Granskning av antivirusprogram för personliga användare. Översikt över antivirusprogram för personliga användare 5 ger en klassificering av antivirusprogram

Antivirusprogram klassificeras i rena antivirus och antivirus med dubbla ändamål.

Fig. 14. Klassificeringsschema antivirusprogram

Rena antivirus kännetecknas av närvaron av en antivirusmotor som utför funktionen att skanna efter mönster. Det grundläggande i det här fallet är att behandling är möjlig om viruset är känt. Rena antivirus är i sin tur indelade i två kategorier efter typen av åtkomst till filer: de som kontrollerar åtkomst (på åtkomst) eller på begäran (på begäran). Vanligtvis kallas on-access-produkter monitorer och on demand-produkter kallas skannrar.

On demand-produkt fungerar enligt följande schema: användaren vill kontrollera något och utfärdar en begäran (demand), varefter kontrollen utförs. En on access-produkt är ett inbyggt program som övervakar åtkomst och utför en kontroll vid åtkomsttillfället.

Dessutom kan antivirusprogram, som virus, delas upp beroende på vilken plattform detta antivirus fungerar inom. I denna mening, tillsammans med Windows eller Linux, kan plattformar inkludera Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Program med dubbla ändamål är program som används i både antivirusprogram och icke-antivirusprogram. Till exempel kan CRC-checker - en kontrollsummabaserad ändringsinspektör - användas inte bara för att fånga virus. En mängd olika program med dubbla ändamål är beteendeblockerare som analyserar beteendet hos andra program och, om misstänkta åtgärder upptäcks, blockerar dem. Beteendeblockerare skiljer sig från ett klassiskt antivirus med en antiviruskärna som känner igen och botar virus som analyserats i laboratoriet och för vilka en behandlingsalgoritm ordinerats, beteendeblockerare vet inte hur man behandlar virus, eftersom de inte vet något om dem. Denna egenskap hos blockerare gör att de kan arbeta med alla virus, inklusive okända. Detta är av särskild relevans idag, eftersom distributörerna av virus och antivirus använder samma dataöverföringskanaler, det vill säga Internet. Samtidigt behöver antivirusföretaget alltid tid för att få tag i själva viruset, analysera det och skriva lämpliga behandlingsmoduler. Program från gruppen med dubbla ändamål låter dig bara blockera spridningen av viruset tills företaget skriver en behandlingsmodul.

Antivirusprogram

För att upptäcka, ta bort och skydda mot datorvirus Flera typer av specialprogram har utvecklats som låter dig upptäcka och förstöra virus. Sådana program kallas antivirusprogram. Det finns följande typer av antivirusprogram:

program-detektorer

program-läkare eller fager

programrevisorer

filterprogram

vaccinprogram eller immuniseringsmedel.

Detektorprogram söker efter en signatur som är kännetecknande för ett visst virus i RAM och i filer och, om de upptäcks, utfärdar ett motsvarande meddelande. Nackdelen med sådana antivirusprogram är att de bara kan hitta virus som är kända för utvecklarna av sådana program.

Läkarprogram eller fager, såväl som vaccinprogram, hittar inte bara filer infekterade med virus, utan "behandlar" dem också, d.v.s. virusprogrammets kropp tas bort från filen, vilket återställer filerna till deras ursprungliga tillstånd. I början av sitt arbete letar fager efter virus i RAM-minnet, förstör dem och fortsätter först sedan till "behandling" av filer. Bland fager urskiljs polyfager, d.v.s. läkarprogram utformade för att hitta och förstöra ett stort antal virus. De mest kända av dem är: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Med tanke på att nya virus ständigt dyker upp blir upptäcktsprogram och läkarprogram snabbt föråldrade och regelbundna uppdateringar krävs.

Revisorprogram är bland de mest pålitliga sätten att skydda mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan med jämna mellanrum eller på begäran av användaren Nuvarande tillstånd med originalet. De upptäckta ändringarna visas på skärmen. Som regel jämförs tillstånd direkt efter att operativsystemet har laddats. Vid jämförelse kontrolleras fillängden, cyklisk kontrollkod (filkontrollsumma), datum och tid för ändringen och andra parametrar. Auditorprogram har ganska avancerade algoritmer, upptäcker smygvirus och kan till och med rensa upp ändringar i den version av programmet som kontrolleras från ändringar som gjorts av viruset. Bland program-revisorerna finns Adinf-programmet som används i stor utsträckning i Ryssland.

Filterprogram eller vakthundar är små inbyggda program utformade för att upptäcka misstänkt datoraktivitet som är karakteristisk för virus. Sådana åtgärder kan vara:

Försök att korrigera filer med COM, EXE-tillägg

ändra filattribut

Skriv direkt till disk på absolut adress

Skriv till diskstartsektorer

När något program försöker utföra de angivna åtgärderna, skickar "väktaren" ett meddelande till användaren och erbjuder sig att förbjuda eller tillåta motsvarande åtgärd. Filterprogram är mycket användbara, eftersom de kan upptäcka ett virus i det tidigaste skedet av dess existens före reproduktion. Däremot "läker" de inte filer och diskar. För att förstöra virus måste du använda andra program, till exempel fager.

Vacciner eller immuniserare är inhemska program som förhindrar filinfektion. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus. Vaccinet modifierar programmet eller disken på ett sådant sätt att det inte påverkar deras arbete, och viruset kommer att uppfatta dem som infekterade och därför inte slå rot. Vaccinprogram är för närvarande av begränsad användning.

Snabb upptäckt av virusinfekterade filer och diskar, fullständig förstörelse av upptäckta virus på varje dator hjälper till att undvika spridning av en virusepidemi till andra datorer.

Det främsta vapnet i kampen mot virus är antivirusprogram. De tillåter inte bara att upptäcka virus, inklusive virus som använder olika metoder maskera, men också ta bort dem från datorn. Den sista operationen kan vara ganska komplicerad och ta lite tid.

malware antivirusinfektion

För ett framgångsrikt arbete måste virus kontrollera om filen redan är infekterad (av samma virus). Så de undviker självförstörelse. För att göra detta använder virus en signatur. De vanligaste virusen (inklusive makrovirus) använder teckensignaturer. Mer komplexa virus (polymorfa) använder algoritmsignaturer. Oavsett typ av virussignatur använder antivirusprogram dem för att upptäcka "datorinfektioner". Därefter försöker antivirusprogrammet förstöra det upptäckta viruset. Denna process beror dock på virusets komplexitet och kvaliteten på antivirusprogrammet. Som redan nämnts är trojanska hästar och polymorfa virus de svåraste att upptäcka. Den första av dem lägger inte till sin kropp i programmet, utan bäddar in den i det. Å andra sidan måste antivirusprogram spendera ganska mycket tid för att fastställa signaturen för polymorfa virus. Faktum är att deras signaturer ändras med varje ny kopia.

För att upptäcka, ta bort och skydda mot datavirus finns det specialprogram kallas antivirus. Moderna antivirusprogram är multifunktionella produkter som kombinerar både förebyggande och virusbehandling och verktyg för dataåterställning.

