Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 7, XP
  • Vrste antivirusnih programa i njihove karakteristike. Postoje različite vrste antivirusnih programa:

Vrste antivirusnih programa i njihove karakteristike. Postoje različite vrste antivirusnih programa:

05.04.2019 Windows 7, XP

Korisnik modernog PC Ima Besplatan pristup na sve resurse mašine. To je ono što je otvorilo mogućnost postojanja opasnosti koja se zvala kompjuterski virus.

Računalni virus je posebno napisan program koji je sposoban da se spontano vezuje za druge programe, stvara svoje kopije i unosi ih u fajlove, sistemske oblasti računara i računarske mreže kako bi poremetio rad programa, oštetio datoteke i direktorijume, i stvaraju sve vrste smetnji u radu na računaru. Ovisno o njihovom staništu, virusi se mogu podijeliti na mrežne viruse, viruse datoteka, viruse za pokretanje, viruse za pokretanje datoteka, makro viruse i trojance.

  • Mrežni virusi distribuiraju preko raznih kompjuterskih mreža.
  • File virusi implementirani su uglavnom u izvršnim modulima. Datotečni virusi mogu biti ugrađeni u druge vrste datoteka, ali, u pravilu, upisani u takve datoteke, nikada ne stječu kontrolu i stoga gube sposobnost reprodukcije.
  • Boot virusi ugrađeni su u sektor za pokretanje diska (sektor za pokretanje) ili u sektor koji sadrži program za pokretanje sistemskog diska (Master Boot Record).
  • Virusi za pokretanje datoteka inficirati i datoteke i sektore za pokretanje diskova.
  • Makro virusi su napisane na jezicima visokog nivoa i napadaju dokumente aplikacija koje imaju ugrađene automatizacijske jezike (makrojezici), kao što su aplikacije iz porodice Microsoft Office.
  • Trojanci, maskirani kao korisni programi, izvor su zaraze kompjuterskim virusima.

Razvijeno je nekoliko tipova za otkrivanje, uklanjanje i zaštitu od kompjuterskih virusa. specijalni programi, koji vam omogućavaju da otkrijete i uništite viruse. Takvi programi se nazivaju antivirusni programi. Razlikuju se sljedeće vrste: antivirusni programi :

  • - detektorski programi;
  • - doktorski programi, odnosno fagi;
  • - programe revizije;
  • - filtriranje programa;
  • - vakcinalni programi ili imunizatori.

Detektorski programi Oni traže karakteristiku potpisa određenog virusa u RAM-u i datotekama i, ako ih pronađu, izdaju odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Doktorski programi, ili fage, takođe programe vakcinacije ne samo da pronađu datoteke zaražene virusima, već ih i "tretiraju", tj. uklonite tijelo virusnog programa iz datoteke, vraćajući datoteke u početno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "čišćenje" datoteka. Među fagovima ima polifagi, odnosno doktorski programi dizajnirani za traženje i uništavanje velikog broja virusa. Najpoznatiji od njih: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Zbog činjenice da se novi virusi stalno pojavljuju, detektorski i doktorski programi brzo zastarevaju i potrebno je redovno ažuriranje verzija.

Programi revizora spadaju među najpouzdanija sredstva zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim povremeno ili na zahtjev korisnika upoređuju trenutno stanje sa originalnim. Otkrivene promjene se prikazuju na ekranu monitora. Po pravilu se poređenje stanja vrši odmah nakon učitavanja operativnog sistema. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri. Programi revizora imaju prilično razvijene algoritme, otkrivaju skrivene viruse i čak mogu razlikovati promjene u verziji programa koja se provjerava od promjena koje je napravio virus. Programi revizora uključuju široko korišćeni program Kaspersky Monitor.

Filtrirajte programe ili „čuvari“ su mali rezidentni programi dizajnirani da otkriju sumnjive radnje tokom rada računara, karakteristične za viruse. Takve radnje mogu biti:

  • - pokušava ispraviti datoteke sa COM ekstenzijama. EXE;
  • - promjena atributa datoteke;
  • - direktno snimanje na disk na apsolutnoj adresi;
  • - upisivanje u boot sektore diska;

Kada bilo koji program pokuša izvršiti navedene radnje, “čuvar” šalje poruku korisniku i nudi da zabrani ili dozvoli odgovarajuću radnju. Programi za filtriranje su veoma korisni. budući da su u stanju da otkriju virus u najranijoj fazi njegovog postojanja, prije reprodukcije. Međutim, oni ne "čiste" datoteke i diskove.

Da biste uništili viruse, morate koristiti druge programe, kao što su fagi. Nedostaci watchdog programa uključuju njihovu "nametljivost" (na primjer, stalno izdaju upozorenje o svakom pokušaju kopiranja izvršne datoteke), kao i moguće sukobe s drugim softverom.

Vakcine ili imunizatori Ovo su rezidentni programi. sprečavanje infekcije datoteke. Vakcine se koriste ako ne postoje doktorski programi koji "liječe" ovaj virus. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na takav način da ne utječe na njegov rad, a virus će ga shvatiti kao zaraženog i stoga se neće ukorijeniti. Trenutno, programi vakcinacije imaju ograničenu upotrebu.

Pravovremeno otkrivanje virusom zaraženih datoteka i diskova i potpuno uništavanje otkrivenih virusa na svakom računaru pomaže u izbjegavanju širenja epidemije virusa na druge računare.

Najpopularniji i najefikasniji antivirusni programi su antivirusni skeneri (drugi nazivi: fagi, polifagi). Slijede ih po efikasnosti i popularnosti CRC skeneri (također: auditor, checksumer, kontrolor integriteta). Često se obje ove metode kombiniraju u jedan univerzalni antivirusni program, što značajno povećava njegovu snagu. Također primjenjivo razne vrste monitori (blokatori) i imunizatori.

Skeneri

Princip rada antivirusnih skenera zasniva se na provjeravanju datoteka, sektora i sistemske memorije i traženju poznatih i novih (skeneru nepoznatih) virusa. Za traženje poznatih virusa koriste se takozvane maske. Maska virusa je neka konstantna sekvenca koda specifična za ovaj virus. Ako virus ne sadrži trajnu masku ili dužina ove maske nije dovoljno duga, onda se koriste druge metode.

Primjer takve metode je algoritamski jezik koji sve opisuje moguće opcije kod koji se može pojaviti kada se zarazi virusom ove vrste. Ovaj pristup koriste neki antivirusi za otkrivanje polimorfnih virusa.

Mnogi skeneri također koriste heurističke algoritme skeniranja, tj. analiziraju slijed naredbi u skeniranom objektu, prikupljaju neke statističke podatke i donose odluku („moguće zaraženo“ ili „nije zaraženo“) za svaki skenirani objekt. Budući da je heurističko skeniranje uglavnom probabilistička metoda traženja virusa, na njega se primjenjuju mnogi zakoni teorije vjerojatnosti. Na primjer, što je veći postotak otkrivenih virusa, veći je i broj lažno pozitivnih.

Prednosti skenera uključuju njihovu svestranost, nedostaci su veličina antivirusnih baza koje skeneri moraju da „nose“ i relativno mala brzina pretraživanja virusa.

CRC skeneri

Princip rada CRC skenera zasniva se na izračunavanju CRC suma (kontrolnih suma) za fajlove/sistemske sektore prisutne na disku. Ovi CRC sumi se zatim pohranjuju u antivirusnu bazu podataka, kao i neke druge informacije: dužine datoteka, datumi njihove posljednje izmjene itd. Kada se naknadno pokrenu, CRC skeneri upoređuju podatke sadržane u bazi podataka sa stvarnim izračunatim vrijednostima. Ako informacije o datoteci zabilježene u bazi podataka ne odgovaraju stvarnim vrijednostima, onda CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom.

CRC skeneri koji koriste "anti-stealth" algoritme prilično su moćno oružje protiv virusa: gotovo 100% virusa se otkriva gotovo odmah nakon što se pojave na računalu. Međutim, ovaj tip antivirusa ima inherentnu manu koja značajno smanjuje njihovu efikasnost. Ovaj nedostatak je što CRC skeneri ne mogu uhvatiti virus u trenutku kada se pojavi u sistemu, već to rade tek nakon nekog vremena, nakon što se virus proširi po računaru.

CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakivanja datoteka iz arhive), jer njihove baze podataka ne sadrže informacije o tim datotekama. Štaviše, periodično se pojavljuju virusi koji iskorištavaju ovu „slabost“ CRC skenera, inficiraju samo novostvorene datoteke i tako ostaju nevidljivi CRC skenerima.

Monitori

Antivirusni monitori- To su rezidentni programi koji presreću virusno opasne situacije i o tome obavještavaju korisnika. Pozivi opasni za viruse uključuju pozive za otvaranje radi upisivanja u izvršne datoteke, pisanje u sektore za pokretanje diskova ili MBR tvrdog diska, pokušaje programa da ostanu rezidentni, itd., odnosno pozive koji su tipični za viruse u to vrijeme njihove reprodukcije.

