جدول تجزیه و تحلیل نرم افزار آنتی ویروس تجزیه و تحلیل مقایسه ای نرم افزار آنتی ویروس

من فوراً رزرو می کنم که مقاله فقط آن دسته از راه حل های آنتی ویروس را که در روسیه گسترده هستند مقایسه می کند. آنتی ویروس کسپرسکی , Eset Nod32 , دکتر وب , سیمانتک / نورتون , ترند میکرو , پاندا, McAfee, Sophos, BitDefender, F-Secure, Avira, Avast !, AVG, Microsoft. موارد عجیب و غریب مانند G-DATA AVK، F-Prot Anti-Virus و AEC TrustPort در نظر گرفته نمی شوند. بنابراین، بیایید آماده سازی تست ها را شروع کنیم.

آزمایش پدرسالاران

یکی از اولین کسانی که محصولات آنتی ویروس را آزمایش کرد، مجله بریتانیایی ویروس بولتن بود، اولین آزمایش هایی که در وب سایت آنها منتشر شد به سال 1998 بازمی گردد. این آزمایش بر اساس مجموعه بدافزار WildList است. برای گذراندن موفقیت آمیز آزمون، باید تمام ویروس های موجود در این مجموعه را شناسایی کنید و نرخ مثبت کاذب صفر را در مجموعه فایل های گزارش "تمیز" نشان دهید. آزمایش چندین بار در سال بر روی سیستم عامل های مختلف انجام می شود. محصولاتی که در آزمون موفق شوند جایزه VB100% دریافت خواهند کرد. در زیر می توانید ببینید که چه تعداد جایزه VB100% در سال های 2006-2007 توسط محصولات شرکت های مختلف آنتی ویروس دریافت شده است.

البته می توان مجله ویروس بولتن را قدیمی ترین تستر آنتی ویروس نامید، اما وضعیت پدرسالار او را از انتقاد جامعه آنتی ویروس نجات نمی دهد. به عنوان مثال، در کنفرانس سپتامبر ویروس بولتن در وین، کارشناس مشهور آندریاس مارکس از آزمایشگاه تحقیقاتی AV-Test در دانشگاه ماگدبورگ ارائه‌ای ارائه کرد The WildList مرده است، زنده باد فهرست وحشی! مارکس در گزارش خود تأکید کرد که تمام آزمایش‌های انجام شده بر روی مجموعه ویروس‌های WildList (از جمله VB100٪) دارای تعدادی کاستی در ترکیب این مجموعه است. اول، WildList فقط شامل ویروس‌ها و کرم‌ها و فقط برای پلتفرم ویندوز است، در حالی که انواع دیگر بدافزارها (تروجان‌ها، درهای پشتی) و بدافزارهای دیگر برای پلتفرم‌ها کنار گذاشته شده‌اند. ثانیاً، مجموعه WildList حاوی تعداد کمی برنامه مخرب است و بسیار کند رشد می کند: تنها چند ده ویروس جدید در یک ماه در مجموعه ظاهر می شوند، در حالی که، برای مثال، مجموعه AV-Test در این مدت با چندین ده بار پر می شود. یا حتی صدها هزار نسخه بدافزار.

همه اینها نشان می دهد که در شکل فعلی، مجموعه WildList از نظر اخلاقی قدیمی است و وضعیت واقعی ویروس ها را در اینترنت منعکس نمی کند. در نتیجه، به گفته آندریاس مارکس، تست های مبتنی بر مجموعه WildList بیش از پیش بی معنی می شوند. آنها برای تبلیغات محصولاتی که از آنها عبور کرده اند خوب هستند، اما واقعاً کیفیت محافظت از آنتی ویروس را نشان نمی دهند.

از WildList گرفته تا تست‌های روی مجموعه‌های بزرگ

آزمایشگاه‌های تحقیقاتی مستقل مانند AV-Comparatives، AV-Tests به انتقاد از روش‌های آزمایش محدود نمی‌شوند. آنها محصولات آنتی ویروس خود را دو بار در سال برای شناسایی بدافزارهای درخواستی آزمایش می کنند. در عین حال، مجموعه های در حال آزمایش حاوی بیش از یک میلیون برنامه مخرب هستند و به طور منظم به روز می شوند. نتایج آزمون در وب سایت این سازمان ها (www.AV-Comparatives.org، www.AV-Test.org) و در مجلات معروف کامپیوتر PC World، PC Welt و ... منتشر شده است. نتایج آزمون های مرداد ماه در زیر ارائه می شوند:

اگر ما در مورد محصولاتی که بیشتر در بازار روسیه رایج هستند صحبت کنیم، همانطور که می بینیم، طبق نتایج این آزمایشات، تنها راه حل های Kaspersky Lab و Symantec در سه رتبه اول قرار دارند. رهبر در تست های Avira سزاوار توجه ویژه است، اما ما در بخش مثبت کاذب بیشتر به این موضوع باز خواهیم گشت.

مدل سازی کاربر

تست‌های آزمایشگاه‌های تحقیقاتی AV-Comparatives و AV-Test مانند هر آزمایشی، مزایا و معایب خود را دارد. نکته مثبت این است که آزمایش روی مجموعه‌های بزرگ بدافزار انجام می‌شود و این مجموعه‌ها شامل انواع مختلفی از بدافزارها هستند. نکته منفی این است که این مجموعه ها نه تنها حاوی نمونه های بدافزار «تازه»، بلکه نمونه های نسبتا قدیمی نیز هستند. معمولاً از نمونه های جمع آوری شده در شش ماه گذشته استفاده می شود. علاوه بر این، این آزمایش‌ها نتایج اسکن هارد دیسک را بر حسب تقاضا تجزیه و تحلیل می‌کنند، در حالی که در زندگی واقعی کاربر فایل‌های آلوده را از اینترنت دانلود می‌کند یا آنها را به عنوان پیوست از طریق ایمیل دریافت می‌کند. شناسایی چنین فایل هایی دقیقاً در لحظه ای که در رایانه کاربر ظاهر می شوند بسیار مهم است.

تلاش برای توسعه روش آزمایشی که از این مشکل رنج نمی برد توسط یکی از قدیمی ترین مجلات کامپیوتر بریتانیا - PC Pro انجام شد. آزمایش آنها از مجموعه ای از بدافزارها استفاده کرد که دو هفته قبل از آزمایش در ترافیک عبوری از سرورهای MessageLabs شناسایی شده بود. MessageLabs به مشتریان خود خدمات فیلترینگ را برای انواع مختلف ترافیک ارائه می دهد و مجموعه بدافزارهای آن واقعاً وضعیت گسترش آلودگی رایانه در اینترنت را منعکس می کند.

تیم PC Pro فقط فایل‌های آلوده را اسکن نکرد، بلکه اقدامات کاربر را شبیه‌سازی کرد: فایل‌های آلوده به‌عنوان پیوست به پیام‌ها پیوست می‌شدند و این پیام‌ها با نصب آنتی‌ویروس روی رایانه دانلود می‌شدند. علاوه بر این، با استفاده از اسکریپت های نوشته شده ویژه، فایل های آلوده از وب سرور دانلود شدند، یعنی. گشت و گذار کاربر در اینترنت شبیه سازی شد. شرایطی که تحت آن چنین آزمایش‌هایی انجام می‌شود تا حد امکان به شرایط واقعی نزدیک است، که نمی‌تواند بر نتایج تأثیر بگذارد: میزان تشخیص اکثر آنتی‌ویروس‌ها به طور قابل‌توجهی پایین‌تر از یک اسکن ساده بر اساس تقاضا در آزمایشات است. AV-Comparatives و AV-Test. در چنین آزمایشاتی، سرعت واکنش توسعه دهندگان آنتی ویروس به ظهور برنامه های مخرب جدید و همچنین مکانیسم های فعال در هنگام شناسایی برنامه های مخرب نقش مهمی ایفا می کند.

تیم واکنش سریع

سرعت انتشار به‌روزرسانی‌های آنتی‌ویروس با امضای بدافزارهای جدید، یکی از مهم‌ترین مؤلفه‌های محافظت از آنتی‌ویروس مؤثر است. هر چه زودتر به‌روزرسانی پایگاه داده امضا منتشر شود، کاربر زمان کمتری بدون محافظت می‌ماند. در آوریل 2007، تیم آزمایشگاهی AV-Test مطالعه ای در مورد میزان واکنش به تهدیدات جدید برای مجله آمریکایی PC World انجام داد و این چیزی است که آنها به دست آوردند:

ناشناخته شناخته شده است

اخیراً بدافزارهای جدید به قدری ظاهر شده اند که آزمایشگاه های آنتی ویروس به سختی می توانند به نمونه های جدید پاسخ دهند. در چنین شرایطی، این سوال مطرح می شود که چگونه یک آنتی ویروس می تواند نه تنها در برابر ویروس های شناخته شده از قبل، بلکه در برابر تهدیدات جدید نیز مقاومت کند که برای شناسایی آنها هنوز امضایی منتشر نشده است.

برای شناسایی تهدیدات ناشناخته، از فناوری های به اصطلاح پیشگیرانه استفاده می شود. این فناوری‌ها را می‌توان تقریباً به دو نوع تقسیم کرد: اکتشافی (بر اساس تجزیه و تحلیل کد برنامه‌های مخرب را شناسایی می‌کند) و مسدودکننده‌های رفتاری (مسدود کردن اعمال برنامه‌های مخرب هنگام راه‌اندازی بر روی رایانه، بر اساس رفتارشان).

از نظر اکتشافی، اثربخشی آنها مدتهاست که توسط AV-Comparatives، یک آزمایشگاه تحقیقاتی به رهبری آندریاس کلمنتی مورد مطالعه قرار گرفته است. تیم AV-Comparatives از یک تکنیک ویژه استفاده می کند: آنتی ویروس ها در برابر مجموعه ویروس های فعلی بررسی می شوند، اما آنتی ویروس هایی با امضای سه ماه پیش استفاده می شود. بنابراین، آنتی ویروس باید در برابر بدافزارهایی که چیزی درباره آن نمی داند مقاومت کند. آنتی ویروس ها با اسکن مجموعه ای از بدافزارها بر روی هارد دیسک بررسی می شوند، بنابراین فقط اثربخشی اکتشافی بررسی می شود؛ یک فناوری فعال دیگر - مسدود کننده رفتار - در این آزمایش ها استفاده نمی شود. همانطور که می بینیم، حتی بهترین روش های اکتشافی در حال حاضر نرخ تشخیص را تنها حدود 70٪ نشان می دهند و بسیاری از آنها نیز از مثبت کاذب در پرونده های تمیز رنج می برند. همه اینها، متأسفانه، نشان می دهد که تا کنون این روش تشخیص فعال تنها می تواند به طور همزمان با روش امضا مورد استفاده قرار گیرد.

در مورد یکی دیگر از فناوری های فعال - یک مسدود کننده رفتاری، تاکنون هیچ آزمایش مقایسه ای جدی انجام نشده است. اول، بسیاری از محصولات آنتی ویروس (Doctor Web، NOD32، Avira و غیره) فاقد مسدود کننده رفتار هستند. ثانیاً، چنین آزمایشاتی مملو از مشکلات است. واقعیت این است که برای آزمایش اثربخشی یک مسدود کننده رفتاری، نباید دیسکی را با مجموعه ای از برنامه های مخرب اسکن کنید، بلکه این برنامه های مخرب را روی رایانه خود اجرا کنید و مشاهده کنید که آنتی ویروس با چه موفقیتی عملکرد آنها را مسدود می کند. این فرآیند بسیار پر زحمت است و تنها تعداد کمی از محققین قادر به انجام چنین آزمایشاتی هستند. تمام آنچه تاکنون در دسترس عموم قرار گرفته است، نتایج آزمایش محصول فردی توسط تیم AV-Comparatives است. اگر در حین آزمایش، آنتی ویروس ها با موفقیت عملکرد برنامه های مخرب ناشناخته را در حین راه اندازی آنها بر روی رایانه مسدود کردند، آنگاه محصول جایزه حفاظت پیشگیرانه را دریافت کرد. در حال حاضر، چنین جوایزی توسط F-Secure با فناوری رفتاری DeepGuard و آنتی ویروس Kaspersky با ماژول دفاع پیشگیرانه دریافت شده است.

فناوری‌های پیشگیری از عفونت مبتنی بر تجزیه و تحلیل رفتار بدافزارها در حال محبوبیت هستند و فقدان تست‌های معیار جامع در این زمینه هشدار دهنده است. اخیراً امیدی برای ظهور چنین آزمایش هایی وجود داشت: متخصصان آزمایشگاه تحقیقاتی AV-Test در کنفرانس ویروس بولتن 2007 که توسعه دهندگان محصولات آنتی ویروس نیز در آن شرکت داشتند بحث گسترده ای در مورد این موضوع برگزار کردند. نتیجه این بحث یک روش جدید برای آزمایش توانایی محصولات آنتی ویروس برای مقاومت در برابر تهدیدات ناشناخته بود. این تکنیک در پایان نوامبر در کنفرانس انجمن تحقیقات آنتی ویروس آسیا در سئول به تفصیل ارائه خواهد شد.

مثبت کاذب بدتر از ویروس است

سطح بالای شناسایی بدافزار با استفاده از فناوری های مختلف یکی از مهم ترین ویژگی های آنتی ویروس است. اما، شاید، ویژگی کمتر مهم فقدان مثبت کاذب باشد. موارد مثبت کاذب کمتر از یک عفونت ویروسی به کاربر آسیب نمی رساند: عملکرد برنامه های لازم را مسدود کنید، دسترسی به وب سایت ها را مسدود کنید و غیره. متأسفانه، مثبت کاذب بسیار رایج است. پس از آپدیت دیگری در سپتامبر 2007، آنتی ویروس AVG شروع به اشتباه گرفتن Adobe Acrobat Reader 7.0.9 با تروجان SHueur-JXW کرد و آنتی ویروس NOD32 در جولای 2007 کاربران را از شناسایی تروجان Tivso.14a.gen مطلع کرد. sys.com در سایت‌های معروف مانند Yahoo، MySpace و سایر پورتال‌های متمرکز بر اخبار.

به عنوان بخشی از تحقیقات خود، AV-Comparatives، همراه با قابلیت‌های تشخیص آنتی ویروس برای بدافزارها، آزمایش‌های مثبت کاذب را روی مجموعه‌ای از فایل‌های تمیز انجام می‌دهد (برای نتایج به نمودار زیر مراجعه کنید). بر اساس آزمایش، آنتی ویروس های Doctor Web و Avira بدترین با مثبت کاذب هستند.

ما چیزهایی را که گیر نیافته اند درمان می کنیم

درک این موضوع غم انگیز است، اما هیچ محافظت صد در صدی در برابر ویروس ها وجود ندارد. هر از چند گاهی کاربران با شرایطی مواجه می شوند که یک برنامه مخرب وارد کامپیوتر شده و کامپیوتر آلوده می شود، این اتفاق یا به این دلیل است که اصلاً آنتی ویروس روی کامپیوتر وجود ندارد یا اینکه آنتی ویروس با امضای بدافزار را شناسایی نکرده است. یا روش های پیشگیرانه در چنین شرایطی، مهم است که وقتی آنتی ویروس با پایگاه داده های امضای جدید روی رایانه نصب می شود، آنتی ویروس نه تنها بتواند برنامه مخرب را شناسایی کند، بلکه با موفقیت تمام عواقب فعالیت آن را از بین ببرد و عفونت فعال را درمان کند. درک این نکته مهم است که ویروس نویسان دائماً در حال بهبود مهارت های خود هستند و حذف برخی از ساخته های آنها از رایانه بسیار دشوار است - برنامه های مخرب می توانند حضور آنها در سیستم را به روش های مختلف (از جمله استفاده از روت کیت ها) پنهان کرده و حتی تداخل ایجاد کنند. با کار برنامه های آنتی ویروس علاوه بر این، صرفاً حذف یا ضد عفونی کردن فایل آلوده کافی نیست، باید تمام تغییرات ایجاد شده توسط یک فرآیند مخرب در سیستم (مثلاً تغییرات در رجیستری) را حذف کنید و عملکرد سیستم را به طور کامل بازیابی کنید. نویسندگان تنها از یک گروه از محققان که آزمایش هایی را برای درمان عفونت فعال انجام می دهند آگاه نیستند - این تیم پورتال روسی Anti-Malware.ru است. آخرین آزمایشی که آنها در سپتامبر سال گذشته انجام دادند، نتایج آن در نمودار زیر ارائه شده است:

ما برآوردها را ادغام می کنیم

در بالا، ما انواع رویکردها را برای آزمایش آنتی ویروس ها بررسی کردیم، نشان دادیم که چه پارامترهایی از عملکرد آنتی ویروس در طول آزمایش در نظر گرفته می شود. واضح است که برخی از آنتی ویروس ها برنده یک شاخص هستند، برخی دیگر - دیگری. در عین حال، طبیعی است که توسعه دهندگان آنتی ویروس در مواد تبلیغاتی خود فقط بر روی آزمایشاتی تمرکز می کنند که محصولات آنها موقعیت های پیشرو را اشغال می کنند. به عنوان مثال، آزمایشگاه کسپرسکی بر سرعت واکنش به ظهور تهدیدهای جدید تمرکز می کند، Еset - بر روی قدرت فناوری های اکتشافی خود، دکتر وب مزایای آن را در درمان عفونت های فعال شرح می دهد. اما کاربر چه کاری باید انجام دهد، چگونه انتخاب درستی انجام دهد؟

امیدواریم این مقاله به کاربران در انتخاب آنتی ویروس کمک کند. برای انجام این کار، نتایج آزمایشات مختلفی ارائه شد تا به کاربر ایده ای از نقاط قوت و ضعف نرم افزار آنتی ویروس بدهد. واضح است که راه حلی که کاربر انتخاب می کند باید متعادل باشد و با توجه به اکثر پارامترها با توجه به نتایج آزمون در بین رهبران قرار گیرد. به منظور کامل بودن، موقعیت های اتخاذ شده توسط آنتی ویروس ها در آزمایش های بررسی شده در یک جدول واحد در زیر خلاصه می شود و یک ارزیابی یکپارچه نمایش داده می شود - میانگین مکان برای همه آزمایشات برای این یا آن محصول چقدر است. در نتیجه، در بین سه برنده برتر: Kaspersky، Avira، Symantec.

