu obmedzení množstva dostupnej pamäte uložených operačným systémom dnes nemá niektoré mimoriadne dôležité „funkcie“, najmä nie sú v nej zahrnuté (a vzhľadom na uvedené obmedzenia pamäte , nemožno ich zahrnúť):

„servisné“ moduly pre známe vírusy moderné typy(predovšetkým hovoríme o makro a stealth vírusoch);

moduly heuristického analyzátora na detekciu neznámych vírusov moderných typov;

moduly na rozbaľovanie moderných typov archívov a balených programov Windows a pod.

Hoci teda 16-bitová verzia používa rovnakú vírusovú databázu (súbory VDB) ako 32-bitové verzie, absencia určitých modulov znemožňuje spracovanie zodpovedajúcich vírusov.

Navyše z rovnakých dôvodov 16-bitová verzia nepodporuje niektoré moderné softvéry a hardvér, čo môže spôsobiť, že bude nestabilná alebo nesprávna.

Keďže 32-bitová verzia je plne funkčná a ako je zrejmé z jej ďalšieho názvu - Doctor Web for DOS/386, je možné ju používať pri behu v DOSe na počítačoch s procesorom minimálne 386, všetci používatelia, ktorí potrebujú verziu z Doctor Web pre DOS je lepšie použiť práve ju.

Čo sa týka 16-bitovej verzie, tá sa naďalej vydáva, pretože na platforme 86/286 stále existuje flotila starých strojov, kde 32-bitová verzia nemôže fungovať.

(Ochrana antivírusového softvéru)

Zaujímavým softvérovým produktom je antivírus AVSP. Tento program kombinuje detektor, lekára a audítora a má dokonca niektoré funkcie rezidentného filtra (zákaz zapisovania do súborov s atribútom LEN NA ČÍTANIE). Antivírus dokáže liečiť známe aj neznáme vírusy, navyše o spôsobe liečby najnovší program môže používateľ nahlásiť. Okrem toho môže AVSP liečiť samomodifikujúce sa a stealth vírusy (stealth).

Po spustení AVSP sa zobrazí systém okien s ponukami a informáciami o stave programu. Veľmi pohodlné systém kontextových rád, ktorý poskytuje vysvetlenie každej položky ponuky. Volá sa klasicky, klávesom F1 a mení sa pri prechode z položky na položku. Tiež nie nepodstatnou výhodou v našej dobe Windows a "polosí" (OS / 2) je podpora myši. Významnou nevýhodou rozhrania AVSP je nedostatočná možnosť výberu položiek ponuky stlačením klávesu s príslušným písmenom, aj keď je to trochu kompenzované možnosťou vybrať položku stlačením klávesu ALT a číslom zodpovedajúcemu číslu tohto položka.

Balík AVSP tiež obsahuje rezidentný ovládač AVSP.SYS, ktorý umožňuje odhaliť väčšinu neviditeľných vírusov (okrem vírusov ako Ghost-1963 alebo DIR), deaktivovať vírusy po dobu ich pôsobenia a tiež zakazuje upravovať súbory LEN NA ČÍTANIE.

Ďalšou funkciou AVSP.SYS je vypnutie rezidentných vírusov, kým je spustený AVSP.EXE, avšak spolu s vírusmi ovládač deaktivuje aj niektoré ďalšie rezidentné programy. Pri prvom spustení AVSP by ste mali otestovať váš systém na známe vírusy. Zároveň kontroluje RAM, BOOT sektor a súbory. V niektorých prípadoch môžete dokonca obnoviť súbory poškodené neznámym vírusom. Môžete si nainštalovať kontroly veľkosti súborov, ich kontrolných súčtov, prítomnosti vírusov v nich alebo toho všetkého dohromady. Môžete tiež určiť, čo presne sa má kontrolovať (zavádzací sektor, pamäť alebo súbory). Ako vo väčšine antivírusových programov, aj tu má používateľ možnosť vybrať si medzi rýchlosťou a kvalitou. Podstatou vysokorýchlostnej kontroly je, že sa nekontroluje celý súbor, ale iba jeho začiatok; tak je možné zistiť väčšinu vírusov. Ak je vírus napísaný uprostred, alebo je súbor infikovaný viacerými vírusmi (v tomto prípade sa zdá, že „staré“ vírusy sú zatlačené do stredu „mladými“), program si to nevšimne. Preto by mala byť nastavená optimalizácia kvality, najmä preto, že testovanie kvality v AVSP nezaberie oveľa viac času ako vysokorýchlostné testovanie.

