Tablica za analizu antivirusnog softvera. Usporedna analiza antivirusnog softvera

02.07.2020 Recenzije

Odmah ću rezervirati da će članak usporediti samo ona antivirusna rješenja koja su rasprostranjena u Rusiji, naime Kaspersky Anti-Virus , Eset Nod32 , Doktor Web , Symantec / Norton , Trend Micro , Panda, McAfee, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft. Egzotike kao što su G-DATA AVK, F-Prot Anti-Virus i AEC TrustPort neće se uzeti u obzir. Dakle, krenimo s pripremama testova.

Testiranje patrijarha

Jedan od prvih koji je testirao antivirusne proizvode bio je britanski časopis Virus Bulletin, a prvi testovi objavljeni na njihovoj web stranici datiraju iz 1998. godine. Test se temelji na kolekciji zlonamjernih programa WildList. Da biste uspješno prošli test, morate identificirati sve viruse u ovoj zbirci i pokazati nultu stopu lažnih pozitivnih rezultata u kolekciji "čistih" datoteka dnevnika. Testiranje se provodi nekoliko puta godišnje na različitim operativnim sustavima; Proizvodi koji prođu test dobit će VB100% nagradu. U nastavku možete vidjeti koliko su VB100% nagrada dobili u 2006.-2007. proizvodi raznih antivirusnih tvrtki.

Naravno, časopis Virus Bulletin može se nazvati najstarijim antivirusnim testerom, ali patrijarhov status ne spašava ga od kritika antivirusne zajednice. Primjerice, na rujanskoj konferenciji Virus Bulletin u Beču, renomirani stručnjak Andreas Marx iz istraživačkog laboratorija AV-Test na Sveučilištu u Magdeburgu održao je prezentaciju The WildList is Dead, Live the WildList! Marks je u svom izvješću naglasio da svi testovi provedeni na kolekciji virusa WildList (uključujući VB100%) imaju niz nedostataka povezanih sa sastavom ove zbirke. Prvo, WildList uključuje samo viruse i crve i to samo za Windows platformu, dok su druge vrste zlonamjernog softvera (trojanci, backdoors) i zlonamjernog softvera za druge platforme izostavljene. Drugo, zbirka WildList sadrži mali broj zlonamjernih programa i raste vrlo sporo: u kolekciji se pojavljuje samo nekoliko desetaka novih virusa u mjesec dana, dok se, na primjer, zbirka AV-Test za to vrijeme nadopunjava s nekoliko desetina ili čak stotine tisuća kopija zlonamjernog softvera.

Sve to sugerira da je u sadašnjem obliku zbirka WildList moralno zastarjela i ne odražava stvarnu situaciju s virusima na Internetu. Kao rezultat toga, prema Andreasu Marxu, testovi temeljeni na kolekciji WildList postaju sve besmisleniji. Dobre su za oglašavanje proizvoda koji su ih prošli, ali zapravo ne odražavaju kvalitetu antivirusne zaštite.

Od WildList-a do testova na velikim zbirkama

Nezavisni istraživački laboratoriji kao što su AV-Comparatives, AV-Tests nisu ograničeni na kritiku metoda ispitivanja. Dvaput godišnje testiraju svoje antivirusne proizvode za otkrivanje zlonamjernog softvera na zahtjev. Istodobno, zbirke koje se testiraju sadrže do milijun zlonamjernih programa i redovito se ažuriraju. Rezultati testiranja objavljuju se na web stranicama ovih organizacija (www.AV-Comparatives.org, www.AV-Test.org) i u poznatim računalnim časopisima PC World, PC Welt itd. Rezultati kolovoških testova predstavljeni su u nastavku:

Ako govorimo o proizvodima najrasprostranjenijim na ruskom tržištu, onda su, kao što vidimo, prema rezultatima ovih testova samo Kaspersky Lab i Symantec rješenja u prva tri. Lider u testovima Avira zaslužuje posebnu pozornost, ali na ovu temu ćemo se vratiti dalje u odjeljku o lažno pozitivnim rezultatima.

Modeliranje korisnika

Testovi istraživačkih laboratorija AV-Comparatives i AV-Test, kao i svaki test, imaju svoje prednosti i nedostatke. Prednost je to što se testiranje provodi na velikim zbirkama zlonamjernog softvera i što te zbirke sadrže široku paletu vrsta zlonamjernog softvera. Nedostatak je što ove zbirke ne sadrže samo "svježe" uzorke zlonamjernog softvera, već i one relativno stare. Obično se koriste uzorci prikupljeni tijekom posljednjih šest mjeseci. Osim toga, ovi testovi analiziraju rezultate skeniranja tvrdog diska na zahtjev, dok u stvarnom životu korisnik preuzima zaražene datoteke s interneta ili ih prima kao privitke e-poštom. Važno je otkriti takve datoteke točno u trenutku kada se pojave na računalu korisnika.

Pokušaj razvoja metodologije testiranja koja ne pati od ovog problema poduzeo je jedan od najstarijih britanskih računalnih časopisa - PC Pro. Njihov je test koristio zbirku zlonamjernog softvera otkrivenog dva tjedna prije testa u prometu koji prolazi kroz MessageLabsove poslužitelje. MessageLabs svojim korisnicima nudi usluge filtriranja različitih vrsta prometa, a njegova zbirka zlonamjernog softvera doista odražava situaciju sa širenjem računalne infekcije na Internetu.

PC Pro tim nije samo skenirao zaražene datoteke, već je simulirao radnje korisnika: zaražene datoteke su priložene porukama kao privici, a te su poruke preuzete na računalo s instaliranim antivirusnim programom. Osim toga, pomoću posebno napisanih skripti, zaražene datoteke preuzimane su s web poslužitelja, tj. simulirano je korisnikovo surfanje internetom. Uvjeti u kojima se takvi testovi provode što je moguće bliži stvarnim, što nije moglo ne utjecati na rezultate: stopa otkrivanja većine antivirusnih programa pokazala se znatno nižom nego kod jednostavnog skeniranja na zahtjev u testovima AV-komparativi i AV-test. U takvim testovima važnu ulogu igra koliko brzo antivirusni programeri reagiraju na pojavu novih zlonamjernih programa, kao i koji se proaktivni mehanizmi koriste prilikom otkrivanja zlonamjernih programa.

Tim za brzu reakciju

Brzina kojom se objavljuju antivirusna ažuriranja s novim potpisima zlonamjernog softvera jedna je od najvažnijih komponenti učinkovite antivirusne zaštite. Što se prije objavi ažuriranje baze potpisa, manje će vremena korisnik ostati nezaštićen. U travnju 2007. laboratorijski tim AV-Test proveo je istraživanje o stopi reakcije na nove prijetnje za američki časopis PC World, a evo što su dobili:

Poznato nepoznato

Nedavno se novi zlonamjerni softver toliko često pojavio da antivirusni laboratoriji jedva mogu odgovoriti na nove uzorke. U takvoj situaciji postavlja se pitanje kako se antivirus može oduprijeti ne samo već poznatim virusima, već i novim prijetnjama za čije otkrivanje još nije pušten potpis.

Za otkrivanje nepoznatih prijetnji koriste se takozvane proaktivne tehnologije. Te se tehnologije mogu grubo podijeliti u dvije vrste: heurističke (otkriva zlonamjerne programe na temelju analize njihovog koda) i bihevioralne blokade (blokiraju radnje zlonamjernih programa kada se pokrenu na računalu, na temelju njihovog ponašanja).

Što se tiče heuristike, njihovu učinkovitost dugo je proučavao AV-Comparatives, istraživački laboratorij pod vodstvom Andreasa Clementija. Tim AV-Comparatives koristi posebnu tehniku: antivirusi se provjeravaju u odnosu na trenutnu kolekciju virusa, ali se koristi antivirus s potpisima od prije tri mjeseca. Stoga se antivirusni program mora oduprijeti zlonamjernom softveru o kojem ne zna ništa. Antivirusi se provjeravaju skeniranjem zbirke zlonamjernog softvera na tvrdom disku, tako da se provjerava samo učinkovitost heuristike; druga proaktivna tehnologija - blokator ponašanja - ne koristi se u tim testovima. Kao što vidimo, čak i najbolji heuristi trenutno pokazuju stopu detekcije od samo oko 70%, a mnogi od njih također pate od lažnih pozitivnih rezultata na čistim datotekama. Sve to, nažalost, sugerira da se do sada ova proaktivna metoda detekcije može koristiti samo istovremeno s metodom potpisa.

Što se tiče druge proaktivne tehnologije – blokatora ponašanja, do sada nije bilo ozbiljnijih usporednih testova. Prvo, mnogim antivirusnim proizvodima (Doctor Web, NOD32, Avira, itd.) nedostaje blokator ponašanja. Drugo, takvi testovi su ispunjeni poteškoćama. Činjenica je da kako biste testirali učinkovitost blokatora ponašanja, ne smijete skenirati disk s kolekcijom zlonamjernih programa, već pokrenuti te zlonamjerne programe na svom računalu i promatrati koliko uspješno antivirus blokira njihove radnje. Ovaj proces je vrlo naporan i samo je nekoliko istraživača u stanju poduzeti takve testove. Sve što je do sada dostupno široj javnosti su rezultati testiranja pojedinačnih proizvoda od strane tima AV-Comparatives. Ako su tijekom testiranja antivirusni programi uspješno blokirali radnje nepoznatih zlonamjernih programa tijekom njihovog pokretanja na računalu, tada je proizvod dobio nagradu za proaktivnu zaštitu. Trenutno su takve nagrade primili F-Secure s tehnologijom ponašanja DeepGuard i Kaspersky Anti-Virus sa svojim modulom Proactive Defense.

Tehnologije prevencije infekcija temeljene na analizi ponašanja zlonamjernog softvera postaju sve popularnije, a nedostatak sveobuhvatnih benchmarking testova u ovom području je alarmantan. Nedavno se pojavila nada za pojavu takvih testova: stručnjaci istraživačkog laboratorija AV-Test održali su opsežnu raspravu o ovom pitanju na konferenciji Virus Bulletin 2007, u kojoj su sudjelovali i programeri antivirusnih proizvoda. Rezultat ove rasprave bila je nova metodologija za testiranje sposobnosti antivirusnih proizvoda da se odupru nepoznatim prijetnjama. Ova tehnika će biti detaljno predstavljena krajem studenog na konferenciji Asian Antivirus Research Association u Seulu.