2.1.4 تجزیه و تحلیل مقایسه ای ابزارهای ضد ویروس.

برنامه های ضدویروس مختلفی با منشاء داخلی و غیرداخلی وجود دارد. و برای درک اینکه کدام یک از برنامه های آنتی ویروس بهتر است، بیایید تجزیه و تحلیل مقایسه ای آنها را انجام دهیم. برای انجام این کار، بیایید از برنامه های آنتی ویروس مدرن و همچنین آنهایی که بیشتر توسط کاربران رایانه شخصی استفاده می شود استفاده کنیم.

Panda Antivirus 2008 3.01.00

سیستم های سازگار: Windows 2000 / XP / Vista

نصب و راه اندازی

تصور نصب ساده‌تر و سریع‌تر از Panda 2008 دشوار است. فقط به ما گفته می‌شود که این برنامه از چه تهدیداتی محافظت می‌کند و بدون انتخاب نوع نصب یا منبع به‌روزرسانی، در کمتر از یک دقیقه محافظت در برابر ویروس‌ها، کرم‌ها، تروجان‌ها ارائه می‌کنند. ، نرم افزارهای جاسوسی و فیشینگ. قبلاً حافظه رایانه را از نظر ویروس اسکن کرده باشید. در عین حال، برخی دیگر از عملکردهای پیشرفته آنتی ویروس های مدرن مانند مسدود کردن صفحات وب مشکوک یا محافظت از داده های شخصی را پشتیبانی نمی کند.

رابط و عملکرد

رابط برنامه بسیار روشن است. تنظیمات موجود حداقل سطح تغییر را ارائه می دهند، فقط موارد ضروری وجود دارد. به طور کلی، خود پیکربندی در این مورد ضروری نیست: تنظیمات پیش فرض با اکثر کاربران مطابقت دارد و از حملات فیشینگ، نرم افزارهای جاسوسی، ویروس ها، برنامه های هکر و سایر تهدیدات محافظت می کند.

پاندا را فقط می توان از طریق اینترنت به روز کرد. علاوه بر این، به شدت توصیه می شود بلافاصله پس از نصب آنتی ویروس، به روز رسانی را نصب کنید، در غیر این صورت، پاندا، با یک پنجره کوچک اما قابل توجه در پایین صفحه، به طور مرتب نیاز به دسترسی به سرور "والد" دارد که نشان دهنده سطح پایین جریان است. حفاظت.

پاندا 2008 تمام تهدیدات را به دو دسته شناخته شده و ناشناخته تقسیم می کند. در حالت اول، می‌توانیم اسکن انواع خاصی از تهدیدات را غیرفعال کنیم، در مورد دوم، تعیین می‌کنیم که آیا فایل‌ها، پیام‌های فوری و ایمیل‌ها را برای یافتن اشیاء مخرب ناشناخته اسکن کنیم یا خیر. اگر پاندا رفتار مشکوک یک برنامه را شناسایی کند، بلافاصله به شما اطلاع می‌دهد، بنابراین محافظت در برابر تهدیداتی که در پایگاه داده آنتی ویروس گنجانده نشده است، تضمین می‌شود.

پاندا به شما امکان می دهد کل هارد دیسک یا بخش هایی از آن را اسکن کنید. لازم به یادآوری است که بایگانی ها به طور پیش فرض اسکن نمی شوند. منوی تنظیمات شامل پسوند فایل های در حال اسکن است، در صورت لزوم، می توانید پسوندهای خود را اضافه کنید. به طور جداگانه باید به آمار تهدیدهای شناسایی شده اشاره کرد که در قالب نمودار دایره ای ارائه شده است که به وضوح سهم هر نوع تهدید را از تعداد کل اشیاء مخرب نشان می دهد. گزارشی از اشیاء شناسایی شده می تواند برای یک دوره زمانی انتخاب شده تولید شود.

· حداقل سیستم مورد نیاز: وجود ویندوز 98 / NT / Me / 2000 / XP.

الزامات سخت افزاری با مواردی که برای سیستم عامل مشخص شده بیان شده مطابقت دارد.

ویژگی های عملکردی اصلی:

· محافظت در برابر کرم ها، ویروس ها، تروجان ها، ویروس های چند شکلی، ویروس های ماکرو، جاسوس افزارها، شماره گیرها، ابزارهای تبلیغاتی مزاحم، ابزارهای هکر و اسکریپت های مخرب.

· به روز رسانی پایگاه داده های آنتی ویروس تا چندین بار در ساعت، حجم هر به روز رسانی تا 15 کیلوبایت است.

· بررسی حافظه سیستم کامپیوتر، که اجازه می دهد تا ویروس هایی را که در قالب فایل وجود ندارند (به عنوان مثال CodeRed یا Slammer) شناسایی کنید.

· یک تحلیلگر اکتشافی که به شما امکان می دهد قبل از انتشار به روز رسانی پایگاه داده ویروس مربوطه، تهدیدات ناشناخته را خنثی کنید.

نصب و راه اندازی

در ابتدا Dr.Web صادقانه هشدار می دهد که قرار نیست با سایر برنامه های ضد ویروس کنار بیاید و از وجود چنین برنامه هایی در رایانه می خواهد مطمئن شود. در غیر این صورت، کار گروهی می تواند منجر به "پیامدهای غیرقابل پیش بینی" شود. در مرحله بعد، نصب "سفارشی" یا "معمولی" (توصیه شده) را انتخاب کنید و به مطالعه اجزای اصلی ارائه شده ادامه دهید:

· اسکنر برای ویندوز. بررسی فایل ها در حالت دستی؛

· اسکنر کنسول برای ویندوز. طراحی شده برای اجرا از فایل های دسته ای.

گارد عنکبوتی. اسکن فایل ها "در حال پرواز"، جلوگیری از عفونت در زمان واقعی.

نامه عنکبوتی. بررسی پیام های دریافتی از طریق POP3، SMTP، IMAP و NNTP.

رابط و عملکرد

عدم ثبات در رابط بین ماژول های ضد ویروس قابل توجه است، که باعث ایجاد ناراحتی بصری اضافی با دسترسی نه چندان دوستانه به اجزای Dr.Web می شود. تعداد زیادی از انواع تنظیمات به وضوح برای یک کاربر تازه کار طراحی نشده است، با این حال، یک راهنما نسبتاً دقیق در یک فرم قابل دسترس، هدف پارامترهای خاصی را که شما به آن علاقه دارید توضیح می دهد. دسترسی به ماژول مرکزی Dr.Web - یک اسکنر برای ویندوز - مانند تمام آنتی ویروس های بررسی شده در بررسی، از طریق سینی انجام نمی شود، بلکه فقط از طریق "شروع" - به دور از بهترین راه حلی که در آن ثابت شده است. آنتی ویروس کسپرسکی در یک زمان.

آپدیت ها هم از طریق اینترنت و هم با استفاده از سرورهای پراکسی در دسترس هستند که با توجه به اندازه کوچک امضاها، Dr.Web را به گزینه ای بسیار جذاب برای شبکه های کامپیوتری متوسط ​​و بزرگ تبدیل می کند.

می توانید از ابزار مناسب Scheduler برای تنظیم پارامترهای اسکن سیستم، ترتیب به روز رسانی و پیکربندی شرایط عملیاتی برای هر ماژول Dr.Web استفاده کنید.

در نتیجه، ما نسبت به منابع کامپیوتری بی نیاز خواهیم بود، حفاظت یکپارچه رایانه نسبتاً ساده (پس از بررسی دقیق تر) در برابر انواع تهدیدها، که توانایی های آن برای مقابله با برنامه های مخرب به وضوح از تنها ایرادی که توسط رابط "متقابل" ماژول های Dr.Web بیان می شود بیشتر است. .

بیایید به روند اسکن مستقیم دایرکتوری انتخاب شده نگاهی بیندازیم. پوشه ای پر از اسناد متنی، آرشیو، موسیقی، ویدئو و سایر فایل های معمولی هارد دیسک یک کاربر معمولی به عنوان "موضوع آزمایش" استفاده شد. حجم کل اطلاعات 20 گیگابایت بود. در ابتدا قرار بود پارتیشن هارد دیسکی که سیستم روی آن نصب شده بود اسکن شود، اما Dr.Web قصد داشت اسکن را دو تا سه ساعت تمدید کند و فایل های سیستم را به طور کامل مطالعه کند، در نتیجه یک پوشه جداگانه برای "چند ضلعی". هر آنتی ویروس از تمام گزینه های ارائه شده برای تنظیم حداکثر تعداد فایل های اسکن شده استفاده می کرد.

رتبه اول در رابطه با زمان صرف شده به پاندا 2008 رسید. باور نکردنی، اما واقعی: اسکن فقط پنج (!) دقیقه طول کشید. Dr.Web از استفاده منطقی از زمان کاربر خودداری کرد و بیش از یک ساعت و نیم محتویات پوشه ها را مطالعه کرد. زمان نشان داده شده توسط پاندا 2008 تردیدهایی ایجاد کرد که نیاز به تشخیص اضافی یک پارامتر به ظاهر ناچیز - تعداد فایل های اسکن شده - داشت. تردیدها بیهوده ظاهر نشدند و با آزمایش های مکرر مبنای عملی پیدا کردند. ما باید به Dr.Web ادای احترام کنیم - آنتی ویروس زمان زیادی را تلف نکرد و بهترین نتیجه را نشان داد: کمی بیش از 130 هزار فایل. بیایید رزرو کنیم که متاسفانه امکان تعیین تعداد دقیق فایل های پوشه تست وجود نداشت. بنابراین اندیکاتور Dr.Web به عنوان منعکس کننده وضعیت واقعی این موضوع پذیرفته شد.

کاربران با فرآیند اسکن "مقیاس بزرگ" به روش های مختلفی برخورد می کنند: برخی ترجیح می دهند رایانه را ترک کنند و در اسکن دخالت نکنند، برخی دیگر نمی خواهند با آنتی ویروس سازش کنند و به کار یا بازی ادامه دهند. همانطور که مشخص شد گزینه دوم به شما امکان می دهد آنتی ویروس پاندا را بدون هیچ مشکلی پیاده سازی کنید. بله، این برنامه، که در آن مشخص شد برجسته کردن ویژگی های کلیدی غیرممکن است، در هر پیکربندی، تنها اختلال را با یک علامت سبز که از اتمام موفقیت آمیز اسکن خبر می دهد، ایجاد می کند. عنوان پایدارترین مصرف کننده رم به Dr.Web اعطا شد که در حالت بارگذاری کامل، عملکرد آن تنها چند مگابایت بیشتر از حالت عادی نیاز داشت.

حالا بیایید نگاهی دقیق تر به آنتی ویروس هایی مانند:

1. Kaspersky Anti-Virus 2009;

3. آنتی ویروس پاندا 2008;

با توجه به معیارهای زیر:

· ارزیابی راحتی رابط کاربری.

· ارزیابی راحتی در کار.

· تجزیه و تحلیل مجموعه ای از قابلیت های فنی.

· برآورد هزینه.

از بین همه آنتی ویروس های بررسی شده، ارزان ترین آنتی ویروس پاندا 2008 و گران ترین آن NOD 32 است. اما این بدان معنا نیست که آنتی ویروس پاندا 2008 بدتر است، همانطور که بقیه معیارها می گویند. سه برنامه از چهار برنامه بررسی شده (آنتی ویروس کسپرسکی، آنتی ویروس پاندا، NOD 32) رابط کاربری ساده، کاربردی و کاربرپسندتری نسبت به Dr. وب که دارای تنظیمات زیادی است که برای یک کاربر مبتدی قابل درک نیست. در این برنامه، می توانید از راهنمای دقیق استفاده کنید که هدف آن یا سایر پارامترهای مورد نیاز را توضیح می دهد.

همه برنامه ها محافظت قابل اعتمادی در برابر کرم ها، ویروس های سنتی، ویروس های ایمیل، نرم افزارهای جاسوسی، تروجان ها و غیره ارائه می دهند. بررسی فایل ها در برنامه هایی مانند Dr. وب، NOD 32، هنگام راه اندازی سیستم انجام می شود، اما آنتی ویروس کسپرسکی فایل ها را در لحظه دسترسی به آنها اسکن می کند. آنتی ویروس کسپرسکی، NOD 32، بر خلاف سایرین، دارای یک سیستم حفاظت پیشگیرانه پیشرفته بر اساس الگوریتم های تحلیل اکتشافی است. امکان تنظیم رمز عبور و در نتیجه محافظت از برنامه در برابر ویروس هایی که هدف آنها از بین بردن محافظت آنتی ویروس است. علاوه بر این، Kaspersky Anti-Virus 2009 دارای یک مسدود کننده رفتاری است. آنتی ویروس پاندا، بر خلاف سایرین، از مسدود کردن صفحات وب مشکوک یا محافظت از داده های شخصی پشتیبانی نمی کند. همه این آنتی ویروس ها دارای به روز رسانی خودکار پایگاه داده و یک زمان بندی کار هستند. همچنین این آنتی ویروس ها کاملا سازگار با ویستا هستند. اما همه آنها به جز آنتی ویروس پاندا نیاز دارند که برنامه مشابه دیگری به جز آنها در سیستم وجود نداشته باشد. بر اساس این داده ها، جدولی را تهیه می کنیم.

جدول 1 ویژگی های برنامه های آنتی ویروس

شاخص	آنتی ویروس کسپرسکی 2009	NOD 32	دکتر. وب	آنتی ویروس پاندا
برآورد هزینه	-	-	-	+
رتبه کاربری رابط کاربری	+	+	-
ارزیابی قابلیت استفاده	+	+	+-	-
تجزیه و تحلیل مجموعه ای از قابلیت های فنی	+	+	+	-
برداشت کلی از برنامه	+	+		-

هر یک از آنتی ویروس های بررسی شده به دلایلی محبوبیت خود را به دست آورده اند، اما هیچ راه حل کاملا ایده آلی برای همه دسته های کاربران وجود ندارد.

به نظر من، مفیدترین آنها کسپرسکی آنتی ویروس 2009 و NOD 32 هستند. از آنجایی که آنها تقریباً تمام الزاماتی را که یک برنامه ضد ویروس باید داشته باشد، دارند. این هم یک رابط و هم مجموعه ای از قابلیت های فنی است. به طور کلی، آنها چیزهایی را دارند که برای محافظت از رایانه خود در برابر ویروس ها نیاز دارید.

نتیجه

در پایان کار این دوره، می خواهم بگویم که هدف من - تجزیه و تحلیل مقایسه ای ابزارهای آنتی ویروس مدرن - محقق شده است. در این راستا، وظایف زیر حل شد:

1. ادبیات منتخب در این موضوع.

2. برنامه های آنتی ویروس مختلف را مطالعه کرد.

3. مقایسه برنامه های ضد ویروس انجام شده است.

هنگام تکمیل دوره، با تعدادی از مشکلات مرتبط با یافتن اطلاعات مواجه شدم، زیرا در بسیاری از منابع این اطلاعات نسبتاً متناقض است. و همچنین تجزیه و تحلیل مقایسه ای از مزایا و معایب هر برنامه آنتی ویروس و ساخت جدول محوری.

بار دیگر، شایان ذکر است که هیچ برنامه ضد ویروس جهانی وجود ندارد. هیچ یک از آنها نمی توانند محافظت 100٪ در برابر ویروس ها را تضمین کنند و از بسیاری جهات انتخاب برنامه آنتی ویروس به خود کاربر بستگی دارد.

ادبیات

1. مجله برای کاربران رایانه شخصی "PC World"

2. لئونتیف وی.پی. "آخرین دایره المعارف کامپیوتر شخصی"

3.http://www.viruslist.com

اسکن برای همه ماژول ها، به جز ماژول اسکن کامپیوتر. 1) ماژول ضد هرزنامه برای Outlook Express و Windows Mail قابل اتصال است. پس از نصب Eset Smart Security، نوار ابزاری در Outlook Express یا Windows Mail ظاهر می شود که شامل عملکردهای زیر ماژول ضد هرزنامه است. 2) ماژول ضد هرزنامه در حال کار است ...

ویروس های کامپیوتری برای درمان با کیفیت و صحیح یک برنامه آلوده، آنتی ویروس های تخصصی مورد نیاز است (به عنوان مثال، آنتی ویروس کسپرسکی، دکتر وب و غیره). فصل 2. تجزیه و تحلیل مقایسه ای برنامه های کاربردی ضد ویروس توسعه دهندگان آنتی ویروس اغلب از نتایج آزمایش های مستقل برای اثبات مزایای محصولات خود استفاده می کنند. یکی از اولین کسانی که آنتی ویروس را آزمایش کرد ...