O automatická detekcia nové AVSP vírusy môžu urobiť veľa chýb. Pri automatickej detekcii vzoru by ste teda nemali byť leniví skontrolovať, či ide skutočne o vírus a či sa tento vzor nájde aj v zdravých programoch.

Ak sa počas procesu AVSP zistí známy vírus, mali by sa vykonať rovnaké opatrenia ako pri práci s Aidstest a Dr. Web: skopírujte súbor na disk, reštartujte systém zo záložnej diskety a spustite AVSP. Je tiež žiaduce, aby bol ovládač AVSP.SYS načítaný do pamäte, pretože pomáha hlavnému programu dezinfikovať vírusy Stealth.

Ďalšou užitočnou funkciou je vstavaný demontovač. S jeho pomocou môžete zistiť, či sa v súbore nenachádza vírus alebo či sa pri kontrole disku nevyskytol falošne pozitívny AVSP. Okrem toho sa môžete pokúsiť zistiť spôsob infekcie, princíp vírusu, ako aj miesto, kde „skryl“ nahradené bajty súboru (ak ide o tento typ vírusu). To všetko vám umožní napísať postup na odstránenie vírusov a obnoviť poškodené súbory. Ďalší užitočná funkcia- vydávanie vizuálna mapa zmien. Mapa zmien vám umožňuje vyhodnotiť, či tieto zmeny zodpovedajú vírusu alebo nie, ako aj zúžiť oblasť vyhľadávania tela vírusu počas demontáže.

Program AVSP má dva algoritmy na neutralizáciu stealth vírusov ("neviditeľných") a oba fungujú iba vtedy, ak je v pamäti aktívny vírus. Po implementácii týchto algoritmov sa stane toto: všetky súbory sa skopírujú do dátových súborov a potom sa vymažú. Ukladajú sa iba súbory s atribútom SYSTEM. V Adinf je proces odstraňovania tajností oveľa jednoduchší.

Program AVSP tiež monitoruje stav zavádzacích sektorov. Ak je BOOT sektor na diskete infikovaný a antivírus ho nedokáže vyliečiť, mali by ste vymazať zavádzací kód. Disketa sa stane nesystémovou, ale údaje sa nestratia. S Winchesterom sa to nedá. Ak sa zistia zmeny v jednom zo BOOT sektorov pevného disku, AVSP ponúkne ich uloženie do nejakého súboru a potom sa pokúsi vírus odstrániť.

Microsoft Antivirus

Moderné verzie systému MS-DOS (napríklad 6.22) obsahujú antivírus program Microsoft Antivírus (MSAV). Tento antivírus môže pracovať v režimoch detektor-doktor a audítor. MSAV má Rozhranie v štýle MS-Windows myš je prirodzene podporovaná. Dobre implementované kontextová pomoc: existuje nápoveda pre takmer každú položku ponuky a pre každú situáciu. Prístup k položkám ponuky je implementovaný univerzálne: na tento účel môžete použiť kurzorové klávesy, klávesové klávesy (F1-F9), klávesy zodpovedajúce jednému z písmen názvu položky, ako aj myš. Vážnou nevýhodou pri používaní programu je, že tabuľky s údajmi o súboroch neukladá do jedného súboru, ale rozhádže ich po všetkých adresároch.