Lažno pozitivni su gori od virusa

Visoka razina otkrivanja zlonamjernog softvera korištenjem različitih tehnologija jedna je od najvažnijih karakteristika antivirusnog programa. Ali, možda, ništa manje važna karakteristika je odsutnost lažnih pozitivnih rezultata. Lažno pozitivni rezultati ne mogu nanijeti manje štete korisniku od zaraze virusom: blokirati rad potrebnih programa, blokirati pristup web stranicama itd. Nažalost, lažno pozitivni rezultati su prilično česti. Nakon još jednog ažuriranja u rujnu 2007., AVG antivirusni program počeo je zamijeniti Adobe Acrobat Reader 7.0.9 za SHueur-JXW trojanac, a NOD32 antivirusni program je u srpnju 2007. obavijestio korisnike o otkrivanju Tivso.14a.gen trojanca kada je naišao na bannere pri posluživanju- sys.com na popularnim stranicama kao što su Yahoo, MySpace i drugi portali usmjereni na vijesti.

Kao dio svog istraživanja, AV-Comparatives, osim što istražuje mogućnosti antivirusnog otkrivanja zlonamjernog softvera, također provodi lažno pozitivne testove na zbirkama čistih datoteka (pogledajte grafikon ispod za rezultate). Prema testu, antivirusi Doctor Web i Avira su najgori s lažno pozitivnim.

Liječimo ono što nije uhvaćeno

Tužno je to shvatiti, ali nema stopostotne zaštite od virusa. S vremena na vrijeme korisnici se susreću sa situacijom kada je zlonamjerni program ušao u računalo i računalo se zarazilo. To se događa ili zato što na računalu uopće nije bilo antivirusnog programa ili zato što antivirusni program nije detektirao zlonamjerni softver ni potpisom ili proaktivne metode. U takvoj situaciji važno je da kada se na računalo instalira antivirus sa svježim bazama potpisa, antivirusni program ne samo da može otkriti zlonamjerni program, već i uspješno otkloniti sve posljedice njegovog djelovanja, izliječiti aktivnu infekciju. Važno je razumjeti da pisci virusa neprestano poboljšavaju svoje "vještine", a neke je njihove kreacije prilično teško ukloniti s računala - zlonamjerni programi mogu prikriti svoju prisutnost u sustavu na razne načine (uključujući korištenje rootkita) pa čak i ometati uz rad antivirusnih programa. Osim toga, nije dovoljno jednostavno izbrisati ili dezinficirati zaraženu datoteku, potrebno je eliminirati sve promjene koje je napravio zlonamjerni proces u sustavu (na primjer, promjene u registru) i potpuno vratiti performanse sustava. Autorima nije poznata samo jedna skupina istraživača koja provodi testove za liječenje aktivne infekcije - riječ je o timu ruskog portala Anti-Malware.ru. Posljednji takav test proveli su u rujnu prošle godine, njegovi rezultati prikazani su u sljedećem dijagramu:

Integriramo procjene

Iznad smo ispitali različite pristupe testiranju antivirusnih programa, pokazali koji se parametri rada antivirusa razmatraju tijekom testiranja. Jasno je da neki antivirusi osvajaju jedan pokazatelj, drugi - drugi. Istodobno, prirodno je da se u svojim reklamnim materijalima antivirusni programeri fokusiraju samo na one testove u kojima njihovi proizvodi zauzimaju vodeće pozicije. Na primjer, Kaspersky Lab se usredotočuje na brzinu reakcije na pojavu novih prijetnji, Eset - na snagu svojih heurističkih tehnologija, Doctor Web opisuje svoje prednosti u liječenju aktivnih infekcija. Ali što korisnik treba učiniti, kako napraviti pravi izbor?

Nadamo se da će ovaj članak pomoći korisnicima u odabiru antivirusnog programa. Da bi se to postiglo, predstavljeni su rezultati raznih testova kako bi korisnik dobio predodžbu o prednostima i slabostima antivirusnog softvera. Jasno je da rješenje koje korisnik odabere mora biti uravnoteženo i prema većini parametara mora biti među vodećima prema rezultatima ispitivanja. Radi cjelovitosti, pozicije koje su antivirusni programi zauzeli u pregledanim testovima sažeti su u jednu tablicu u nastavku, a prikazana je integrirana procjena - koje je prosječno mjesto za sve testove za ovaj ili onaj proizvod. Kao rezultat toga, među prva tri pobjednika: Kaspersky, Avira, Symantec.

2.1.4 Komparativna analiza antivirusnih alata.

Postoji mnogo različitih antivirusnih programa domaćeg i nedomaćeg porijekla. A kako bismo razumjeli koji je od antivirusnih programa bolji, napravimo njihovu usporednu analizu. Da bismo to učinili, uzmimo moderne antivirusne programe, kao i one koje najčešće koriste korisnici računala.

Panda Antivirus 2008 3.01.00

Kompatibilni sustavi: Windows 2000 / XP / Vista

Montaža

Teško je zamisliti jednostavniju i bržu instalaciju nego što nudi Panda 2008. Rečeno nam je samo koje prijetnje će ova aplikacija zaštititi i bez izbora vrste instalacije ili izvora ažuriranja, za manje od minute nude zaštitu od virusa, crva, trojanaca , špijunski softver i krađu identiteta nakon što su prethodno skenirali memoriju računala na viruse. Istodobno, ne podržava neke druge napredne funkcije modernih antivirusnih programa, poput blokiranja sumnjivih web stranica ili zaštite osobnih podataka.

Sučelje i rad

Sučelje programa je vrlo svijetlo. Prisutne postavke pružaju minimalnu razinu promjene, prisutne su samo najvažnije. Općenito, samokonfiguracija u ovom slučaju nije potrebna: zadane postavke odgovaraju većini korisnika, pružajući zaštitu od phishing napada, špijunskog softvera, virusa, hakerskih aplikacija i drugih prijetnji.

Panda se može ažurirati samo putem interneta. Štoviše, vrlo je preporučljivo instalirati ažuriranje odmah nakon instaliranja antivirusnog programa, inače će Panda, s malim, ali uočljivim prozorom na dnu zaslona, redovito zahtijevati pristup "roditeljskom" poslužitelju, što ukazuje na nisku razinu trenutne zaštita.

Panda 2008 sve prijetnje dijeli na poznate i nepoznate. U prvom slučaju možemo onemogućiti skeniranje određenih vrsta prijetnji, u drugom slučaju određujemo hoćemo li duboko skenirati datoteke, IM poruke i e-poštu kako bismo pronašli nepoznate zlonamjerne objekte. Ako Panda otkrije sumnjivo ponašanje neke aplikacije, odmah će vas obavijestiti, čime će osigurati zaštitu od prijetnji koje nisu uključene u antivirusnu bazu podataka.

Panda vam omogućuje skeniranje cijelog tvrdog diska ili njegovih dijelova. Treba imati na umu da se arhive ne skeniraju prema zadanim postavkama. Izbornik postavki sadrži ekstenzije datoteka koje se skeniraju, a ako je potrebno, možete dodati vlastita proširenja. Posebno treba spomenuti statistiku otkrivenih prijetnji koja je prikazana u obliku tortnog grafikona koji jasno pokazuje udio svake vrste prijetnji u ukupnom broju zlonamjernih objekata. Izvješće o otkrivenim objektima može se generirati za odabrano vremensko razdoblje.

· Minimalni zahtjevi sustava: prisutnost Windows 98 / NT / Me / 2000 / XP.

Hardverski zahtjevi odgovaraju onima navedenim za navedeni OS.

Glavne funkcionalne značajke:

· Zaštita od crva, virusa, trojanaca, polimorfnih virusa, makro virusa, špijunskog softvera, dialera, adwarea, hakerskih uslužnih programa i zlonamjernih skripti;

· Ažuriranje antivirusnih baza podataka do nekoliko puta na sat, veličina svakog ažuriranja je do 15 KB;

· Provjera memorije sustava računala, koja omogućuje otkrivanje virusa koji ne postoje u obliku datoteka (na primjer, CodeRed ili Slammer);

· Heuristički analizator koji vam omogućuje da neutralizirate nepoznate prijetnje prije objavljivanja odgovarajućih ažuriranja baze virusa.

Montaža

Dr.Web u početku iskreno upozorava da se neće slagati s drugim antivirusnim aplikacijama i traži da se uvjerite da takvih aplikacija na računalu nema. Inače, timski rad može dovesti do “nepredvidivih posljedica”. Zatim odaberite "Prilagođena" ili "Tipična" (preporučena) instalacija i nastavite proučavati glavne predstavljene komponente:

· Skener za Windows. Provjera datoteka u ručnom načinu rada;

· Konzolni skener za Windows. Dizajniran za pokretanje iz batch datoteka;

SpiDer Guard. Skeniranje datoteka "u hodu", sprječavanje infekcija u stvarnom vremenu;

SpiDer Mail. Provjera poruka primljenih putem POP3, SMTP, IMAP i NNTP.

Sučelje i rad

Upečatljiv je nedostatak konzistentnosti u sučelju između antivirusnih modula, što stvara dodatnu vizualnu nelagodu s ionako ne baš prijateljskim pristupom komponentama Dr.Web. Veliki broj svih vrsta postavki očito nije dizajniran za korisnika početnika, međutim, prilično detaljna pomoć u pristupačnom obliku objasnit će svrhu određenih parametara koji vas zanimaju. Pristup središnjem Dr.Web modulu - skeneru za Windows - ne vrši se preko ladice, kao u svim antivirusima koji su pregledani u recenziji, već samo putem "Start" - daleko od najboljeg rješenja, koje je bilo popravljeno u Kaspersky Anti-Virusu svojedobno.

Ažuriranja su dostupna i putem interneta i putem proxy poslužitelja, što, s obzirom na malu veličinu potpisa, čini Dr.Web vrlo atraktivnom opcijom za srednje i velike računalne mreže.

Možete koristiti praktičan alat Planer za postavljanje parametara skeniranja sustava, redoslijed ažuriranja i konfiguriranje radnih uvjeta za svaki modul Dr.Web.