مجموعه VirusBulletin ITW را به خوبی مدیریت می کند - و نه بیشتر. میانگین رتبه بندی آنتی ویروس در تمام تست ها در شکل 1 نشان داده شده است. (به ضمائم شکل 1 مراجعه کنید). فصل 2. استفاده از برنامه های آنتی ویروس 2.1 بررسی آنتی ویروس ایمیل اگر در طلوع توسعه فناوری های رایانه ای کانال اصلی انتشار ویروس ها تبادل فایل های برنامه از طریق فلاپی دیسک بود، پس ...

... (مثلاً دانلود نکردن یا اجرا نکردن برنامه های ناشناخته از اینترنت) احتمال انتشار ویروس ها را کاهش می دهد و نیاز به استفاده از بسیاری از آنتی ویروس ها را از بین می برد. کاربران رایانه مجبور نیستند همیشه با حقوق مدیر کار کنند. اگر آنها از حالت دسترسی کاربر استاندارد استفاده می کردند، برخی از انواع ویروس ها ...

معرفی

1. بخش نظری

1.1 مفهوم امنیت اطلاعات

1.2 انواع تهدیدها

1.3 روش های حفاظت از اطلاعات

2. بخش طراحی

2.1 طبقه بندی ویروس های کامپیوتری

2.2 مفهوم برنامه آنتی ویروس

2.3 انواع ابزارهای آنتی ویروس

2.4 مقایسه بسته های آنتی ویروس

نتیجه

فهرست ادبیات استفاده شده

ضمیمه

معرفی

توسعه فناوری های جدید اطلاعات و کامپیوتری شدن عمومی منجر به این واقعیت شده است که امنیت اطلاعات نه تنها اجباری می شود، بلکه یکی از ویژگی های سیستم های اطلاعاتی نیز می باشد. کلاس نسبتاً گسترده ای از سیستم های پردازش اطلاعات وجود دارد که در توسعه آنها عامل ایمنی نقش اصلی را ایفا می کند.

استفاده گسترده از رایانه های شخصی با ظهور برنامه های ویروسی خود-تکثیر شونده همراه است که از عملکرد عادی رایانه جلوگیری می کند، ساختار فایل دیسک ها را از بین می برد و به اطلاعات ذخیره شده در رایانه آسیب می رساند.

با وجود قوانین مبارزه با جرایم رایانه ای که در بسیاری از کشورها تصویب شده است و توسعه نرم افزارهای ویژه برای محافظت در برابر ویروس ها، تعداد ویروس های نرم افزاری جدید به طور مداوم در حال افزایش است. این امر مستلزم آن است که کاربر رایانه شخصی در مورد ماهیت ویروس ها، نحوه آلوده شدن و محافظت در برابر آنها بداند.

ویروس ها هر روز پیچیده تر می شوند، که منجر به تغییر قابل توجهی در نمایه تهدید می شود. اما بازار نرم افزارهای آنتی ویروس با انبوهی از محصولات رو به جلو است. کاربران آنها که مشکل را فقط به صورت کلی ارائه می دهند، اغلب نکات مهم را از دست می دهند و به جای خود محافظت با توهم محافظت مواجه می شوند.

هدف از این کار درسی انجام تحلیل مقایسه ای بسته های آنتی ویروس است.

برای دستیابی به این هدف، وظایف زیر در کار حل می شود:

بررسی مفاهیم امنیت اطلاعات، ویروس های کامپیوتری و ابزارهای ضد ویروس؛

تعیین انواع تهدیدات برای امنیت اطلاعات، روش های حفاظت؛

مطالعه طبقه بندی ویروس های کامپیوتری و برنامه های آنتی ویروس؛

انجام تجزیه و تحلیل مقایسه ای بسته های ضد ویروس؛

یک برنامه آنتی ویروس ایجاد کنید.

اهمیت عملی کار.

نتایج به دست آمده، مواد کار دوره را می توان به عنوان مبنایی برای مقایسه خود برنامه های ضد ویروس استفاده کرد.

ساختار کار دوره.

این کار درسی شامل یک مقدمه، دو بخش، یک نتیجه‌گیری، فهرستی از ادبیات استفاده شده است.

آنتی ویروس امنیتی کامپیوتری

1. بخش نظری

در فرآیند انجام تحلیل مقایسه ای بسته های آنتی ویروس، لازم است مفاهیم زیر تعریف شود:

1 امنیت اطلاعات

2 انواع تهدید

3 روش های حفاظت از اطلاعات.

بیایید به بررسی دقیق این مفاهیم بپردازیم:

1.1 مفهوم امنیت اطلاعات

با وجود تلاش های روزافزون برای ایجاد فناوری های حفاظت از داده ها، آسیب پذیری آنها در شرایط مدرن نه تنها کاهش نمی یابد، بلکه دائماً در حال افزایش است. بنابراین، فوریت مشکلات مربوط به حفاظت از اطلاعات در حال افزایش است.

مشکل حفاظت از اطلاعات چند وجهی و پیچیده است و تعدادی از وظایف مهم را در بر می گیرد. به عنوان مثال، محرمانه بودن داده ها که با استفاده از روش ها و وسایل مختلف تضمین می شود. لیست وظایف مشابه برای محافظت از اطلاعات را می توان ادامه داد. توسعه فشرده فناوری های نوین اطلاعات و به ویژه فناوری های شبکه، همه پیش نیازها را برای این امر ایجاد می کند.

حفاظت از اطلاعات مجموعه ای از اقدامات با هدف اطمینان از یکپارچگی، در دسترس بودن و در صورت لزوم محرمانه بودن اطلاعات و منابعی است که برای ورود، ذخیره سازی، پردازش و انتقال داده ها استفاده می شود.

تا به امروز، دو اصل اساسی برای حفاظت از اطلاعات تدوین شده است:

1 یکپارچگی داده - محافظت در برابر خرابی هایی که منجر به از دست دادن اطلاعات می شود و همچنین محافظت در برابر ایجاد یا تخریب غیرمجاز داده ها.

2 محرمانه بودن اطلاعات

حفاظت در برابر خرابی هایی که منجر به از دست رفتن اطلاعات می شود در جهت افزایش قابلیت اطمینان عناصر و سیستم های مجزا انجام می شود که ورودی، ذخیره سازی، پردازش و انتقال داده ها، تکثیر و پشتیبان گیری از عناصر و سیستم های فردی، استفاده از انواع مختلف از جمله خود مختار، منابع برق، افزایش سطح صلاحیت کاربر، محافظت در برابر اقدامات غیر عمدی و عمدی که منجر به خرابی تجهیزات، تخریب یا تغییر (اصلاح) نرم افزار و اطلاعات محافظت شده می شود.

حفاظت در برابر ایجاد یا تخریب غیرمجاز داده ها با حفاظت فیزیکی اطلاعات، تحدید حدود و محدودیت دسترسی به عناصر اطلاعات محافظت شده، بسته شدن اطلاعات محافظت شده در فرآیند پردازش مستقیم آن، توسعه سیستم های نرم افزاری و سخت افزاری، دستگاه ها و نرم افزارهای تخصصی تضمین می شود. برای جلوگیری از دسترسی غیرمجاز به اطلاعات محافظت شده

محرمانه بودن اطلاعات با شناسایی و احراز هویت افراد دسترسی در هنگام ورود به سیستم با شناسه و رمز عبور، شناسایی دستگاه های خارجی توسط آدرس های فیزیکی، شناسایی برنامه ها، حجم ها، فهرست ها، فایل ها بر اساس نام، رمزگذاری و رمزگشایی اطلاعات، تعیین حدود و کنترل تضمین می شود. از دسترسی به آن

از جمله اقداماتی که با هدف حفاظت از اطلاعات انجام می شود، مهمترین آنها فنی، سازمانی و قانونی است.

اقدامات فنی شامل محافظت در برابر دسترسی غیرمجاز به سیستم، افزونگی زیرسیستم‌های کامپیوتری حیاتی، سازماندهی شبکه‌های کامپیوتری با قابلیت توزیع مجدد منابع در صورت نقص عملکرد لینک‌های فردی، نصب سیستم‌های منبع تغذیه پشتیبان، تجهیز محل به قفل، نصب آلارم ها و غیره

اقدامات سازمانی عبارتند از: حفاظت از مرکز محاسبات (اتاق های علوم کامپیوتر). انعقاد قرارداد برای نگهداری تجهیزات کامپیوتری با یک سازمان معتبر و معتبر؛ محرومیت از امکان کار بر روی تجهیزات کامپیوتری توسط افراد غریبه، افراد تصادفی و غیره.

اقدامات قانونی شامل توسعه هنجارهایی است که مسئولیت ناتوانی تجهیزات رایانه ای و تخریب (تغییر) نرم افزار، کنترل عمومی بر توسعه دهندگان و کاربران سیستم ها و برنامه های رایانه ای را ایجاد می کند.

لازم به تاکید است که هیچ سخت افزار، نرم افزار یا هیچ راه حل دیگری نمی تواند اطمینان و امنیت مطلق داده ها را در سیستم های کامپیوتری تضمین کند. در عین حال، کاهش خطر ضرر به حداقل ممکن است، اما تنها با یک رویکرد یکپارچه برای حفاظت از اطلاعات.

1.2 انواع تهدیدها

تهدیدهای غیرفعال عمدتاً با هدف استفاده غیرمجاز از منابع اطلاعاتی سیستم اطلاعاتی بدون تأثیر بر عملکرد آن است. مثلا دسترسی غیرمجاز به پایگاه های اطلاعاتی، استراق سمع کانال های ارتباطی و غیره.

تهدیدهای فعال با هدف ایجاد اختلال در عملکرد عادی سیستم اطلاعاتی از طریق تأثیرگذاری هدفمند بر اجزای آن است. تهدیدهای فعال عبارتند از، به عنوان مثال، از کار افتادن یک کامپیوتر یا سیستم عامل آن، از بین رفتن نرم افزار کامپیوتر، اختلال در خطوط ارتباطی و غیره. منبع تهدیدات فعال می تواند اقدامات هکرها، بدافزارها و موارد مشابه باشد.

تهدیدهای عمدی نیز به دو دسته داخلی (که در سازمان کنترل شده به وجود می آیند) و خارجی تقسیم می شوند.

تهدیدهای داخلی اغلب توسط تنش های اجتماعی و جو اخلاقی دشوار تعیین می شود.

تهدیدهای خارجی می تواند ناشی از رفتار بد رقبا، شرایط اقتصادی و سایر علل (مانند بلایای طبیعی) باشد.

تهدیدهای اصلی امنیت اطلاعات و عملکرد عادی سیستم اطلاعاتی عبارتند از:

نشت اطلاعات محرمانه؛

اطلاعات مخرب؛

استفاده غیرمجاز از منابع اطلاعاتی؛

استفاده نادرست از منابع اطلاعاتی؛

تبادل غیرمجاز اطلاعات بین مشترکین؛

امتناع از اطلاعات؛

نقض خدمات اطلاعاتی؛

استفاده غیرقانونی از امتیازات

نشت اطلاعات محرمانه عبارت است از خروج کنترل نشده اطلاعات محرمانه خارج از سیستم اطلاعاتی یا دایره افرادی که در خدمات به آنها سپرده شده یا در جریان کار شناخته شده است. این نشت ممکن است به دلیل:

افشای اطلاعات محرمانه؛

انتقال اطلاعات از طریق کانال های مختلف، عمدتاً فنی؛

دسترسی غیرمجاز به اطلاعات محرمانه از طرق مختلف.

افشای اطلاعات توسط صاحب یا دارنده آن، اقدامات عمدی یا سهل‌آمیز مقامات و کاربرانی است که اطلاعات مربوطه به روش مقرر در سرویس یا کار به آنها سپرده شده است، که منجر به آشنایی افرادی که در این زمینه پذیرفته نشده‌اند. اطلاعات

خروج کنترل نشده اطلاعات محرمانه از طریق کانال های بصری-اپتیکی، صوتی، الکترومغناطیسی و غیره امکان پذیر است.

دسترسی غیرمجاز عبارت است از توقیف غیرقانونی و عمدی اطلاعات محرمانه توسط شخصی که حق دسترسی به اطلاعات محافظت شده را ندارد.

رایج ترین راه های دسترسی غیرمجاز به اطلاعات عبارتند از:

رهگیری انتشارات الکترونیکی؛

استفاده از وسایل شنود؛

عکاسی از راه دور؛

رهگیری انتشارات صوتی و بازیابی متن چاپگر.

کپی کردن حامل های اطلاعات با غلبه بر اقدامات حفاظتی؛

تغییر چهره به عنوان یک کاربر ثبت نام شده؛

مبدل کردن به عنوان درخواست سیستم.

استفاده از تله های نرم افزاری؛

استفاده از معایب زبان های برنامه نویسی و سیستم عامل ها؛

اتصال غیرقانونی به تجهیزات و خطوط ارتباطی سخت افزاری با طراحی خاص که دسترسی به اطلاعات را فراهم می کند.

غیرفعال کردن مخرب مکانیسم های حفاظتی؛

رمزگشایی اطلاعات رمزگذاری شده توسط برنامه های خاص.

عفونت های اطلاعاتی

راه های فهرست شده دسترسی غیرمجاز نیازمند دانش فنی کافی و توسعه سخت افزاری یا نرم افزاری مناسب از سوی مهاجم است. به عنوان مثال، از کانال های نشت فنی استفاده می شود - این مسیرهای فیزیکی از منبع اطلاعات محرمانه به مهاجم هستند که از طریق آنها می توان اطلاعات محافظت شده را به دست آورد. علت نشتی کانال ها نقص ساختاری و فناوری در محلول های مدار یا سایش عملیاتی عناصر است. همه اینها به سارقان اجازه می دهد تا مبدل هایی ایجاد کنند که بر اساس اصول فیزیکی خاصی کار می کنند، که یک کانال انتقال اطلاعات ذاتی در این اصول را تشکیل می دهد - یک کانال نشت.

با این حال، راه های کاملاً ابتدایی دسترسی غیرمجاز نیز وجود دارد:

سرقت ضایعات رسانه ای و مستند;

همکاری فعال؛

تشویق همکاری از سوی کراکر؛

برانگیختن؛

استراق سمع؛

مشاهده و راه های دیگر.

هر گونه روش نشت اطلاعات محرمانه می تواند منجر به خسارات مادی و معنوی قابل توجهی هم برای سازمانی که سیستم اطلاعاتی در آن فعالیت می کند و هم برای کاربران آن باشد.

برنامه های مخرب بسیار متنوعی وجود دارد و دائماً در حال توسعه است که هدف آنها آسیب رساندن به اطلاعات پایگاه داده ها و نرم افزارهای رایانه ای است. تعداد زیادی از انواع این برنامه ها اجازه توسعه ابزارهای دائمی و قابل اعتماد محافظت در برابر آنها را نمی دهد.

اعتقاد بر این است که ویروس دو ویژگی اصلی دارد:

توانایی بازتولید خود؛

توانایی تداخل در فرآیند محاسباتی (برای به دست آوردن قابلیت های کنترلی).

استفاده غیرمجاز از منابع اطلاعاتی، از یک سو، نتیجه نشت آن و وسیله ای برای به خطر انداختن آن است. از طرف دیگر معنای مستقلی دارد زیرا می تواند آسیب زیادی به سیستم مدیریت شده یا مشترکین آن وارد کند.

استفاده نادرست از منابع اطلاعاتی، در صورت مجاز بودن، می تواند منجر به تخریب، نشت یا به خطر افتادن این منابع شود.

تبادل غیرمجاز اطلاعات بین مشترکین می تواند منجر به دریافت اطلاعات توسط یکی از آنها شود که دسترسی به آنها ممنوع است. عواقب آن مانند دسترسی غیرمجاز است.

1.3 روش های حفاظت از اطلاعات

ایجاد سیستم های امنیت اطلاعات بر اساس اصول زیر است:

1 یک رویکرد سیستماتیک برای ساختن یک سیستم حفاظتی، که به معنای ترکیب بهینه از سازمانی مرتبط، نرم افزار، است. ویژگی‌های سخت‌افزاری، فیزیکی و سایر ویژگی‌ها، که توسط عمل ایجاد سیستم‌های حفاظتی داخلی و خارجی تأیید شده و در تمام مراحل چرخه فناوری پردازش اطلاعات استفاده می‌شود.

2 اصل توسعه مستمر سیستم. این اصل، که یکی از اصول اساسی برای سیستم های اطلاعات کامپیوتری است، حتی برای سیستم های امنیت اطلاعات بیشتر مرتبط است. روش‌های اجرای تهدیدات علیه اطلاعات به طور مداوم در حال بهبود هستند و بنابراین تضمین امنیت سیستم‌های اطلاعاتی نمی‌تواند اقدامی یکباره باشد. این یک فرآیند مستمر است که شامل توجیه و اجرای منطقی ترین روش ها، روش ها و روش های بهبود سیستم های امنیت اطلاعات، نظارت مستمر، شناسایی گلوگاه ها و نقاط ضعف آن، کانال های احتمالی نشت اطلاعات و روش های جدید دسترسی غیرمجاز است.

3 اطمینان از قابلیت اطمینان سیستم حفاظتی، یعنی عدم امکان کاهش سطح اطمینان در صورت خرابی، خرابی، اقدامات عمدی سارق یا خطاهای غیرعمدی کاربران و پرسنل خدمات در سیستم.