Antalet och variationen av virus är stort, och för att upptäcka dem snabbt och effektivt måste ett antivirusprogram uppfylla vissa parametrar:

1. Stabilitet och tillförlitlighet i arbetet.

2. Dimensioner för programmets virusdatabas (antalet virus som detekteras korrekt av programmet): med hänsyn till det ständiga uppträdandet av nya virus bör databasen uppdateras regelbundet.

3. Programmets förmåga att upptäcka olika typer av virus, och förmågan att arbeta med filer olika typer(arkiv, handlingar).

4. Närvaron av en boendeövervakare som kontrollerar alla nya filer "i farten" (det vill säga automatiskt när de skrivs till disken).

5. Programmets hastighet, tillgänglighet ytterligare egenskaper typ av algoritmer för att bestämma jämnt okänd för programmet virus (heuristisk skanning).

6. Möjlighet att återställa infekterade filer utan att radera dem från hårddisk, men bara genom att ta bort virus från dem.

7. Procentandelen falska positiva resultat i programmet (felaktig upptäckt av ett virus i en "ren" fil).

8. Cross-platform (tillgänglighet av programversioner för olika operativsystem).

Klassificering av antivirusprogram:

1. Detektorprogram tillhandahåller sökning och upptäckt av virus i RAM och på externa media, och vid upptäckt skickar de ett motsvarande meddelande. Det finns detektorer:

Universal - använd i sitt arbete för att kontrollera filers oföränderlighet genom att räkna och jämföra med en kontrollsummestandard;

Specialiserad - sök efter kända virus genom deras signatur (avsnittet med upprepad kod).

2. Läkarprogram (fager) hittar inte bara virusinfekterade filer, utan ”botar” dem också, d.v.s. ta bort virusprogrammets kropp från filen och återställ filerna till deras ursprungliga tillstånd. I början av sitt arbete letar fager efter virus i RAM-minnet, förstör dem och fortsätter först sedan till "behandling" av filer. Bland fager urskiljs polyfager, d.v.s. läkarprogram utformade för att hitta och förstöra ett stort antal virus.

3. Programrevisorer är bland de mest pålitliga sätten att skydda mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan regelbundet eller på begäran av användaren det aktuella tillståndet med det ursprungliga. De upptäckta ändringarna visas på skärmen.

4. Filterprogram (watchmen) är små inbyggda program utformade för att upptäcka misstänkta handlingar under datordrift som är karakteristiska för virus. Sådana åtgärder kan vara:

Försök att korrigera filer med COM- och EXE-tillägg;

Ändra filattribut;

Skriv direkt till disk på absolut adress;

Skriva till diskstartsektorer;

5. Vaccinprogram (immunisatorer) är inhemska program som förhindrar filinfektion. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus Bezrukov N. Datorvirologi: Lärobok [ Elektronisk resurs]: http://vx.netlux.org/lib/anb00.html..

Faktum är att arkitekturen för antivirusprogram är mycket mer komplex och beror på den specifika utvecklaren. Men ett faktum är obestridligt: alla teknologier som jag pratade om är så tätt sammanflätade i varandra att det ibland är omöjligt att förstå när en lanseras och en annan börjar fungera. Denna interaktion mellan antivirusteknologier gör att de kan användas mest effektivt i kampen mot virus. Men glöm inte att det inte finns något perfekt skydd, och det enda sättet att varna dig för liknande problem -- ständiga uppdateringar OS, en välkonfigurerad brandvägg, ett ofta uppdaterat antivirus, och – viktigast av allt – kör/ladda inte ner misstänkta filer från Internet.

Skannrar (andra namn: fager, polyfager)

Funktionsprincip virusskannrar baserat på att kontrollera filer, sektorer och system minne och sök efter kända och nya (okända för skannern) virus i dem. Så kallade "masker" används för att söka efter kända virus. En virusmask är en konstant kodsekvens som är specifik för det specifika viruset. Om viruset inte innehåller en permanent mask, eller längden på denna mask inte är tillräckligt stor, används andra metoder. Ett exempel på en sådan metod är algoritmiskt språk beskriver allt möjliga alternativ kod som kan påträffas vid infektering av denna typ av virus. Detta tillvägagångssätt används av vissa antivirus för att upptäcka polymorfa virus.

Många skannrar använder också "heuristic scanning"-algoritmer, dvs. analys av sekvensen av kommandon i det kontrollerade objektet, insamling av viss statistik och beslutsfattande för varje kontrollerat objekt.

Skanners kan också delas in i två kategorier - "universella" och "specialiserade". Universella skannrar är utformade för att söka efter och neutralisera alla typer av virus, oavsett i vilket operativsystem skannern är designad att fungera. Specialiserade skannrar är utformade för att neutralisera ett begränsat antal virus eller bara en klass av dem, till exempel makrovirus.

Scanners är också uppdelade i "resident" (monitorer) scanning "on the fly" och "icke-resident" skannar systemet endast på begäran. Som regel ger "resident" skannrar ett mer tillförlitligt systemskydd, eftersom de omedelbart reagerar på uppkomsten av ett virus, medan en "icke-resident" skanner kan identifiera ett virus först vid nästa lansering.

CRC skannrar

Funktionsprincipen för CRC-skannrar är baserad på beräkningen av CRC-summor (kontrollsummor) för filer / systemsektorer som finns på disken. Dessa CRC-summor lagras sedan i antivirusdatabasen, såväl som annan information: fillängder, datum för senaste ändring, etc. Nästa gång CRC-skannrar körs kontrollerar de data som finns i databasen med de faktiska räknade värdena. Om filinformationen som registreras i databasen inte matchar de verkliga värdena, signalerar CRC-skannrar att filen har modifierats eller infekterats med ett virus.

CRC-skannrar kan inte fånga ett virus när det dyker upp i systemet, utan gör det först efter en tid, efter att viruset har spridit sig över hela datorn. CRC-skannrar kan inte upptäcka ett virus i nya filer (i e-post, på disketter, i filer som återställts från en säkerhetskopia eller vid uppackning av filer från ett arkiv), eftersom deras databaser inte har information om dessa filer. Dessutom finns det periodvis virus som använder denna "svaghet" hos CRC-skannrar, infekterar bara igen genererade filer och därmed förbli osynliga för dem.

Blockerare

Antivirusblockerare är inbyggda program som fångar upp "virusfarliga" situationer och meddelar användaren om det. "Virusfarliga" anrop inkluderar anrop att öppna för skrivning till körbara filer, skrivning till startsektorerna på diskar eller MBR på en hårddisk, försök av program att förbli inhemska, etc., det vill säga anrop som är typiska för virus vid reproduktionstillfället.

Fördelarna med blockerare inkluderar deras förmåga att upptäcka och stoppa viruset i det tidigaste skedet av dess reproduktion. Nackdelarna inkluderar förekomsten av sätt att kringgå skyddet av blockerare och ett stort antal falska positiva.

Immuniserare

Immuniserare är indelade i två typer: infektionsrapporterande immuniserare och infektionsblockerande immunisatorer. De första skrivs vanligtvis till slutet av filer (enligt principen om ett filvirus) och varje gång filen startas kontrolleras den för ändringar. Nackdelen med sådana immuniserare är bara en, men den är dödlig: den absoluta oförmågan att rapportera infektion med ett stealth-virus. Därför används sådana immuniseringsmedel, såväl som blockerare, praktiskt taget inte för närvarande.