Prednosti monitora uključuju njihovu sposobnost da otkriju i blokiraju virus u najranijoj fazi njegove reprodukcije, što, inače, može biti vrlo korisno u slučajevima kada se dugo poznati virus stalno „puzi niotkuda“. Nedostaci uključuju postojanje načina zaobilaženja zaštite monitora i veliki broj lažnih pozitivnih rezultata, što je, po svemu sudeći, bio razlog skoro potpunog napuštanja ove vrste antivirusnih programa od strane korisnika.

Također je potrebno napomenuti takav smjer antivirusnih alata kao što su antivirusni monitori, napravljeni u obliku komponenti računarskog hardvera („hardver“). Najčešća je zaštita od pisanja ugrađena u BIOS u MBR-u tvrdog diska. Međutim, kao iu slučaju programskih monitora, ovakva zaštita se može lako zaobići direktnim pisanjem na portove kontrolera diska, a pokretanje DOS uslužnog programa FDISK odmah uzrokuje lažno djelovanje zaštite.

Postoji još nekoliko svestranijih hardverskih monitora, ali pored gore navedenih nedostataka, postoje i problemi kompatibilnosti sa standardne konfiguracije računare i poteškoće u njihovom instaliranju i konfigurisanju. Sve to čini hardverske monitore izuzetno nepopularnim u odnosu na druge vrste antivirusne zaštite.

Imunizatori

Imunizatori se dijele na dvije vrste: imunizatori koji prijavljuju infekciju i imunizatori koji blokiraju infekciju bilo kojom vrstom virusa. Prvi se obično pišu na kraj datoteka (na principu fajl virusa) i svaki put kada se datoteka pokrene, provjeravaju je da li postoje promjene. Takvi imunizatori imaju samo jedan nedostatak, ali on je legalan: apsolutna nemogućnost prijave zaraze "stealth" virusom. Stoga se takvi imunizatori, poput monitora, trenutno praktički ne koriste.

Drugi tip imunizacije štiti sistem od infekcije određenom vrstom virusa. Datoteke na diskovima su modificirane na način da ih virus percipira kao već zaražene (primjer je ozloglašena linija MSDos koja štiti od fosilnog virusa Jerusalema). Kako bi se zaštitio od rezidentnog virusa, program koji simulira kopiju virusa se ubacuje u memoriju računala; kada se pokrene, virus naiđe na njega i vjeruje da je sistem već zaražen.

Ova vrsta imunizacije ne može biti univerzalna, jer je nemoguće imunizirati datoteke protiv svih poznatih virusa: neki virusi smatraju da su datoteke već zaražene ako vrijeme kreiranja datoteke sadrži oznaku od 62 sekunde, dok drugi - 60 s. Međutim, unatoč tome, takvi imunizatori, kao polumjera, mogu prilično pouzdano zaštititi računalo od novog nepoznatog virusa sve do trenutka kada ga antivirusni skeneri otkriju.

Današnji Windows PC sigurnosni proizvodi su složene aplikacije. Broj ponuđenih specijalizovanih funkcija može biti zbunjujući krajnjeg korisnika. Svaki dobavljač softvera ima tendenciju da koristi svoje ime za istu funkciju, koje se može pojaviti u drugim proizvodima pod drugim imenom. Zabuna se povećava kada postane jasno da su dva razne opcije Vrlo često imaju isti naziv u proizvodima različitih dobavljača.

Ova serija članaka ima za cilj da objasni osnove i stvarnu funkcionalnost najčešćih opcija. moderna pakovanja sigurnost za Windows OS. Opisat ćemo od čega možete očekivati specifično rešenje, bilo da se radi o alatima za zaštitu od zlonamjernog softvera, sigurnom surfanju webom ili sprječavanju neželjenih upada. Koristeći informacije prikupljene u člancima, možete uporediti predložene skupove funkcija proizvoda različitih proizvođača i bolje razumjeti kako funkcioniraju sigurnosni paketi.

U prvom dijelu ove serije članaka raspravljat ćemo o najosnovnijim komponentama: antivirusni mehanizam i firewall.
-
-
-
-


-
-
-
-
-

Anti-virus Engine

Također se zove: antivirusna zaštita u realnom vremenu, zaštita u realnom vremenu, praćenje datoteka, zaštita od zlonamjernog softvera

Antivirusni mehanizam je osnovna komponenta uključena u većinu sigurnosnih paketa na tržištu. Glavna uloga motora je skeniranje skladišta podataka; on prodire u kompjuter da bi otkrio i uklonio zlonamjerni softver. Zlonamjerni kod može biti pohranjen u fajlovima na tvrdi diskovi, prenosivi USB diskovi, u RAM-u računara, mrežnim drajverima, sektoru za pokretanje diska ili kao dio mrežnog prometa.

Metode određivanja

Antivirusni mehanizam koristi veliki broj metoda za otkrivanje zlonamjernog softvera. Antivirusni programi sadrže opsežnu bazu podataka uzoraka virusa koje je potrebno otkriti tokom skeniranja. Svaki uzorak može ili identificirati jedinstveni zlonamjerni kod ili, još češće, opisati cijelu porodicu virusa. Glavna karakteristika identifikacije virusa u poređenju sa uzorcima je da antivirusni program može identificirati samo dobro poznati virus, dok nove prijetnje možda neće biti otkrivene.

Metoda heurističke analize(heuristička detekcija) služi za otkrivanje čak i onih virusa za koje u bazi antivirusnog programa nema uzoraka. Ima ih mnogo razne metode heuristička analiza. Glavni princip je identifikacija programski kod, što je krajnje nepoželjno za bez opasni programi Novi proizvodi. Međutim, ova metoda je neprecizna i može uzrokovati mnogo lažnih alarma. Dobra heuristička analiza je dobro izbalansirana i proizvodi minimalan broj lažnih alarma uz održavanje visoke stope otkrivanja zlonamjernog softvera. Osetljivost heuristike se može konfigurisati.

Virtuelizacija(Kreacija virtuelno okruženje, virtuelizacija) ili sandboxing su naprednije metode identifikacije prijetnji. Određeno vrijeme uzorci koda se izvršavaju u virtuelnoj mašini ili drugom bezbedno okruženje, odakle skenirani uzorci ne mogu pobjeći i oštetiti operativni sistem. Ponašanje testnog uzorka u sandboxu se prati i analizira. Ova metoda je korisna kada je zlonamjerni softver zapakiran s nepoznatim algoritmom (ovo je uobičajen način da se bude otporan na otkrivanje virusa) i antivirusni sistem ga ne može raspakirati. Unutar virtuelnog okruženja, virus se sam raspakuje kao da radi pravi sistem a antivirusni mehanizam može skenirati raspakirani kod i podatke.

Jedno od najnovijih dostignuća antivirusnih alata je skeniranje u oblaku(skeniranje u oblaku). Ova metoda se zasniva na činjenici da su računari ograničeni u svojim računarskim mogućnostima, dok proizvođači antivirusnih programa imaju mogućnost da kreiraju velike sisteme sa ogromnim performansama. Snaga računara je potrebna za izvođenje složene heurističke analize, kao i za korištenje analize virtuelne mašine. Serveri dobavljača mogu raditi sa mnogo većim bazama podataka uzoraka virusa u odnosu na PC u realnom vremenu. Prilikom obavljanja skeniranja u oblaku, jedini uslov je brza i stabilna internetska veza. Kada klijentska mašina treba da skenira datoteku, datoteka se šalje na server dobavljača preko mrežne veze i čeka se odgovor. U međuvremenu, klijentska mašina može izvršiti vlastito skeniranje.

Vrste skeniranja i postavke

Iz perspektive korisnika, postoji nekoliko vrsta antivirusnog skeniranja, koje zavise od događaja koji su pokrenuli proces skeniranja:

- Skeniranje pri pristupu(Pri skeniranju pristupa) – skeniranje koje se dešava kada resurs postane dostupan. Na primjer, kada se datoteka kopira u HDD ili kada se izvršna datoteka pokrene (pokretanje procesa skeniranja u ovom slučaju se ponekad naziva skeniranjem pri pokretanju). U ovom slučaju se skenira samo resurs kojem se pristupa.

- Skenirajte na zahtjev(Skeniranje na zahtjev) provocirano krajnji korisnik– na primjer, kada korisnik pozove skeniranje odgovarajućom naredbom menija u Windows Exploreru. Ova vrsta skeniranja se naziva i ručno skeniranje. Samo odabrane fascikle i datoteke se skeniraju ovom metodom.

- Planirano skeniranje Planirano skeniranje je radnja koja se obično ponavlja i koja kontinuirano provjerava sistem za zlonamjerni softver. Korisnik može konfigurirati vrijeme i frekvenciju skeniranja. Ovo skeniranje se obično koristi za potpuno skeniranje sistema.

- Skeniraj pri pokretanju(Skeniranje pri pokretanju) – skeniranje koje pokreće antivirusni program kada se OS pokrene. Ovo skeniranje se dešava brzo i utiče na direktorijum za pokretanje, pokretanje procesa, sistemsku memoriju, sistemske usluge i sektor za pokretanje.