4 حصول اطمینان از کنترل عملکرد سیستم حفاظتی، یعنی ایجاد ابزار و روش هایی برای نظارت بر عملکرد مکانیسم های حفاظتی.

5 ارائه انواع ابزارهای ضد بدافزار.

6 اطمینان از امکان سنجی اقتصادی استفاده از سیستم. حفاظت، که در بیش از حد آسیب احتمالی ناشی از اجرای تهدیدها بیش از هزینه توسعه و راه اندازی سیستم های امنیت اطلاعات بیان می شود.

در نتیجه حل مشکلات امنیت اطلاعات، سیستم های اطلاعاتی مدرن باید دارای ویژگی های اصلی زیر باشند:

در دسترس بودن اطلاعات با درجات مختلف محرمانه بودن؛

ارائه حفاظت رمزنگاری از اطلاعات با درجات مختلف محرمانگی در طول انتقال داده ها؛

کنترل اجباری جریان اطلاعات، هم در شبکه های محلی و هم در حین انتقال از طریق کانال های ارتباطی از راه دور.

وجود مکانیزمی برای ثبت و ضبط تلاش های دسترسی غیرمجاز، رویدادها در سیستم اطلاعاتی و اسناد چاپ شده؛

تضمین اجباری یکپارچگی نرم افزار و اطلاعات؛

در دسترس بودن وسایل برای بازگرداندن سیستم حفاظت از اطلاعات؛

ثبت اجباری رسانه های مغناطیسی؛

در دسترس بودن امنیت فیزیکی برای تجهیزات کامپیوتری و رسانه های مغناطیسی؛

وجود سرویس امنیت اطلاعات ویژه سامانه.

روش ها و ابزارهای امنیت اطلاعات

مانع روشی برای مسدود کردن فیزیکی مسیر مهاجم به اطلاعات محافظت شده است.

کنترل دسترسی - روش های حفاظت از اطلاعات با تنظیم استفاده از همه منابع. این روش ها باید در برابر همه راه های ممکن دسترسی غیرمجاز به اطلاعات مقاومت کنند. کنترل دسترسی شامل ویژگی های امنیتی زیر است:

شناسایی کاربران، پرسنل و منابع سیستم (تخصیص یک شناسه شخصی برای هر شی).

شناسایی یک شی یا موضوع توسط شناسه ارائه شده توسط او.

مجوز و ایجاد شرایط کار در چارچوب مقررات تعیین شده.

ثبت تماس با منابع حفاظت شده؛

پاسخ به تلاش برای اقدامات غیرمجاز.

مکانیسم های رمزگذاری - بسته شدن رمزنگاری اطلاعات. این روش های حفاظتی به طور فزاینده ای هم در پردازش و هم در ذخیره سازی اطلاعات در رسانه های مغناطیسی استفاده می شوند. هنگام انتقال اطلاعات از طریق کانال های ارتباطی از راه دور، این روش تنها روش قابل اعتماد است.

مقابله با حملات بدافزار شامل انواع اقدامات سازمانی و استفاده از برنامه های آنتی ویروس است.

کل مجموعه ابزار فنی به سخت افزار و فیزیکی تقسیم می شود.

سخت افزار - دستگاه هایی که مستقیماً در تجهیزات محاسباتی ساخته می شوند یا دستگاه هایی که از طریق یک رابط استاندارد با آن ارتباط برقرار می کنند.

وسایل فیزیکی شامل دستگاه ها و سازه های مهندسی مختلف است که از نفوذ فیزیکی متجاوزان به اشیاء حفاظتی جلوگیری می کند و از پرسنل (تجهیزات امنیتی شخصی)، منابع مادی و مالی، اطلاعات در برابر اقدامات غیرقانونی محافظت می کند.

ابزارهای نرم افزاری برنامه ها و سیستم های نرم افزاری خاصی هستند که برای محافظت از اطلاعات در سیستم های اطلاعاتی طراحی شده اند.

از ابزارهای نرم افزاری سیستم حفاظتی، لازم است ابزارهای نرم افزاری را نیز که مکانیسم های رمزگذاری (رمزنگاری) را پیاده سازی می کنند، جدا کنیم. رمزنگاری علم حصول اطمینان از محرمانه بودن و/یا صحت پیام های ارسالی است.

ابزارهای سازمانی مقررات پیچیده خود را در زمینه فعالیت های تولیدی در سیستم های اطلاعاتی و روابط مجریان بر مبنای نظارتی و قانونی انجام می دهند به گونه ای که افشای، نشت و دسترسی غیرمجاز به اطلاعات محرمانه با اقدامات سازمانی غیرممکن یا به طور قابل توجهی با مشکل مواجه می شود.

راه حل های حقوقی توسط اقدامات قانونی کشور تعیین می شود که قوانین استفاده، پردازش و انتقال اطلاعات با دسترسی محدود را تنظیم می کند و اقدامات مسئولیت را برای نقض این قوانین تعیین می کند.

ابزارهای اخلاقی و اخلاقی حفاظت شامل انواع هنجارهای رفتاری است که به طور سنتی قبلاً ایجاد شده است، با انتشار اطلاعات در کشور و جهان شکل می گیرد یا به طور خاص توسعه می یابد. استانداردهای اخلاقی و اخلاقی می توانند نانوشته یا در مجموعه ای از قوانین یا مقررات مشخص شوند. این هنجارها قاعدتاً مورد تأیید قانونی نیستند، اما از آنجایی که رعایت نکردن آنها منجر به کاهش اعتبار سازمان می شود، الزام آور تلقی می شوند.

2. بخش طراحی

در قسمت طراحی مراحل زیر باید طی شود:

1 مفهوم ویروس کامپیوتری و طبقه بندی ویروس های کامپیوتری را تعریف کنید.

2 مفهوم برنامه ضد ویروس و طبقه بندی ابزارهای ضد ویروس را تعریف کنید.

3 تجزیه و تحلیل مقایسه ای بسته های آنتی ویروس انجام دهید.

2.1 طبقه بندی ویروس های کامپیوتری

ویروس برنامه‌ای است که می‌تواند برنامه‌های دیگر را با گنجاندن یک نسخه اصلاح‌شده با قابلیت تکثیر بیشتر در آنها آلوده کند.

ویروس ها را می توان با توجه به ویژگی های اصلی زیر به کلاس هایی تقسیم کرد:

فرصت های مخرب

ویژگی های الگوریتم کار؛

زیستگاه؛

با توجه به قابلیت های مخرب خود، ویروس ها را می توان به موارد زیر تقسیم کرد:

بی ضرر ، یعنی به هیچ وجه بر عملکرد رایانه تأثیر نمی گذارد (به جز کاهش فضای آزاد دیسک در نتیجه توزیع آنها).

غیر خطرناک که تأثیر آن به کاهش حافظه آزاد دیسک و جلوه های گرافیکی، صوتی و دیگر محدود می شود.

ویروس های خطرناکی که می توانند منجر به نقص جدی در رایانه شما شوند.

بسیار خطرناک است، در الگوریتم عملیاتی که رویه هایی عمداً گنجانده شده است که می تواند منجر به از بین رفتن برنامه ها، از بین بردن داده ها، پاک کردن اطلاعات لازم برای عملکرد رایانه، ثبت شده در مناطق حافظه سیستم شود.

ویژگی های الگوریتم عملیات ویروس را می توان با ویژگی های زیر مشخص کرد:

اقامت;

استفاده از الگوریتم های مخفی کاری؛

پلی مورفیسم؛

ویروس های مقیم

اصطلاح "Residency" به توانایی ویروس ها برای به جا گذاشتن نسخه هایی از خود در حافظه سیستم، رهگیری برخی رویدادها و فراخوانی روش های آلودگی برای اشیاء شناسایی شده (فایل ها و بخش ها) اشاره دارد. بنابراین، ویروس‌های مقیم حافظه نه تنها در هنگام اجرای برنامه آلوده، بلکه پس از پایان کار برنامه نیز فعال هستند. کپی های مقیم چنین ویروس هایی تا راه اندازی مجدد بعدی قابل اجرا می مانند، حتی اگر همه فایل های آلوده روی دیسک از بین بروند. خلاص شدن از شر چنین ویروس هایی با بازگردانی تمام کپی فایل ها از دیسک های توزیع یا نسخه های پشتیبان اغلب غیرممکن است. کپی مقیم ویروس فعال باقی می ماند و فایل های تازه ایجاد شده را آلوده می کند. همین امر در مورد ویروس های بوت نیز صدق می کند - فرمت کردن دیسک زمانی که یک ویروس مقیم در حافظه وجود دارد همیشه دیسک را درمان نمی کند، زیرا بسیاری از ویروس های مقیم پس از فرمت شدن دیسک را دوباره آلوده می کنند.

ویروس‌های مقیم غیرحافظه از سوی دیگر، ویروس‌های ساکن غیرحافظه برای مدت زمان نسبتاً کوتاهی فعال هستند - فقط در لحظه‌ای که برنامه آلوده راه‌اندازی می‌شود. برای توزیع آنها، فایل های آلوده نشده را روی دیسک جستجو می کنند و برای آنها می نویسند. پس از اینکه کد ویروس کنترل را به برنامه میزبان منتقل می کند، تأثیر ویروس بر عملکرد سیستم عامل تا راه اندازی بعدی یک برنامه آلوده به صفر می رسد. بنابراین، حذف فایل های آلوده به ویروس های غیر مقیم از دیسک و در عین حال جلوگیری از آلوده شدن مجدد آنها توسط ویروس بسیار آسان تر است.

ویروس های مخفی. ویروس های مخفیانه واقعیت حضور خود را در سیستم به یک طریق پنهان می کنند. استفاده از الگوریتم های مخفی به ویروس ها اجازه می دهد تا به طور کامل یا جزئی خود را در سیستم پنهان کنند. رایج ترین الگوریتم پنهان کاری، رهگیری درخواست های سیستم عامل برای خواندن (نوشتن) اشیاء آلوده است. در این مورد، ویروس‌های مخفی یا به طور موقت آنها را درمان می‌کنند، یا مناطق غیر آلوده اطلاعات را در جای خود «جایگزین» می‌کنند. در مورد ویروس های ماکرو، محبوب ترین راه ممنوع کردن تماس با منوی نمایش ماکرو است. همه انواع ویروس های مخفی شناخته شده اند، به استثنای ویروس های ویندوز - ویروس های بوت، ویروس های فایل DOS و حتی ویروس های ماکرو. پیدایش ویروس‌های مخفی که فایل‌های ویندوز را آلوده می‌کنند، به احتمال زیاد موضوع زمان است.

ویروس های چند شکلی رمزگذاری خود و پلی مورفیسم تقریباً توسط همه انواع ویروس ها استفاده می شود تا روند تشخیص ویروس تا حد امکان دشوار شود. تشخیص ویروس‌های چند شکلی بسیار دشوار است، یعنی ویروس‌هایی که دارای امضا نیستند، یعنی حاوی یک بخش دائمی از کد نیستند. در بیشتر موارد، دو نمونه از یک ویروس چندشکلی یکسانی ندارند. این با رمزگذاری بدنه اصلی ویروس و اصلاح برنامه رمزگشایی به دست می آید.

ویروس‌های چند شکلی شامل ویروس‌هایی هستند که با استفاده از ماسک‌های ویروسی - بخش‌هایی از کد ثابت مخصوص یک ویروس خاص - قابل شناسایی نیستند. این به دو روش اصلی به دست می آید - با رمزگذاری کد اصلی ویروس با یک فریاد بی ثبات و مجموعه ای تصادفی از دستورات رمزگشایی، یا با تغییر کد اجرایی خود ویروس. چند شکلی با درجات مختلف پیچیدگی در انواع ویروس ها یافت می شود - از ویروس های بوت و فایل DOS گرفته تا ویروس های ویندوز.

بر اساس زیستگاه، ویروس ها را می توان به موارد زیر تقسیم کرد:

فایل؛

چکمه؛

ماکرو ویروس ها؛

شبکه.

ویروس های فایل ویروس های فایل یا به روش های مختلف به فایل های اجرایی تزریق می شوند یا فایل های تکراری (ویروس های همراه) ایجاد می کنند یا از ویژگی های سازمان فایل سیستم (ویروس های پیوند) استفاده می کنند.

یک ویروس فایل را می توان تقریبا به تمام فایل های اجرایی همه سیستم عامل های محبوب تزریق کرد. امروزه، ویروس‌هایی شناخته شده‌اند که همه انواع اشیاء اجرایی استاندارد DOS را آلوده می‌کنند: فایل‌های دسته‌ای (BAT)، درایورهای قابل بارگذاری (SYS، از جمله فایل‌های ویژه IO.SYS و MSDOS.SYS)، و باینری‌های اجرایی (EXE، COM). ویروس هایی وجود دارند که فایل های اجرایی سایر سیستم عامل ها را آلوده می کنند - Windows 3.x، Windows95 / NT، OS / 2، Macintosh، UNIX، از جمله درایورهای Windows 3.x و Windows95 VxD.

ویروس‌هایی وجود دارند که فایل‌های حاوی کد منبع برنامه‌ها، کتابخانه یا ماژول‌های شی را آلوده می‌کنند. نوشتن یک ویروس در فایل های داده امکان پذیر است، اما این اتفاق می افتد یا در نتیجه یک خطای ویروس، یا زمانی که ویژگی های تهاجمی آن آشکار می شود. ویروس‌های ماکرو نیز کد خود را در فایل‌های داده – اسناد یا صفحات گسترده می‌نویسند، اما این ویروس‌ها آنقدر خاص هستند که در یک گروه جداگانه قرار می‌گیرند.

ویروس ها را بوت کنید. ویروس های بوت بخش بوت فلاپی دیسک و بخش بوت یا Master Boot Record (MBR) هارد دیسک را آلوده می کنند. اصل عملکرد ویروس های بوت بر اساس الگوریتم های راه اندازی سیستم عامل هنگام روشن یا راه اندازی مجدد رایانه است - پس از آزمایش های لازم سخت افزار نصب شده (حافظه، دیسک و غیره)، برنامه بوت اولین فیزیکی را می خواند. بخش دیسک بوت (A:، C: یا CD-ROM بسته به پارامترهای تنظیم شده در BIOS Setup) و کنترل را به آن منتقل می کند.

در مورد فلاپی دیسک یا CD-ROM، بخش بوت کنترل را دریافت می کند که جدول پارامترهای دیسک (BPB - BIOS Parameter Block) را تجزیه و تحلیل می کند، آدرس فایل های سیستم عامل را محاسبه می کند، آنها را در حافظه می خواند و راه اندازی می کند. برای اعدام فایل های سیستم معمولاً MSDOS.SYS و IO.SYS یا IBMDOS.COM و IBMBIO.COM یا موارد دیگر بسته به نسخه DOS، Windows یا سایر سیستم عامل های نصب شده هستند. اگر فایل های سیستم عامل روی دیسک بوت وجود نداشته باشد، برنامه ای که در بخش بوت دیسک قرار دارد یک پیغام خطا نشان می دهد و پیشنهاد می کند دیسک بوت را جایگزین کند.

در مورد هارد دیسک، برنامه واقع در MBR هارد دیسک کنترل می شود. این برنامه جدول پارتیشن دیسک را تجزیه و تحلیل می کند، آدرس بخش بوت فعال را محاسبه می کند (معمولا این بخش بخش بوت درایو C است، آن را در حافظه بارگذاری می کند و کنترل را به آن منتقل می کند. پس از دریافت کنترل، بخش بوت فعال هارد درایو همان اقداماتی را انجام می دهد که بخش بوت فلاپی انجام می شود.

هنگامی که دیسک ها را آلوده می کنند، ویروس های بوت کد خود را با هر برنامه ای که در هنگام راه اندازی سیستم کنترل می شود، "جایگزین" می کنند. بنابراین، اصل آلودگی در تمام روش‌هایی که در بالا توضیح داده شد یکسان است: ویروس سیستم را مجبور می‌کند تا هنگام راه‌اندازی مجدد آن را در حافظه بخواند و کنترل را نه به کد بوت لودر اصلی، بلکه به کد ویروس بدهد.

فلاپی دیسک ها به تنها راه شناخته شده آلوده می شوند - ویروس به جای کد اصلی بخش بوت فلاپی، کد خود را می نویسد. هارد دیسک به سه روش ممکن آلوده می شود - ویروس یا به جای کد MBR یا به جای کد بخش بوت دیسک بوت (معمولاً درایو C، یا آدرس بخش بوت فعال در پارتیشن دیسک را تغییر می دهد، خود را می نویسد. جدولی که در MBR هارد دیسک قرار دارد.

ماکرو ویروس ها ویروس های ماکرو فایل ها، اسناد و صفحات گسترده چندین ویرایشگر محبوب را آلوده می کنند. ماکرو ویروس‌ها برنامه‌هایی به زبان‌ها (زبان‌های کلان) هستند که در برخی از سیستم‌های پردازش داده جاسازی شده‌اند. برای تولید مثل خود، چنین ویروس هایی از قابلیت های زبان های کلان استفاده می کنند و با کمک آنها خود را از یک فایل آلوده به فایل های دیگر منتقل می کنند. گسترده ترین ویروس های ماکرو برای Microsoft Word، Excel و Office97 هستند. همچنین ویروس های ماکرو وجود دارند که اسناد Ami Pro و پایگاه داده های Microsoft Access را آلوده می کنند.