Po spustení program načíta vlastný generátor znakov a načíta adresárový strom aktuálneho disku, po ktorom opustí hlavnú ponuku. Nie je jasné, prečo čítať strom adresárov ihneď pri spustení: používateľ predsa nemusí chcieť skontrolovať aktuálny disk.

MSAV pri prvej kontrole vytvorí v každom adresári súbory CHKLIST.MS obsahujúce spustiteľné súbory, do ktorých zapíše informácie o veľkosti, dátume, čase, atribútoch, ako aj kontrolný súčet kontrolovaných súborov. Pri následných kontrolách program porovná súbory s informáciami v súboroch CHKLIST.MS. Ak sa veľkosť a dátum zmenili, program o tom informuje používateľa a požiada ho o ďalšie kroky: aktualizovať informácie (Aktualizovať), nastaviť dátum a čas v súlade s údajmi v CHKLIST.MS (Oprava), pokračovať ignorovaním zmeny v daný súbor(Pokračovať), zrušte kontrolu (Stop).

V ponuke Možnosti môžete nakonfigurovať program podľa potreby. Tu môžete nastaviť režim vyhľadávania neviditeľných vírusov (Anti-Stealth), skontrolovať všetky (nielen spustiteľné) súbory (Check All Files) a tiež povoliť alebo zakázať vytváranie tabuliek CHKLIST.MS (Create New Checksums). Okrem toho môžete nastaviť režim ukladania správy o vykonanej práci v súbore. Ak nastavíte možnosť Vytvoriť zálohu, pred odstránením vírusu z infikovaného súboru sa jeho kópia uloží s príponou VIR.

Z hlavnej ponuky si stlačením klávesu F9 môžete zobraziť zoznam vírusov známych MSAV. Zobrazí sa okno s názvami vírusov. Ak chcete vidieť viac detailné informácie o víruse, musíte presunúť kurzor na jeho názov a stlačiť ENTER. K vírusu, ktorý vás zaujíma, môžete rýchlo prejsť zadaním prvých písmen jeho názvu. Informácie o víruse je možné vytlačiť do tlačiarne výberom príslušnej položky ponuky.

(Pokročilý Diskinfoscope)

ADinf patrí do triedy audítorských programov. Tento program vytvoril D.Yu. Mostov v roku 1991

Rodina programov ADinf sú auditóri disku, s ktorými sa dá pracovať osobné počítače spravované operačné systémy MS-DOS, MS-Windows 3.xx, Windows 95/98 a Windows NT/2000. Práca programov je založená na pravidelnom sledovaní zmien vyskytujúcich sa na pevných diskoch. Ak sa objaví vírus, ADinf ho deteguje na základe úprav, ktoré vykoná v súborovom systéme a/alebo boot sektore disku a informuje o tom používateľa. Na rozdiel od antivírusových skenerov ADinf pri svojej práci nepoužíva „portréty“ (podpisy) konkrétnych vírusov. Preto je ADinf obzvlášť účinný pri detekcii nových vírusov, na ktoré sa zatiaľ nenašlo žiadne protijed.

Zvlášť treba poznamenať, že ADinf nepoužíva funkcie operačného systému na ovládanie diskov. Číta sektor po sektore disku a nezávisle analyzuje štruktúru súborového systému, čo mu umožňuje odhaliť takzvané stealth vírusy.

Ak je v systéme nainštalovaná liečebná jednotka Adinf ( ADinf Vyliečiť modul ), potom je tento tandem schopný nielen odhaliť, ale aj úspešne odstrániť infekciu, ktorá sa objavila. Testovanie ukázalo, že ADinf Cure Module si dokáže úspešne poradiť s 97 % vírusov a zotavuje sa poškodené súbory byte presné.

Užitočné vlastnosti ADinf sa neobmedzujú len na boj proti vírusom. ADinf je v skutočnosti systém, ktorý vám umožňuje sledovať bezpečnosť informácií na diskoch a zisťovať akékoľvek, dokonca aj jemné zmeny v súborovom systéme, konkrétne zmeny v systémových oblastiach, zmeny súborov, vytváranie a odstraňovanie adresárov, vytváranie, mazanie, premenovanie. a presúvanie súborov z adresára do katalógu. Skladba riadených informácií je flexibilne konfigurovaná, čo vám umožňuje ovládať len to, čo potrebujete.