Den andra typen av immunisering skyddar systemet från attack av en viss typ av virus. Filer på diskar modifieras på ett sådant sätt att viruset tar dem för redan infekterade. För att skydda mot ett inbyggt virus läggs ett program som imiterar en kopia av viruset in i datorns minne. När det lanseras snubblar viruset på det och tror att systemet redan är infekterat.

Denna typ av immunisering kan inte vara universell, eftersom det är omöjligt att immunisera filer mot alla kända virus.

^ Klassificering av antivirus baserat på tidsvariabilitet

Enligt Valery Konyavsky , antivirusverktyg kan delas in i två stora grupper - analysera data och analysera processer.

^ Dataanalys

Dataanalys inkluderar "revisorer" och "polyfager". "Revisorer" analyserar konsekvenserna av aktiviteterna av datavirus och andra skadliga program. Konsekvenser visas vid förändring av data som inte bör ändras. Det är faktumet av dataändring som är ett tecken på aktiviteten hos skadliga program från "revisorns" synvinkel. Med andra ord kontrollerar "revisorer" dataintegriteten och fattar, vid kränkning av integriteten, ett beslut om förekomsten av skadliga program i datormiljön.

"Polyfager" agerar annorlunda. De väljer fragment baserat på dataanalys skadlig kod(till exempel genom sin signatur) och på grundval av detta gör de en slutsats om förekomsten av skadliga program. Att ta bort eller "behandla" virusinfekterad data hjälper till att förhindra de negativa konsekvenserna av att skadlig programvara körs. På grundval av analysen "i statik" förhindras således konsekvenserna som uppstår "i dynamiken".

Arbetsschemat för både "revisorer" och "polyfager" är nästan detsamma - jämför data (eller deras kontrollsumma) med ett eller flera referensprov. Data jämförs med data. För att hitta ett virus i din dator behöver du alltså att det redan har "fungerat", så att konsekvenserna av dess aktivitet visas. Denna metod kan endast hitta kända virus för vilka kodfragment eller signaturer har beskrivits tidigare. Det är osannolikt att ett sådant skydd kan kallas tillförlitligt.

^ Processanalys

Antivirusverktyg baserade på processanalys fungerar något annorlunda. "Heuristiska analysatorer", som de som beskrivs ovan, analyserar data (på disk, i en kanal, i minne, etc.). Den grundläggande skillnaden är att analysen utförs under antagandet att koden som analyseras inte är data, utan kommandon (i datorer med en von Neumann-arkitektur går data och kommandon inte att särskilja, och därför måste ett eller annat antagande läggas fram under analysen.)

Den "heuristiska analysatorn" väljer en sekvens av operationer, tilldelar en viss "fara"-klassificering till var och en av dem och, baserat på helheten av "fara", avgör om denna operationssekvens är en del av den skadliga koden. Själva koden exekveras inte.

En annan typ av processbaserat antivirus är "beteendeblockerare". I det här fallet exekveras den misstänkta koden steg för steg tills uppsättningen av åtgärder som initieras av koden utvärderas som "farligt" (eller "säkert") beteende. I det här fallet exekveras koden delvis, eftersom slutförandet av den skadliga koden kan upptäckas mer enkla metoder dataanalys.

Teknik för virusdetektion

Teknikerna som används i antivirus kan delas in i två grupper:

Teknik för signaturanalys
Probabilistisk analysteknik

Teknik för signaturanalys

Signaturanalys är en virusdetekteringsmetod som kontrollerar förekomsten av virussignaturer i filer. Signaturanalys är den mest välkända metoden för att upptäcka virus och används i nästan alla moderna antivirus. För att utföra en genomsökning behöver antivirusprogrammet en uppsättning virussignaturer, som lagras i antivirusdatabasen.

På grund av att signaturanalys innebär att filer kontrolleras för virussignaturer, behöver antivirusdatabasen uppdateras med jämna mellanrum för att hålla antiviruset uppdaterat. Själva principen för signaturanalys definierar också gränserna för dess funktionalitet - förmågan att upptäcka endast kända virus - en signaturscanner är maktlös mot nya virus.

Å andra sidan innebär närvaron av virussignaturer möjligheten att behandla infekterade filer som upptäckts genom signaturanalys. Men alla virus kan inte botas - trojaner och de flesta maskar kan inte botas på grund av deras designegenskaper, eftersom de är integrerade moduler skapade för att orsaka skada.

Kompetent implementering av en virussignatur gör det möjligt att upptäcka kända virus med 100 % säkerhet.

Probabilistisk analysteknik

Probabilistisk analysteknik är i sin tur indelad i tre kategorier:

Heuristisk analys
Beteendeanalys
Kontrollsummaanalys

Heuristisk analys

Heuristisk analys är en teknik baserad på probabilistiska algoritmer, vars resultat är identifiering av misstänkta föremål. Den heuristiska analysen kontrollerar filstrukturen och dess överensstämmelse med virusmallar. Den mest populära heuristiska tekniken är att kontrollera innehållet i en fil för modifieringar av redan kända virussignaturer och deras kombinationer. Detta hjälper till att upptäcka hybrider och nya versioner av tidigare kända virus utan ytterligare uppdatering av antivirusdatabasen.

Heuristisk analys används för att upptäcka okända virus och involverar som ett resultat inte behandling. Denna teknik kan inte till 100% bestämma viruset framför sig eller inte, och som vilken sannolikhetsalgoritm som helst, syndar den med falska positiva resultat.

^ Beteendeanalys

Beteendeanalys är en teknik där ett beslut om arten av det föremål som kontrolleras tas på grundval av en analys av de operationer det utför. Beteendeanalys har en mycket snäv praktisk tillämpning, eftersom de flesta av de åtgärder som är typiska för virus kan utföras av vanliga applikationer. Beteendeanalysatorer av skript och makron är de mest kända, eftersom motsvarande virus nästan alltid utför ett antal liknande åtgärder.

Säkerhetsfunktionerna inbäddade i BIOS kan också klassificeras som beteendeanalysatorer. När ett försök görs att göra ändringar i datorns MBR, blockerar analysatorn åtgärden och visar ett motsvarande meddelande till användaren.

Dessutom kan beteendeanalysatorer spåra försök att direkt komma åt filer, göra ändringar i startrekord diskettformatering hårddiskar etc.

Beteendeanalysatorer använder inte ytterligare objekt som virusdatabaser för sitt arbete och som ett resultat kan de inte skilja mellan kända och okända virus - alla misstänkta program betraktas a priori som okända virus. På liknande sätt innebär funktionerna i driften av verktyg som implementerar beteendeanalysteknik inte behandling.