Većina proizvoda omogućava korisnicima da zasebno konfigurišu svaku vrstu skeniranja. Ispod su neki od najosnovnijih parametara antivirusnog skeniranja:

Ekstenzije datoteka za skeniranje – skenirajte sve datoteke ili samo one izvršne (.exe, .dll, .vbs, .cmd i dr.);
- Maksimalna veličina datoteke – datoteke veće od ovog parametra se ne skeniraju;
- Skeniranje datoteka u arhivama – da li skenirati datoteke u arhivama kao što su .zip, .rar, .7z i drugi;
- Korišćenje heurističke analize – podešavanje upotrebe heuristike i, opciono, podešavanje osetljivosti;
- Vrste programa za prijavu po alarmu – Postoji mnogo programa koji se mogu netačno identifikovati kao zlonamerni. Tipično, dobavljači koriste termine kao što su Potencijalno neželjeni softver ili program sa određenim rizikom od prijetnje;
- Vrste medija za skeniranje - da li skenirati datoteke na mrežnoj memoriji ili prijenosnim uređajima za pohranu;
- Radnje koje treba poduzeti kada se otkrije prijetnja - pokušaj izliječiti uzorak ako je moguće, ukloniti uzorak, staviti u karantin ( poseban folder, sa kojeg se zlonamjerni kod ne može izvršiti, ali se može poslati direktno dobavljaču na daljnje istraživanje), blokiraju pristup ili pitaju korisnika o radnji.

Mnogi od ovih parametara mogu uticati na brzinu skeniranja. Skup pravila automatskog skeniranja za brzo, ali istovremeno efikasno skeniranje naziva se Smart Scan ili Brzo skeniranje(Brzo skeniranje). U suprotnom, skeniranje se zove Full Scan ili Deep Scan. Možemo naići i na skeniranje prijenosnih uređaja, koje se koristi za provjeru optički diskovi, diskete, USB diskovi, fleš kartice i slični uređaji. Prilagođeno skeniranje je također dostupno i krajnji korisnik ga u potpunosti može prilagoditi.

Specijalizovani skeneri

Skeniranje rutkita(ili anti-rootkit skeniranje) je opcija koju neki antivirusni proizvođači nude u svojim proizvodima jer... Rutkitovi su postali izuzetno česti tokom protekle decenije. Rutkit je posebna vrsta zlonamjernog softvera koji koristi pametne trikove kako bi ostao nevidljiv korisniku i osnovne metode otkrivanja virusa. Koristi interne mehanizme OS kako bi se učinio nedostupnim. Borba protiv rootkita zahtijeva od programera antivirusnog softvera da kreiraju posebne metode detekcije. Skeniranjem rutkita pokušava se pronaći odstupanja u radu OS-a koja mogu poslužiti kao dokaz prisustva rootkita u sistemu. Neke implementacije provjera rootkita oslanjaju se na kontinuirano praćenje sistema, dok se druge implementacije anti-rootkit alata mogu pozvati na zahtjev.

Skenirajte Microsoft Office datoteke(ili skeniranje na makro viruse) je opcija koja štiti korisnika od zlonamjernog koda unutar uredskih dokumenata. Interni principi skeniranja slični su općim metodama skeniranja; oni su jednostavno specijalizirani za traženje virusa unutar makroa. Opcija skeniranja može se ponuditi kao dodatak za Microsoft Office.

Dodatne povezane opcije

Antivirusni mehanizam je obično usko povezan s ostatkom sigurnosnog paketa. Neki proizvodi predstavljaju dodatne funkcije, kao dio antivirusnog mehanizma, drugi ih prikazuju zasebno. Web kontrola je opcija koja je tipičan predstavnik druge grupe. O ovoj opciji ćemo razgovarati zasebno.

Firewall

Također se zove: lični zaštitni zid, zaštitni zid, napredni zaštitni zid, dvosmjerni zaštitni zid.

Osnovna uloga firewall-a je kontrola pristupa PC-u sa vanjske mreže, tj. dolaznog saobraćaja i, obrnuto, kontrolu pristupa sa računara mreži, tj. odlaznog saobraćaja.

Filtriranje mrežnog saobraćaja može se odvijati na nekoliko nivoa. Većina firewall-a uključenih u PC sigurnosne pakete ima skup pravila za najmanje dva sloja – niži internetski sloj kontrolisan IP pravilima i gornji sloj aplikacije. Govoreći o najvišem nivou, zaštitni zid sadrži skup pravila koja dozvoljavaju ili odbijaju pristup određenoj aplikaciji na mreži. U njima se koriste termini kao što su Mrežna pravila, Stručna pravila ili Postavka IP pravila niži nivo pravila Na najvišem nivou susrećemo se sa terminima Kontrola programa(Kontrola programa) ili pravila primjene(Pravila za prijavu).

Mreže

Gomila savremeni proizvodi omogućavaju korisniku da konfiguriše nivo poverenja u svim mrežama povezanim na računar. Čak i ako postoji samo jedna fizička veza, računar se može povezati na više mreža - na primer, kada je računar povezan na lokalna mreža, koji imaju pristupne prolaze za pristup Internetu. Antivirusni kompleks će odvojeno upravljati lokalnim i internetskim prometom. Svaka od pronađenih mreža može biti pouzdana ili nepouzdana i razne sistemske usluge kao npr opšti pristup datoteke ili štampači mogu biti dozvoljeni ili odbijeni. Podrazumevano, samo računari iz pouzdanih mreža mogu imati pristup zaštićenom računaru. Veze registrovane sa nepouzdanih mreža obično su blokirane osim ako odgovarajuća opcija ne dozvoljava pristup. Zbog toga se internetska veza obično označava kao nepouzdana. Međutim, neki proizvodi ne razlikuju mreže unutar istog korisničkog sučelja i postavke pouzdane/nepouzdane mreže mogu se specificirati zasebno za svako sučelje. Termin mrežna zona ili jednostavno zona se obično koristi umjesto logičke mreže.

Za nepouzdane mreže, moguće je konfigurirati skriveni način rada. Ovaj način vam omogućava da promijenite ponašanje sistema kao da njegova adresa nije dostupna mreži. Ova mjera može zbuniti hakere koji prvi pronađu mete za napad. Podrazumevano ponašanje sistema je da odgovori na sve poruke, čak i na one poslate sa zatvorenih portova. Stealth režim (takođe poznat kao prikriveni portovi) sprečava otkrivanje računara tokom skeniranja portova.

Detekcija/prevencija upada

Također se zove: Detekcija napada, sistem za detekciju upada, IP blokiranje, zlonamerni portovi.

Iako gornji pojmovi nisu ekvivalentni, oni se odnose na skup svojstava koja mogu spriječiti ili otkriti određene vrste napada sa udaljenih računara. One uključuju opcije kao što su otkrivanje porta za skeniranje, otkrivanje lažnog IP-a, blokiranje pristupa poznatim portovima zlonamjernog softvera koje koriste programi udaljene administracije, Trojanski konji, klijenti botneta. Neki termini uključuju mehanizme za zaštitu od ARP napada (napadi lažiranja protokola adrese) - ova opcija se može nazvati APR zaštita, zaštita od ARP keš memorija itd. Glavna sposobnost ove vrste zaštite je automatsko blokiranje napadačke mašine. Ova opcija se može direktno povezati sa sljedećom funkcijom.

IP crna lista

Upotreba ove jednostavne opcije je da sadrži bazu podataka u antivirusnom proizvodu mrežne adrese, sa kojim zaštićeni računar ne bi trebalo da komunicira. Ovu bazu podataka može dopuniti ili sam korisnik kada se otkriju virusi (pogledajte Otkrivanje i sprečavanje upada), ili automatski ažurirati sa opsežne liste opasnih sistema i mreža dobavljača antivirusnih programa.

Blokiraj sav saobraćaj

U slučaju iznenadne infekcije sistema, neka antivirusna rješenja predlažu „pritisnuti dugme za kočenje u nuždi“, tj. blokira sav dolazni i odlazni saobraćaj. Ova opcija se može pojaviti kao veliko crveno dugme, bilo kao dio postavki sigurnosne politike zaštitnog zida ili kao ikona u sistemskom meniju. Pretpostavlja se da se ova funkcija koristi kada korisnik sazna da je računar zaražen i želi da spreči neželjenu upotrebu računara od strane malvera: krađu ličnih podataka i preuzimanje dodatnih virusa preko Interneta. Blokiranje mrežnog saobraćaja može se kombinovati sa ukidanjem svih nepoznatih sistemskih procesa. Ovu opciju treba koristiti s oprezom.

Kontrola programa

Također se zove: kontrola aplikacija, inspektor aplikacija

Filtriranje mrežnog saobraćaja na softverskom nivou omogućava sigurnosnim programima da zasebno kontrolišu pristup mreži za svaku aplikaciju na računaru. Antivirusni proizvod sadrži bazu podataka o svojstvima aplikacije koja određuje da li je mreža dostupna programu ili ne. Ova svojstva variraju između klijentski programi, koji inicijalizira vezu sa lokalna mašina na udaljene servere (odlazni pravac) i serverske programe koji skeniraju mrežni port i prihvataju veze sa udaljenih računara (dolazni pravac). Moderna antivirusna rješenja omogućavaju korisniku da odredi detaljna pravila za svaku konkretnu primenu.