Prvá verzia programu bola vydaná v roku 1991 a odvtedy je ADinf zaslúžene najobľúbenejším audítorom v Rusku a krajinách bývalého ZSSR. Dnes je už ťažké spočítať počet legálnych a nelegálnych používateľov ADinf. Viac ako 2 500 firemných predplatiteľov súpravy Dialog-Science Anti-Virus Kit, ktorá obsahuje ADinf, chráni svoje počítače pomocou nej. Program ADinf získal certifikáty v Certifikačnom systéme GOST R, Certifikačnom systéme informačnej bezpečnosti Ministerstva obrany a Certifikát Štátnej technickej komisie pod vedením prezidenta. Ruská federácia(ako súčasť súpravy Dialog-Science Anti-Virus Kit). Program sa neustále vylepšuje a je vždy na špičke moderných technológií.

Spočiatku bol audítor ADinf vyvinutý pre operačný systém MS-DOS. Neskoršie verzie programu boli vydané pre Windows 3.xx a Windows 95/98/NT. Teraz existuje rodina kompatibilných audítorov pre rôzne operačné systémy. Všetky varianty ADinf dnes podporujú súborové systémy Windows 95/98, dlhé názvy súborov a adresárov a analyzujú vnútornú štruktúru spustiteľných súborov. súbory systému Windows 95/98 a NT.

Takže program Adinf:

vysoká rýchlosť práca;

schopný úspešne odolávať vírusom v pamäti;

umožňuje ovládať disk čítaním podľa sektorov cez BIOS a bez použitia systém preruší DOS, ktorý môže byť napadnutý vírusom;

dokáže spracovať až 32 000 súborov na jednotku;

na rozdiel od AVSP, v ktorom musí používateľ analyzovať, či je počítač infikovaný vírusom Stealth, najprv zavedie systém z pevného disku a potom z referenčnej diskety, v ADinf sa táto operácia uskutoční automaticky;

na rozdiel od iných antivírusov, Advanced Diskinfoscope nevyžaduje bootovanie z referenčnej diskety chránenej proti zápisu. Pri načítaní z pevného disku sa spoľahlivosť ochrany neznižuje;

ADinf má dobre spracované priateľské rozhranie, ktoré je na rozdiel od AVSP implementované nie v textovom, ale v grafickom režime;

pri inštalácii ADinf do systému je možné zmeniť názov hlavného súboru ADINF.EXE a názov tabuliek, pričom užívateľ môže zadať ľubovoľný názov. Je to veľmi užitočná funkcia, pretože v poslednej dobe sa objavilo veľa vírusov, ktoré „lovia“ antivírusy (napríklad existuje vírus, ktorý zmení program Aidstest tak, že namiesto úvodnej obrazovky DialogueScience píše: „Lozinsky je pahýľ”), vrátane a mimo ADinf.

Existuje niekoľko verzií audítora Adinf pre rôzne operačné systémy. Každý z nich má svoje vlastné charakteristiky.

audítor ADinf určené pre operačné systémy MS-DOS a Windows 95/98. Ide o vývoj prvej verzie audítora vytvorenej v roku 1991. Dnes je ADinf najspoľahlivejším nástrojom na detekciu známych aj nových neznámych vírusov. Je to jediný audítor na svete, ktorý kontroluje systém súborovčítanie podľa sektorov priamo cez BIOS počítača.

audítor ADinf pre Windows určené pre operačný systém Windows 3.xx. Ku všetkým vlastnostiam audítora ADinf pridáva táto verzia programu pohodlné GUI užívateľ.