Kao rezultat toga, dobivamo nezahtjevne računalne resurse, prilično jednostavnu (približenom pregledu) integralnu zaštitu računala od svih vrsta prijetnji, čije sposobnosti suprotstavljanja zlonamjernim aplikacijama očito nadmašuju jedini nedostatak izražen u "šarenom" sučelju Dr.Web modula .

Pogledajmo postupak izravnog skeniranja odabranog direktorija. Kao "test subjekt" korištena je mapa ispunjena tekstualnim dokumentima, arhivama, glazbom, video i drugim datotekama tipičnim za tvrdi disk prosječnog korisnika. Ukupna količina informacija bila je 20 GB. U početku je trebao skenirati particiju tvrdog diska na kojoj je sustav instaliran, ali je Dr.Web namjeravao produžiti skeniranje na dva do tri sata, temeljito proučavajući sistemske datoteke, kao rezultat toga, odvojena je mapa za "poligon". Svaki antivirus koristio je sve ponuđene opcije za postavljanje maksimalnog broja skeniranih datoteka.

Prvo mjesto u odnosu na utrošeno vrijeme pripalo je Pandi 2008. Nevjerojatno, ali istinito: skeniranje je trajalo samo pet (!) minuta. Dr.Web je odbio racionalno koristiti vrijeme korisnika i proučavao je sadržaj mapa više od sat i pol. Vrijeme koje pokazuje Panda 2008 izazvalo je sumnje koje su zahtijevale dodatnu dijagnostiku naizgled beznačajnog parametra - broja skeniranih datoteka. Sumnje se nisu pojavile uzalud i našle su praktičnu osnovu na ponovljenim testovima. Moramo odati počast Dr.Webu - antivirus nije gubio toliko vremena, pokazujući najbolji rezultat: nešto više od 130 tisuća datoteka. Rezervirajmo da, nažalost, nije bilo moguće odrediti točan broj datoteka u probnoj mapi. Stoga je Dr.Web indikator prihvaćen kao pokazatelj stvarnog stanja po ovom pitanju.

Korisnici se na različite načine odnose prema procesu "velikog" skeniranja: neki radije napuste računalo i ne ometaju skeniranje, drugi ne žele napraviti kompromis s antivirusom i nastaviti raditi ili igrati. Posljednja opcija, kako se pokazalo, omogućuje vam da implementirate Panda Antivirus bez ikakvih problema. Da, ovaj program, u kojem se pokazalo nemogućim istaknuti ključne značajke, u bilo kojoj konfiguraciji će uzrokovati jedinu smetnju sa zelenim znakom koji najavljuje uspješan završetak skeniranja. Titulu najstabilnijeg potrošača RAM-a dobio je Dr.Web, čiji je rad u punom opterećenju zahtijevao samo nekoliko megabajta više nego tijekom normalnog rada.

Sada pogledajmo pobliže takve antivirusne programe kao što su:

1. Kaspersky Anti-Virus 2009;

3. Panda Antivirus 2008;

prema sljedećim kriterijima:

· Ocjena pogodnosti korisničkog sučelja;

· Ocjena pogodnosti u radu;

· Analiza skupa tehničkih mogućnosti;

· Procjena troškova.

Od svih pregledanih antivirusa, najjeftiniji je Panda Antivirus 2008, a najskuplji NOD 32. No, to ne znači da je Panda Antivirus 2008 lošiji, kako kažu ostali kriteriji. Tri programa od četiri pregledana (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) imaju jednostavnije, funkcionalnije i korisnije sučelje od Dr. Web, koji ima mnogo postavki koje su nerazumljive korisniku početniku. U programu možete koristiti detaljnu pomoć koja će objasniti svrhu onih ili drugih parametara koji su vam potrebni.

Svi programi nude pouzdanu zaštitu od crva, tradicionalnih virusa, virusa e-pošte, špijunskog softvera, trojanaca i još mnogo toga. Provjera datoteka u programima kao što je Dr. Web, NOD 32, izvodi se pri pokretanju sustava, ali Kaspersky Anti-Virus skenira datoteke u trenutku kada im pristupi. Kaspersky Anti-Virus, NOD 32, za razliku od svih ostalih, ima napredni sustav proaktivne zaštite temeljen na algoritmima heurističke analize; mogućnost postavljanja lozinke i na taj način zaštite programa od virusa koji imaju za cilj uništavanje antivirusne zaštite. Osim toga, Kaspersky Anti-Virus 2009 ima blokator ponašanja. Panda Antivirus, za razliku od svih ostalih, ne podržava blokiranje sumnjivih web stranica niti zaštitu osobnih podataka. Svi ovi antivirusi imaju automatsko ažuriranje baze podataka i planer zadataka. Također, ovi su antivirusni programi potpuno kompatibilni s Vistom. Ali svi oni, osim Panda Antivirusa, zahtijevaju da u sustavu osim njih nema drugih sličnih programa. Na temelju tih podataka sastavit ćemo tablicu.

Tablica.1 Karakteristike antivirusnih programa

kriterijima	Kaspersky Anti-Virus 2009	NOD 32	dr. mreža	Panda antivirus
Procjena troškova	-	-	-	+
Ocjena upotrebljivosti korisničkog sučelja	+	+	-
Ocjena upotrebljivosti	+	+	+-	-
Analiza skupa tehničkih mogućnosti	+	+	+	-
Opći dojam o programu	+	+		-

Svaki od recenziranih antivirusa zaradio je svoju popularnost iz ovih ili onih razloga, ali ne postoji apsolutno idealno rješenje za sve kategorije korisnika.

Po mom mišljenju, najkorisniji su Kaspersky Anti-Virus 2009 i NOD 32. Budući da imaju gotovo sve zahtjeve koje antivirusni program treba imati. To je i sučelje i skup tehničkih mogućnosti. Općenito, imaju sve što vam je potrebno za zaštitu vašeg računala od virusa.

Zaključak

U zaključku ovog kolegija želim reći da je moj cilj – komparativna analiza suvremenih antivirusnih alata – postignut. U tom smislu riješeni su sljedeći zadaci:

1. Odabrana literatura na ovu temu.

2. Proučavao razne antivirusne programe.

3. Provedena je usporedba antivirusnih programa.

Prilikom izrade kolegija susreo sam se s nizom problema u pronalaženju informacija, jer je u mnogim izvorima prilično kontradiktorno; kao i komparativnu analizu prednosti i nedostataka svakog antivirusnog programa te konstrukciju zaokretne tablice.

Još jednom, vrijedi napomenuti da ne postoji univerzalni antivirusni program. Niti jedan od njih ne može nam jamčiti 100% zaštitu od virusa, a izbor antivirusnog programa u mnogočemu ovisi o samom korisniku.

Književnost

1. Časopis za korisnike osobnih računala "PC World"

2. Leontiev V.P. "Najnovija enciklopedija osobnog računala"

3.http: //www.viruslist.com

Skeniranje za sve module, osim za modul za skeniranje računala. 1) Modul za zaštitu od neželjene pošte za Outlook Express i Windows Mail može se priključiti. Nakon instaliranja Eset Smart Security, u Outlook Expressu ili Windows Mailu pojavljuje se alatna traka koja sadrži sljedeće funkcije anti-spam modula 2) Modul za zaštitu od neželjene pošte radi...

Računalni virusi. Za kvalitetno i ispravno liječenje zaraženog programa potrebni su specijalizirani antivirusni programi (na primjer, Kaspersky Anti-Virus, Dr Web, itd.). POGLAVLJE 2. KOMPARATIVNA ANALIZA ANTI-VIRUSNIH APLIKACIJA Antivirusni programeri često koriste rezultate neovisnih testova kako bi dokazali prednosti svojih proizvoda. Jedan od prvih koji je testirao antivirus...

Dobro se nosi s kolekcijom VirusBulletin ITW - i ništa više. Prosječna ocjena antivirusa za sve testove prikazana je na slici 1. (vidi priloge sl. 1.). Poglavlje 2. Korištenje antivirusnih programa 2.1 Antivirusna provjera e-pošte Ako je u zoru razvoja računalnih tehnologija glavni kanal za širenje virusa bila razmjena programskih datoteka putem disketa, onda ...

... (na primjer, ne preuzimanje ili pokretanje nepoznatih programa s Interneta) smanjilo bi vjerojatnost širenja virusa i eliminiralo potrebu za korištenjem mnogih antivirusnih programa. Korisnici računala ne moraju stalno raditi s administratorskim pravima. Kada bi koristili standardni način pristupa korisnika, neke vrste virusa ne bi ...

Uvod

1. Teorijski dio

1.1 Koncept informacijske sigurnosti

1.2 Vrste prijetnji

1.3 Metode zaštite informacija

2. Dizajnerski dio

2.1 Klasifikacija računalnih virusa

2.2 Koncept antivirusnog programa

2.3 Vrste antivirusnih alata

2.4 Usporedba antivirusnih paketa

Zaključak

Popis korištene literature

dodatak

Uvod

Razvoj novih informacijskih tehnologija i opća informatizacija doveli su do toga da informacijska sigurnost ne samo da postaje obvezna, već je i jedna od karakteristika informacijskih sustava. Postoji prilično opsežna klasa sustava za obradu informacija, u čijem razvoju faktor sigurnosti igra primarnu ulogu.

Masovna upotreba osobnih računala povezana je s pojavom samoreplicirajućih virusnih programa koji onemogućuju normalan rad računala, uništavaju datotečnu strukturu diskova i oštećuju informacije pohranjene u računalu.

Unatoč zakonima o suzbijanju računalnog kriminala donesenim u mnogim zemljama i razvoju posebnih softverskih alata za zaštitu od virusa, broj novih softverskih virusa neprestano raste. To zahtijeva od korisnika osobnog računala da zna o prirodi virusa, kako se mogu zaraziti i zaštititi od njih.

Virusi su svakim danom sve sofisticiraniji, što dovodi do značajne promjene profila prijetnji. No tržište antivirusnog softvera napreduje s mnoštvom proizvoda. Njihovi korisnici, prikazujući problem samo općenito, često propuste važne nijanse i na kraju umjesto same zaštite imaju iluziju zaštite.

Svrha ovog kolegija je napraviti komparativnu analizu antivirusnih paketa.

Za postizanje ovog cilja u radu se rješavaju sljedeći zadaci:

Proučiti pojmove informacijske sigurnosti, računalnih virusa i antivirusnih alata;

Odrediti vrste prijetnji informacijskoj sigurnosti, metode zaštite;

Proučiti klasifikaciju računalnih virusa i antivirusnih programa;

Provesti komparativnu analizu antivirusnih paketa;

Napravite antivirusni program.