Općenito, ponašanje kontrole aplikacije ovisi o politici zaštitnog zida odabranoj u zaštitnom zidu i može uključivati ​​sljedeće načine ponašanja:

- Tihi način rada(automatski način rada) radi bez intervencije korisnika. Sve odluke se donose automatski koristeći bazu podataka antivirusnih proizvoda. Ako ne postoji eksplicitno pravilo za program koji želi dobiti pristup mreži, ovaj pristup može biti uvijek dozvoljen (Allow All mod), ili uvijek blokiran (Block All mode), ili se koristi posebna heuristička analiza za određivanje dalja akcija. Algoritam za razvoj rješenja može biti vrlo složen i može ovisiti o dodatnim uvjetima, kao što su preporuke online zajednice. Međutim, neki proizvodi koriste izraz potpuno dozvoljavanje/blokiranje kako bi zaobišli postojeće skupove pravila u bazi podataka i jednostavno dozvolili ili blokirali pristup bilo kojoj aplikaciji na sistemu.

- Custom Mode(Napredni način rada, prilagođeni način rada) namijenjen je naprednim korisnicima koji žele kontrolirati svaku radnju. U ovom načinu rada, proizvod automatski obrađuje samo one situacije za koje postoje pravila izuzetaka u bazi podataka. U slučaju bilo koje druge radnje, od korisnika se traži da donese odluku. Neka antivirusna rješenja nude definiranje politike ponašanja kada je nemoguće zatražiti od korisnika - na primjer, prilikom pokretanja računara, gašenja kada grafički interfejs programa nije dostupan, ili u posebnim uslovima - pokretanje igre preko celog ekrana kada se korisnik ne želi da ga ometaju (ponekad se zove Način igre– Režim igranja). Obično su u ovim slučajevima dostupne samo dvije opcije: potpuno omogućavanje i potpuno blokiranje.

- Normalni mod(safe mode - Normal mode, Safe mode) omogućava antivirusnom proizvodu da se sam nosi s većinom situacija. Čak i kada u bazi podataka nema eksplicitnih pravila, programu je dozvoljeno da radi ako se program smatra sigurnim. Slično automatskom načinu rada, odluka se može donijeti na osnovu heurističke analize. U slučaju da sigurnosni program ne može utvrditi da li je aplikacija sigurna ili ne, prikazuje upozorenje kao u korisničkom modu.

- Režim treninga(režim obuke, režim instalacije - režim učenja, režim obuke, režim instalacije) se uglavnom koristi odmah nakon instaliranja antivirusnog proizvoda ili u slučajevima kada korisnik instalira novi softver na računar. U ovom modu antivirusni proizvod dozvoljava sve radnje za koje nema unosa u bazi podataka skupa pravila i dodaje nova pravila koja će omogućiti odgovarajuće radnje u budućnosti nakon promjene sigurnosnog moda. Korištenje načina učenja omogućava vam da smanjite broj alarma nakon instaliranja novog softvera.

Kontrola aplikacija obično sadrži postavke koje mogu pomoći proizvodu u rješavanju kontroverznih situacija, bez obzira na omogućen način rada. Ova funkcija je poznata kao automatsko kreiranje pravila. Tipična opcija u ovom slučaju dozvoljava bilo kakve radnje digitalno potpisanih aplikacija od provjerenih dobavljača, čak i ako ne postoji odgovarajući unos u bazi podataka. Ova opcija se može proširiti drugom funkcijom koja omogućava aplikacijama bez digitalnog potpisa, ali poznatim antivirusnom proizvodu, da izvršavaju bilo kakve radnje. Kontrola aplikacije je obično usko povezana s drugim funkcijama koje ćemo kasnije pokriti, posebno s opcijom kontrole ponašanja.

Antivirusna zaštita je najčešća mjera za osiguranje informacione sigurnosti IT infrastrukture u korporativnom sektoru. Međutim, samo 74% ruskih kompanija koristi antivirusna rješenja za zaštitu, prema studiji koju je sproveo Kaspersky Lab zajedno sa analitičkom kompanijom B2B International (jesen 2013.).

U izvještaju se također navodi da u pozadini eksplozivnog rasta sajber prijetnji, od kojih su kompanije zaštićene jednostavnim antivirusima, ruske kompanije počinju sve više koristiti složene alate zaštite. Uglavnom iz tog razloga, upotreba alata za enkripciju podataka porasla je za 7%. prenosivi medij(24%). Osim toga, kompanije su postale spremnije da razlikuju sigurnosne politike za uklonjive uređaje. Povećana je i diferencijacija nivoa pristupa različitim dijelovima IT infrastrukture (49%). Istovremeno, mala i srednja preduzeća više pažnje posvećuju kontroli prenosivih uređaja (35%) i kontroli aplikacija (31%).

Istraživači su takođe otkrili da uprkos stalnom otkrivanju novih softverskih ranjivosti, ruske kompanije i dalje ne obraćaju dovoljno pažnje na redovno ažuriranje softvera. Štaviše, broj organizacija uključenih u zakrpe smanjen je u odnosu na prošlu godinu na samo 59%.

Moderni antivirusni programi mogu efikasno otkriti zlonamjerne objekte unutar programskih datoteka i dokumenata. U nekim slučajevima, antivirusni program može ukloniti tijelo zlonamjernog objekta iz zaražene datoteke, vraćajući samu datoteku. U većini slučajeva, antivirusni program može ukloniti zlonamjerni softverski objekt ne samo iz programske datoteke, već i iz datoteke uredskog dokumenta, bez narušavanja njegovog integriteta. Korištenje antivirusnih programa ne zahtijeva visoke kvalifikacije i dostupno je gotovo svakom korisniku računara.

Većina antivirusnih programa kombinuje zaštitu u realnom vremenu (antivirusni monitor) i zaštitu na zahtev (antivirusni skener).

Antivirusni rejting

2019: Dvije trećine antivirusa za Android pokazalo se beskorisnim

U martu 2019. godine austrijska laboratorija AV-Comparatives, specijalizirana za testiranje antivirusnog softvera, objavila je rezultate studije koja je pokazala beskorisnost većine takvih programa za Android.

Samo 23 antivirusa koja se nalaze u zvaničnom katalogu Google Play Store-a precizno identifikuju malver u 100% slučajeva. Ostatak softvera ili ne reaguje na mobilne prijetnje ili greške apsolutno sigurne aplikacije za njih.

AV-Comparatives je proučio 250 popularnih sigurnosnih aplikacija iz službenog Google Play kataloga i došao do zaključka: gotovo dvije trećine antivirusa za Android ne obavljaju funkcije navedene u njihovom oglašavanju

Stručnjaci su proučavali 250 antivirusa i izvijestili da samo 80% njih može otkriti više od 30% zlonamjernog softvera. Tako je 170 aplikacija palo na testu. Proizvodi koji su prošli test uključivali su uglavnom rješenja velikih proizvođača, uključujući Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro i Trustwave.

Kao dio eksperimenta, istraživači su ustanovili svaki od njih antivirusna aplikacija on poseban uređaj(bez emulatora) i automatizirali uređaje za pokretanje pretraživača, preuzimanje i zatim instaliranje zlonamjernog softvera. Svaki uređaj je testiran na 2 hiljade najčešćih Android virusa u 2018.

Prema proračunima AV-Comparatives, većina Android antivirusnih rješenja je lažna. Deseci aplikacija imaju gotovo identičan interfejs, a njihovi kreatori su očigledno više zainteresovani za prikazivanje reklama nego za pisanje funkcionalnog antivirusnog skenera.

Neki antivirusi "vide" prijetnju u bilo kojoj aplikaciji koja nije uključena u njihov " Bijela lista" Zbog toga su, u nizu vrlo anegdotnih slučajeva, digli uzbunu oko vlastitih fajlova, budući da su programeri zaboravili da ih navedu na “bijeloj listi”.

2017: Microsoft Security Essentials je prepoznat kao jedan od najgorih antivirusa

U oktobru 2017. njemački antivirusni laboratorij AV-Test objavio je rezultate sveobuhvatno testiranje antivirusi. Prema studiji, Microsoftov vlasnički softver dizajniran za zaštitu od zlonamjerna aktivnost, gotovo je najgori u rješavanju svojih obaveza.

Na osnovu rezultata testova sprovedenih u julu-avgustu 2017. godine, stručnjaci AV-Test-a imenovali su najbolji antivirus za Windows 7, Kaspersky Internet Security rešenje, koje je dobilo 18 poena pri proceni nivoa zaštite, performansi i lakoće korišćenja.

Među prva tri su bili Trend Micro Internet Security i Bitdefender Internet Security, koji su osvojili po 17,5 bodova. O statusu proizvoda drugih antivirusnih kompanija koje su bile uključene u studiju možete saznati iz ilustracija u nastavku:

Mnogi skeneri koriste i heurističke algoritme skeniranja, tj. analiziranje redoslijeda naredbi u objektu koji se provjerava, prikupljanje neke statistike i donošenje odluke za svaki objekt koji se provjerava.

Skeneri se također mogu podijeliti u dvije kategorije - univerzalne i specijalizirane. Univerzalni skeneri dizajniran za otkrivanje i neutralizaciju svih vrsta virusa, bez obzira na operativni sistem na kojem je skener dizajniran da radi. Specijalizirani skeneri su dizajnirani za neutralizaciju ograničen broj virusi ili samo jedna njihova klasa, na primjer makro virusi.