^ Kontrollsummaanalys

Kontrollsummaanalys är ett sätt att hålla reda på förändringar i objekten i ett datorsystem. Baserat på analysen av förändringarnas karaktär - samtidighet, masskaraktär, identiska förändringar i fillängder - kan man dra slutsatsen att systemet är infekterat. Checksumanalysatorer (även kallade "förändringsrevisorer"), liksom beteendeanalysatorer, använder inte ytterligare objekt i sitt arbete och avger en dom om förekomsten av ett virus i systemet enbart med hjälp av expertutvärderingsmetoden. Liknande teknologier används i åtkomstskannrar - under den första kontrollen tas en kontrollsumma från filen och placeras i cachen, innan nästa kontroll av samma fil tas kontrollsumman igen, jämförs, och om det inte finns några ändringar, filen anses vara oinfekterad.

^ Antiviruskomplex

Antiviruskomplex - en uppsättning antivirus som använder samma antivirusmotor eller motorer, utformade för att lösa praktiska problem för att säkerställa antivirussäkerhet datorsystem. Antiviruskomplexet innehåller också verktyg för att uppdatera antivirusdatabaser.

Dessutom kan antiviruskomplexet dessutom innehålla beteendeanalysatorer och ändringsgranskare som inte använder antivirusmotorn.

Det finns följande typer av antiviruskomplex:

Antiviruskomplex för skydd av arbetsstationer
Antiviruskomplex för att skydda filservrar
Antiviruskomplex för skydd av e-postsystem
Antiviruskomplex för skydd av gateways.

Människor som ständigt arbetar vid en dator stöter ofta på problem under driften, börjar ringa efter hjälp från programmerare, även om sådana incidenter i de flesta fall inträffar på grund av användarens ouppmärksamhet och bristande utbildning. När allt kommer omkring kommer de största problemen just med infektionen av en dator med ett virus. Konceptet och klassificeringen av datavirus är grunden, vars kunskap kan förhindra 50% av problemen på användarens dator.

Kunskap är makt

Låt oss försöka definiera vad ett datavirus är. Som i det verkliga livet är ett virus en organism som kan kopiera sig själv och okontrollerad reproduktion. Detta är ett program som självständigt, utan användarens vetskap, kan utveckla, utföra sina funktioner som fastställts i det av programmeraren. Detta räcker inte för att fånga ett virus eller förhindra infektion av din dator, men i de enklaste fallen hjälper det dig åtminstone att slå larm och ringa en specialist. Klassificeringen av datavirus hjälper de senare att exakt välja det verktyg som behövs för att rädda din dator. Så låt oss försöka ta reda på det.

Allmänt koncept

Om man lite tidigare jämför ett datavirus med en riktig mikroorganism kan man dra en parallell till vad som infekterar ett visst virus eller mask. En av de grundläggande är klassificeringen av datavirus efter habitat, eftersom platsen för viruset i datormiljön också kommer att variera beroende på syftet. Här är ett allmänt standardschema.

Fila virus. Det kanske vanligaste idag är virus som infekterar filer på din dator. I de flesta fall infiltrerar de körbara filer eller programbibliotek för att utföra sina uppgifter. Dessa virus är ett skript skrivet i ett skriptprogrammeringsspråk (t.ex. Java).
startvirus. Som namnet antyder startar de när operativsystemet startar. De skriver sin kod till Windows-startsektorn.
nätverksvirus. En ganska obehaglig sak som skickar kopior av sig själv över nätet, mail eller meddelandesystem som ICQ. Ett annat obehagligt ögonblick är att ett sådant virus kan föröka sig tills det fyller upp allt utrymme på användarens dator, och i värsta fall börjar det också frigöra utrymme för sig själv genom att ta bort användarprogram.
Makrovirus. Endast filer med program som stöder makron, som Office, påverkas.

Det är värt att notera att en sådan klassificering av virus inte kan vara fullständig, eftersom utvecklingen av denna infektion inte står stilla, och det finns virus som kan hänföras till flera undertyper.

Varning - fara!

Virus kan ses från helt olika vinklar. Om vi pratar om dem enligt graden av påverkan på systemet, kommer klassificeringen av datavirus kort att se ut så här:

Specialister arbetar

Klassificeringen av datavirus och antivirusprogram förtjänar särskilt omnämnande. De flesta specialister som arbetar inom området datorsäkerhet har sina egna klassificeringar och sätt att beteckna datorvirus. Till exempel det välkända Kaspersky Lab. Efter många års arbete har de skapat den kanske mest detaljerade klassificeringen av datavirus. Kaspersky identifierar följande typer av "skadedjur":

Redan kända nätverksvirus är maskar som använder e-post för att sprida sig.
Packare. Dessa är snarare bara skadedjur och inte virus som skickas för ett specifikt syfte. Deras uppgift är att arkivera filer på ett sådant sätt att de inte kan packas upp. Vid arkivering kodar de ofta också information.
Skadliga verktyg.
Trojanska program. Deras namn kommer från myten om den trojanska hästen. I enlighet med deras prototyp, maskerar sådana virus sig som ofarliga program för att penetrera en dator. Deras huvudsakliga funktionella syfte är att ge en angripare åtkomst att kontrollera din dator. Det finns även några underkategorier här:

1) virus, för fjärrkontroll din dator;

2) virus för nedladdning av skadlig programvara från Internet;

3) program som installerar andra virus på en dator utan tillstånd.

Hur man blir smittad

Förvarnad är förberedd. Så säger folklig visdom. Att veta var och hur det är möjligt att fånga ett datavirus kan undvika de enorma problem som är förknippade med att ta bort det. Att förhindra en infektion är mycket lättare än att bota en dator efter att ett virus har kommit in i den. Det finns också en klassificering av datavirus enligt infektionsmetoden:

Virus skydd

Som det redan har blivit klart finns det ett stort utbud av skadliga program. Inte en enda klassificering av virus hjälper till att skydda mot dem. Det finns så många datorbedragare och spammare att det är omöjligt att hantera dem alla med egna händer. Det är därför det finns ett stort antal antivirusprogram som kan hjälpa till att hantera detta problem. Låt oss titta på dem i termer av vanliga användare.

Det vanligaste antivirusprogrammet är Kaspersky Anti-Virus. Erbjuds till användare i alla möjliga butiker, detta program kan på ett tillförlitligt sätt skydda din dator från skadlig programvara. Men avancerade användare är medvetna om de betydande bieffekterna av denna tillförlitlighet. "Kaspersky" belastar inte bara systemet väldigt hårt och larmar vid minsta fara, utan låter dig inte heller arbeta med användarapplikationer. Därför används detta antivirus för närvarande huvudsakligen i företag, eftersom det är lättare att köpa det från redovisningsavdelningen, och säär mycket mer lojala mot det. Det är värt att notera att, tack vare detta laboratorium, skapades en grundläggande klassificering av datavirus. Meddelandet om att ett virus har hittats på datorn, som utfärdas av deras antivirus, innehåller tyvärr inte alltid tillförlitlig information.

En värdig ersättare för Kaspersky kan vara NOD32. Pålitligt och stadigt skyddar, speciellt för vanliga användare, det finns gratisversioner. Det fungerar som ett ur och utan misslyckanden, men det ger absolut tillförlitlighet endast i den fullständiga betalda konfigurationen. Därför kommer den enda nackdelen med detta antivirus att vara priset, om vi utesluter nedladdning av hackade versioner som inte stöds.