Praktični značaj rada.

Dobiveni rezultati, materijal kolegija mogu se koristiti kao osnova za samousporedbu antivirusnih programa.

Struktura nastavnog rada.

Ovaj kolegij se sastoji od Uvoda, dva dijela, Zaključka, popisa korištene literature.

računalni virus sigurnosni antivirus

1. Teorijski dio

U postupku komparativne analize antivirusnih paketa potrebno je definirati sljedeće pojmove:

1 Sigurnost informacija.

2 Vrste prijetnji.

3 Načini zaštite informacija.

Prijeđimo na detaljno razmatranje ovih koncepata:

1.1 Koncept informacijske sigurnosti

Unatoč sve većim naporima u stvaranju tehnologija zaštite podataka, njihova ranjivost u suvremenim uvjetima ne samo da se ne smanjuje, već se stalno povećava. Stoga je sve veća hitnost problema vezanih uz zaštitu informacija.

Problem zaštite informacija je višeznačan i složen te obuhvaća niz važnih zadataka. Na primjer, povjerljivost podataka, koja se osigurava korištenjem različitih metoda i sredstava. Popis sličnih zadataka za zaštitu informacija može se nastaviti. Intenzivan razvoj suvremenih informacijskih tehnologija, a posebno mrežnih, stvaraju sve preduvjete za to.

Zaštita informacija je skup mjera kojima se osigurava cjelovitost, dostupnost i, po potrebi, povjerljivost informacija i resursa koji se koriste za unos, pohranu, obradu i prijenos podataka.

Do danas su formulirana dva osnovna principa zaštite informacija:

1 integritet podataka - zaštita od kvarova koji dovode do gubitka informacija, kao i zaštita od neovlaštenog stvaranja ili uništavanja podataka;

2 povjerljivost informacija.

Zaštita od kvarova koji dovode do gubitka informacija provodi se u smjeru povećanja pouzdanosti pojedinih elemenata i sustava koji provode unos, pohranu, obradu i prijenos podataka, umnožavanje i redundantnost pojedinih elemenata i sustava, korištenje različitih, uključujući autonomni, izvori napajanja, povećanje razine kvalifikacija korisnika, zaštita od nenamjernih i namjernih radnji koje dovode do kvara opreme, uništavanja ili izmjene (modifikacije) softvera i zaštićenih informacija.

Zaštita od neovlaštenog stvaranja ili uništavanja podataka osigurava se fizičkom zaštitom informacija, razgraničenjem i ograničenjem pristupa elementima zaštićenih informacija, zatvaranjem zaštićene informacije u postupku njezine neposredne obrade, razvojem softverskih i hardverskih sustava, uređaja i specijaliziranog softvera. kako bi se spriječio neovlašteni pristup zaštićenim informacijama.

Povjerljivost informacija osigurava se identifikacijom i autentifikacijom subjekata pristupa prilikom ulaska u sustav identifikatorom i lozinkom, identifikacijom vanjskih uređaja po fizičkim adresama, identifikacijom programa, volumena, imenika, datoteka po imenima, enkripcijom i dešifriranjem informacija, razgraničenjem i kontrolom pristupa njemu.

Među mjerama za zaštitu informacija glavne su tehničke, organizacijske i pravne.

Tehničke mjere uključuju zaštitu od neovlaštenog pristupa sustavu, redundantnost posebno važnih računalnih podsustava, organizaciju računalnih mreža s mogućnošću preraspodjele resursa u slučaju kvara pojedinih veza, ugradnju rezervnih sustava napajanja, opremanje prostora bravama, ugradnja alarma i tako dalje.

Organizacijske mjere uključuju: zaštitu računskog centra (informatičke sobe); sklapanje ugovora o održavanju računalne opreme sa solidnom, renomiranom organizacijom; isključenje mogućnosti rada na računalnoj opremi od strane nepoznatih, slučajnih osoba i sl.

Pravne mjere uključuju izradu normi kojima se utvrđuje odgovornost za onesposobljavanje računalne opreme i uništavanje (promjenu) softvera, javni nadzor nad programerima i korisnicima računalnih sustava i programa.

Valja naglasiti da nikakvo hardversko, softversko ili bilo koje drugo rješenje ne može jamčiti apsolutnu pouzdanost i sigurnost podataka u računalnim sustavima. Istodobno je moguće svesti rizik od gubitaka na minimum, ali samo integriranim pristupom zaštiti informacija.

1.2 Vrste prijetnji

Pasivne prijetnje uglavnom su usmjerene na neovlašteno korištenje informacijskih resursa informacijskog sustava, bez utjecaja na njegovo funkcioniranje. Na primjer, neovlašteni pristup bazama podataka, prisluškivanje komunikacijskih kanala i tako dalje.

Aktivne prijetnje usmjerene su na narušavanje normalnog funkcioniranja informacijskog sustava namjernim utjecajem na njegove komponente. Aktivne prijetnje uključuju, na primjer, kvar računala ili njegovog operativnog sustava, uništenje računalnog softvera, prekid komunikacijskih linija i tako dalje. Izvor aktivnih prijetnji mogu biti radnje hakera, zlonamjernog softvera i slično.

Namjerne prijetnje također se dijele na unutarnje (nastaju unutar kontrolirane organizacije) i vanjske.

Unutarnje prijetnje najčešće su uvjetovane društvenim napetostima i teškom moralnom klimom.

Vanjske prijetnje mogu biti potaknute zlonamjernim ponašanjem konkurenata, ekonomskim uvjetima i drugim uzrocima (kao što su prirodne katastrofe).

Glavne prijetnje informacijskoj sigurnosti i normalnom funkcioniranju informacijskog sustava uključuju:

Curenje povjerljivih informacija;

Kompromitirajuće informacije;

Neovlašteno korištenje informacijskih izvora;

Pogrešno korištenje informacijskih izvora;

Neovlaštena razmjena informacija između pretplatnika;

Odbijanje informacija;

Kršenje informacijske usluge;

Nezakonito korištenje privilegija.

Curenje povjerljivih informacija je nekontrolirani izlazak povjerljivih informacija izvan informacijskog sustava ili kruga osoba kojima je povjerena u službu ili je postala poznata u toku rada. Ovo curenje može biti zbog:

Otkrivanje povjerljivih informacija;

Ostavljanje informacija raznim, uglavnom tehničkim, kanalima;

Neovlašteni pristup povjerljivim informacijama na različite načine.

Objavljivanje informacija od strane vlasnika ili vlasnika je namjerno ili neoprezno postupanje službenih osoba i korisnika kojima su relevantne informacije povjerene na propisan način u službi ili na radu, a koje su dovele do upoznavanja osoba koje nisu bile primljene u taj podatak. informacija.

Moguć je nekontrolirani odlazak povjerljivih informacija vizualno-optičkim, akustičnim, elektromagnetskim i drugim kanalima.

Neovlašteni pristup je protupravno namjerno oduzimanje povjerljivih informacija od strane osobe koja nema pravo pristupa zaštićenim informacijama.

Najčešći načini neovlaštenog pristupa informacijama su:

Presretanje elektroničkih emisija;

Korištenje uređaja za prisluškivanje;

Daljinsko fotografiranje;

Presretanje akustične emisije i restauracija teksta pisača;

Kopiranje nositelja informacija s prevladavajućim mjerama zaštite;

Prerušiti se kao registrirani korisnik;

Prerušavanje u zahtjeve sustava;

Korištenje softverskih zamki;

Korištenje nedostataka programskih jezika i operacijskih sustava;

Nezakonito spajanje na opremu i komunikacijske linije posebno dizajniranog hardvera koji omogućuje pristup informacijama;

Zlonamjerno onemogućavanje zaštitnih mehanizama;

Dešifriranje šifriranih informacija posebnim programima;

Informacijske infekcije.

Navedeni načini neovlaštenog pristupa zahtijevaju od napadača dovoljno veliko tehničko znanje i odgovarajuće hardversko ili softversko usavršavanje. Primjerice, koriste se tehnički kanali curenja – to su fizički putovi od izvora povjerljivih informacija do napadača, putem kojih je moguće doći do zaštićenih informacija. Uzrok kanala propuštanja su strukturne i tehnološke nesavršenosti u rješenjima kruga ili operativno trošenje elemenata. Sve to omogućuje provalnicima stvaranje pretvarača koji rade na određenim fizičkim principima, koji tvore kanal za prijenos informacija svojstven tim principima - kanal curenja.

Međutim, postoje i prilično primitivni načini neovlaštenog pristupa:

Krađa medijskog i dokumentarnog otpada;

Proaktivna suradnja;

Poticanje suradnje od krekera;

Izvlačenje;

Prisluškivanje;

Promatranje i drugi načini.

Bilo kakve metode curenja povjerljivih informacija mogu dovesti do značajne materijalne i moralne štete kako za organizaciju u kojoj informacijski sustav djeluje tako i za njegove korisnike.

Postoji i stalno se razvija veliki broj zlonamjernih programa čija je svrha oštećenje informacija u bazama podataka i računalnog softvera. Veliki broj varijanti ovih programa ne dopušta razvoj trajnih i pouzdanih sredstava zaštite od njih.

Vjeruje se da virus ima dvije glavne karakteristike:

Sposobnost same reprodukcije;

Sposobnost ometanja računskog procesa (za dobivanje upravljačkih sposobnosti).

Neovlašteno korištenje informacijskih resursa, s jedne strane, posljedica je njihova curenja i sredstvo kompromitiranja. S druge strane, ima neovisno značenje, jer može uzrokovati veliku štetu upravljanom sustavu ili njegovim pretplatnicima.

Pogrešna uporaba informacijskih resursa, ako je ovlaštena, ipak može dovesti do uništenja, curenja ili kompromitiranja tih resursa.

Neovlaštena razmjena informacija između pretplatnika može dovesti do primanja informacija od strane jednog od njih, pristup kojima je zabranjen. Posljedice su iste kao i kod neovlaštenog pristupa.

1.3 Metode zaštite informacija

Izrada sustava informacijske sigurnosti temelji se na sljedećim načelima:

1 Sustavni pristup izgradnji sustava zaštite, što znači optimalnu kombinaciju međusobno povezanih organizacijskih, softverskih,. Hardverska, fizička i druga svojstva, potvrđena praksom izrade domaćih i stranih sustava zaštite i korištena u svim fazama tehnološkog ciklusa obrade informacija.