Skeneri se također dijele na rezidentne (monitore), koji skeniraju u hodu, i nerezidentne, koji skeniraju sistem samo na zahtjev. Po pravilu, rezidentni skeneri pružaju pouzdaniju zaštitu sistema jer odmah reaguju na pojavu virusa, dok je nerezidentni skener u mogućnosti da identifikuje virus samo prilikom njegovog sledećeg pokretanja.

CRC skeneri

Princip rada CRC skenera zasniva se na izračunavanju CRC suma (kontrolnih suma) za fajlove/sistemske sektore prisutne na disku. Ovi CRC sumi se zatim pohranjuju u antivirusnu bazu podataka, kao i neke druge informacije: dužine datoteka, datumi njihove posljednje izmjene itd. Kada se naknadno pokrenu, CRC skeneri upoređuju podatke sadržane u bazi podataka sa stvarnim izračunatim vrijednostima. Ako informacije o datoteci zabilježene u bazi podataka ne odgovaraju stvarnim vrijednostima, onda CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom.

CRC skeneri nisu u stanju uhvatiti virus u trenutku kada se pojavi u sistemu, ali to rade tek nakon nekog vremena, nakon što se virus proširi po računaru. CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakivanja datoteka iz arhive), jer njihove baze podataka ne sadrže informacije o tim datotekama. Štaviše, periodično se pojavljuju virusi koji iskorištavaju ovu slabost CRC skenera, inficiraju samo novostvorene datoteke i tako ostaju nevidljivi za njih.

Blokatori

Antivirusni blokatori su rezidentni programi koji presreću situacije opasne od virusa i o tome obavještavaju korisnika. Oni koji su opasni za viruse uključuju pozive za otvaranje radi upisivanja u izvršne datoteke, pisanje u sektore za pokretanje diskova ili MBR hard diska, pokušaje programa da ostanu rezidentni, itd., odnosno pozive koji su tipični za viruse tokom reprodukcije.

Prednosti blokatora uključuju njihovu sposobnost otkrivanja i zaustavljanja virusa u najranijoj fazi njegove reprodukcije. Nedostaci uključuju postojanje načina da se zaobiđe zaštita blokatora i veliki broj lažnih pozitivnih rezultata.

Imunizatori

Imunizatori se dijele na dvije vrste: imunizatori koji prijavljuju infekciju i imunizatori koji blokiraju infekciju. Prvi se obično pišu na kraj datoteka (na principu fajl virusa) i svaki put kada se datoteka pokrene, provjeravaju je da li postoje promjene. Takvi imunizatori imaju samo jedan nedostatak, ali je smrtonosan: apsolutna nemogućnost prijave infekcije skrivenim virusom. Stoga se takvi imunizatori, poput blokatora, trenutno praktički ne koriste.

Drugi tip imunizacije štiti sistem od infekcije određenom vrstom virusa. Datoteke na diskovima se modificiraju na način da ih virus percipira kao već zaražene. Radi zaštite od rezidentnog virusa, program koji simulira kopiju virusa unosi se u memoriju računala. Kada se pokrene, virus naiđe na njega i vjeruje da je sistem već zaražen.

Ova vrsta imunizacije ne može biti univerzalna, jer je nemoguće imunizirati datoteke protiv svih poznatih virusa.

Klasifikacija antivirusa zasnovana na varijabilnosti tokom vremena

Prema Valeryju Konyavskyju, antivirusni alati se mogu podijeliti u dvije velike grupe - one koje analiziraju podatke i one koje analiziraju procese.

Analiza podataka

Analiza podataka uključuje revizore i polifage. Revizori analiziraju posljedice kompjuterskih virusa i dr malware. Posljedice rezultiraju promjenama podataka koje ne treba mijenjati. Činjenica da su se podaci promijenili je znak aktivnosti zlonamjernog softvera sa stanovišta revizora. Drugim riječima, revizori prate integritet podataka i na osnovu činjenice povrede integriteta donose odluku o prisutnosti zlonamjernih programa u računarskom okruženju.

Polifagi djeluju drugačije. Na osnovu analize podataka identificiraju fragmente zlonamjernog koda (na primjer, po njegovom potpisu) i na osnovu toga izvode zaključak o prisutnosti zlonamjernih programa. Uklanjanje ili tretiranje podataka zaraženih virusom omogućava vam da spriječite negativne posljedice izvršavanja zlonamjernih programa. Tako se na osnovu statičke analize sprječavaju posljedice koje nastaju u dinamici.

Šema rada i auditora i polifaga je skoro ista - uporedite podatke (ili njihov kontrolni zbir) sa jednim ili više referentnih uzoraka. Podaci se porede sa podacima. Dakle, da biste pronašli virus u vašem računaru, potrebno je da je već proradio da bi se pojavile posledice njegove aktivnosti. Ova metoda može pronaći samo poznate viruse za koje su fragmenti koda ili potpisi prethodno opisani. Takva zaštita se teško može nazvati pouzdanom.

Procesna analiza

Antivirusni alati zasnovani na analizi procesa rade nešto drugačije. Heuristički analizatori, poput onih gore opisanih, analiziraju podatke (na disku, u kanalu, u memoriji, itd.). Fundamentalna razlika sastoji se u tome da se analiza vrši pod pretpostavkom da kod koji se analizira nisu podaci, već naredbe (kod računara sa von Neumannovom arhitekturom podaci i komande se ne razlikuju, pa se zbog toga prilikom analize mora napraviti jedna ili druga pretpostavka .)

Heuristički analizator identifikuje niz operacija, svakoj od njih dodeljuje određenu ocenu opasnosti i na osnovu ukupne opasnosti donosi odluku da li je ovaj niz operacija deo zlonamernog koda. Sam kod se ne izvršava.

Druga vrsta antivirusnih alata zasnovanih na analizi procesa su blokatori ponašanja. U ovom slučaju, sumnjivi kod se izvršava korak po korak sve dok se skup akcija koje je pokrenuo kod ne procijeni kao opasno (ili sigurno) ponašanje. U ovom slučaju, kod se djelomično izvršava, jer se završetak zlonamjernog koda može otkriti kasnije jednostavne metode Analiza podataka.

Tehnologije za otkrivanje virusa

Tehnologije koje se koriste u antivirusima mogu se podijeliti u dvije grupe:

  • Tehnologije analize potpisa
  • Tehnologije probabilističke analize

Tehnologije analize potpisa

Analiza potpisa je metoda otkrivanja virusa koja uključuje provjeru prisutnosti virusnih potpisa u datotekama. Analiza potpisa je najpoznatija metoda otkrivanja virusa i koristi se u gotovo svim modernim antivirusima. Da bi izvršio skeniranje, antivirusu je potreban skup virusnih potpisa koji se pohranjuju u antivirusnu bazu podataka.

Zbog činjenice da analiza potpisa uključuje provjeru datoteka na prisustvo virusnih potpisa, antivirusnu bazu podataka treba periodično ažurirati kako bi antivirusni program bio ažuran. Sam princip rada analize potpisa određuje i granice njene funkcionalnosti – mogućnost otkrivanja samo već poznatih virusa – skener potpisa je nemoćan protiv novih virusa.

S druge strane, prisustvo potpisa virusa sugerira mogućnost liječenja zaraženih datoteka otkrivenih analizom potpisa. Međutim, liječenje nije moguće za sve viruse – trojanci i većina crva zbog njih se ne mogu liječiti karakteristike dizajna, jer su čvrsti moduli dizajnirani da uzrokuju štetu.

Pravilna implementacija virusnog potpisa omogućava vam da otkrijete poznate viruse sa stopostotnom vjerovatnoćom.

Tehnologije probabilističke analize

Tehnologije vjerovatnoće analize, zauzvrat, podijeljene su u tri kategorije:

  • Heuristička analiza
  • Analiza ponašanja
  • Analiza kontrolne sume

Heuristička analiza

Heuristička analiza je tehnologija zasnovana na probabilističkim algoritmima čiji je rezultat identifikacija sumnjivih objekata. Tokom procesa heurističke analize, provjerava se struktura datoteke i njena usklađenost sa virusnim obrascima. Najpopularnija heuristička tehnologija je provjera sadržaja datoteke da li postoje modifikacije već poznatih virusnih potpisa i njihovih kombinacija. Ovo pomaže u otkrivanju hibrida i novih verzija ranije poznatih virusa bez dodatnog ažuriranja antivirusne baze podataka.

Heuristička analiza se koristi za otkrivanje nepoznatih virusa i, kao rezultat, ne uključuje liječenje. Ova tehnologija nije u stanju 100% odrediti da li je virus ispred njega ili ne, i kao i svaki probabilistički algoritam pati od lažnih pozitivnih rezultata.

Analiza ponašanja

Analiza ponašanja je tehnologija u kojoj se odluka o prirodi objekta koji se testira donosi na osnovu analize operacija koje obavlja. Analiza ponašanja je vrlo usko primjenjiva u praksi, jer se većina radnji karakterističnih za viruse može izvršiti redovne aplikacije. Najpoznatiji su bihevioralni analizatori skripti i makroa, budući da odgovarajući virusi gotovo uvijek izvode niz sličnih radnji.