Dr.Web kan med rätta anses vara ledande bland antivirus. Han jagar inte berömmelse och inkomster, utan ger alla på sin webbplats att ladda ner testversion med full funktionalitet. En av huvuddragen hos "Doctor" är förmågan att helt avbryta driften av operativsystemet, vilket gör att du kan fånga även de mest "luriga skadedjuren". Detta program använder sin egen klassificering av virus. Verktyget hittar datormaskar snabbt och effektivt, och inhemska virus kan inte "gömma sig" i RAM.

Fienden måste vara känd genom synen

Så klassificeringen av datavirus diskuterades ovan. Med exempel skulle det förmodligen vara lättare för dig att förstå, så vi ger några för tydlighetens skull.

Trj.Reboot - Tvingar din dator att starta om.

Slappna av - smittar Microsoft-dokument Word, såväl som globala variabler. Det var särskilt populärt och relevant på Windows 98. Resultatet av arbetet är visningen av ett informationsmeddelande.

Marburg - infekterar körbara filer med EXE-tillägget och lanserar dem i olika kataloger, vilket resulterar i att deras storlek ökar.

Flame är en datormask upptäckt av Kaspersky Lab. Dess egenhet är att den består av flera dussin delar, som var och en har sin egen funktionalitet.

Tänk säkerhet

I den här artikeln övervägdes konceptet och klassificeringen av datavirus. Om du noggrant och eftertänksamt läser allt som skrivits har du förmodligen redan förstått att absolut skydd inte existerar. Trots detta faller valet av skyddsmedel på dina axlar. Det sista värt att nämna är bara ett par användbara tips:

Besök inte misstänkta webbplatser och följ inte länkar som skickas av främlingar.
Låt dig inte luras av annonser och popup-fönster på Internet.
Om du laddar ner program från Internet, se till att källan är säker.
Om du letar efter ett program, försök att ladda ner det på populära resurser, och inte på baksidan av World Wide Web.
Använd inte media som kan ha satts in i offentliga datorer (internetkaféer).

Genom att följa dessa enkla tips kan du till och med klara dig utan ett antivirusprogram. Och du behöver klassificeringen av datavirus endast för studier eller självutveckling.

Dessa program kan delas in i fem huvudgrupper: filter, detektorer, auditörer, läkare och vaccinatorer.

Antivirus filter- det här är inbyggda program som meddelar användaren om alla försök av ett program att skriva till en disk, och ännu mer att formatera den, såväl som andra misstänkta åtgärder (till exempel försök att ändra CMOS-inställningar). Detta kommer att uppmana dig att tillåta eller neka denna åtgärd. Funktionsprincipen för dessa program är baserad på avlyssning av motsvarande avbrottsvektorer. Fördelen med program av denna klass i jämförelse med program-detektorer är universalitet i förhållande till både kända och okända virus, medan detektorer är skrivna för specifika typer som programmeraren känner till för tillfället. Detta gäller särskilt nu, när många muterade virus har dykt upp som inte har en permanent kod. Filterprogram kan dock inte spåra virus som direkt kommer åt BIOS, liksom BOOT-virus som aktiveras redan innan antiviruset lanseras, i det inledande skedet av att ladda DOS. frågor tar upp mycket av användarens tid och går honom på nerverna . När du installerar vissa antivirusfilter kan det uppstå konflikter med andra inbyggda program som använder samma avbrott, som helt enkelt slutar fungera.

Den mest använda i vårt land detektorprogram, eller snarare, program som kombinerar detektor och läkare. De mest kända representanterna för denna klass - Aidstest, Doctor Web, MicroSoft AntiVirus kommer att diskuteras mer i detalj nedan. Antivirusdetektorer är utformade för specifika virus och är baserade på en jämförelse av sekvensen av koder som finns i kroppen av ett virus med koderna för program som kontrolleras. Många detektorprogram låter dig också "behandla" infekterade filer eller diskar genom att ta bort virus från dem (naturligtvis stöds behandling endast för virus som detektorprogrammet känner till). Sådana program behöver uppdateras regelbundet, eftersom de snabbt blir föråldrade och inte kan upptäcka nya typer av virus.

revisorer- det här är program som analyserar det aktuella tillståndet för filerna och systemområdena på disken och jämför den med information som tidigare lagrats i en av revisorns datafiler. Detta kontrollerar statusen för BOOT-sektorn, FAT-tabellen, såväl som längden på filerna, deras skapelsetid, attribut, kontrollsumma. Genom att analysera inspektörsprogrammets meddelanden kan användaren avgöra om ändringarna är orsakade av ett virus eller inte. När man utfärdar sådana meddelanden bör man inte få panik, eftersom orsaken till förändringar, till exempel programmets längd, kanske inte är ett virus alls.

Till sista gruppen inkluderar de mest ineffektiva antivirus- vaccinatorer. De skriver in egenskaperna hos ett visst virus i programmet som vaccineras så att viruset anser att det redan är infekterat.

I vårt land, som nämnts ovan, har antivirusprogram som kombinerar funktionerna hos detektorer och läkare vunnit särskild popularitet. Det mest kända av dessa är AIDSTEST-programmet av D.N. Lozinsky. Detta program uppfanns 1988 och sedan dess har det ständigt förbättrats och utökats. I Ryssland har nästan alla IBM-kompatibla persondatorer en av versionerna av detta program. En av senaste versionerna upptäcker över 1500 virus.

Aidstest är designat för att fixa program infekterade med vanliga (icke-polymorfa) virus som inte ändrar sin kod. Denna begränsning beror på det faktum att detta program söker efter virus med hjälp av identifieringskoder. Men samtidigt uppnås en mycket hög hastighet att kontrollera filer.

För att det ska fungera normalt kräver aidstest att det inte finns några inbyggda antivirus i minnet som blockerar skrivning till programfiler, så de bör laddas ur antingen genom att ange avladdningsalternativet för själva programmet eller genom att använda lämpligt verktyg.

När Aidstest startas kontrollerar det RAM-minnet för virus som det känner till och gör dem ofarliga. I det här fallet är bara virusets funktioner förknippade med reproduktion förlamade, medan andra biverkningar kan finnas kvar. Därför utfärdar programmet efter slutet av neutraliseringen av viruset i minnet en begäran om att starta om. Du bör definitivt följa detta råd om PC-operatören inte är en systemprogrammerare som studerar egenskaperna hos virus. Varför ska du starta om med RESET-knappen, eftersom under en "varm omstart" kan vissa virus kvarstå. Dessutom är det bättre att starta maskinen och Aidstest med en skrivskyddad diskett, eftersom viruset när det startas från en infekterad disk kan skriva sig in i minnet som invånare och förhindra desinfektion.

Aidstest testar sin kropp för kända virus och bedömer också dess infektion med ett okänt virus genom förvrängningar i dess kod. I det här fallet är fall av falska larm möjliga, till exempel när ett antivirus komprimeras av en packare. Programmet har inget grafiskt gränssnitt, och dess driftsätt ställs in med hjälp av nycklar. Genom att ange sökvägen kan du inte kontrollera hela disken, utan en separat underkatalog.