2 Načelo kontinuiranog razvoja sustava. Ovo načelo, koje je jedno od temeljnih za računalne informacijske sustave, još je relevantnije za sustave informacijske sigurnosti. Metode implementacije prijetnji informacijama neprestano se unaprjeđuju, te stoga osiguranje sigurnosti informacijskih sustava ne može biti jednokratan čin. Riječ je o kontinuiranom procesu koji se sastoji u opravdavanju i implementaciji najracionalnijih metoda, metoda i načina poboljšanja sustava informacijske sigurnosti, kontinuiranom praćenju, utvrđivanju njegovih uskih grla i slabosti, potencijalnih kanala curenja informacija i novih metoda neovlaštenog pristupa,

3 Osiguranje pouzdanosti sustava zaštite, odnosno nemogućnost smanjenja razine pouzdanosti u slučaju kvarova, kvarova, namjernih radnji provalnika ili nenamjernih pogrešaka korisnika i servisera u sustavu.

4. Osiguravanje nadzora nad radom sustava zaštite, odnosno stvaranje sredstava i metoda za praćenje rada zaštitnih mehanizama.

5 Pružanje svih vrsta alata protiv zlonamjernog softvera.

6 Osiguravanje ekonomske isplativosti korištenja sustava. Zaštita, koja se izražava u višku moguće štete od implementacije prijetnji nad troškom razvoja i rada informacijskih sigurnosnih sustava.

Kao rezultat rješavanja problema informacijske sigurnosti, moderni informacijski sustavi trebali bi imati sljedeće glavne značajke:

Dostupnost informacija različitog stupnja povjerljivosti;

Pružanje kriptografske zaštite informacija različitog stupnja povjerljivosti tijekom prijenosa podataka;

Obvezna kontrola tokova informacija, kako u lokalnim mrežama tako i tijekom prijenosa preko daljinskih komunikacijskih kanala;

Prisutnost mehanizma za registraciju i bilježenje pokušaja neovlaštenog pristupa, događaja u informacijskom sustavu i ispisanih dokumenata;

Obavezno osiguranje integriteta softvera i informacija;

Dostupnost sredstava za obnovu sustava zaštite informacija;

Obvezna registracija magnetskih medija;

Dostupnost fizičke zaštite računalne opreme i magnetskih medija;

Prisutnost posebne službe informacijske sigurnosti sustava.

Metode i sredstva informacijske sigurnosti.

Prepreka je metoda fizičkog blokiranja puta napadaču do zaštićene informacije.

Kontrola pristupa – metode zaštite informacija reguliranjem korištenja svih resursa. Ove metode moraju se oduprijeti svim mogućim načinima neovlaštenog pristupa informacijama. Kontrola pristupa uključuje sljedeće sigurnosne značajke:

Identifikacija korisnika, osoblja i resursa sustava (dodjela osobnog identifikatora svakom objektu);

Identifikacija objekta ili subjekta identifikatorom koji je on predstavio;

Dopuštenje i stvaranje uvjeta za rad u okviru utvrđenih propisa;

Registracija poziva na zaštićene izvore;

Reagiranje na pokušaje neovlaštenih radnji.

Mehanizmi šifriranja – kriptografsko zatvaranje informacija. Ove metode zaštite se sve više koriste kako u obradi i pohranjivanju informacija na magnetskim medijima. Kod prijenosa informacija putem daljinskih komunikacijskih kanala ova metoda je jedina pouzdana.

Suprotstavljanje napadima zlonamjernog softvera uključuje niz organizacijskih mjera i korištenje antivirusnih programa.

Cijeli skup tehničkih sredstava dijeli se na hardverska i fizička.

Hardver - uređaji koji se ugrađuju izravno u računalnu opremu, ili uređaji koji s njom sučelju putem standardnog sučelja.

Fizička sredstva uključuju različite inženjerske uređaje i građevine koje sprječavaju fizički prodor uljeza u objekte zaštite i štite osoblje (osobnu sigurnosnu opremu), materijalna sredstva i financije, informacije od protupravnih radnji.

Softverska sredstva su posebni programi i softverski sustavi dizajnirani za zaštitu informacija u informacijskim sustavima.

Od programskih alata sustava zaštite potrebno je izdvojiti i softverske alate koji implementiraju mehanizme enkripcije (kriptografije). Kriptografija je znanost o osiguravanju tajnosti i/ili autentičnosti poslanih poruka.

Organizacijski alati provode svoju složenu regulaciju proizvodnih aktivnosti u informacijskim sustavima i odnosa izvođača na regulatornoj i pravnoj osnovi na način da otkrivanje, curenje i neovlašteni pristup povjerljivim informacijama postaje nemoguće ili značajno otežano organizacijskim mjerama.

Pravni lijekovi određeni su zakonodavnim aktima zemlje kojima se uređuju pravila korištenja, obrade i prijenosa informacija ograničenog pristupa i utvrđuju mjere odgovornosti za kršenje ovih pravila.

Moralno-etička sredstva zaštite uključuju sve vrste normi ponašanja koje su se tradicionalno ranije razvile, formirane širenjem informacija u zemlji i svijetu ili su posebno razvijene. Moralni i etički standardi mogu biti nepisani ili formalizirani u određenom skupu pravila ili propisa. Ove norme, u pravilu, nisu zakonski odobrene, ali budući da njihovo nepoštivanje dovodi do smanjenja prestiža organizacije, smatraju se obvezujućim.

2. Dizajnerski dio

U dijelu dizajna potrebno je izvršiti sljedeće korake:

1 Definirajte pojam računalnog virusa i klasifikaciju računalnih virusa.

2 Definirajte pojam antivirusnog programa i klasifikaciju antivirusnih alata.

3 Provedite komparativnu analizu antivirusnih paketa.

2.1 Klasifikacija računalnih virusa

Virus je program koji može zaraziti druge programe uključivanjem u njih modificirane kopije sposobne za daljnju replikaciju.

Virusi se mogu podijeliti u klase prema sljedećim glavnim karakteristikama:

Destruktivne prilike

Značajke algoritma rada;

Stanište;

Prema svojim destruktivnim sposobnostima, virusi se mogu podijeliti na:

Bezopasni, odnosno ni na koji način ne utječu na rad računala (osim smanjenja slobodnog prostora na disku kao rezultat njihove distribucije);

Neopasno, čiji je utjecaj ograničen na smanjenje slobodne memorije diska i grafičkih, zvučnih i drugih efekata;

Opasni virusi koji mogu dovesti do ozbiljnih kvarova na vašem računalu;

Vrlo opasno, u čiji su algoritam rada namjerno ugrađeni postupci koji mogu dovesti do gubitka programa, uništavanja podataka, brisanja podataka potrebnih za rad računala, snimljenih u područjima memorije sustava

Osobitosti algoritma djelovanja virusa mogu se okarakterizirati sljedećim svojstvima:

Boravak;

Korištenje stealth algoritama;

Polimorfizam;

Rezidentni virusi.

Pojam "rezidencija" odnosi se na sposobnost virusa da ostave svoje kopije u memoriji sustava, presretnu neke događaje i dozovu procedure zaraze za otkrivene objekte (datoteke i sektore). Dakle, virusi rezidentni u memoriji aktivni su ne samo kada je zaraženi program pokrenut, već i nakon što program završi svoj rad. Stalne kopije takvih virusa ostaju održive do sljedećeg ponovnog pokretanja, čak i ako su sve zaražene datoteke uništene na disku. Često je nemoguće riješiti se takvih virusa vraćanjem svih kopija datoteka s distribucijskih diskova ili sigurnosnih kopija. Stalna kopija virusa ostaje aktivna i inficira novostvorene datoteke. Isto vrijedi i za viruse za pokretanje - formatiranje diska kada postoji rezidentni virus u memoriji ne izliječi uvijek disk, budući da mnogi rezidentni virusi ponovno zaraze disk nakon što je formatiran.

Nerezidentni virusi u memoriji. S druge strane, virusi koji nisu rezidentni u memoriji aktivni su prilično kratko - samo u trenutku kada se zaraženi program pokrene. Za svoju distribuciju traže neinficirane datoteke na disku i pišu u njih. Nakon što virusni kod prenese kontrolu na glavni program, utjecaj virusa na rad operativnog sustava svodi se na nulu do sljedećeg pokretanja zaraženog programa. Stoga je mnogo lakše izbrisati datoteke zaražene nerezidentnim virusima s diska i istovremeno spriječiti da ih virus ponovno zarazi.

Stealth virusi. Stealth virusi na ovaj ili onaj način skrivaju činjenicu svoje prisutnosti u sustavu. Korištenje stealth algoritama omogućuje virusima da se potpuno ili djelomično sakriju u sustavu. Najčešći stealth algoritam je presretanje zahtjeva operacijskog sustava za čitanje (pisanje) zaraženih objekata. U ovom slučaju, stealth virusi ih ili privremeno liječe, ili umjesto njih "zamjenjuju" nezaražena područja informacija. U slučaju makro virusa, najpopularniji način je zabrana poziva u izbornik prikaza makronaredbi. Poznate su sve vrste stealth virusa, s izuzetkom Windows virusa - virusa za pokretanje, virusa DOS datoteka, pa čak i makro virusa. Pojava skrivenih virusa koji inficiraju Windows datoteke najvjerojatnije je pitanje vremena.

Polimorfni virusi. Samošifriranje i polimorfizam koriste gotovo sve vrste virusa kako bi se postupak otkrivanja virusa što je više moguće otežao. Polimorfne viruse je prilično teško otkriti virusima koji nemaju signature, odnosno ne sadrže niti jedan stalni dio koda. U većini slučajeva, dva uzorka istog polimorfnog virusa neće imati niti jedno podudaranje. To se postiže šifriranjem glavnog tijela virusa i modificiranjem programa za dešifriranje.

Polimorfni virusi uključuju one koji se ne mogu detektirati pomoću tzv. virusnih maski - dijelova konstantnog koda koji su specifični za određeni virus. To se postiže na dva glavna načina - šifriranjem glavnog koda virusa prevrtljivim krikom i nasumičnim skupom naredbi za dešifriranje ili promjenom izvršnog koda samog virusa. Polimorfizam različitog stupnja složenosti nalazi se u virusima svih vrsta - od virusa za pokretanje i datoteka DOS do Windows virusa.