ویروس های شبکه ویروس های شبکه شامل ویروس هایی هستند که به طور فعال از پروتکل ها و قابلیت های شبکه های محلی و جهانی برای توزیع خود استفاده می کنند. اصل اساسی یک ویروس شبکه توانایی انتقال مستقل کد خود به یک سرور یا ایستگاه کاری راه دور است. ویروس‌های شبکه «کامل» همچنین این توانایی را دارند که کد خود را بر روی یک رایانه از راه دور اجرا کنند یا حداقل، کاربر را برای راه‌اندازی یک فایل آلوده «هل» کنند. نمونه ای از ویروس های شبکه، کرم های IRC هستند.

IRC (Internet Relay Chat) یک پروتکل ویژه است که برای ارتباط بلادرنگ بین کاربران اینترنت ایجاد شده است. این پروتکل امکان "مکالمه" Itrernet را با کمک نرم افزارهای توسعه یافته ویژه در اختیار آنها قرار می دهد. علاوه بر شرکت در کنفرانس‌های عمومی، کاربران IRC این امکان را دارند که با هر کاربر دیگری چت کنند. علاوه بر این، تعداد کمی از دستورات IRC وجود دارد که با آن کاربر می تواند اطلاعاتی در مورد سایر کاربران و کانال ها دریافت کند، برخی از تنظیمات مشتری IRC را تغییر دهد و غیره. همچنین امکان ارسال و دریافت فایل ها وجود دارد - این قابلیتی است که کرم های IRC بر اساس آن ساخته شده اند. سیستم فرماندهی قدرتمند و گسترده کلاینت‌های IRC، بر اساس اسکریپت‌های آنها، اجازه می‌دهد تا ویروس‌های رایانه‌ای ایجاد کنند که کدهای خود را به رایانه‌های کاربران شبکه‌های IRC، به اصطلاح «کرم‌های IRC» منتقل می‌کنند. اصل عملکرد چنین کرم های IRC تقریباً یکسان است. با استفاده از دستورات IRC، یک فایل اسکریپت (اسکریپت) به طور خودکار از رایانه آلوده برای هر کاربری که دوباره به کانال پیوسته ارسال می شود. فایل اسکریپت ارسال شده جایگزین فایل استاندارد می شود و در جلسه بعدی، کلاینت تازه آلوده کرم را ارسال می کند. برخی از کرم‌های IRC حاوی یک جزء تروجان هستند: برای کلمات کلیدی مشخص، آنها اقدامات مخربی را روی رایانه‌های آلوده انجام می‌دهند. به عنوان مثال، کرم "pIRCH.Events" بر اساس یک دستور خاص، تمام فایل های روی دیسک کاربر را پاک می کند.

ترکیبات زیادی وجود دارد - به عنوان مثال، ویروس های بوت فایل که هم فایل ها و هم بخش های بوت دیسک را آلوده می کنند. چنین ویروس هایی، به عنوان یک قاعده، الگوریتم کار نسبتا پیچیده ای دارند، اغلب از روش های اصلی نفوذ به سیستم استفاده می کنند، از فناوری های مخفی کاری و چند شکلی استفاده می کنند. نمونه دیگری از چنین ترکیبی یک ویروس ماکرو شبکه است که نه تنها اسناد ویرایش شده را آلوده می کند، بلکه کپی هایی از خود را نیز از طریق ایمیل ارسال می کند.

علاوه بر این طبقه بندی، باید چند کلمه در مورد سایر بدافزارها نیز گفت که گاهی اوقات با ویروس ها اشتباه گرفته می شوند. این برنامه‌ها مانند ویروس‌ها توانایی خودتکثیر را ندارند، اما می‌توانند آسیب‌های مخربی را به همان اندازه وارد کنند.

اسب های تروا (بمب های منطقی یا بمب های ساعتی).

اسب های تروجان برنامه هایی هستند که هر گونه اقدام مخربی ایجاد می کنند، یعنی بسته به هر شرایطی و یا هر بار که راه اندازی می شوند، اطلاعات روی دیسک ها را از بین می برند، سیستم را "قطع" می کنند و غیره. به عنوان مثال، می‌توانیم چنین موردی را ذکر کنیم - زمانی که چنین برنامه‌ای در طول یک جلسه در اینترنت، شناسه‌های نویسنده و رمزهای عبور خود را از رایانه‌هایی که در آن زندگی می‌کرد ارسال می‌کرد. بیشتر اسب‌های تروجان شناخته شده برنامه‌هایی هستند که شبیه برنامه‌های مفید، نسخه‌های جدید ابزارهای محبوب یا افزونه‌های آن‌ها «جعلی» هستند. اغلب آنها به ایستگاه های BBS یا کنفرانس های الکترونیکی ارسال می شوند. در مقایسه با ویروس‌ها، اسب‌های تروجان به دلایل زیر گسترده نیستند - آنها یا خود را به همراه بقیه داده‌های روی دیسک از بین می‌برند، یا حضور آنها را پنهان می‌کنند و توسط کاربر آسیب‌دیده از بین می‌روند.

2.2 مفهوم برنامه آنتی ویروس

روش های مقابله با ویروس های کامپیوتری را می توان به چند گروه تقسیم کرد:

پیشگیری از عفونت ویروسی و کاهش آسیب مورد انتظار از این عفونت.

روش استفاده از برنامه های ضد ویروس، از جمله خنثی سازی و حذف یک ویروس شناخته شده؛

روش های شناسایی و حذف یک ویروس ناشناخته

پیشگیری از عفونت کامپیوتر

یکی از روش های اصلی مبارزه با ویروس ها، مانند پزشکی، پیشگیری به موقع است. پیشگیری از رایانه شامل رعایت تعداد کمی از قوانین است که می تواند احتمال ابتلا به ویروس و از دست دادن هرگونه داده را به میزان قابل توجهی کاهش دهد.

برای تعیین قوانین اساسی "بهداشت" رایانه، لازم است راه های اصلی نفوذ ویروس به رایانه و شبکه های رایانه ای را دریابید.

منبع اصلی ویروس ها امروزه اینترنت جهانی است. بیشترین تعداد آلودگی به ویروس هنگام تبادل پیام در فرمت های Word / Office97 رخ می دهد. کاربر ویرایشگر آلوده به ویروس ماکرو، بدون اینکه به آن مشکوک باشد، پیام های آلوده را برای گیرندگان ارسال می کند، آنها نیز به نوبه خود پیام های آلوده جدید و غیره را ارسال می کنند. از تماس با منابع اطلاعاتی مشکوک باید اجتناب شود و فقط باید از محصولات نرم افزاری قانونی (مجوز) استفاده شود.

بازیابی اشیاء آسیب دیده.

در بیشتر موارد آلودگی به ویروس، روند بازیابی فایل‌ها و دیسک‌های آلوده به اجرای یک آنتی ویروس مناسب خلاصه می‌شود که می‌تواند سیستم را خنثی کند. اگر ویروس برای هر آنتی ویروسی ناشناخته باشد، کافی است فایل آلوده را برای تولیدکنندگان آنتی ویروس ارسال کنید و پس از مدتی یک داروی "به روز رسانی" علیه ویروس دریافت کنید. اگر زمان صبر نکرد، باید خودتان ویروس را خنثی کنید. اکثر کاربران نیاز به پشتیبان گیری از اطلاعات خود دارند.

ابزارهای امنیت اطلاعات عمومی برای چیزی بیش از محافظت در برابر ویروس ها مفید هستند. دو نوع اصلی از این درمان ها وجود دارد:

1 کپی کردن اطلاعات - تهیه کپی از فایل ها و مناطق سیستمی دیسک ها.

2 محدودیت دسترسی از استفاده غیرمجاز از اطلاعات به ویژه محافظت در برابر تغییرات برنامه ها و داده ها توسط ویروس ها، برنامه های نادرست کار و اقدامات اشتباه کاربران جلوگیری می کند.

شناسایی به موقع فایل‌ها و دیسک‌های آلوده به ویروس، حذف کامل ویروس‌های شناسایی شده در هر رایانه به جلوگیری از شیوع ویروس به سایر رایانه‌ها کمک می‌کند.

نرم افزار آنتی ویروس سلاح اصلی در مبارزه با ویروس ها است. آنها نه تنها ویروس ها را شناسایی می کنند، از جمله ویروس هایی که از روش های مختلف پوشش استفاده می کنند، بلکه آنها را از رایانه نیز حذف می کنند.

چندین روش اساسی برای اسکن ویروس ها وجود دارد که توسط برنامه های آنتی ویروس استفاده می شود. سنتی ترین روش اسکن برای ویروس ها اسکن است.

برای شناسایی، حذف و محافظت در برابر ویروس های رایانه ای، چندین نوع برنامه ویژه ایجاد شده است که به شما امکان می دهد ویروس ها را شناسایی و از بین ببرید. به چنین برنامه هایی آنتی ویروس می گویند.

2.3 انواع ابزارهای آنتی ویروس

برنامه های آشکارساز برنامه های تشخیص مشخصه امضای یک ویروس خاص را در رم و فایل ها جستجو می کنند و در صورت شناسایی، پیام مربوطه را صادر می کنند. عیب چنین برنامه های آنتی ویروس این است که آنها فقط می توانند ویروس هایی را پیدا کنند که برای توسعه دهندگان چنین برنامه هایی شناخته شده است.

برنامه های دکتر برنامه‌های دکتر یا فاژها و همچنین برنامه‌های واکسن، نه تنها فایل‌های آلوده به ویروس را پیدا می‌کنند، بلکه آنها را «درمان» می‌کنند، یعنی بدنه برنامه ویروس را از فایل حذف می‌کنند و فایل‌ها را به حالت اولیه بازمی‌گردانند. فاژها در ابتدای کار خود به دنبال ویروس ها در RAM می گردند و آنها را از بین می برند و تنها پس از آن اقدام به "درمان" فایل ها می کنند. در بین فاژها، پلی فاژها متمایز می شوند، یعنی برنامه های دکتری که برای جستجو و از بین بردن تعداد زیادی ویروس طراحی شده اند. معروف ترین آنها: AVP، Aidstest، Scan، Norton AntiVirus، Doctor Web.

با توجه به اینکه ویروس‌های جدید دائماً ظاهر می‌شوند، برنامه‌های آشکارساز و برنامه‌های پزشک به سرعت قدیمی می‌شوند و به‌روزرسانی‌های منظم نسخه لازم است.

برنامه های حسابرسی (بازرسان) از مطمئن ترین ابزارهای محافظت در برابر ویروس ها هستند.

حسابرسان (بازرسان) داده های روی دیسک را برای ویروس های نامرئی بررسی می کنند. علاوه بر این، بازرس ممکن است از ابزارهای سیستم عامل برای دسترسی به دیسک ها استفاده نکند، به این معنی که یک ویروس فعال نمی تواند این درخواست را رهگیری کند.

واقعیت این است که تعدادی از ویروس ها که خود را به فایل ها معرفی می کنند (یعنی به انتها یا ابتدای یک فایل اضافه می شوند) ورودی های مربوط به این فایل را در جداول تخصیص فایل سیستم عامل ما جایگزین می کنند.

ممیزان (بازرسان) وضعیت اولیه برنامه ها، دایرکتوری ها و نواحی سیستم دیسک را زمانی که کامپیوتر به ویروس آلوده نمی شود به یاد می آورند و سپس به صورت دوره ای یا به درخواست کاربر، وضعیت فعلی را با حالت اولیه مقایسه می کنند. تغییرات شناسایی شده روی صفحه نمایشگر نمایش داده می شود. به عنوان یک قاعده، حالت ها بلافاصله پس از بارگیری سیستم عامل مقایسه می شوند. هنگام مقایسه، طول فایل، کد کنترل چرخه ای (جمع چک فایل)، تاریخ و زمان اصلاح و سایر پارامترها بررسی می شود. برنامه ها - حسابرسان (بازرسان) به اندازه کافی الگوریتم ها را توسعه داده اند، ویروس های مخفی را شناسایی می کنند و حتی می توانند تغییرات نسخه برنامه در حال بررسی را از تغییرات ایجاد شده توسط ویروس پاک کنند.

لازم است بازرس (بازرس) زمانی که کامپیوتر هنوز آلوده نشده است اجرا شود تا بتواند در دایرکتوری ریشه هر دیسک مطابق جدولی با تمام اطلاعات لازم در مورد فایل های موجود در این دیسک ایجاد کند. در مورد قسمت بوت آن. برای ایجاد هر جدول مجوز درخواست می شود. در راه اندازی های بعدی، حسابرس (بازرس) به دیسک ها نگاه می کند و داده های مربوط به هر پرونده را با سوابق خود مقایسه می کند.

در صورت تشخیص عفونت، بازرس (بازرس) می تواند از ماژول درمان خود استفاده کند که فایل خراب شده توسط ویروس را بازیابی می کند. برای بازیابی فایل ها، بازرس نیازی به دانستن هیچ نوع ویروس خاصی ندارد، کافی است از داده های فایل های ذخیره شده در جداول استفاده کند.

علاوه بر این، در صورت لزوم می توان یک اسکنر آنتی ویروس را فراخوانی کرد.

فیلتر برنامه ها (مانیتور). فیلترها (مانیتورها) یا «نگهبان‌ها» برنامه‌های ساکن کوچکی هستند که برای شناسایی اقدامات مشکوک که نمونه‌ای از ویروس‌ها در حین کار با رایانه هستند، طراحی شده‌اند. چنین اقداماتی می تواند باشد:

تلاش برای تصحیح فایل ها با پسوندهای COM، EXE.

تغییر ویژگی های فایل؛

نوشتن مستقیم روی دیسک در آدرس مطلق.

نوشتن در بخش های بوت دیسک؛

هنگامی که هر برنامه ای سعی می کند اقدامات مشخص شده را انجام دهد، "نگهبان" پیامی را به کاربر ارسال می کند و پیشنهاد می کند که عمل مربوطه را ممنوع یا مجاز کند. برنامه های فیلتر بسیار مفید هستند زیرا می توانند ویروس را در مراحل اولیه وجودش، قبل از تکثیر، شناسایی کنند. با این حال، آنها فایل ها و دیسک ها را "درمان" نمی کنند. برای از بین بردن ویروس ها باید از برنامه های دیگری مانند فاژها استفاده کنید.

واکسن یا ایمن ساز. واکسن ها برنامه های TSR هستند که از آلوده شدن فایل ها جلوگیری می کنند. در صورتی که هیچ برنامه پزشکی برای "درمان" این ویروس وجود نداشته باشد، از واکسن ها استفاده می شود. واکسیناسیون فقط در برابر ویروس های شناخته شده امکان پذیر است. واکسن برنامه یا دیسک را به گونه ای تغییر می دهد که روی کار آنها تأثیری نداشته باشد و ویروس آنها را آلوده تشخیص دهد و بنابراین معرفی نخواهد شد. برنامه های واکسن در حال حاضر کاربرد محدودی دارند.

اسکنر. اصل عملکرد اسکنرهای آنتی ویروس بر اساس اسکن فایل ها، بخش ها و حافظه سیستم و جستجو در آنها برای ویروس های شناخته شده و جدید (ناشناخته برای اسکنر) است. به اصطلاح "ماسک" برای جستجوی ویروس های شناخته شده استفاده می شود. یک ویروس ماسک یک دنباله ثابت از کد خاص برای آن ویروس خاص است. اگر ویروس حاوی ماسک دائمی نباشد یا طول این ماسک به اندازه کافی طولانی نباشد، از روش‌های دیگر استفاده می‌شود. مثالی از چنین روشی، یک زبان الگوریتمی است که همه گونه های ممکن کد را که ممکن است در هنگام آلوده شدن به این نوع ویروس با آنها مواجه شود، توصیف می کند. این رویکرد توسط برخی آنتی ویروس ها برای شناسایی ویروس های چند شکلی استفاده می شود. اسکنرها را نیز می توان به دو دسته تقسیم کرد - "عمومی" و "تخصصی". اسکنرهای جهانی برای جستجو و خنثی کردن انواع ویروس ها، صرف نظر از سیستم عاملی که اسکنر در آن طراحی شده است، طراحی شده اند. اسکنرهای تخصصی برای خنثی کردن تعداد محدودی از ویروس ها یا فقط یک دسته از آنها، به عنوان مثال، ویروس های ماکرو طراحی شده اند. اسکنرهای تخصصی که فقط برای ویروس های ماکرو طراحی شده اند اغلب راحت ترین و قابل اعتمادترین راه حل برای محافظت از سیستم های اسناد در محیط های MSWord و MSExcel هستند.

اسکنرها همچنین به دو دسته "ساکن" (مانیتورها، نگهبانان) تقسیم می شوند که در حال اسکن می شوند و "غیر ساکن" که فقط در صورت تقاضا سیستم را اسکن می کنند. به عنوان یک قاعده، اسکنرهای "مقیم حافظه" محافظت مطمئن تری از سیستم ارائه می دهند، زیرا آنها بلافاصله به ظاهر یک ویروس واکنش نشان می دهند، در حالی که یک اسکنر "غیر مقیم حافظه" قادر است ویروس را تنها در راه اندازی بعدی آن تشخیص دهد. از سوی دیگر، یک اسکنر مقیم می‌تواند تا حدودی سرعت کامپیوتر شما را کند کند، از جمله به دلیل احتمالی مثبت کاذب.