Nackdelar med Aidstest-programmet:

Känner inte igen polymorfa virus;

Den är inte utrustad med en heuristisk analysator som gör att den kan hitta virus okända för den;

Vet inte hur man kontrollerar och behandlar filer i arkiv;

Känner inte igen virus i program som bearbetas av packare av körbara filer som EXEPACK, DIET, PKLITE, etc.

Fördelar med Aidstest:

Lätt att använda;

Fungerar mycket snabbt;

Känner igen en betydande del av virus;

Väl integrerad med Adinfs revisionsprogram;

Fungerar på nästan vilken dator som helst.

Nyligen har populariteten för ett annat antivirusprogram, Doctor Web, som erbjuds av Dialog-Science, vuxit snabbt. Detta program skapades 1994 av I.A. Danilov. Dr. Web tillhör liksom Aidstest klassen av detektorer - läkare, men till skillnad från de senare har den en så kallad "heuristisk analysator" - en algoritm som låter dig upptäcka okända virus. Den "läkande webben", som programmets namn är översatt från engelska, blev svaret för inhemska programmerare på invasionen av självmodifierande mutantvirus, som, när de multipliceras, modifierar sin kropp så att det inte finns en enda karakteristisk byte kedja som fanns i den ursprungliga versionen av viruset. Detta program stöds av det faktum att en stor licens (för 2000 datorer) förvärvades av generaldirektoratet informationsresurser under Ryska federationens president och den näst största köparen av "webben" - "Inkombank".

Styrningen av lägena, liksom i Aidtest, utförs med hjälp av nycklar. Användaren kan säga åt programmet att testa både hela disken och enskilda underkataloger eller grupper av filer, eller vägra att kontrollera diskar och testa endast RAM. I sin tur kan du testa antingen bara basminnet, eller dessutom det utökade. Liksom Aidstest kan Doctor Web skapa en rapport om arbetet, ladda en kyrillisk teckengenerator, stödja arbete med Sheriffs hård- och mjukvarusystem.

Hårddisktestning Dr. Web-om tar mycket mer tid än Aidstest-ohm, så alla användare har inte råd att lägga så mycket tid på en daglig kontroll av hela hårddisken. Sådana användare kan rekommenderas att kontrollera disketter som tas in utifrån mer noggrant. Om informationen på en diskett finns i ett arkiv (och nyligen överförs program och data från maskin till maskin endast i denna form, även tillverkningsföretag programvara, såsom Borland, packar sina produkter), bör du packa upp den i en separat katalog på din hårddisk och omedelbart, utan dröjsmål, köra Dr. Web, ger den som en parameter istället för enhetsnamnet den fullständiga sökvägen till denna underkatalog. Och ändå är det nödvändigt minst en gång varannan vecka att utföra en fullständig genomsökning av "hårddisken" för virus med uppgiften att den maximala nivån av heuristisk analys.

Som i fallet med Aidstest bör du under den första testningen inte tillåta att programmet desinficerar filer där det upptäcker ett virus, eftersom det inte kan uteslutas att sekvensen av byte som accepteras av antiviruset som ett mönster kan hittas i en hälsosamt program.

Till skillnad från Aidstest, Dr. webb:

känner igen polymorfa virus;

utrustad med en heuristisk analysator;

kan kontrollera och behandla filer i arkiv;

låter dig testa filer vaccinerade med CPAV, samt packade med LZEXE, PKLITE, DIET.

Företaget "Dialogue-Science" erbjuder olika versioner DrWeb för DOS. Som ni vet finns det två versioner för DOS, som traditionellt kallas 16-bitars och 32-bitars(den senare kallas även Doctor Web för DOS/386, DrWeb386). Dessa namn (16-bitars och 32-bitars) återspeglar helt essensen av skillnaden mellan versioner för DOS, men direkt från namnen är det uppenbart endast för specialister. Endast 32-bitarsversionen har allt funktionalitet, inneboende i andra moderna versioner av Doctor Web (särskilt versioner för Windows).

16-bitarsversionen, på grund av begränsningarna för mängden tillgängligt minne som införs av operativsystemet, har inte några av de viktigaste "funktionerna" idag, i synnerhet är de inte inkluderade i den (och på grund av den angivna minnesbegränsningar, de kan inte inkluderas):

"service" moduler för kända virus moderna typer(särskilt talar vi om makro- och stealthvirus);

heuristiska analysatormoduler för att upptäcka okända virus av modern typ;

moduler för att packa upp moderna typer av arkiv och paketerade Windows-program m.m.

Således, även om 16-bitarsversionen använder samma virusdatabas (VDB-filer) som 32-bitarsversionerna, gör avsaknaden av vissa moduler det omöjligt att behandla motsvarande virus.

Dessutom, av samma skäl, stöder inte 16-bitarsversionen viss modern mjukvara och hårdvara, vilket kan göra den instabil eller felaktig.

Eftersom 32-bitarsversionen är fullt fungerande och, som framgår av dess andra namn - Doctor Web för DOS/386, kan användas medan den körs i DOS på datorer med en processor på minst 386, alla användare som behöver en version av Doctor Web för DOS bör använda exakt henne.

När det gäller 16-bitarsversionen fortsätter den att släppas eftersom det fortfarande finns en flotta av gamla maskiner på 86/286-plattformen där 32-bitarsversionen inte kan fungera.

(Antivirusprogramskydd)

En intressant mjukvaruprodukt är AVSP antivirus. Det här programmet kombinerar en detektor, en läkare och en auditör och har till och med vissa funktioner som ett resident filter (förbud mot att skriva till filer med attributet READ ONLY). Antiviruset kan behandla både kända och okända virus, dessutom om behandlingsmetoden senaste programmet kan rapporteras av användaren. Dessutom kan AVSP behandla självmodifierande och Stealth-virus (stealth).

När du startar AVSP dyker ett system av fönster upp med menyer och information om programmets status. Väldigt bekväm kontextuellt tipssystem, som ger en förklaring av varje menyalternativ. Det kallas klassiskt, med F1-tangenten, och ändras när man flyttar från objekt till objekt. Inte heller oviktig fördel i vår tid med Windows och "Half-axes" (OS / 2) är musstöd. En betydande nackdel med AVSP-gränssnittet är avsaknaden av möjligheten att välja menyalternativ genom att trycka på en tangent med motsvarande bokstav, även om detta något kompenseras av möjligheten att välja ett objekt genom att trycka på ALT och numret som motsvarar numret på detta Artikel.

AVSP-paketet innehåller också resident drivrutin AVSP.SYS, som gör att du kan upptäcka de flesta osynliga virus (förutom virus som Ghost-1963 eller DIR), inaktivera virus under deras arbete och även förbjuder modifiering av läsbara filer.