Prema staništu, virusi se mogu podijeliti na:

Datoteka;

Čizma;

Makrovirusi;

Mreža.

Datotečni virusi. Datotečni virusi se ili ubrizgavaju u izvršne datoteke na različite načine, ili stvaraju duple datoteke (popratni virusi), ili koriste osobitosti organizacije datotečnog sustava (virusi veza).

Datotečni virus se može ubaciti u gotovo sve izvršne datoteke svih popularnih operacijskih sustava. Danas su poznati virusi koji inficiraju sve tipove standardnih DOS izvršnih objekata: batch datoteke (BAT), učitave drajvere (SYS, uključujući posebne datoteke IO.SYS i MSDOS.SYS) i izvršne binarne datoteke (EXE, COM). Postoje virusi koji inficiraju izvršne datoteke drugih operacijskih sustava - Windows 3.x, Windows95 / NT, OS / 2, Macintosh, UNIX, uključujući upravljačke programe za Windows 3.x i Windows95 VxD.

Postoje virusi koji inficiraju datoteke koje sadrže izvorni kod programa, knjižnica ili objektnih modula. Moguće je upisati virus u podatkovne datoteke, ali to se događa ili kao rezultat greške virusa, ili kada se manifestiraju njegova agresivna svojstva. Makro virusi također upisuju svoj kod u podatkovne datoteke - dokumente ili proračunske tablice, ali su ti virusi toliko specifični da su stavljeni u zasebnu skupinu.

Virusi za pokretanje. Virusi za pokretanje inficiraju sektor za pokretanje diskete i sektor za podizanje sustava ili glavni zapis za pokretanje (MBR) tvrdog diska. Princip rada boot virusa temelji se na algoritmima za pokretanje operativnog sustava pri uključivanju ili ponovnom pokretanju računala - nakon nužnih testova instaliranog hardvera (memorije, diskova itd.), program za pokretanje čita prvi fizički sektor diska za pokretanje (A :, C: ili CD-ROM ovisno o parametrima postavljenim u BIOS Setup-u) i prenosi kontrolu na njega.

U slučaju diskete ili CD-ROM-a, sektor za pokretanje dobiva kontrolu, koji analizira tablicu parametara diska (BPB - BIOS Parameter Block), izračunava adrese sistemskih datoteka operacijskog sustava, čita ih u memoriju i pokreće ih za izvršenje. Datoteke sustava obično su MSDOS.SYS i IO.SYS, ili IBMDOS.COM i IBMBIO.COM, ili druge, ovisno o verziji DOS-a, Windowsa ili drugih instaliranih operativnih sustava. Ako datoteke operativnog sustava nedostaju na disku za pokretanje, program koji se nalazi u sektoru za pokretanje diska prikazuje poruku o pogrešci i nudi zamjenu diska za pokretanje.

U slučaju tvrdog diska, program koji se nalazi u MBR-u tvrdog diska dobiva kontrolu. Ovaj program analizira tablicu particija diska, izračunava adresu aktivnog sektora za pokretanje (obično je ovaj sektor sektor za podizanje sustava C pogona, učitava ga u memoriju i prenosi kontrolu na nju. Nakon što je primio kontrolu, aktivni sektor za pokretanje tvrdog diska pogon radi iste radnje kao boot sektor diskete.

Prilikom zaraze diskova, virusi za podizanje sustava "zamjenjuju" svoj kod za bilo koji program koji dobiva kontrolu pri pokretanju sustava. Dakle, princip infekcije je isti u svim gore opisanim metodama: virus "prisiljava" sustav da ga pročita u memoriju kada se ponovno pokrene i daje kontrolu ne izvornom kodu pokretača, već kodu virusa.

Diskete su zaražene na jedini poznati način - virus piše vlastiti kod umjesto izvornog koda boot sektora diskete. Tvrdi disk se inficira na tri moguća načina - virus se upisuje ili umjesto MBR koda, ili umjesto koda sektora za pokretanje diska za pokretanje (obično pogon C, ili mijenja adresu aktivnog sektora za pokretanje na particiji diska Tablica se nalazi u MBR-u tvrdog diska.

Makro virusi. Makro virusi inficiraju datoteke, dokumente i proračunske tablice nekoliko popularnih urednika. Makro virusi su programi na jezicima (makro jezicima) ugrađeni u neke sustave za obradu podataka. Za svoju reprodukciju takvi virusi koriste mogućnosti makro-jezika i uz njihovu pomoć se prenose iz jedne zaražene datoteke u drugu. Najrašireniji su makro virusi za Microsoft Word, Excel i Office97. Postoje i makro virusi koji inficiraju Ami Pro dokumente i baze podataka Microsoft Accessa.

Mrežni virusi. Mrežni virusi uključuju viruse koji aktivno koriste protokole i mogućnosti lokalnih i globalnih mreža za svoju distribuciju. Osnovno načelo mrežnog virusa je sposobnost samostalnog prijenosa svog koda na udaljeni poslužitelj ili radnu stanicu. "Punopravni" mrežni virusi također imaju mogućnost izvršavanja svog koda na udaljenom računalu ili, barem, "guranja" korisnika da pokrene zaraženu datoteku. Primjer mrežnih virusa su takozvani IRC crvi.

IRC (Internet Relay Chat) je poseban protokol razvijen za komunikaciju u stvarnom vremenu između korisnika interneta. Ovaj protokol im pruža mogućnost Itrernet-"razgovora" uz pomoć posebno razvijenog softvera. Osim pohađanja općih konferencija, IRC korisnici imaju mogućnost razgovarati jedan na jedan s bilo kojim drugim korisnikom. Osim toga, postoji prilično velik broj IRC naredbi pomoću kojih korisnik može dobiti informacije o drugim korisnicima i kanalima, promijeniti neke postavke IRC klijenta i tako dalje. Tu je i mogućnost slanja i primanja datoteka - to je sposobnost na kojoj se IRC crvi temelje. Snažan i opsežan zapovjedni sustav IRC klijenata omogućuje, na temelju njihovih skripti, stvaranje računalnih virusa koji prenose svoj kod na računala korisnika IRC mreža, tzv. "IRC crve". Princip rada takvih IRC crva je približno isti. Korištenjem IRC naredbi, datoteka skripte (skripta) se automatski šalje sa zaraženog računala svakom korisniku koji se ponovno pridruži kanalu. Poslana datoteka skripte zamjenjuje standardnu, a tijekom sljedeće sesije novozaraženi klijent će poslati crva. Neki IRC crvi također sadrže trojansku komponentu: za određene ključne riječi izvode destruktivne radnje na zaraženim računalima. Na primjer, "pIRCH.Events" crv, na određenu naredbu, briše sve datoteke na disku korisnika.

Postoji mnogo kombinacija - na primjer, virusi za pokretanje datoteka koji inficiraju i datoteke i sektore za pokretanje diskova. Takvi virusi, u pravilu, imaju prilično složen algoritam rada, često koriste originalne metode prodiranja u sustav, koriste stealth i polimorfne tehnologije. Drugi primjer takve kombinacije je mrežni makro virus koji ne samo da inficira uređene dokumente, već i šalje svoje kopije e-poštom.

Uz ovu klasifikaciju, treba reći nekoliko riječi o drugim zlonamjernim programima, koji se ponekad brkaju s virusima. Ovi programi nemaju sposobnost samorazmnožavanja poput virusa, ali su sposobni nanijeti jednako razornu štetu.

Trojanski konji (logičke bombe ili tempirane bombe).

Trojanski konji su programi koji uzrokuju bilo kakve destruktivne radnje, odnosno, ovisno o bilo kojim uvjetima ili svaki put kada se pokrenu, uništavaju informacije na diskovima, "zakače" sustav i tako dalje. Kao primjer možemo navesti jedan takav slučaj – kada je takav program tijekom sesije na internetu slao svoje autorske identifikatore i lozinke s računala na kojima je živio. Većina poznatih trojanskih konja su programi koji su "prevareni" da izgledaju kao korisni programi, nove verzije popularnih uslužnih programa ili dodaci za njih. Vrlo često se šalju na BBS stanice ili elektronske konferencije. U usporedbi s virusima, trojanski konji nisu široko rasprostranjeni iz sljedećih razloga - oni se ili uništavaju zajedno s ostatkom podataka na disku, ili demaskiraju svoju prisutnost i uništava ih pogođeni korisnik.

2.2 Koncept antivirusnog programa

Metode za suzbijanje računalnih virusa mogu se podijeliti u nekoliko skupina:

Prevencija virusne infekcije i smanjenje očekivane štete od takve infekcije;

Metoda korištenja antivirusnih programa, uključujući neutralizaciju i uklanjanje poznatog virusa;

Metode za otkrivanje i uklanjanje nepoznatog virusa.

Prevencija računalne infekcije.

Jedna od glavnih metoda borbe protiv virusa je, kao iu medicini, pravovremena prevencija. Računalna prevencija uključuje poštivanje malog broja pravila, što može značajno smanjiti vjerojatnost zaraze virusom i gubitka bilo kakvih podataka.

Kako bi se utvrdila osnovna pravila računalne "higijene", potrebno je saznati glavne načine prodiranja virusa u računalo i računalne mreže.

Glavni izvor virusa danas je globalni internet. Najveći broj virusnih infekcija događa se pri razmjeni poruka u Word / Office97 formatima. Korisnik uređivača zaražen makro virusom, ne sumnjajući u to, šalje zaražene poruke primateljima, a oni zauzvrat šalju nove zaražene poruke i tako dalje. Treba izbjegavati kontakt sa sumnjivim izvorima informacija i koristiti samo legalne (licencirane) softverske proizvode.

Oporavak oštećenih predmeta.

U većini slučajeva zaraze virusom, postupak vraćanja zaraženih datoteka i diskova svodi se na pokretanje odgovarajućeg antivirusnog programa koji može neutralizirati sustav. Ako virus nije poznat niti jednom antivirusu, dovoljno je poslati zaraženu datoteku proizvođačima antivirusa i nakon nekog vremena dobiti "ažurni" lijek protiv virusa. Ako vrijeme ne čeka, tada ćete morati sami neutralizirati virus. Većina korisnika mora imati sigurnosne kopije svojih podataka.