Sigurnosne mjere ugrađene u BIOS se također mogu klasificirati kao analizatori ponašanja. Kada pokušate da izvršite promene u MBR računaru, analizator blokira radnju i prikazuje odgovarajuće obaveštenje korisniku.

Osim toga, analizatori ponašanja mogu pratiti pokušaje direktan pristup na datoteke, unoseći izmjene u zapis za pokretanje disketa, teško formatiranje diskovi itd.

Analizatori ponašanja ne koriste dodatne objekte slične bazama podataka virusa za rad i, kao rezultat toga, ne mogu razlikovati poznate i nepoznate viruse - svi sumnjivi programi se a priori razmatraju nepoznati virusi. Slično tome, operativne karakteristike alata koji implementiraju tehnologije bihevioralne analize ne podrazumijevaju liječenje.

Analiza kontrolne sume

Analiza kontrolne sume je način praćenja promjena na objektima računarskog sistema. Na osnovu analize prirode promjena - istovremenosti, masovne pojave, identične promjene dužine fajlova - možemo zaključiti da je sistem zaražen. Analizatori kontrolne sume (koji se nazivaju i revizori promjena), kao i analizatori ponašanja, ne koriste dodatne objekte u svom radu i donose presudu o prisutnosti virusa u sistemu isključivo metodom stručne procjene. Slične tehnologije se koriste u skenerima pri pristupu - prilikom prvog skeniranja, kontrolni zbroj se uklanja iz datoteke i stavlja u keš memoriju; prije sljedećeg skeniranja iste datoteke, kontrolna suma se ponovo uklanja, upoređuje, a ako nema promjene, datoteka se smatra nezaraženom.

Antivirusni kompleksi

Antivirusni kompleks - skup antivirusnih programa koji koriste isto antivirusno jezgro ili kernele, dizajniran za rješavanje praktični problemi za osiguranje antivirusna sigurnost kompjuterski sistemi. Antivirusni kompleks također nužno uključuje alate za ažuriranje antivirusnih baza podataka.

Osim toga, antivirusni kompleks može dodatno uključivati ​​analizatore ponašanja i revizore promjena koji ne koriste antivirusno jezgro.

Razlikuju se sljedeće vrste antivirusnih kompleksa:

  • Antivirusni kompleks za zaštitu radnih stanica
  • Antivirusni kompleks za zaštitu servera datoteka
  • Antivirusni kompleks za zaštitu mail sistema
  • Antivirusni kompleks za zaštitu gateway-a.

Cloud i tradicionalni desktop antivirus: šta odabrati?

(Zasnovano na materijalima sa Webroot.com)

Moderno tržište antivirusnih proizvoda sastoji se prvenstveno od tradicionalnih rješenja za desktop sisteme, čiji su mehanizmi zaštite izgrađeni na osnovu metoda potpisa. Alternativni način antivirusna zaštita - upotreba heurističke analize.

Problemi sa tradicionalnim antivirusnim softverom

U posljednje vrijeme tradicionalne antivirusne tehnologije postaju sve manje efikasne i brzo zastarjevaju, što je posljedica niza faktora. Broj virusnih prijetnji koje se prepoznaju po potpisima je već toliko velik da je osiguranje pravovremenog 100% ažuriranja baza podataka potpisa na korisničkim računarima često nerealan zadatak. Hakeri i sajber kriminalci sve više koriste botnete i druge tehnologije koje ubrzavaju širenje virusnih prijetnji nultog dana. Osim toga, kada se izvode ciljani napadi, potpisi odgovarajućih virusa se ne kreiraju. Konačno, koriste se nove tehnologije za suzbijanje antivirusnog otkrivanja: enkripcija zlonamjernog softvera, stvaranje polimorfnih virusa na strani servera, preliminarno testiranje kvalitete virusnog napada.

Tradicionalna antivirusna zaštita se najčešće gradi u arhitekturi „debelog klijenta“. To znači da je na računaru klijenta instalirana velika količina softverskog koda. Uz njegovu pomoć, dolazni podaci se skeniraju i otkriva se prisutnost virusnih prijetnji.

Ovaj pristup ima niz nedostataka. Prvo, skeniranje u potrazi za zlonamjernim softverom i poređenje potpisa zahtijeva značajno računarsko opterećenje, koje oduzima korisniku. Kao rezultat toga, produktivnost računala se smanjuje, a antivirus ponekad ometa paralelno izvršavanje. primijenjeni problemi. Ponekad opterećenje korisnički sistem može biti toliko uočljiv da korisnici onemogućuju antivirusne programe, čime se uklanja prepreka potencijalnom napadu virusa.

Drugo, svako ažuriranje na mašini korisnika zahteva slanje hiljada novih potpisa. Količina prenesenih podataka je obično oko 5 MB dnevno po mašini. Prijenos podataka usporava mrežu i dodatno ometa sistemski resursi, zahtijeva uključivanje sistemskih administratora za kontrolu prometa.

Treće, korisnici koji su u romingu ili se nalaze na udaljenosti od fiksnog radnog mjesta su bespomoćni od napada nultog dana. Da bi primili ažurirani dio potpisa, moraju se povezati na VPN mrežu koja im je daljinski nedostupna.

Antivirusna zaštita iz oblaka

Prilikom prelaska na antivirusnu zaštitu iz oblaka, arhitektura rješenja se značajno mijenja. Na računaru korisnika je instaliran „laki“ klijent čija je glavna funkcija traženje novih datoteka, izračunavanje hash vrijednosti i slanje podataka na cloud server. U oblaku se vrši komparacija u punom obimu, koja se vrši na velikoj bazi podataka prikupljenih potpisa. Ova baza podataka se stalno i pravovremeno ažurira korištenjem prenošenih podataka antivirusne kompanije. Klijent dobija zapisnik sa rezultatima inspekcije.

Dakle, cloud arhitektura antivirusne zaštite ima niz prednosti:

  • količina izračunavanja na korisnikovom računaru ispada zanemarljivom u poređenju sa debelim klijentom, stoga se produktivnost korisnika ne smanjuje;
  • nema katastrofalnog utjecaja antivirusnog prometa na mrežnu propusnost: mora se prenijeti kompaktan dio podataka koji sadrži samo nekoliko desetina hash vrijednosti, prosječni volumen dnevnog prometa ne prelazi 120 KB;
  • skladište u oblaku sadrži ogromne nizove potpisa, mnogo veće od onih pohranjenih na korisničkim računarima;
  • algoritmi poređenja potpisa koji se koriste u oblaku su znatno inteligentniji u odnosu na pojednostavljene modele koji se koriste na nivou lokalnih stanica, a zbog većih performansi poređenje podataka zahteva manje vremena;
  • cloud antivirusne usluge rade sa stvarnim podacima primljenim od antivirusne laboratorije, programeri sigurnosti, korporativni i privatni korisnici; Prijetnje nultog dana se blokiraju istovremeno sa njihovim prepoznavanjem, bez kašnjenja uzrokovanog potrebom za pristupom korisničkim računarima;
  • korisnici u romingu ili bez pristupa svojim glavnim radnim stanicama dobijaju zaštitu od napada nultog dana istovremeno sa pristupom Internetu;
  • Radno opterećenje sistemskih administratora je smanjeno: ne moraju da troše vrijeme na instaliranje antivirusnog softvera na korisničke računare, kao i na ažuriranje baza podataka potpisa.

Zašto tradicionalni antivirusni programi ne uspijevaju

Savremeni zlonamjerni kod može:

  • Zaobiđite antivirusne zamke kreiranjem posebnog ciljanog virusa za kompaniju
  • Prije nego što antivirus kreira potpis, izbjeći će korištenjem polimorfizma, transkodiranja, koristeći dinamički DNS i URL-ove
  • Ciljana kreacija za kompaniju
  • Polimorfizam
  • Šifra nepoznata još nikome - bez potpisa

Teško za odbraniti

Brzi antivirusi iz 2011

Ruski nezavisni informativno-analitički centar Anti-Malware.ru objavio je u maju 2011. rezultate još jednog uporednog testa 20 najpopularnijih antivirusa na performanse i potrošnju sistemskih resursa.

Target ovaj test- pokazuju koji lični antivirusi imaju najmanji uticaj na tipične radnje korisnika na računaru, manje usporavaju njegov rad i troše minimalnu količinu sistemskih resursa.

Među antivirusnim monitorima (skenerima u realnom vremenu), čitava grupa proizvoda je pokazala veoma veliku brzinu rada, uključujući: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro i Dr.Web. Sa ovim antivirusima, usporavanje kopiranja test kolekcije bilo je manje od 20% u odnosu na standard. Antivirusni monitori BitDefender, PC Tools, Outpost, F-Secure, Norton i Emsisoft također su pokazali dobri rezultati u pogledu performansi, u rasponu od 30-50%. Antivirusni monitori BitDefender, PC Tools, Outpost, F-Secure, Norton i Emsisoft također su pokazali visoke rezultate performansi, koji su pali u rasponu od 30-50%.

U isto vrijeme, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost i PC Tools u realnim uslovima mogu biti znatno brži zbog njihove optimizacije naknadnih provjera.