En annan funktion hos AVSP.SYS är inaktivera inbyggda virus medan AVSP.EXE körs, men tillsammans med virus inaktiverar drivrutinen även vissa andra inbyggda program. Första gången du kör AVSP bör du testa ditt system för kända virus. Samtidigt kollar den Bagge, BOOT-sektor och filer. I vissa fall kan du till och med återställa filer som skadats av ett okänt virus. Du kan installera kontroller för filstorlekar, deras kontrollsummor, förekomsten av virus i dem eller allt detta tillsammans. Du kan också ange exakt vad som ska kontrolleras (startsektor, minne eller filer). Som i de flesta antivirusprogram ges här användaren möjlighet att välja mellan hastighet och kvalitet. Kärnan i en höghastighetskontroll är att inte hela filen skannas, utan bara dess början; så det är möjligt att ta reda på de flesta virus. Om viruset är skrivet i mitten, eller filen är infekterad med flera virus (i det här fallet verkar de "gamla" virusen tryckas in i mitten av de "unga"), kommer programmet inte att märka det. Därför bör kvalitetsoptimering ställas in, särskilt eftersom kvalitetstestning i AVSP inte tar mycket mer tid än höghastighetstestning.

På automatisk detektering nya AVSP-virus kan göra många misstag. Så när du automatiskt upptäcker ett mönster bör du inte vara för lat för att kontrollera om det verkligen är ett virus och om detta mönster kommer att hittas i hälsosamma program.

Om ett känt virus upptäcks under AVSP-processen, bör samma åtgärder vidtas som när du arbetar med Aidstest och Dr. Webb: kopiera filen till disken, starta om från backup-disketten och kör AVSP. Det är också önskvärt att AVSP.SYS-drivrutinen laddas in i minnet, eftersom det hjälper huvudprogrammet att desinficera Stealth-virus.

En annan användbar funktion är inbyggd demonterare. Med dess hjälp kan du ta reda på om det finns ett virus i filen eller om en AVSP falsk positiv inträffade under en diskkontroll. Dessutom kan du försöka ta reda på infektionsmetoden, virusets princip, såväl som platsen där det "gömde" de ersatta byten av filen (om vi har att göra med den här typen av virus). Allt detta gör att du kan skriva en virusborttagningsprocedur och återställa skadade filer. En till användbar funktion- utlämning visuell karta över förändringar. Ändringskartan låter dig utvärdera om dessa förändringar motsvarar viruset eller inte, samt att begränsa omfattningen av sökningen efter viruskroppen under demontering.

AVSP-programmet har två algoritmer för att neutralisera stealth-virus ("osynliga"), och båda fungerar bara om det finns ett aktivt virus i minnet. Det här är vad som händer när dessa algoritmer implementeras: alla filer kopieras till datafiler och raderas sedan. Endast filer med attributet SYSTEM sparas. I Adinf är processen att ta bort Stealths mycket enklare.

AVSP-programmet övervakar också tillståndet för startsektorerna. Om BOOT-sektorn på disketten är infekterad och antiviruset inte kan bota det, bör du radera startkoden. Disketten kommer att bli icke-system, men data kommer inte att gå förlorade. Det kan du inte göra med en Winchester. Om ändringar upptäcks i en av BOOT-sektorerna på hårddisken, kommer AVSP att erbjuda att spara den i någon fil och sedan försöka ta bort viruset.

Microsoft Antivirus

Moderna versioner av MS-DOS (till exempel 6.22) inkluderar ett antivirus Microsoft program Antivirus (MSAV). Detta antivirus kan fungera i detektor-läkare- och auditörlägen. MSAV har Gränssnitt i MS-Windows-stil musen stöds naturligtvis. Väl genomfört kontext hjälp: det finns ett tips för nästan alla menyalternativ, för alla situationer. Tillgång till menyalternativ implementeras universellt: för detta kan du använda markörtangenterna, tangenttangenterna (F1-F9), tangenter som motsvarar en av bokstäverna i objektnamnet, såväl som musen. En allvarlig olägenhet när du använder programmet är att det sparar tabeller med data om filer inte i en fil, utan sprider dem över alla kataloger.

När programmet startas, laddar programmet sin egen teckengenerator och läser katalogträdet för den aktuella disken, varefter det går ut till huvudmenyn. Det är inte klart varför man läser katalogträdet direkt vid start: trots allt kanske användaren inte vill kontrollera den aktuella disken.

Under den första kontrollen skapar MSAV CHKLIST.MS-filer i varje katalog som innehåller körbara filer, i vilka den skriver information om storlek, datum, tid, attribut, såväl som kontrollsumman för kontrollerade filer. Under efterföljande kontroller kommer programmet att jämföra filerna med informationen i CHKLIST.MS-filerna. Om storleken och datumet har ändrats kommer programmet att informera användaren om detta och be om ytterligare åtgärder: uppdatera informationen (Uppdatera), ställ in datum och tid i enlighet med data i CHKLIST.MS (Reparera), fortsätt, ignorera ändringar i given fil(Fortsätt), avbryt kontrollen (Stopp).

I menyn Alternativ kan du konfigurera programmet som du vill. Här kan du ställa in sökläget för osynliga virus (Anti-Stealth), kontrollera alla (inte bara körbara) filer (Check All Files), och även tillåta eller förbjuda skapandet av CHKLIST.MS-tabeller (Skapa nya kontrollsummor). Dessutom kan du ställa in läget för att spara rapporten om utfört arbete i en fil. Om du ställer in alternativet Skapa säkerhetskopia, sparas dess kopia med tillägget VIR innan du tar bort viruset från en infekterad fil.

Från huvudmenyn kan du se en lista över virus som MSAV känner till genom att trycka på F9-tangenten. Detta kommer att få upp ett fönster med namnen på virus. För att se mer detaljerad information om ett virus måste du flytta markören till dess namn och trycka på ENTER. Du kan snabbt navigera till viruset av intresse genom att skriva de första bokstäverna i dess namn. Information om viruset kan matas ut till skrivaren genom att välja lämpligt menyalternativ.

(Avancerat Diskinfoscope)

ADinf tillhör klassen av auditörprogram. Detta program skapades av D.Yu. Mostov 1991

ADinf-programfamiljen är diskgranskare designade för att fungera på personliga datorer styrs av operativsystem MS-DOS, MS-Windows 3.xx, Windows 95/98 och Windows NT/2000. Arbetet i programmen bygger på regelbunden övervakning av förändringar som sker på hårddiskar. Om ett virus dyker upp, upptäcker ADinf det baserat på ändringarna det gör i filsystemet och/eller diskstartsektorn och informerar användaren om det. Till skillnad från antivirusskannrar använder ADinf inte "porträtt" (signaturer) av specifika virus i sitt arbete. Därför är ADinf särskilt effektivt för att upptäcka nya virus för vilka ingen motgift ännu har hittats.

Det bör särskilt noteras att ADinf inte använder operativsystemfunktioner för att styra diskar. Den läser skivan sektor för sektor och analyserar oberoende filsystemets struktur, vilket gör att den kan upptäcka de så kallade stealth-virusen.

Om Adinf-läkningsenheten är installerad i systemet ( ADinf Bota modul ), då kan denna tandem inte bara upptäcka utan också framgångsrikt ta bort infektionen som har dykt upp. Tester har visat att ADinf Cure Module framgångsrikt kan hantera 97 % av virusen och återhämta sig skadade filer byte korrekt.