از مزایای انواع اسکنرها می توان به تطبیق پذیری آنها اشاره کرد، از معایب آن می توان به سرعت نسبتا پایین اسکن برای ویروس ها اشاره کرد.

اسکنرهای CRC اصل عملکرد اسکنرهای CRC بر اساس محاسبه مجموع CRC (جمع های چک) برای فایل ها / بخش های سیستم موجود بر روی دیسک است. سپس این مجموعات CRC و همچنین برخی اطلاعات دیگر در پایگاه داده آنتی ویروس ذخیره می شوند: طول فایل، تاریخ آخرین تغییر آنها و غیره. در راه اندازی بعدی، اسکنرهای CRC داده های موجود در پایگاه داده را با مقادیر واقعی محاسبه شده مقایسه می کنند. اگر اطلاعات مربوط به یک فایل ثبت شده در پایگاه داده با مقادیر واقعی مطابقت نداشته باشد، اسکنرهای CRC سیگنال می دهند که فایل تغییر یافته یا آلوده به ویروس است. اسکنرهای CRC که از الگوریتم‌های ضد پنهان‌کاری استفاده می‌کنند، یک سلاح کاملاً قدرتمند در برابر ویروس‌ها هستند: تقریباً 100٪ ویروس‌ها تقریباً بلافاصله پس از ظاهر شدن در رایانه شناسایی می‌شوند. با این حال، این نوع از آنتی ویروس ها دارای یک نقص ذاتی هستند که کارایی آنها را به میزان قابل توجهی کاهش می دهد. این عیب این است که اسکنرهای CRC قادر به گرفتن ویروس در لحظه ظاهر شدن در سیستم نیستند و این کار را فقط پس از مدتی و پس از انتشار ویروس از طریق رایانه انجام می دهند. اسکنرهای CRC نمی‌توانند ویروس را در فایل‌های جدید (در ایمیل، روی فلاپی دیسک، در فایل‌های بازیابی شده از پشتیبان یا هنگام باز کردن فایل‌ها از بایگانی) شناسایی کنند، زیرا پایگاه داده‌های آنها اطلاعاتی درباره این فایل‌ها ندارد. علاوه بر این، به طور دوره ای ویروس هایی وجود دارند که از این "ضعف" اسکنرهای CRC استفاده می کنند، فقط فایل های تازه ایجاد شده را آلوده می کنند و بنابراین برای آنها نامرئی می مانند.

مسدود کننده ها مسدودکننده‌ها برنامه‌های مقیم حافظه هستند که موقعیت‌های «خطرناک ویروس» را رهگیری می‌کنند و کاربر را در مورد آن آگاه می‌کنند. تماس‌های تهدیدکننده ویروس شامل تماس‌هایی برای باز کردن برای نوشتن روی فایل‌های اجرایی، نوشتن در بخش‌های راه‌اندازی دیسک‌ها یا MBR یک هارد دیسک، تلاش‌های برنامه‌ها برای باقی ماندن ساکن و غیره است، یعنی تماس‌هایی که گاهی اوقات برای ویروس‌ها معمول هستند. از تکثیر گاهی اوقات برخی از توابع مسدود کننده در اسکنرهای مقیم پیاده سازی می شوند.

از مزایای مسدود کننده ها می توان به توانایی آنها در شناسایی و متوقف کردن ویروس در اولین مرحله تولید مثل آن اشاره کرد. معایب شامل وجود راه هایی برای دور زدن محافظت از مسدود کننده ها و تعداد زیادی از مثبت کاذب است.

همچنین باید به چنین جهتی از ابزارهای ضد ویروس مانند مسدود کننده های ضد ویروس که در قالب اجزای سخت افزاری رایانه ساخته شده است اشاره کرد. متداول ترین آن، حفاظت از نوشتن BIOS داخلی در MBR هارد دیسک است. با این حال، همانطور که در مورد مسدود کننده های نرم افزاری، چنین حفاظتی را می توان به راحتی با نوشتن مستقیم روی پورت های کنترل کننده دیسک دور زد و اجرای ابزار DOS FDISK بلافاصله یک محافظت "مثبت کاذب" را ایجاد می کند.

چندین مسدودکننده سخت افزاری همه کاره دیگر وجود دارد، اما به دلیل معایب ذکر شده در بالا، مشکلات سازگاری با تنظیمات استاندارد رایانه و مشکلات در نصب و پیکربندی آنها نیز وجود دارد. همه این موارد باعث می‌شود که مسدودکننده‌های سخت‌افزار در مقایسه با سایر انواع محافظت از آنتی‌ویروس‌ها بسیار نامحبوب باشند.

2.4 مقایسه بسته های آنتی ویروس

صرف نظر از اینکه چه سیستم اطلاعاتی باید محافظت شود، مهمترین پارامتر هنگام مقایسه آنتی ویروس ها توانایی شناسایی ویروس ها و سایر برنامه های مخرب است.

با این حال، این پارامتر، اگرچه مهم است، اما به دور از آن است.

واقعیت این است که اثربخشی یک سیستم حفاظتی ضد ویروس نه تنها به توانایی آن در شناسایی و خنثی کردن ویروس ها بستگی دارد، بلکه به بسیاری از عوامل دیگر نیز بستگی دارد.

استفاده از آنتی ویروس باید آسان باشد، بدون اینکه کاربر رایانه را از انجام وظایف مستقیم خود منحرف کند. اگر آنتی ویروس با درخواست ها و پیام های مداوم کاربر را آزار دهد، دیر یا زود غیرفعال می شود. رابط آنتی ویروس باید دوستانه و قابل درک باشد، زیرا همه کاربران تجربه گسترده ای با برنامه های رایانه ای ندارند. بدون درک معنای پیامی که روی صفحه نمایش ظاهر می شود، می توانید به طور ناخواسته حتی با آنتی ویروس نصب شده اجازه آلودگی به ویروس را بدهید.

راحت ترین حالت محافظت ضد ویروس است، زمانی که تمام فایل های باز شده اسکن می شوند. اگر آنتی ویروس قادر به کار در این حالت نباشد، کاربر باید هر روز اسکن تمام دیسک ها را برای شناسایی ویروس های جدید انجام دهد. این روش می تواند ده ها دقیقه یا حتی ساعت ها برای دیسک های بزرگ نصب شده، به عنوان مثال، روی یک سرور، طول بکشد.

از آنجایی که ویروس های جدید هر روز ظاهر می شوند، لازم است پایگاه داده آنتی ویروس را به صورت دوره ای به روز کنید. در غیر این صورت، اثربخشی محافظت در برابر ویروس بسیار پایین خواهد بود. آنتی ویروس های مدرن، پس از پیکربندی مناسب، می توانند به طور خودکار پایگاه داده های آنتی ویروس را از طریق اینترنت به روز کنند، بدون اینکه حواس کاربران و مدیران را برای انجام این کار معمولی پرت کنند.

هنگام محافظت از یک شبکه بزرگ شرکتی، پارامتر مقایسه آنتی ویروس مانند وجود یک مرکز کنترل شبکه به چشم می خورد. اگر یک شبکه شرکتی صدها و هزاران ایستگاه کاری، ده ها و صدها سرور را متحد کند، سازماندهی حفاظت ضد ویروس موثر بدون مرکز کنترل شبکه عملا غیرممکن است. یک یا چند مدیر سیستم نمی‌توانند با نصب و پیکربندی برنامه‌های ضد ویروس بر روی تمام ایستگاه‌های کاری و سرورها، آنها را دور بزنند. این به فناوری هایی نیاز دارد که امکان نصب و پیکربندی متمرکز آنتی ویروس ها را بر روی همه رایانه های موجود در شبکه شرکت فراهم می کند.

حفاظت از سایت های اینترنتی مانند سرورهای پست الکترونیکی و سرورهای پیام رسانی به ابزارهای آنتی ویروس تخصصی نیاز دارد. آنتی ویروس های معمولی که برای اسکن فایل ها طراحی شده اند، نمی توانند کدهای مخرب را در پایگاه داده سرورهای پیام رسانی یا در جریان داده ای که از سرورهای پستی عبور می کند پیدا کنند.

معمولاً هنگام مقایسه ابزارهای آنتی ویروس عوامل دیگری در نظر گرفته می شود. سازمان‌های دولتی ممکن است، با وجود همه موارد مشابه، آنتی‌ویروس‌های تولید داخل را که دارای تمام گواهی‌های لازم هستند، ترجیح دهند. شهرت به دست آمده توسط این یا آن ابزار ضد ویروس در بین کاربران رایانه و مدیران سیستم نیز نقش مهمی ایفا می کند. ترجیحات شخصی نیز می تواند نقش مهمی در انتخاب داشته باشد.

توسعه دهندگان آنتی ویروس اغلب از نتایج تست مستقل برای اثبات مزایای محصولات خود استفاده می کنند. در عین حال، کاربران اغلب نمی دانند دقیقا چه چیزی و چگونه در این تست بررسی شده است.

در این اثر، محبوب ترین برنامه های آنتی ویروس تحت تجزیه و تحلیل مقایسه ای قرار گرفته اند، یعنی آنتی ویروس کسپرسکی، سیمانتک / نورتون، دکتر وب، Eset Nod32، Trend Micro، McAfee، Panda، Sophos، BitDefender، F-Secure، Avira، Avast. !، AVG، مایکروسافت.

یکی از اولین کسانی که محصولات آنتی ویروس را آزمایش کرد، مجله بریتانیایی ویروس بولتن بود. اولین تست های منتشر شده در وب سایت آنها به سال 1998 برمی گردد. این آزمایش بر اساس مجموعه بدافزار WildList است. برای گذراندن موفقیت آمیز آزمون، باید تمام ویروس های موجود در این مجموعه را شناسایی کنید و نرخ مثبت کاذب صفر را در مجموعه فایل های گزارش "تمیز" نشان دهید. آزمایش چندین بار در سال بر روی سیستم عامل های مختلف انجام می شود. محصولاتی که در آزمون موفق شوند جایزه VB100% دریافت خواهند کرد. شکل 1 نشان می دهد که چند جایزه VB100% توسط محصولات شرکت های آنتی ویروس مختلف دریافت شده است.

البته می توان مجله ویروس بولتن را قدیمی ترین تستر آنتی ویروس نامید، اما وضعیت پدرسالار او را از انتقاد جامعه آنتی ویروس نجات نمی دهد. اول اینکه WildList فقط شامل ویروس ها و کرم ها می شود و فقط برای پلتفرم ویندوز است. ثانیاً، مجموعه WildList حاوی تعداد کمی برنامه مخرب است و بسیار کند رشد می کند: تنها چند ده ویروس جدید در یک ماه در مجموعه ظاهر می شوند، در حالی که، برای مثال، مجموعه AV-Test در این مدت با چندین ده بار پر می شود. یا حتی صدها هزار نسخه از نرم افزارهای مخرب.

همه اینها نشان می دهد که در شکل فعلی، مجموعه WildList از نظر اخلاقی قدیمی است و وضعیت واقعی ویروس ها را در اینترنت منعکس نمی کند. در نتیجه، تست های مبتنی بر مجموعه WildList بیش از پیش بی معنی می شوند. آنها برای تبلیغات محصولاتی که از آنها عبور کرده اند خوب هستند، اما واقعاً کیفیت محافظت از آنتی ویروس را نشان نمی دهند.

شکل 1 - تعداد تست های VB با موفقیت 100%

آزمایشگاه‌های تحقیقاتی مستقل مانند AV-Comparatives، AV-Tests محصولات آنتی ویروس را دو بار در سال برای شناسایی بدافزارهای درخواستی آزمایش می‌کنند. در عین حال، مجموعه های در حال آزمایش حاوی بیش از یک میلیون برنامه مخرب هستند و به طور منظم به روز می شوند. نتایج آزمون در وب سایت های این سازمان ها (www.AV-Comparatives.org، www.AV-Test.org) و در مجلات معروف رایانه ای PC World، PC Welt منتشر می شود. نتایج آزمایشات بعدی در زیر ارائه شده است:

شکل 2 - سطح عمومی تشخیص بدافزار طبق AV-Test

اگر در مورد رایج ترین محصولات صحبت کنیم، پس با توجه به نتایج این آزمایشات، تنها راه حل های Kaspersky Lab و Symantec در سه رتبه اول قرار دارند. رهبر در تست های Avira سزاوار توجه ویژه است.

تست‌های آزمایشگاه‌های تحقیقاتی AV-Comparatives و AV-Test مانند هر آزمایشی، مزایا و معایب خود را دارد. نکته مثبت این است که آزمایش روی مجموعه‌های بزرگ بدافزار انجام می‌شود و این مجموعه‌ها شامل انواع مختلفی از بدافزارها هستند. نکته منفی این است که این مجموعه‌ها نه تنها شامل نمونه‌های بدافزار «تازه»، بلکه نمونه‌های نسبتاً قدیمی نیز هستند. معمولاً از نمونه های جمع آوری شده در شش ماه گذشته استفاده می شود. علاوه بر این، این آزمایش‌ها نتایج اسکن هارد دیسک را بر حسب تقاضا تجزیه و تحلیل می‌کنند، در حالی که در زندگی واقعی کاربر فایل‌های آلوده را از اینترنت دانلود می‌کند یا آنها را به عنوان پیوست از طریق ایمیل دریافت می‌کند. شناسایی چنین فایل هایی دقیقاً در لحظه ای که در رایانه کاربر ظاهر می شوند بسیار مهم است.

تلاش برای توسعه روش آزمایشی که از این مشکل رنج نمی برد توسط یکی از قدیمی ترین مجلات کامپیوتر بریتانیا - PC Pro انجام شد. آزمایش آنها از مجموعه ای از بدافزارها استفاده کرد که دو هفته قبل از آزمایش در ترافیک عبوری از سرورهای MessageLabs شناسایی شده بود. MessageLabs به مشتریان خود خدمات فیلترینگ را برای انواع مختلف ترافیک ارائه می دهد و مجموعه بدافزارهای آن واقعاً وضعیت گسترش ویروس های رایانه ای در وب را منعکس می کند.

تیم PC Pro فقط فایل‌های آلوده را اسکن نکرد، بلکه اقدامات کاربر را شبیه‌سازی کرد: فایل‌های آلوده به‌عنوان پیوست به پیام‌ها پیوست می‌شدند و این پیام‌ها با نصب آنتی‌ویروس روی رایانه دانلود می‌شدند. علاوه بر این، با استفاده از اسکریپت های نوشته شده ویژه، فایل های آلوده از یک وب سرور دانلود می شدند، یعنی گشت و گذار کاربر در اینترنت شبیه سازی می شد. شرایطی که تحت آن چنین آزمایش‌هایی انجام می‌شود تا حد امکان به شرایط واقعی نزدیک است، که نمی‌تواند بر نتایج تأثیر بگذارد: میزان تشخیص اکثر آنتی‌ویروس‌ها به طور قابل‌توجهی پایین‌تر از یک اسکن ساده بر اساس تقاضا در آزمایشات است. AV-Comparatives و AV-Test. در چنین آزمایشاتی، سرعت واکنش توسعه دهندگان آنتی ویروس به ظهور برنامه های مخرب جدید و همچنین مکانیسم های فعال در هنگام شناسایی برنامه های مخرب نقش مهمی ایفا می کند.

سرعت انتشار به‌روزرسانی‌های آنتی‌ویروس با امضای بدافزارهای جدید، یکی از مهم‌ترین مؤلفه‌های محافظت از آنتی‌ویروس مؤثر است. هر چه زودتر به‌روزرسانی پایگاه داده امضا منتشر شود، کاربر زمان کمتری بدون محافظت می‌ماند.

شکل 3 - میانگین زمان واکنش به تهدیدات جدید

اخیراً بدافزارهای جدید به قدری ظاهر شده اند که آزمایشگاه های آنتی ویروس به سختی می توانند به نمونه های جدید پاسخ دهند. در چنین شرایطی، این سوال مطرح می شود که چگونه یک آنتی ویروس می تواند نه تنها در برابر ویروس های شناخته شده از قبل، بلکه در برابر تهدیدات جدید نیز مقاومت کند که برای شناسایی آنها هنوز امضایی منتشر نشده است.

برای شناسایی تهدیدات ناشناخته، از فناوری های به اصطلاح پیشگیرانه استفاده می شود. این فناوری‌ها را می‌توان به دو نوع تقسیم کرد: اکتشافی (بر اساس تجزیه و تحلیل کدهای برنامه‌های مخرب را شناسایی می‌کند) و مسدودکننده‌های رفتاری (بر اساس رفتار برنامه‌های مخرب هنگام راه‌اندازی بر روی رایانه، اعمال آنها را مسدود می‌کند).

صحبت از اکتشافی، اثربخشی آنها مدتهاست که توسط AV-Comparatives، یک آزمایشگاه تحقیقاتی به رهبری آندریاس کلیمنتی مورد مطالعه قرار گرفته است. تیم AV-Comparatives از یک تکنیک ویژه استفاده می کند: آنتی ویروس ها در برابر مجموعه ویروس های فعلی بررسی می شوند، اما آنتی ویروس هایی با امضای سه ماه پیش استفاده می شود. بنابراین، آنتی ویروس باید در برابر بدافزارهایی که چیزی درباره آن نمی داند مقاومت کند. آنتی ویروس ها با اسکن مجموعه ای از بدافزارها روی هارد دیسک بررسی می شوند، بنابراین فقط اثربخشی اکتشافی بررسی می شود. یکی دیگر از فناوری های پیشگیرانه، یک مسدود کننده رفتاری، در این آزمایش ها استفاده نمی شود. حتی بهترین روش‌های اکتشافی در حال حاضر نرخ تشخیص را تنها حدود 70 درصد نشان می‌دهند و بسیاری از آنها نیز از مثبت کاذب در فایل‌های تمیز رنج می‌برند. همه اینها نشان می دهد که در حالی که این روش تشخیص فعال فقط می تواند همزمان با روش امضا استفاده شود.