Pokazao je najbolju brzinu skeniranja na zahtjev Avira antivirus. Bio je malo inferioran u odnosu na Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus i Outpost. Što se tiče brzine prvog skeniranja, ovi antivirusi su tek neznatno inferiorni od lidera, a istovremeno svi imaju u svom arsenalu moćne tehnologije za optimizaciju ponovljenih skeniranja.

Još jedan važna karakteristika brzina antivirusa je njegov uticaj na rad aplikativni programi, sa kojim korisnik često radi. Za test je izabrano pet: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader i Adobe Photoshop. Najmanje usporavanje u lansiranju ovih kancelarijski programi pokazao Eset antivirusi, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost i G Data.

Danas, više nego ikad, antivirusni softver nije samo najtraženiji u sigurnosnom sistemu bilo kojeg operativnog sistema, već i jedna od njegovih glavnih komponenti. I ako je ranije korisnik imao vrlo ograničen, skroman izbor, sada možete pronaći mnogo takvih programa. Ali ako pogledate listu “Top 10 antivirusa”, primijetit ćete da nisu svi jednaki u smislu funkcionalnost. Pogledajmo najpopularnije pakete. Istovremeno, analiza će obuhvatiti i plaćene i shareware (antivirus 30 dana) i besplatno distribuirane aplikacije. Ali prvo stvari.

Top 10 antivirusa za Windows: kriterijumi za testiranje

Prije nego što počnete sa sastavljanjem ocjene, vjerojatno biste se trebali upoznati s osnovnim kriterijima koji se u većini slučajeva koriste prilikom testiranja takvog softvera.

Naravno, jednostavno je nemoguće razmotriti sve poznate pakete. Međutim, među svim onima koji su dizajnirani da obezbede zaštitu računarskog sistema u najširem smislu, mogu se identifikovati najpopularniji. Istovremeno ćemo uzeti u obzir i zvanične ocjene nezavisnih laboratorija, te recenzije korisnika koji koriste ovaj ili onaj softverski proizvod u praksi. osim toga, mobilni programi neće uticati, fokusiraćemo se na stacionarne sisteme.

Što se tiče provođenja osnovnih testova, oni u pravilu uključuju nekoliko glavnih aspekata:

  • dostupnost plaćenih i besplatnih verzija i ograničenja vezana za funkcionalnost;
  • standardna brzina skeniranja;
  • brza identifikacija potencijalnih prijetnji i mogućnost njihovog uklanjanja ili karantene korištenjem ugrađenih algoritama;
  • učestalost ažuriranja antivirusnih baza podataka;
  • samoodbrana i pouzdanost;
  • dostupnost dodatnih funkcija.

Kao što se može vidjeti iz gornje liste, provjera rada antivirusnog softvera omogućava vam da odredite prednosti i slabe strane jedan ili drugi proizvod. Zatim ću razmotriti najpopularnije softverske pakete uključene u Top 10 antivirusa, a također ću dati njihove glavne karakteristike, naravno, uzimajući u obzir mišljenja ljudi koji ih koriste u svom svakodnevnom radu.

Kaspersky Lab softverski proizvodi

Prvo, pogledajmo softverske module koje je razvio Kaspersky Lab, a koji su izuzetno popularni na postsovjetskom prostoru.

Nemoguće je ovdje izdvojiti samo jedan program, jer među njima možete pronaći i redovan Kaspersky skener Antivirus i moduli poput Internet Security i prenosivi uslužni programi kao što je Virus Removal Tool, pa čak i diskovi za pokretanje za oštećene sisteme Rescue Disc.

Odmah je vrijedno napomenuti dva glavna nedostatka: prvo, sudeći po recenzijama, gotovo svi programi, uz rijetke izuzetke, su plaćeni ili shareware, a drugo, sistemski zahtjevi su neopravdano visoki, što onemogućuje njihovu upotrebu u relativno slabim konfiguracijama. . Naravno, ovo plaši mnoge obične korisnike, iako aktivacija Kaspersky ključevi Antivirus ili Internet Security lako se mogu pronaći na World Wide Webu.

S druge strane, situacija aktivacije se može ispraviti i na drugi način. Na primjer, Kaspersky ključevi se mogu generirati pomoću posebne aplikacije poput Key Managera. Istina, ovaj pristup je, blago rečeno, nezakonit, međutim, kao izlaz, koriste ga mnogi korisnici.

Brzina rada na modernim mašinama je prosječna (iz nekog razloga se stvara sve više teških verzija za nove konfiguracije), ali stalno ažurirane baze podataka, jedinstvena tehnologija za identifikaciju i uklanjanje poznatih virusa i potencijalno opasnih programa su na najbolji način. Nije iznenađujuće da je Kapersky Laboratory danas lider među programerima sigurnosnog softvera.

I još dvije riječi o disku za oporavak. Jedinstven je na svoj način, jer učitava skener sa grafičkim sučeljem čak i prije nego što se Windows pokrene, što vam omogućava da uklonite prijetnje čak i iz RAM-a.

Isto važi i za prenosive Virusni programi Alat za uklanjanje, sposoban za praćenje bilo koje prijetnje na zaraženom terminalu. Može se uporediti samo sa sličnim uslužnim programom Dr. Web.

Zaštita od Dr. Web

Pred nama je još jedan od najjačih predstavnika u oblasti sigurnosti - čuveni "Doctor Web", koji je od pamtivijeka stajao na početku stvaranja svih antivirusnih softvera.

Među veliki iznos Takođe možete pronaći standardne skenere, sigurnosne alate za surfovanje Internetom, prenosive uslužne programe i diskove za oporavak. Ne možete sve nabrojati.

Glavni faktor u korist softvera ovog programera može se nazvati velikom brzinom, trenutnom detekcijom prijetnji sa mogućnošću bilo potpuno uklanjanje, odnosno izolacije, kao i umjereno opterećenje sistema u cjelini. Općenito, sa stanovišta većine korisnika, ovo je neka vrsta lagane verzije Kasperskyja. Ima tu još nešto zanimljivo. Konkretno, ovo je dr. Web Katana. Vjeruje se da je riječ o softverskom proizvodu nove generacije. Fokusiran je na korištenje “pješčanih” tehnologija, odnosno postavljanje prijetnje u “olak” ili “sandbox” (kako god želite da je nazovete) radi analize prije nego što prodre u sistem. Međutim, ako pogledate, ovdje nema posebnih inovacija, jer se ova tehnika koristila besplatno Panda antivirus. Osim toga, prema mnogim korisnicima, Dr. Web Katana je neka vrsta sigurnosnog prostora sa istim tehnologijama. Međutim, općenito govoreći, svaki softver ovog programera prilično je stabilan i moćan. Nije iznenađujuće da mnogi korisnici preferiraju takve pakete.

ESET programi

Govoreći o Top 10 antivirusa, nemoguće je ne spomenuti još jednog sjajnog predstavnika ove oblasti - kompaniju ESET, koja je postala poznata po tako dobro poznatom proizvodu kao što je NOD32. Nešto kasnije rođen je modul ESET Smart Security.

Ako uzmemo u obzir ove programe, možemo primijetiti zanimljivu stvar. Da biste aktivirali punu funkcionalnost bilo kojeg paketa, možete učiniti dvije stvari. S jedne strane, ovo je sticanje službene dozvole. S druge strane, možete besplatno instalirati probni antivirus, ali ga aktivirajte svakih 30 dana. Zanimljiva je i situacija sa aktivacijom.

Kao što apsolutno svi korisnici primjećuju, za ESET Smart Security (ili za standardni antivirusni program) na službenoj web stranici možete pronaći besplatno distribuirane ključeve u obliku login i lozinke. Do nedavno su se mogli koristiti samo ovi podaci. Sada je proces postao nešto složeniji: prvo se trebate prijaviti i lozinku na posebnom web-mjestu, pretvoriti ga u broj licence, a tek onda unijeti u polje za registraciju u samom programu. Međutim, ako ne obraćate pažnju na takve sitnice, možete primijetiti da je ovaj antivirus jedan od najboljih. Prednosti koje su primijetili korisnici:

  • baze podataka virusnih definicija ažuriraju se nekoliko puta dnevno,
  • identifikacija prijetnji na najvišem nivou,
  • nema sukoba sa sistemskim komponentama (firewall),
  • paket ima najjaču samoodbranu,
  • nema lažnih alarma itd.

Odvojeno, vrijedi napomenuti da je opterećenje na sistemu minimalno, a korištenje Anti-Theft modula čak vam omogućava da zaštitite podatke od krađe ili zloupotrebe za ličnu korist.

AVG Antivirus

AVG Antivirus je plaćeni softver dizajniran da pruži sveobuhvatnu sigurnost za računarske sisteme (postoji i besplatna, skraćena verzija). I iako danas ovaj paket više nije među prvih pet, on ipak pokazuje prilično veliku brzinu i stabilnost.

U principu, idealan je za kućnu upotrebu, jer osim brzine, ima zgodno rusificirano sučelje i manje-više stabilno ponašanje. Istina, kao što neki korisnici primjećuju, ponekad može promašiti prijetnje. I to se ne odnosi na viruse kao takve, već na njih špijunski softver ili reklamno "smeće" pod nazivom Malware i Adware. Vlastiti modul programa, iako se naširoko reklamira, ipak, prema riječima korisnika, izgleda pomalo nedovršeno. Dodatni zaštitni zid često može uzrokovati sukobe sa „nativnim“ Windows zaštitnim zidom ako su oba modula aktivna.