Opći alati za informacijsku sigurnost korisni su za više od zaštite od virusa. Postoje dvije glavne vrste ovih lijekova:

1 Kopiranje informacija - izrada kopija datoteka i sistemskih područja diskova.

2 Ograničenje pristupa sprječava neovlašteno korištenje informacija, posebice zaštitu od promjena u programima i podacima virusima, neispravno radeći programi i pogrešne radnje korisnika.

Pravovremeno otkrivanje virusom zaraženih datoteka i diskova, potpuna eliminacija otkrivenih virusa na svakom računalu pomaže u izbjegavanju širenja virusa na druga računala.

Antivirusni softver je glavno oružje u borbi protiv virusa. Oni omogućuju ne samo otkrivanje virusa, uključujući viruse koji koriste različite metode maskiranja, već i njihovo uklanjanje s računala.

Postoji nekoliko temeljnih metoda skeniranja za viruse koje koriste antivirusni programi. Najtradicionalnija metoda skeniranja na viruse je skeniranje.

Za otkrivanje, uklanjanje i zaštitu od računalnih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućuju otkrivanje i uništavanje virusa. Takvi se programi nazivaju antivirusni programi.

2.3 Vrste antivirusnih alata

Detektorski programi. Programi za otkrivanje traže karakteristiku potpisa određenog virusa u RAM-u i datotekama i, ako ih otkriju, izdaju odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Doktorski programi. Doktorski programi ili fagi, kao i programi za cjepivo, ne samo da pronalaze datoteke zaražene virusima, već ih i "liječe", odnosno brišu tijelo virusnog programa iz datoteke, vraćajući datoteke u izvorno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "liječenje" datoteka. Među fagima se razlikuju polifagi, odnosno liječnički programi dizajnirani za pretraživanje i uništavanje velikog broja virusa. Najpoznatiji od njih: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

S obzirom na to da se novi virusi stalno pojavljuju, detektorski i doktorski programi brzo zastarjevaju te su potrebna redovita ažuriranja verzija.

Programi revizora (inspektori) su među najpouzdanijim sredstvima zaštite od virusa.

Revizori (inspektori) provjeravaju podatke na disku na nevidljive viruse. Štoviše, inspektor ne smije koristiti alate operacijskog sustava za pristup diskovima, što znači da aktivni virus neće moći presresti ovaj zahtjev.

Činjenica je da određeni broj virusa, uvodeći se u datoteke (tj. dodajući se na kraj ili početak datoteke), zamjenjuju unose o ovoj datoteci u tablicama dodjele datoteka našeg operativnog sustava.

Revizori (inspektori) pamte početno stanje programa, direktorija i područja sustava na disku kada računalo nije zaraženo virusom, a zatim povremeno, ili na zahtjev korisnika, uspoređuju trenutno stanje s početnim. Otkrivene promjene prikazuju se na zaslonu monitora. U pravilu se stanja uspoređuju odmah nakon učitavanja operativnog sustava. Prilikom usporedbe provjerava se duljina datoteke, ciklički kontrolni kod (kontrolni zbroj datoteke), datum i vrijeme izmjene i drugi parametri. Programi-revizori (inspektori) imaju dovoljno razvijene algoritme, otkrivaju skrivene viruse i čak mogu očistiti promjene u verziji programa koja se provjerava od promjena koje je napravio virus.

Inspektor (inspektor) potrebno je pokrenuti kada računalo još nije zaraženo, kako bi mogao kreirati u korijenskom direktoriju svakog diska prema tablici sa svim potrebnim podacima o datotekama koje se nalaze na ovom disku, kao i što se tiče njegovog područja za podizanje. Za izradu svake tablice bit će zatraženo dopuštenje. Prilikom sljedećih pokretanja, revizor (inspektor) će pogledati diskove, uspoređujući podatke o svakoj datoteci sa svojim vlastitim zapisima.

U slučaju otkrivanja infekcija, inspektor (inspektor) će moći koristiti vlastiti modul za liječenje, koji će vratiti datoteku oštećenu virusom. Za vraćanje datoteka, inspektor ne mora znati ništa o određenoj vrsti virusa, dovoljno je koristiti podatke o datotekama pohranjenim u tablicama.

Osim toga, antivirusni skener se može pozvati ako je potrebno.

Filtriranje programa (monitora). Filtri (monitori) ili "čuvari" mali su rezidentni programi dizajnirani za otkrivanje sumnjivih radnji koje su tipične za viruse tijekom rada računala. Takve radnje mogu biti:

Pokušaji ispravljanja datoteka s COM, EXE ekstenzijama;

Promjena atributa datoteke;

Izravno upisivanje na disk na apsolutnoj adresi;

Zapisivanje u sektore za pokretanje diska;

Kada bilo koji program pokuša izvršiti navedene radnje, "čuvar" šalje poruku korisniku i nudi zabranu ili dopuštanje odgovarajuće radnje. Programi za filtriranje vrlo su korisni jer mogu otkriti virus u vrlo ranoj fazi njegovog postojanja, prije nego što se umnoži. Međutim, ne "liječe" datoteke i diskove. Da biste uništili viruse, morate koristiti druge programe, kao što su fagi.

Cjepiva ili imunizatori. Cjepiva su TSR programi koji sprječavaju zarazu datoteka. Cjepiva se koriste ako ne postoje liječnički programi koji "liječe" ovaj virus. Cijepljenje je moguće samo protiv poznatih virusa. Cjepivo modificira program ili disk na način da ne utječe na njihov rad, a virus će ih doživjeti kao zaražene i stoga se neće uvesti. Programi cjepiva trenutno su u ograničenoj upotrebi.

Skener. Princip rada antivirusnih skenera temelji se na skeniranju datoteka, sektora i memorije sustava te njihovom traženju poznatih i novih (skeneru nepoznatih) virusa. Za traženje poznatih virusa koriste se takozvane "maske". Virusna maska je konstantna sekvenca koda specifična za taj određeni virus. Ako virus ne sadrži trajnu masku, ili dužina ove maske nije dovoljno duga, tada se koriste druge metode. Primjer takve metode je algoritamski jezik koji opisuje sve moguće varijante koda na koje se može susresti kada se zarazi ovom vrstom virusa. Ovaj pristup koriste neki antivirusni programi za otkrivanje polimorfnih virusa. Skeneri se također mogu podijeliti u dvije kategorije - "opće namjene" i "specijalizirane". Univerzalni skeneri dizajnirani su za traženje i neutralizaciju svih vrsta virusa, bez obzira na operacijski sustav u kojem je skener dizajniran za rad. Specijalizirani skeneri dizajnirani su za neutralizaciju ograničenog broja virusa ili samo jedne klase njih, na primjer, makro virusa. Specijalizirani skeneri dizajnirani samo za makro viruse često su najprikladnije i najpouzdanije rješenje za zaštitu sustava dokumenata u okruženjima MSWord i MSExcel.

Skeneri se također dijele na "rezidentne" (monitori, čuvari), koji skeniraju u hodu, i "nerezidentne", koji skeniraju sustav samo na zahtjev. U pravilu, "memory resident" skeneri pružaju pouzdaniju zaštitu sustava, jer odmah reagiraju na virus, dok "non-memory resident" skener može prepoznati virus tek prilikom sljedećeg pokretanja. S druge strane, stalni skener može donekle usporiti vaše računalo, uključujući moguće lažno pozitivne rezultate.

Prednosti svih vrsta skenera uključuju njihovu svestranost, nedostaci su relativno mala brzina skeniranja na viruse.

CRC skeneri. Princip rada CRC-skenera temelji se na izračunu CRC-zbroja (kontrolnih zbroja) za datoteke / sektore sustava prisutnih na disku. Ti CRC-zbroji se zatim spremaju u antivirusnu bazu podataka, kao i neke druge informacije: duljine datoteka, datumi njihove posljednje izmjene i tako dalje. Prilikom sljedećeg pokretanja, CRC skeneri uspoređuju podatke sadržane u bazi podataka sa stvarnim izračunatim vrijednostima. Ako informacije o datoteci zabilježene u bazi podataka ne odgovaraju stvarnim vrijednostima, CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom. CRC skeneri koji koriste anti-stealth algoritme prilično su moćno oružje protiv virusa: gotovo 100% virusa detektira se gotovo odmah nakon što se pojave na računalu. Međutim, ova vrsta antivirusa ima svojstvenu manu koja značajno smanjuje njihovu učinkovitost. Ovaj nedostatak je što CRC skeneri ne mogu uhvatiti virus u trenutku kada se pojavi u sustavu, a to čine tek nakon nekog vremena, nakon što se virus proširi preko računala. CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakiranja datoteka iz arhive), jer njihove baze podataka nemaju podatke o tim datotekama. Štoviše, povremeno se pojavljuju virusi koji iskorištavaju ovu "slabost" CRC skenera, inficiraju samo novostvorene datoteke i tako im ostaju nevidljivi.

Blokatori. Blokatori su programi rezidentni u memoriji koji presreću "virusno opasne" situacije i o tome obavještavaju korisnika. Pozivi koji prijete virusima uključuju pozive za otvaranje radi pisanja u izvršne datoteke, pisanje u sektore za podizanje diskova ili MBR tvrdog diska, pokušaje programa da ostanu rezidentni i tako dalje, odnosno pozive koji su ponekad tipični za viruse replikacije. Ponekad su neke funkcije blokiranja implementirane u rezidentnim skenerima.

Prednosti blokatora uključuju njihovu sposobnost otkrivanja i zaustavljanja virusa u najranijoj fazi njegove reprodukcije. Nedostaci uključuju postojanje načina zaobilaženja zaštite blokatora i veliki broj lažnih pozitivnih rezultata.

Također treba napomenuti takav smjer antivirusnih alata kao što su antivirusni blokeri, izrađeni u obliku komponenti računalnog hardvera. Najčešća je ugrađena BIOS zaštita od pisanja u MBR tvrdog diska. Međutim, kao iu slučaju softverskih blokatora, takva se zaštita može lako zaobići izravnim upisivanjem na portove kontrolera diska, a pokretanje DOS uslužnog programa FDISK odmah aktivira "lažno pozitivnu" zaštitu.