De användbara egenskaperna hos ADinf är inte begränsade till att bekämpa virus. Faktum är att ADinf är ett system som låter dig övervaka säkerheten för information på diskar och upptäcka alla, även subtila förändringar i filsystemet, nämligen ändringar i systemområden, filändringar, skapa och ta bort kataloger, skapa, ta bort, döpa om och flytta filer från en katalog till katalogen. Sammansättningen av kontrollerad information är flexibelt konfigurerad, vilket gör att du bara kan kontrollera vad du behöver.

Den första versionen av programmet släpptes 1991 och sedan dess har ADinf välförtjänt varit den mest populära revisorn i Ryssland och länderna i före detta Sovjetunionen. Redan idag är det svårt att räkna antalet lagliga och illegala användare av ADinf. Mer än 2 500 företagsprenumeranter på Dialog-Science Anti-Virus Kit, som innehåller ADinf, skyddar sina datorer med det. ADinf-programmet fick certifikat i GOST R-certifieringssystemet, försvarsministeriets informationssäkerhetscertifieringssystem och certifikatet från den statliga tekniska kommissionen under presidenten Ryska Federationen(som en del av Dialog-Science Anti-Virus Kit). Programmet förbättras ständigt och är alltid i framkant av modern teknik.

Till en början utvecklades ADinf-revisorn för operativsystemet MS-DOS. Senare versioner av programmet släpptes för Windows 3.xx och Windows 95/98/NT. Nu finns det en familj av kompatibla revisorer för olika operativsystem. Alla ADinf-varianter idag stöder Windows 95/98-filsystem, långa fil- och katalognamn och analyserar den interna strukturen för körbara filer. Windows-filer 95/98 och NT.

Så, Adinf-programmet:

Det har hög hastighet arbete;

kunna framgångsrikt motstå virus i minnet;

låter dig styra disken genom att läsa den per sektor genom BIOS och utan att använda systemet avbryts DOS, som kan fångas upp av ett virus;

kan hantera upp till 32 000 filer per enhet;

till skillnad från AVSP, där användaren måste analysera om maskinen är infekterad med ett Stealth-virus, starta först från hårddisken och sedan från referensdisketten, i ADinf sker denna operation automatiskt;

Till skillnad från andra antivirus, kräver Advanced Diskinfoscope inte uppstart från en referens, skrivskyddad diskett. När du laddar från en hårddisk minskar inte skyddets tillförlitlighet;

ADinf har ett väl genomfört användarvänligt gränssnitt, som, till skillnad från AVSP, inte implementeras i text, utan i grafiskt läge;

när ADinf installeras i systemet är det möjligt att ändra namnet på huvudfilen ADINF.EXE och namnet på tabellerna, medan användaren kan ange vilket namn som helst. Detta är en mycket användbar funktion, eftersom det nyligen har dykt upp många virus som "jagar" efter antivirus (till exempel finns det ett virus som ändrar Aidstest-programmet så att det istället för DialogueScience-startskärmen skriver: "Lozinsky är en stubbe ”), inklusive inklusive och utöver ADinf.

Det finns flera versioner av Adinf-revisorn för olika operativsystem. Var och en av dem har sina egna egenskaper.

Revisor ADinf designad för MS-DOS och Windows 95/98 operativsystem. Detta är utvecklingen av den första versionen av revisorn, skapad redan 1991. Idag är ADinf det mest pålitliga verktyget för att upptäcka både kända och nya okända virus. Det är den enda revisorn i världen som kontrollerar filsystem läsning av sektorer direkt genom datorns BIOS.

Revisor ADinf för Windows designad för Windows 3.xx operativsystem. Till alla egenskaper hos ADinf-revisorn lägger den här versionen av programmet ett bekvämt GUI användare.

Revisor ADinf Pro är utformad för att kontrollera säkerheten för särskilt värdefull information, såsom databaser eller dokument, i miljön för MS-DOS, Windows 3.xx och Windows 95/98 operativsystem. En funktion i den här versionen av programmet är användningen av en 64-bitars hashfunktion för att kontrollera filernas integritet, utvecklad av det välkända ryska företaget LAN-Crypto. Att använda denna hash-funktion garanterar inte bara upptäckten av oavsiktliga filändringar eller ändringar orsakade av virus, utan gör det också omöjligt att medvetet tyst modifiera data på disken.

Revisor ADinf32 är ett 32-bitars flertrådigt program för drift Windows-system 95/98 och Windows NT med ett modernt användargränssnitt. Den här versionen av programmet har inte bara alla fördelar med andra alternativ, utan innehåller också en hel del nya saker jämfört med dem.

Det bör noteras att Adinf-programmet är väl integrerat med andra program i DSAV-kitet från Dialog-Science. Till exempel skapar Adinf en lista med nya och ändrade filer på disken, medan Aidstest och DrWeb kan kontrollera filer från denna lista, vilket avsevärt minskar körtiden för dessa program.

(AntiViral Toolkit Pro)

Det här programmet skapades av ZAO Kaspersky Lab. AVP har en av de mest avancerade virusdetektionsmekanismerna. Idag är AVP praktiskt taget inte på något sätt sämre än västerländska motsvarigheter.

AVP ger användarna maximal service - möjligheten att uppdatera antivirusdatabaser via Internet, möjligheten att ställa in parametrar automatisk skanning och desinfektion av infekterade filer. Uppdateringar på AVP-webbplatsen dyker upp nästan varje vecka, och databasen innehåller beskrivningar för nästan 40 000 virus.

AVP består av flera viktiga moduler:

1) AVP-skanner kontroller hårddiskar för virusinfektion. Du kan ställa in en fullständig sökning, där programmet kommer att kontrollera alla filer i rad, och även ställa in läget för att kontrollera arkiverade filer. En av de största fördelarna med AVP är kampen mot makrovirus. Användaren kan välja ett speciellt läge där dokument skapas i Microsoft-format kontor. Efter att ha upptäckt virus eller infekterade filer erbjuder AVP flera alternativ att välja mellan: ta bort virus från filer, ta bort själva de infekterade filerna eller flytta dem till en speciell mapp.
2) AVP övervaka. Detta program laddas automatiskt när Windows start. AVP Monitor kontrollerar automatiskt alla filer som startas på datorn och öppnade dokument, och i händelse av en virusattack meddelar den användaren om det. Dessutom, i de flesta fall förhindrar AVP Monitor helt enkelt den infekterade filen från att starta, vilket blockerar dess exekvering. Denna funktion i programmet är mycket användbar för dem som ständigt hanterar många nya filer, till exempel för aktiva användare Internet (eftersom det är omöjligt att köra AVP var femte minut för att kontrollera nedladdade filer, kommer AVP Monitor till undsättning här).
3) AVP Inspektör - den sista och mycket viktiga modulen i AVP-kitet, som låter dig fånga även okända virus. "Inspector" använder en metod för att kontrollera filstorleksändringar. Genom att infiltrera en fil ökar viruset oundvikligen sin volym, och "inspektören" upptäcker det lätt.

Utöver allt ovanstående finns en sk AVP Kontrollcenter - "kontrollpanel" för alla program i AVP-komplexet. Den viktigaste funktionen i detta program är den inbyggda Task Scheduler, som låter dig snabb kontroll(och vid behov - och behandling av systemet) i automatiskt läge, utan medverkan av användaren, men vid den tidpunkt som anges av denne.