audítor ADinf Pro je určený na kontrolu bezpečnosti obzvlášť cenných informácií, ako sú databázy alebo dokumenty, v prostredí operačných systémov MS-DOS, Windows 3.xx a Windows 95/98. Funkciou tejto verzie programu je použitie 64-bitovej hašovacej funkcie na kontrolu integrity súborov, ktorú vyvinula známa ruská spoločnosť LAN-Crypto. Použitie tejto hašovacej funkcie zaručuje nielen detekciu náhodných zmien súborov alebo zmien spôsobených vírusmi, ale tiež znemožňuje zámerne potichu upravovať údaje na disku.

audítor ADinf32 je 32-bitová viacvláknová aplikácia na obsluhu systémy Windows 95/98 a Windows NT s moderným užívateľským rozhraním. Táto verzia programu má nielen všetky výhody iných možností, ale v porovnaní s nimi obsahuje aj veľa nových vecí.

Treba poznamenať, že program Adinf je dobre integrovaný s ostatnými programami súpravy DSAV od Dialog-Science. Napríklad Adinf vytvára zoznam nových a zmenených súborov na disku, zatiaľ čo Aidstest a DrWeb môžu kontrolovať súbory z tohto zoznamu, čo výrazne znižuje čas chodu týchto programov.

(AntiViral Toolkit Pro)

Tento program vytvorila spoločnosť ZAO Kaspersky Lab. AVP má jeden z najpokročilejších mechanizmov detekcie vírusov. Dnes nie je AVP prakticky v žiadnom prípade nižšia ako západné náprotivky.

AVP poskytuje používateľom maximálny servis - možnosť aktualizácie antivírusových databáz cez internet, možnosť nastavenia parametrov automatické skenovanie a dezinfekciu infikovaných súborov. Aktualizácie na webovej stránke AVP sa objavujú takmer týždenne a databáza obsahuje popisy takmer 40 000 vírusov.

AVP pozostáva z niekoľkých dôležitých modulov:

  • 1) AVP skener kontroly pevné disky na vírusovú infekciu. Môžete nastaviť úplné vyhľadávanie, pri ktorom program skontroluje všetky súbory za sebou a tiež nastaviť režim kontroly archivovaných súborov. Jednou z hlavných výhod AVP je boj proti makrovírusom. Používateľ si môže vybrať špeciálny režim, v ktorom sú dokumenty vytvorené v vo formáte Microsoft kancelária. Po zistení vírusov alebo infikovaných súborov ponúka AVP na výber niekoľko možností: odstrániť vírusy zo súborov, odstrániť samotné infikované súbory alebo ich presunúť do špeciálneho priečinka.
  • 2) AVP monitorovať. Tento program sa automaticky načíta, keď Spustenie systému Windows. AVP Monitor automaticky kontroluje všetky spustené súbory v počítači a otvorené dokumenty a v prípade napadnutia vírusom na to používateľa upozorní. Navyše vo väčšine prípadov AVP Monitor jednoducho zabraňuje spusteniu infikovaného súboru a blokuje jeho spustenie. Táto funkcia programu je veľmi užitočná pre tých, ktorí sa neustále zaoberajú množstvom nových súborov, napríklad pre aktívnych používateľov Internet (keďže nie je možné spustiť AVP každých päť minút na kontrolu stiahnutých súborov, tu prichádza na pomoc AVP Monitor).
  • 3) AVP inšpektor - posledný a veľmi dôležitý modul súpravy AVP, ktorý umožňuje zachytiť aj neznáme vírusy. "Inspector" používa metódu na kontrolu zmien veľkosti súboru. Pri infiltrácii do súboru vírus nevyhnutne zväčší svoj objem a „inšpektor“ ho ľahko odhalí.

Okrem všetkého spomenutého existuje aj tzv AVP Control Center - "ovládací panel" pre všetky programy komplexu AVP. Najdôležitejšou vlastnosťou tohto programu je vstavaný Plánovač úloh, ktorý vám to umožňuje promptná kontrola(a ak je to potrebné - a ošetrenie systému) v automatický režim, bez účasti užívateľa, avšak v čase ním určenom.