در مورد سایر فناوری های فعال، مسدود کننده رفتار، هیچ معیار جدی در این زمینه انجام نشده است. اول، بسیاری از محصولات ضد ویروس (Doctor Web، NOD32، Avira و دیگران) فاقد مسدود کننده رفتار هستند. ثانیاً، چنین آزمایشاتی مملو از مشکلات است. واقعیت این است که برای آزمایش اثربخشی یک مسدود کننده رفتاری، نباید دیسکی را با مجموعه ای از برنامه های مخرب اسکن کنید، بلکه این برنامه ها را روی رایانه خود اجرا کنید و مشاهده کنید که آنتی ویروس با موفقیت عملکرد آنها را مسدود می کند. این فرآیند بسیار پر زحمت است و تنها تعداد کمی از محققین قادر به انجام چنین آزمایشاتی هستند. تمام آنچه تاکنون در دسترس عموم قرار گرفته است، نتایج آزمایش محصول فردی توسط تیم AV-Comparatives است. اگر در حین آزمایش، آنتی ویروس ها با موفقیت عملکرد برنامه های مخرب ناشناخته را در حین راه اندازی آنها بر روی رایانه مسدود کردند، آنگاه محصول جایزه حفاظت پیشگیرانه را دریافت کرد. در حال حاضر، چنین جوایزی توسط F-Secure با فناوری رفتاری DeepGuard و آنتی ویروس Kaspersky با ماژول Proactive Defense دریافت شده است.

فناوری‌های پیشگیری از عفونت مبتنی بر تجزیه و تحلیل رفتار بدافزارها در حال محبوبیت هستند و فقدان تست‌های معیار جامع در این زمینه هشدار دهنده است. اخیراً متخصصان آزمایشگاه تحقیقاتی AV-Test بحث گسترده ای در مورد این موضوع برگزار کردند که توسعه دهندگان محصولات آنتی ویروس نیز در آن شرکت کردند. نتیجه این بحث یک روش جدید برای آزمایش توانایی محصولات آنتی ویروس برای مقاومت در برابر تهدیدات ناشناخته بود.

سطح بالای شناسایی بدافزار با استفاده از فناوری های مختلف یکی از مهم ترین ویژگی های آنتی ویروس است. با این حال، ویژگی کمتر مهم فقدان مثبت کاذب است. موارد مثبت کاذب کمتر از یک عفونت ویروسی به کاربر آسیب نمی رساند: عملکرد برنامه های لازم را مسدود می کند، دسترسی به وب سایت ها را مسدود می کند و غیره.

به عنوان بخشی از تحقیقات خود، AV-Comparatives آزمایش‌های مثبت کاذب را روی مجموعه‌ای از فایل‌های تمیز و بررسی قابلیت‌های تشخیص آنتی‌ویروس برای بدافزارها انجام می‌دهد. بر اساس این آزمایش، بیشترین تعداد موارد مثبت کاذب در آنتی ویروس های Doctor Web و Avira مشاهده شد.

هیچ محافظت صد در صدی در برابر ویروس ها وجود ندارد. هر از چند گاهی کاربران با شرایطی مواجه می شوند که یک برنامه مخرب به کامپیوتر نفوذ کرده و کامپیوتر آلوده شده است. این اتفاق می‌افتد یا به این دلیل که اصلاً آنتی‌ویروس روی رایانه وجود ندارد یا به این دلیل که آنتی‌ویروس برنامه مخرب را با استفاده از روش‌های امضا یا فعال شناسایی نکرده است. در چنین شرایطی، مهم است که هنگام نصب یک آنتی ویروس با پایگاه داده های امضای جدید روی رایانه، آنتی ویروس نه تنها بتواند یک برنامه مخرب را شناسایی کند، بلکه با موفقیت تمام عواقب فعالیت آن را از بین ببرد و عفونت فعال را درمان کند. درک این نکته مهم است که سازندگان ویروس ها دائماً در حال بهبود "مهارت های" خود هستند و حذف برخی از خلاقیت های آنها از رایانه بسیار دشوار است - برنامه های مخرب می توانند حضور آنها را در سیستم به روش های مختلف پنهان کنند (از جمله استفاده از روت کیت ها) و حتی در کار برنامه های آنتی ویروس تداخل ایجاد کند. علاوه بر این، حذف یا ضد عفونی کردن فایل آلوده کافی نیست، بلکه باید تمام تغییرات ایجاد شده توسط فرآیند مخرب در سیستم را حذف کرده و عملکرد سیستم را به طور کامل بازیابی کنید. تیم پرتال روسی Anti-Malware.ru آزمایش مشابهی را انجام داد که نتایج آن در شکل 4 نشان داده شده است.

شکل 4 - درمان عفونت فعال

در بالا، رویکردهای مختلفی برای آزمایش آنتی ویروس ها در نظر گرفته شد، نشان داده شد که کدام پارامترهای عملکرد آنتی ویروس در طول آزمایش در نظر گرفته می شود. می توان نتیجه گرفت که برخی از آنتی ویروس ها برنده یک شاخص هستند، برخی دیگر - دیگری. در عین حال، طبیعی است که توسعه دهندگان آنتی ویروس در مواد تبلیغاتی خود فقط بر روی آزمایشاتی تمرکز می کنند که محصولات آنها موقعیت های پیشرو را اشغال می کنند. به عنوان مثال، آزمایشگاه کسپرسکی بر سرعت واکنش به ظهور تهدیدهای جدید تمرکز می کند، Еset - بر روی قدرت فناوری های اکتشافی خود، دکتر وب مزایای آن را در درمان عفونت های فعال شرح می دهد.

بنابراین، ترکیبی از نتایج آزمایش‌های مختلف باید انجام شود. به این ترتیب، موقعیت های اتخاذ شده توسط آنتی ویروس ها در تست های بررسی شده خلاصه می شود و یک ارزیابی یکپارچه نمایش داده می شود - میانگین مکان این یا آن محصول در همه آزمایش ها چقدر است. در نتیجه، در بین سه برنده برتر: Kaspersky، Avira، Symantec.

بر اساس بسته های آنتی ویروس تجزیه و تحلیل شده، یک محصول نرم افزاری برای جستجو و ضد عفونی فایل های آلوده به ویروس SVC 5.0 ایجاد شد. این ویروس منجر به حذف یا کپی غیرمجاز فایل ها نمی شود، اما به طور قابل توجهی در کار کامل با نرم افزار کامپیوتر اختلال ایجاد می کند.

برنامه های آلوده طولانی تر از کد منبع هستند. با این حال، هنگام مرور دایرکتوری ها در یک دستگاه آلوده، این مورد قابل مشاهده نخواهد بود، زیرا ویروس بررسی می کند که آیا فایل یافت شده آلوده است یا خیر. اگر فایل آلوده باشد، طول فایل آلوده نشده در DTA ثبت می شود.

این ویروس به شرح زیر قابل شناسایی است. در ناحیه داده ویروس یک رشته کاراکتر "(c) 1990 by SVC, Ver. 5.0" وجود دارد که توسط آن ویروس در صورت وجود روی دیسک قابل شناسایی است.

هنگام نوشتن یک برنامه ضد ویروس، دنباله ای از اقدامات زیر انجام می شود:

1 زمان ایجاد آن برای هر فایل اسکن شده تعیین می شود.

2 اگر تعداد ثانیه ها شصت باشد، سه بایت با یک افست برابر با "طول فایل منهای 8AN" بررسی می شود. اگر آنها به ترتیب 35H، 2HE، 30H باشند، فایل آلوده است.

3 24 بایت اول کد اصلی رمزگشایی می شوند که در فاصله "طول فایل منهای 01CFH به اضافه 0BAAH" قرار دارند. کلیدهای رمزگشایی در افست "طول فایل منهای 01CFH به اضافه 0C1AH" و "طول فایل منهای 01CFH به اضافه 0C1BH" قرار دارند.

4 بایت های رمزگشایی شده در ابتدای برنامه بازنویسی می شوند.

5 فایل به مقدار "طول فایل منهای 0С1F" "قطع" می شود.

این برنامه در محیط برنامه نویسی TurboPascal ایجاد شده است. متن برنامه در پیوست الف آمده است.

نتیجه

در این کار درسی، تحلیل مقایسه ای بسته های آنتی ویروس انجام شد.

در جریان تجزیه و تحلیل، وظایف تعیین شده در ابتدای کار با موفقیت حل شد. بدین ترتیب مفاهیم امنیت اطلاعات، ویروس های کامپیوتری و ابزارهای آنتی ویروس مورد مطالعه قرار گرفت، انواع تهدیدات امنیت اطلاعات، روش های حفاظت مشخص شد، دسته بندی ویروس های کامپیوتری و برنامه های آنتی ویروس در نظر گرفته شد و تجزیه و تحلیل مقایسه ای بسته های آنتی ویروس انجام شد، یک برنامه. نوشته شده بود که فایل های آلوده را جستجو می کند.

نتایج به دست آمده در طول کار می تواند هنگام انتخاب یک ابزار ضد ویروس اعمال شود.

تمام نتایج به دست آمده با استفاده از نمودارها در کار منعکس می شود، بنابراین کاربر می تواند به طور مستقل نتایج به دست آمده در نمودار نهایی را بررسی کند، که نشان دهنده ترکیب نتایج آشکار شده از آزمایش های مختلف ابزارهای آنتی ویروس است.

نتایج به دست آمده در طول کار می تواند به عنوان مبنایی برای مقایسه خود برنامه های ضد ویروس استفاده شود.

با توجه به استفاده گسترده از فناوری های IT، کار دوره ارائه شده مرتبط است و الزامات آن را برآورده می کند. در طول کار، محبوب ترین ابزارهای ضد ویروس در نظر گرفته شد.

فهرست ادبیات استفاده شده

1 آنین ب. حفاظت از اطلاعات کامپیوتر. - SPb. : BHV - سن پترزبورگ، 2000 .-- 368 ص.

2 Artyunov V.V. امنیت اطلاعات: کتاب درسی. - روش. کمک هزینه M.: Liberia - Bibinform, 2008 .-- 55 p. - (کتابدار و زمان. قرن بیست و یکم؛ شماره 99).

3 Korneev IK، EA Stepanov امنیت اطلاعات در دفتر: کتاب درسی. - م.: چشم انداز، 2008 .-- 333 ص.

5 Kupriyanov A. I. مبانی امنیت اطلاعات: کتاب درسی. کمک هزینه - ویرایش دوم پاک شد. - م .: آکادمی، 2007 .-- 254 ص. - (تحصیلات عالی حرفه ای).

6 Semenenko V. A., N. V. Fedorov حفاظت از اطلاعات نرم افزار و سخت افزار: کتاب درسی. کتابچه راهنمای گل میخ دانشگاه ها. - M.: MGIU، 2007 .-- 340 ص.

7 Tsirlov V. L. مبانی امنیت اطلاعات: یک دوره کوتاه. - Rostov n / a: Phoenix, 2008 .-- 254 p. (تحصیلات حرفه ای).

ضمیمه

لیست برنامه

برنامه آنتی ویروس;

از dos، crt، چاپگر استفاده می کند.

نوع St80 = String;

FileInfection: فایل بایت.

SearchFile: SearchRec;

Mas: آرایه St80;

MasByte: آرایه بایت.

موقعیت، I، J، K: بایت;

Num، NumberOfFile، NumberOfInfFile: Word;

Flag، NextDisk، خطا: Boolean;

Key1, Key2, Key3, NumError: Byte;

صفحه اصلی: آرایه بایت مطلق B800 دلار: 0000;

روش درمان (St: St80);

من: بایت MasCure: آرایه بایت.

اختصاص (FileInfection, St); بازنشانی (FileInfection)؛

NumError: = IOresult;

اگر (NumError<>

جستجو (FileInfection، FileSize (FileInfection) - ($ 0C1F - $ 0C1A));

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

خواندن (FileInfection، Key1)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

خواندن (FileInfection، Key2)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

جستجو (FileInfection، FileSize (FileInfection) - ($ 0C1F - $ 0BAA));

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

برای I: = 1 تا 24 انجام دهید

خواندن (FileInfection، MasCure [i])؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

Key3: = MasCure [i];

MasCure [i]: = Key3;

جستجو (FileInfection, 0);

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

برای I: = 1 تا 24 را بنویسید (FileInfection, MasCure [i]);

جستجو (FileInfection، FileSize (FileInfection) - $ 0C1F)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

کوتاه کردن (FileInfection)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

بستن (FileInfection)؛ NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

رویه F1 (St: St80);

FindFirst (St + "*. *"، $ 3F، SearchFile);

در حالی که (SearchFile.Attr = 10 دلار) و (DosError = 0) و

((SearchFile.Name = ".") یا (SearchFile.Name = "..")) انجام دهید

FindNext (SearchFile)؛

در حالی که (DosError = 0) انجام دهید

اگر کلید فشار داده شود سپس

اگر (Ord (ReadKey) = 27) سپس توقف;

اگر (SearchFile.Attr = 10 دلار) سپس

Mas [k]: = St + SearchFile.Name + "\";

اگر (SearchFile.Attr<>10 دلار) سپس

NumberOfFile: = NumberOfFile + 1;

UnpackTime (SearchFile.Time، DT)؛

برای I: = 18 تا 70 MasScreen را انجام دهید: = 20 دلار؛

نوشتن (St + SearchFile.Name، "");

اگر (Dt.Sec = 60) سپس

اختصاص دادن (FileInfection، St + SearchFile.Name)؛

بازنشانی (FileInfection)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

جستجو (FileInfection، FileSize (FileInfection) - $ 8A)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

برای I: = 1 تا 3 را بخوانید (FileInfection، MasByte [i]);

بستن (FileInfection)؛

NumError: = IOresult;

اگر (NumError<>0) سپس Begin Error: = True; خروج؛ پایان؛

اگر (MasByte = 35 $) و (MasByte = $ 2E) و

(MasByte = 30 دلار) سپس

NumberOfInfFile: = NumberOfInfFile + 1;

بنویسید (St + SearchFile.Name، "inficirovan."،

"اودالیت؟")

اگر (Ord (Ch) = 27) سپس Exit;

تا (Ch = "Y") یا (Ch = "y") یا (Ch = "N")

اگر (Ch = "Y") یا (Ch = "y") سپس

درمان (St + SearchFile.Name)؛

اگر (NumError<>0) سپس خروج.

برای I: = 0 تا 79 MasScreen کنید: = 20 دلار;

FindNext (SearchFile)؛

GoToXY (29.1)؛ TextAttr: = $ 1E; GoToXY (20.2)؛ TextAttr: = 17 دلار؛

Writeln ("برنامه dlya poiska i lecheniya fajlov,");

Writeln ("zaragennih SVC50.");

TextAttr: = $ 4F; GoToXY (1.25)؛

بنویسید ("ESC - خروج")؛

TextAttr: = $ 1F; GoToXY (1.6)؛

بنویسید ("Kakoj disk proverit?");

اگر (Ord (Disk) = 27) سپس Exit;

R.Ah: = 0E دلار؛ R.Dl: = Ord (UpCase (Disk)) - 65;

داخلی (21 دلار، R)؛ R.Ah: = 19 دلار؛ داخلی (21 دلار، R)؛

پرچم: = (R.Al = (Ord (UpCase (Disk)) - 65));

St: = UpCase (Disk) + ": \";

Writeln ("دیسک Testiruetsya"، St، "")؛

Writeln ("Testiruetsya fajl");

NumberOfFile: = 0;

NumberOfInfFile: = 0;

اگر (k = 0) یا Error سپس پرچم: = False;

اگر (k> 0) سپس K: = K-1;

اگر (k = 0) سپس Flag: = False;

اگر (k> 0) سپس K: = K-1;

Writeln ("Provereno fajlov -"، NumberOfFile)؛

Writeln ("Zarageno fajlov -"، NumberOfInfFile);

Writeln ("Izlecheno fajlov -"، Num);

بنویسید ("Proverit drugoj disk?");

اگر (Ord (Ch) = 27) سپس Exit;

تا (چ = "ی") یا (چ = "ی") یا (چ = "ن") یا (چ = "ن");

اگر (Ch = "N") یا (Ch = "n") سپس NextDisk: = False;

معیارهای اصلی ارزیابی که شامل 200 شاخص بود عبارت بودند از:

• محافظت در برابر ویروس؛
• راحتی استفاده؛
• تاثیر بر سرعت کامپیوتر

محافظت در برابر بدافزار مهم‌ترین معیار ارزیابی آن است: شاخص‌های این گروه از پارامترها 65 درصد از رتبه‌بندی کلی آنتی‌ویروس را تشکیل می‌دهند. سهولت استفاده و تاثیر بر سرعت کامپیوتر به ترتیب 25% و 10% امتیاز کلی را به خود اختصاص دادند.