Avira paket

Avira je još jedan član porodice antivirusnih programa. Ne razlikuje se suštinski od većine sličnih paketa. Međutim, ako pročitate recenzije korisnika o tome, možete pronaći prilično zanimljive postove.

Mnogi ljudi ni pod kojim okolnostima ne preporučuju korištenje besplatne verzije, jer u njoj jednostavno nedostaju neki moduli. Da biste osigurali pouzdanu zaštitu, morat ćete kupiti plaćeni proizvod. Ali takav je antivirus prikladan za verzije 8 i 10, u kojima sam sistem koristi puno resursa, a paket ih koristi na najnižem nivou. u osnovi, Avira je bolja Pogodan je samo za, recimo, jeftine laptope i slabe računare. Mrežna instalacija, međutim, ne dolazi u obzir.

Cloud servis Panda Cloud

Besplatno je u jednom trenutku postalo gotovo revolucija u području antivirusnih tehnologija. Korišćenje takozvanog „peščanika“ za podnošenje sumnjivog sadržaja na analizu pre nego što prodre u sistem učinilo je ovu aplikaciju posebno popularnom među korisnicima svih nivoa.

A upravo se sa „pješčanikom“ danas povezuje ovaj antivirus. Da, zaista, ova tehnologija, za razliku od drugih programa, omogućava vam da spriječite prijetnje da uđu u sistem. Na primjer, bilo koji virus prvo sprema svoje tijelo na tvrdi disk ili u RAM, a tek onda počinje svoju aktivnost. Ovdje stvar ne dolazi do konzervacije. Kao prvo sumnjiv fajl se šalje na cloud servis, gdje se provjerava, pa tek onda može biti sačuvana u sistemu. Istina, prema riječima očevidaca, nažalost, to može potrajati dosta vremena i nepotrebno opteretiti sistem. S druge strane, vrijedi se zapitati šta je važnije: sigurnost ili produženo vrijeme provjere? Međutim, za moderne kompjuterske konfiguracije sa brzinama internetske veze od 100 Mbit/s i više, može se koristiti bez problema. Inače, sopstvena zaštita je obezbeđena upravo kroz „oblak“, što ponekad izaziva kritike.

Avast Pro Antivirusni skener

Sada nekoliko riječi o još jednom sjajnom predstavniku. On je prilično popularan među mnogim korisnicima, međutim, uprkos prisutnosti istog sandboxa, anti-spywarea, mrežnog skenera, firewall-a i virtuelna kancelarija Nažalost, Avast Pro Antivirus je očito inferioran od takvih divova kao što su softverski proizvodi Kaspersky Lab ili aplikacije koje koriste Bitdefender tehnologije u glavnim pokazateljima performansi, funkcionalnosti i pouzdanosti, iako pokazuje veliku brzinu skeniranja i nisku potrošnju resursa.

Korisnike ovaj proizvod najviše privlači činjenica da je besplatna verzija paketa maksimalno funkcionalna i da se ne razlikuje mnogo od plaćenog softvera. Osim toga, ovaj antivirus radi na svim verzijama Windowsa, uključujući Windows 10, i odlično radi čak i na zastarjelim mašinama.

360 sigurnosni paketi

Pred nama je vjerovatno jedan od najbržih antivirusa našeg vremena - 360 Security, koji su razvili kineski stručnjaci. Generalno, svi proizvodi sa oznakom „360“ odlikuju se zavidnom brzinom rada (isti internet pretraživač 360 Safety Browser).

Uprkos svojoj osnovnoj nameni, program ima dodatne module za uklanjanje ranjivosti operativnog sistema i njegovu optimizaciju. Ali ni brzina rada ni slobodna distribucija ne mogu se porediti sa lažnim alarmima. Na listi programa koji imaju najviše pokazatelje po ovom kriteriju, ovaj softver zauzima jedno od prvih mjesta. Prema mišljenju mnogih stručnjaka, sukobi nastaju u sistemski nivo zbog dodatnih optimizatora, čija se radnja ukršta sa zadacima samog OS-a.

Softverski proizvodi bazirani na Bitdefender tehnologijama

Još jedan "starac" među najpoznatijim braniocima operativnih sistema je Bitdefender. Nažalost, 2015. godine izgubio je palmu u odnosu na Kaspersky Lab proizvode, ali je u antivirusnom modu, da tako kažem, jedan od trendsetera.

Ako pogledate malo pažljivije, primijetit ćete da su mnogi moderni programi (isti 360 Security paket) u različitim varijacijama napravljeni upravo na bazi ovih tehnologija. Uprkos bogatim funkcionalna baza, i ovdje ima nekih nedostataka. Prvo, nećete pronaći ruski antivirusni (rusificirani) Bitdefender, jer on uopće ne postoji u prirodi. Drugo, uprkos upotrebi najnovijih tehnoloških dostignuća u pogledu zaštite sistema, nažalost, pokazuje preveliki broj lažnih pozitivnih rezultata (inače, prema mišljenju stručnjaka, to je tipično za čitavu grupu programa kreiranih na osnovu Bitdefender). Prisustvo dodatnih komponenti optimizatora i vlastitih zaštitnih zidova općenito ne utječe na bolje ponašanje takvih antivirusa. Ali ne možete poreći brzinu ove aplikacije. Osim toga, P2P se koristi za verifikaciju, ali nema verifikacije e-pošte u realnom vremenu, što se mnogima ne sviđa.

Antivirus iz Microsofta

Još jedna aplikacija koja se odlikuje zavidnim radom sa ili bez razloga je njena sopstvena Microsoft proizvod pod naslovom Security Essentials.

Ovaj paket je uključen u Top 10 antivirusa, očigledno samo zato što je dizajniran isključivo za Windows sisteme, što znači da ne izaziva apsolutno nikakve konflikte na nivou sistema. Osim toga, ko, ako ne stručnjaci iz Microsofta, zna sve svoje sigurnosne rupe i ranjivosti operativni sistemi. Inače, zanimljivo je da je inicijal Windows builds 7 i Windows 8 su imali MSE kao standard, ali su onda iz nekog razloga napustili ovaj komplet. Međutim, za Windows to može postati najjednostavnije rješenje u smislu sigurnosti, iako ne možete računati na neku posebnu funkcionalnost.

McAfee aplikacija

Što se tiče ove aplikacije, izgleda prilično zanimljivo. Međutim, najveću popularnost je stekao u području primjene na mobilnim uređajima sa svim vrstama blokiranja, međutim, na desktop računarima ovaj antivirus se ne ponaša ništa lošije.

Program ima podršku niskog nivoa za P2P mreže prilikom dijeljenja datoteka Instant Messengera, a također nudi zaštitu na 2 nivoa u kojoj glavnu ulogu posvećen WormStopper i ScriptStopper modulima. Ali generalno, prema potrošačima, funkcionalnost je na prosječnom nivou, a sam program je više fokusiran na identifikaciju špijunskog softvera, kompjuterskih crva i trojanaca i sprječavanje izvršnih skripti ili zlonamjernog koda da uđu u sistem.

Kombinirani antivirusi i optimizatori

Naravno, ovdje su razmatrani samo oni koji su uključeni u Top 10 antivirusa. Ako govorimo o drugom softveru ove vrste, možemo uočiti neke pakete koji u svojim setovima sadrže antivirusne module.

Šta preferirati?

Naravno, svi antivirusi imaju određene sličnosti i razlike. Šta instalirati? Ovdje morate poći od potreba i nivoa zaštite. Po pravilu, korporativni klijenti bi trebali kupiti nešto moćnije sa mogućnošću mrežne instalacije (Kaspersky, Dr. Web, ESET). Što se tiče kućne upotrebe, ovdje korisnik bira ono što mu treba (po želji možete pronaći i antivirus na godinu dana - bez registracije ili kupovine). Ali, ako pogledate recenzije korisnika, bolje je instalirati Panda Cloud, čak i uprkos dodatnom opterećenju sistema i vremenu testiranja u sandboxu. Ali tu postoji potpuna garancija da prijetnja ni na koji način neće prodrijeti u sistem. Međutim, svako je slobodan da za sebe odabere šta mu je tačno potrebno. Ako aktivacija nije teška, molimo vas: dobro rade u kućnim sistemima ESET proizvodi. Ali korištenje optimizatora s antivirusnim modulima kao glavnog sredstva zaštite krajnje je nepoželjno. Pa, takođe je nemoguće reći koji program zauzima prvo mjesto: toliko je korisnika, toliko mišljenja.

Najbolji članci na ovu temu

Kopiranje datoteka se razlikuje od pravljenja sigurnosne kopije Što je aplikacija za kopiranje datoteka
Kopiranje datoteka se razlikuje od pravljenja sigurnosne kopije Što je aplikacija za kopiranje datoteka
Trenutačno pretražite datoteke u Windows-u
Trenutačno pretražite datoteke u Windows-u
Rad sa Mozilla Thunderbird e-mail klijentom
Rad sa Mozilla Thunderbird e-mail klijentom
Kategorije:
© 2024 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.