نرم افزار آنتی ویروس برای تحقیق بر اساس محبوبیت مصرف کننده و مقرون به صرفه بودن انتخاب شد. به همین دلیل، لیست برنامه های آنتی ویروس تجزیه و تحلیل شده شامل موارد زیر است:

• نرم افزار رایگان - هم داخلی و هم به طور جداگانه ارائه می شود.
• نرم افزار پولی از برندهای معروف آنتی ویروس. بر اساس اصول انتخاب، این مطالعه شامل گران‌ترین نسخه‌های محصولات نرم‌افزاری از این برندها نمی‌شود.
• فقط یک محصول پولی می تواند در رتبه بندی از یک برند برای یک سیستم عامل ارائه شود. محصول دوم تنها در صورت رایگان بودن می تواند رتبه بندی شود.

این بار، این مطالعه بین المللی شامل محصولات توسعه یافته توسط شرکت های روسی نیز می شود. به عنوان یک قاعده، لیست کالاها برای آزمایش بین المللی شامل محصولاتی با سهم بازار کافی و شناخت بالا در بین مصرف کنندگان است، بنابراین، گنجاندن تحولات روسیه در مطالعه نشان دهنده نمایندگی و تقاضای گسترده آنها در خارج از کشور است.

ده برتر برای ویندوز

تمام 10 آنتی ویروس برتر با محافظت از نرم افزارهای جاسوسی و محافظت در برابر فیشینگ - تلاش برای دسترسی به داده های محرمانه سر و کار دارند. اما تفاوت هایی بین آنتی ویروس ها در سطح محافظت و همچنین وجود یا عدم وجود این یا آن عملکرد در نسخه های آزمایش شده آنتی ویروس وجود دارد.

جدول محوری ده برنامه برتر را با رتبه بندی کلی نشان می دهد. همچنین ویژگی های بسته ها را برای مجموعه ای از عملکردها در نظر می گیرد.

حفاظت استاندارد ویندوز 10 چقدر خوب است

از فوریه 2018، سهم کاربران رایانه های شخصی ویندوز با سیستم عامل ویندوز 10 نصب شده بر روی رایانه های ثابت آنها 43 درصد بود. در چنین رایانه هایی، آنتی ویروس به طور پیش فرض نصب می شود - برنامه Windows Defender، که در سیستم عامل موجود است، از سیستم محافظت می کند.

آنتی ویروس استاندارد که طبق آمار اکثر مردم از آن استفاده می کنند، تنها در خط هفدهم رتبه بندی قرار داشت. به طور کلی، Windows Defender امتیاز 3.5 از 5.5 ممکن را کسب کرده است.

حفاظت داخلی آخرین نسخه‌های ویندوز سال به سال بهتر می‌شود، اما هنوز با سطح بسیاری از برنامه‌های آنتی ویروس تخصصی، از جمله آنهایی که رایگان توزیع می‌شوند، مطابقت ندارد. Windows Defender از نظر حفاظت آنلاین عملکرد رضایت بخشی داشت، اما در تست فیشینگ و ضد باج افزار به طور کامل شکست خورد. به هر حال، حفاظت از فیشینگ توسط تولید کنندگان آنتی ویروس اعلام شده است. همچنین مشخص شد که عملکرد ضعیفی در محافظت از رایانه شما در حالت آفلاین دارد.

Windows Defender از نظر طراحی بسیار ساده است. این به وضوح در مورد وجود این یا آن تهدید اطلاع می دهد، به وضوح درجه حفاظت را نشان می دهد و دارای عملکرد "کنترل والدین" است که کودکان را از بازدید از منابع ناخواسته محدود می کند.

حفاظت استاندارد ویندوز 10 را فقط می توان مناسب نامید. بر اساس امتیاز کلی، 16 برنامه برای محافظت از رایانه شخصی در ویندوز بهتر از او هستند. از جمله چهار مورد رایگان.

در تئوری، تنها در صورتی می‌توانید به Windows Defender اعتماد کنید که کاربر به‌روزرسانی‌های منظم را فعال کرده باشد، رایانه‌اش بیشتر اوقات به اینترنت متصل باشد و آن‌قدر پیشرفته باشد که آگاهانه از سایت‌های مشکوک بازدید نکند. با این حال، Roskachestvo نصب یک بسته آنتی ویروس تخصصی را برای اطمینان بیشتر در مورد امنیت رایانه شخصی خود توصیه می کند.

چطور تست کردیم

آزمایش در واجد شرایط ترین آزمایشگاه جهان متخصص در نرم افزار آنتی ویروس به مدت شش ماه انجام شد. در مجموع، چهار گروه تست حفاظت از بدافزار انجام شد: تست حفاظت عمومی آنلاین، تست آفلاین، تست نرخ مثبت کاذب، و تست اسکن خودکار و اسکن درخواستی. به میزان کمتری، امتیاز نهایی تحت تأثیر بررسی قابلیت استفاده آنتی ویروس و تأثیر آن بر سرعت رایانه بود.

• حفاظت عمومی

هر بسته آنتی ویروس به صورت آنلاین برای مجموعه ای از ویروس ها، در مجموع بیش از 40000 مورد آزمایش قرار گرفت. همچنین آزمایش شد که چگونه آنتی ویروس با حملات فیشینگ مقابله می کند - زمانی که شخصی سعی می کند به داده های محرمانه کاربر دسترسی پیدا کند. یک بررسی برای محافظت در برابر باج‌افزار انجام شد که دسترسی به رایانه و داده‌های روی آن را برای دریافت باج محدود می‌کند. علاوه بر این، آزمایش بدافزار آنلاین روی درایو USB انجام می شود. برای فهمیدن اینکه آنتی ویروس تا چه حد با جستجو و از بین بردن ویروس ها مقابله می کند، زمانی که از وجود فایل های مخرب یا منشاء آنها از قبل مطلع نیست، لازم است.

• تست آفلاین USB

شناسایی بدافزار موجود در درایو USB متصل به رایانه. قبل از اسکن، کامپیوتر برای چند هفته از اینترنت قطع شد تا بسته های آنتی ویروس 100% به روز نباشد.

• هشدار غلط

ما بررسی کردیم که آنتی ویروس چقدر در شناسایی تهدیدهای واقعی و انتشار فایل هایی که واقعاً ایمن هستند، اما توسط محصول به عنوان خطرناک طبقه بندی می شوند، مؤثر است.

• اسکن خودکار و تست اسکن درخواستی

ما آزمایش کردیم که عملکرد اسکن هنگام بررسی خودکار رایانه برای بدافزار و هنگام راه‌اندازی دستی چقدر کارآمد است. همچنین در حین مطالعه بررسی شد که آیا امکان برنامه ریزی اسکن برای زمان مشخصی که از کامپیوتر استفاده نمی شود وجود دارد یا خیر.

همانطور که انتظار دارید، نام بردن از بهترین آنتی ویروس در بین برنامه های بررسی شده غیرممکن است، زیرا معیارهای زیادی وجود دارد که کاربران می توانند هنگام انتخاب از آنها استفاده کنند. یک چیز مسلم است - همه راه حل ها سزاوار توجه کاربران هستند و از جمله راه حل های شایسته هستند. کاربردی ترین در میان آنها آنتی ویروس کسپرسکی است که محافظت جامع در برابر وسیع ترین طیف تهدیدات را ارائه می دهد و قابلیت سفارشی سازی چشمگیر دارد. اما از نظر ترکیب عملکرد بالا و سهولت استفاده (یعنی سهولت استفاده و حداقل "قابل توجه بودن" در کار پس زمینه)، ما Eset NOD32 را تا حد زیادی دوست داشتیم. آنتی ویروس های Avast! AntiVirus و Avira AntiVir نیز برای منابع سیستم بی نیاز هستند و بنابراین هنگام کار در پس زمینه متواضعانه رفتار می کنند، اما قابلیت های آنها برای همه کاربران مناسب نیست. به عنوان مثال، در اولی، سطح تحلیل اکتشافی کافی نیست، در دومی هنوز بومی سازی به زبان روسی وجود ندارد و به نظر ما، مدیریت ماژول ها خیلی راحت نیست. در مورد Norton AntiVirus و Dr.Web، با همه محبوبیت اولین در جهان و به رسمیت شناختن شایستگی شایستگی های قبلی دومی، درخت نخل در منظری که ما در نظر می گیریم به وضوح طرفدار آنها نیست. Norton AntiVirus، علیرغم اینکه آخرین نسخه آن بسیار سریعتر (در مقایسه با نسخه های قبلی) در کار است و رابط فکر شده بهتری دارد، هنوز هم سیستم را به طور قابل توجهی بارگیری می کند و نسبتاً آهسته به راه اندازی عملکردهای خاص پاسخ می دهد. اگرچه انصافاً باید توجه داشت که اسکن خود را سریع انجام می دهد. و Dr.Web در مقایسه با سایر آنتی ویروس ها چندان چشمگیر نیست، زیرا قابلیت های آن به محافظت از فایل ها و نامه ها محدود می شود، اما امتیاز خاص خود را دارد - این ساده ترین در بین آنتی ویروس های بررسی شده است.

میز 1... مقایسه عملکرد راه حل های آنتی ویروس

البته مقایسه آنتی ویروس های بررسی شده از نظر تأثیرگذاری آنها در تشخیص نرم افزارهای مخرب کمتر جالب نیست. این پارامتر در مراکز و آزمایشگاه‌های خاص و معتبر بین‌المللی مانند ICSA Labs، West Сoast Labs، Virus Bulletin و غیره مورد ارزیابی قرار می‌گیرد. - همه بسته های آنتی ویروس شناخته شده امروزه چنین گواهی هایی دارند (این حداقل معینی است). مجله آنتی ویروس ویروس بولتن چندین بار در سال تعداد زیادی آنتی ویروس را آزمایش می کند و بر اساس نتایج به آنها جوایز VB100% می دهد. افسوس، امروزه همه ویروس های محبوب نیز چنین جوایزی دارند، از جمله، البته، مواردی که ما در نظر گرفته ایم. بنابراین سعی خواهیم کرد نتایج سایر آزمون ها را تحلیل کنیم. ما روی تست های آزمایشگاه معتبر اتریشی Av-Comparatives.org که آنتی ویروس را آزمایش می کند و شرکت یونانی Virus.gr که متخصص در تست های آنتی ویروس و رتبه بندی آنتی ویروس است و به خاطر یکی از بزرگترین مجموعه های ویروس ها شناخته شده است، تمرکز خواهیم کرد. Avira AntiVir Premium و Norton AntiVirus بهترین عملکرد را در بین آنهایی داشتند که در جدیدترین آزمایش اسکن درخواستی انجام شده توسط Av-Comparatives.org در آگوست 2009 (جدول 2) بررسی شدند. اما آنتی ویروس کسپرسکی توانست تنها 97.1 درصد از ویروس ها را شناسایی کند، هرچند که البته پایین بودن این سطح از تشخیص ویروس کاملاً ناعادلانه است. برای اطلاعات بیشتر، ما توجه می کنیم که حجم پایگاه داده های ویروس استفاده شده در این آزمایش بیش از 1.5 میلیون کد مخرب است و تفاوت فقط 0.1٪ است - این نه بیشتر و نه کمتر، بلکه 1.5 هزار برنامه مخرب است. در مورد سرعت، مقایسه عینی راه حل ها از این جنبه حتی دشوارتر است، زیرا سرعت اسکن به عوامل زیادی بستگی دارد - به ویژه، اینکه آیا محصول آنتی ویروس از کد شبیه سازی استفاده می کند، آیا قادر به تشخیص ویروس های چند شکلی پیچیده است یا خیر. -تحلیل عمقی اسکن اکتشافی انجام می شود و اسکن فعال روت کیت ها و غیره انجام می شود. همه موارد فوق مستقیماً با کیفیت تشخیص ویروس در ارتباط هستند، بنابراین در مورد راه حل های آنتی ویروس، سرعت اسکن مهم ترین شاخص نیست. از عملکرد آنها با این وجود، متخصصان Av-Comparatives.org ارزیابی راه حل ها را ممکن دانستند و با توجه به این شاخص، در نتیجه Avast! آنتی ویروس و آنتی ویروس نورتون.

جدول 2... مقایسه راه حل های ضد ویروس از نظر شناسایی بدافزار (منبع - Av-Comparatives.org، آگوست 2009)

نام		سرعت اسکن
Avira AntiVir Premium 8.2	99,7	میانگین
نورتون آنتی ویروس 16.2	98,7	سریع
	98,2	سریع
ESET NOD32 Antivirus 3.0	97,6	میانگین
آنتی ویروس کسپرسکی 8.0	97,1	میانگین
AVG Anti-Virus 8.0.234	93	آهسته. تدریجی
آنتی ویروس Dr.Web برای ویندوز	امتحان نشده	هیچ داده ای وجود ندارد
PANDA Antivirus Pro 2010	امتحان نشده	هیچ داده ای وجود ندارد

بر اساس نتایج تست مرداد ماه Virus.gr در جدول ارائه شده است. 3، داده ها تا حدودی متفاوت است. در اینجا پیشتازان Kaspersky Anti-Virus 2010 با 98.67% و Avira AntiVir Premium 9.0 با 98.64% هستند. به هر حال، بلافاصله باید توجه داشت که برنامه رایگان Avira AntiVir Personal، که از همان پایه های امضا و روش های آزمایشی مشابه Avira AntiVir Premium استفاده می کند، کمی از راه حل تجاری عقب است. تفاوت در نتایج به دلیل این واقعیت است که آزمایشگاه های مختلف از پایگاه های داده ویروس های مختلف استفاده می کنند - البته، همه این پایگاه های داده بر اساس مجموعه "In the Wild" از ویروس های وحشی هستند، اما توسط ویروس های دیگر تکمیل می شود. بستگی به نوع ویروس ها دارد و درصد آنها در کل پایگاه داده چقدر است و کدام یک از بسته ها رهبر می شود.

جدول 3... مقایسه راه حل های ضد ویروس از نظر شناسایی بدافزار (منبع - Virus.gr، آگوست 2009)

نام	درصد تشخیص انواع بدافزارها
آنتی ویروس کسپرسکی 2010	98,67
Avira AntiVir Premium 9.0	98,64
Avira AntiVir Personal 9.0	98,56
AVG Anti-Virus Free 8.5.392	97
ESET NOD32 Antivirus 4.0	95,97
آواست! آنتی ویروس رایگان 4.8	95,87
آنتی ویروس نورتون نورتون 16.5	87,37
دکتر. وب 5.00	82,89
پاندا 2009 9.00.00	70,8

همچنین توجه به میزانی که آنتی ویروس ها می توانند در عمل با تهدیدات ناشناخته کنار بیایند - یعنی اثربخشی روش های محافظت از آنتی ویروس پیشگیرانه مورد استفاده در آنها، قابل توجه است. این بسیار مهم است، زیرا همه کارشناسان برجسته در این زمینه مدتهاست که به یک نظر مشترک رسیده اند که این منطقه خاص امیدوار کننده ترین در بازار آنتی ویروس است. چنین آزمایشی توسط متخصصان Anti-Malware.ru در بازه زمانی 3 دسامبر 2008 تا 18 ژانویه 2009 انجام شد. برای انجام یک آزمایش، آنها مجموعه ای از 5166 کد منحصر به فرد از آخرین برنامه های مخرب را جمع آوری کردند و در حالی که پایگاه داده های ضد ویروس را مسدود کردند. از بین آنتی ویروس های در نظر گرفته شده در این مقاله، بهترین نتایج توسط Avira AntiVir Premium و Dr.Web (جدول 4) نشان داده شد که موفق شدند تعداد نسبتاً بالایی از کدهای مخرب را که در پایگاه داده خود وجود نداشت، شناسایی کنند، اما تعداد موارد مثبت کاذب در این موارد وجود دارد. آنتی ویروس ها هم بالا بود بنابراین، کارشناسان جایزه برتری را در قالب "جایزه حفاظت پیشگیرانه طلا" به راه حل های کاملا متفاوت اهدا کردند. اینها آنتی ویروس کسپرسکی، آنتی ویروس ESET NOD32 و آنتی ویروس بیت دیفندر هستند که از نظر تعادل تشخیص فعال و مثبت کاذب بهترین هستند. نتایج آنها تقریباً یکسان بود - سطح تشخیص اکتشافی 60٪ و سطح مثبت کاذب در منطقه 0.01-0.04٪ بود.

جدول 4... مقایسه راه حل های ضد ویروس از نظر اثربخشی محافظت از ضد ویروس فعال (منبع - Anti-Malware.ru، ژانویه 2009)

نام	درصد ویروس های شناسایی شده	درصد موارد مثبت کاذب
Avira AntiVir Premium 8.2	71	0,13
Dr.Web 5.0	61	0,2
آنتی ویروس کسپرسکی 2009	60,6	0,01
ESET NOD32 AntiVirus 3.0	60,5	0,02
AVG Anti-Virus 8.0	58,1	0,02
آواست! آنتی ویروس حرفه ای 4.8	53,3	0,03
آنتی ویروس نورتون 2009	51,5	0
آنتی ویروس پاندا 2009	37,9	0,02

از داده های فوق، تنها یک نتیجه می توان گرفت - تمام راه حل های آنتی ویروس در نظر گرفته شده را واقعاً می توان به تعدادی از موارد قابل توجه نسبت داد. با این حال، هنگام کار در هر یک از آنها، به هیچ وجه نباید به روز رسانی به موقع پایگاه های امضا را فراموش کنیم، زیرا سطح روش های حفاظت فعال در هر یک از برنامه ها هنوز از ایده آل فاصله دارد.