Postoji još nekoliko svestranijih hardverskih blokatora, ali uz gore navedene nedostatke, postoje i problemi s kompatibilnošću sa standardnim konfiguracijama računala i poteškoće u njihovoj instalaciji i konfiguraciji. Sve to čini hardverske blokatore iznimno nepopularnim u usporedbi s drugim vrstama antivirusne zaštite.

2.4 Usporedba antivirusnih paketa

Bez obzira na to koji informacijski sustav treba zaštititi, najvažniji parametar pri usporedbi antivirusnih programa je sposobnost otkrivanja virusa i drugih zlonamjernih programa.

Međutim, ovaj parametar, iako važan, daleko je od jedinog.

Činjenica je da učinkovitost sustava antivirusne zaštite ne ovisi samo o njegovoj sposobnosti da otkrije i neutralizira viruse, već i o mnogim drugim čimbenicima.

Antivirus bi trebao biti jednostavan za korištenje, a da ne ometa korisnika računala od obavljanja njegovih izravnih dužnosti. Ako antivirus nervira korisnika trajnim zahtjevima i porukama, prije ili kasnije će biti onemogućen. Sučelje antivirusnog programa mora biti prijateljsko i razumljivo, jer nemaju svi korisnici veliko iskustvo s računalnim programima. Bez razumijevanja značenja poruke koja se pojavljuje na zaslonu, možete nehotice dopustiti infekciju virusom čak i s instaliranim antivirusnim programom.

Najprikladniji je način zaštite od virusa, kada se skeniraju sve otvorene datoteke. Ako antivirusni program ne može raditi u ovom načinu rada, korisnik će morati svaki dan skenirati sve diskove kako bi otkrio nove viruse. Ovaj postupak može potrajati desetke minuta ili čak sati za velike diskove instalirane, na primjer, na poslužitelju.

Budući da se novi virusi pojavljuju svaki dan, potrebno je povremeno ažurirati antivirusnu bazu. Inače, učinkovitost antivirusne zaštite bit će vrlo niska. Moderni antivirusni programi, nakon odgovarajuće konfiguracije, mogu automatski ažurirati antivirusne baze podataka putem Interneta, bez ometanja korisnika i administratora da obavljaju ovaj rutinski posao.

Kod zaštite velike korporativne mreže u prvi plan dolazi takav parametar usporedbe antivirusa kao što je prisutnost mrežnog kontrolnog centra. Ako korporativna mreža objedinjuje stotine i tisuće radnih stanica, desetke i stotine poslužitelja, praktički je nemoguće organizirati učinkovitu antivirusnu zaštitu bez mrežnog kontrolnog centra. Jedan ili više administratora sustava neće moći zaobići sve radne stanice i poslužitelje instaliranjem i konfiguriranjem antivirusnih programa na njima. To zahtijeva tehnologije koje omogućuju centraliziranu instalaciju i konfiguraciju antivirusnih programa na svim računalima u korporativnoj mreži.

Zaštita internetskih stranica kao što su poslužitelji e-pošte i poslužitelji za razmjenu poruka zahtijevaju specijalizirane antivirusne alate. Konvencionalni antivirusni programi dizajnirani za skeniranje datoteka neće moći pronaći zlonamjerni kod u bazama podataka poslužitelja za razmjenu poruka ili u toku podataka koji prolazi kroz poslužitelje pošte.

Obično se prilikom uspoređivanja antivirusnih alata uzimaju u obzir drugi čimbenici. Državne agencije mogu, pod svim ostalim jednakim uvjetima, preferirati antivirusne programe domaće proizvodnje koji imaju sve potrebne certifikate. Značajnu ulogu ima i ugled koji je stekao ovim ili onim antivirusnim alatom među korisnicima računala i administratorima sustava. Osobne preferencije također mogu igrati značajnu ulogu u izboru.

Programeri antivirusnih programa često koriste nezavisne rezultate testiranja kako bi dokazali prednosti svojih proizvoda. Istodobno, korisnici često ne razumiju što je točno i kako provjereno u ovom testu.

U ovom radu komparativnu analizu su podvrgnuti najpopularniji antivirusni programi i to: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira , Avast !, AVG, Microsoft.

Jedan od prvih koji je testirao antivirusne proizvode bio je britanski časopis Virus Bulletin. Prvi testovi objavljeni na njihovoj web stranici datiraju iz 1998. godine. Test se temelji na kolekciji zlonamjernih programa WildList. Da biste uspješno prošli test, morate identificirati sve viruse u ovoj zbirci i pokazati nultu stopu lažnih pozitivnih rezultata u kolekciji "čistih" datoteka dnevnika. Testiranje se provodi nekoliko puta godišnje na različitim operativnim sustavima; Proizvodi koji prođu test dobit će VB100% nagradu. Slika 1 pokazuje koliko su VB100% nagrada dobili proizvodi raznih antivirusnih tvrtki.

Naravno, časopis Virus Bulletin može se nazvati najstarijim antivirusnim testerom, ali patrijarhov status ne spašava ga od kritika antivirusne zajednice. Prvo, WildList uključuje samo viruse i crve i samo je za Windows platformu. Drugo, zbirka WildList sadrži mali broj zlonamjernih programa i raste vrlo sporo: u kolekciji se pojavljuje samo nekoliko desetaka novih virusa u mjesec dana, dok se, na primjer, zbirka AV-Test za to vrijeme nadopunjuje s nekoliko desetina ili čak stotine tisuća kopija zlonamjernog softvera...

Sve to sugerira da je u sadašnjem obliku zbirka WildList moralno zastarjela i ne odražava stvarnu situaciju s virusima na Internetu. Kao rezultat toga, testovi temeljeni na kolekciji WildList postaju sve besmisleniji. Dobre su za oglašavanje proizvoda koji su ih prošli, ali zapravo ne odražavaju kvalitetu antivirusne zaštite.

Slika 1 - Broj uspješno položenih VB testova 100%

Neovisni istraživački laboratoriji kao što su AV-Comparatives, AV-Tests dvaput godišnje testiraju antivirusne proizvode radi otkrivanja zlonamjernog softvera na zahtjev. Istodobno, zbirke koje se testiraju sadrže do milijun zlonamjernih programa i redovito se ažuriraju. Rezultati testiranja objavljuju se na web stranicama ovih organizacija (www.AV-Comparatives.org, www.AV-Test.org) te u poznatim računalnim časopisima PC World, PC Welt. Rezultati sljedećih testova prikazani su u nastavku:

Slika 2 - Opća razina otkrivanja zlonamjernog softvera prema AV-Testu

Ako govorimo o najčešćim proizvodima, onda su prema rezultatima ovih testova samo Kaspersky Lab i Symantec rješenja u prva tri. Lider u testovima Avira zaslužuje posebnu pozornost.

Testovi istraživačkih laboratorija AV-Comparatives i AV-Test, kao i svaki test, imaju svoje prednosti i nedostatke. Prednost je to što se testiranje provodi na velikim zbirkama zlonamjernog softvera i što te zbirke sadrže široku paletu vrsta zlonamjernog softvera. Nedostatak je što ove zbirke ne sadrže samo "svježe" uzorke zlonamjernog softvera, već i relativno stare. Obično se koriste uzorci prikupljeni tijekom posljednjih šest mjeseci. Osim toga, ovi testovi analiziraju rezultate skeniranja tvrdog diska na zahtjev, dok u stvarnom životu korisnik preuzima zaražene datoteke s interneta ili ih prima kao privitke e-poštom. Važno je otkriti takve datoteke točno u trenutku kada se pojave na računalu korisnika.

PC Pro tim nije samo skenirao zaražene datoteke, već je simulirao radnje korisnika: zaražene datoteke su priložene porukama kao privici, a te su poruke preuzete na računalo s instaliranim antivirusnim programom. Osim toga, korištenjem posebno napisanih skripti zaražene datoteke preuzimane su s web poslužitelja, odnosno simulirano je surfanje korisnika Internetom. Uvjeti u kojima se takvi testovi provode što je moguće bliži stvarnim, što nije moglo ne utjecati na rezultate: stopa otkrivanja većine antivirusnih programa pokazala se znatno nižom nego kod jednostavnog skeniranja na zahtjev u testovima AV-komparativi i AV-test. U takvim testovima važnu ulogu igra koliko brzo antivirusni programeri reagiraju na pojavu novih zlonamjernih programa, kao i koji se proaktivni mehanizmi koriste prilikom otkrivanja zlonamjernih programa.

Slika 3 - Prosječno vrijeme reakcije na nove prijetnje

Za otkrivanje nepoznatih prijetnji koriste se takozvane proaktivne tehnologije. Te se tehnologije mogu podijeliti u dvije vrste: heurističke (otkriva zlonamjerne programe na temelju analize njihovog koda) i bihevioralne blokade (blokiraju radnje zlonamjernih programa kada se pokrenu na računalu, na temelju njihovog ponašanja).

Kad smo već kod heuristike, njihovu učinkovitost već dugo proučava AV-Comparatives, istraživački laboratorij pod vodstvom Andreasa Klimentija. Tim AV-Comparatives koristi posebnu tehniku: antivirusi se provjeravaju u odnosu na trenutnu kolekciju virusa, ali se koristi antivirus s potpisima od prije tri mjeseca. Stoga se antivirusni program mora oduprijeti zlonamjernom softveru o kojem ne zna ništa. Antivirusi se provjeravaju skeniranjem zbirke zlonamjernog softvera na tvrdom disku, pa se provjerava samo učinkovitost heuristike. Druga proaktivna tehnologija, blokator ponašanja, ne koristi se u ovim testovima. Čak i najbolji heuristika trenutno pokazuje stopu otkrivanja od samo oko 70%, a mnogi od njih također pate od lažnih pozitivnih rezultata na čistim datotekama. Sve to sugerira da se ova proaktivna metoda otkrivanja može koristiti samo istovremeno s metodom potpisa.

Što se tiče druge proaktivne tehnologije, blokatora ponašanja, u ovom području nisu provedena ozbiljna mjerila. Prvo, mnogim antivirusnim proizvodima (Doctor Web, NOD32, Avira i drugi) nedostaje blokator ponašanja. Drugo, takvi testovi su ispunjeni poteškoćama. Činjenica je da kako biste testirali učinkovitost blokatora ponašanja, ne smijete skenirati disk s kolekcijom zlonamjernih programa, već pokrenuti te programe na svom računalu i promatrati koliko uspješno antivirusni program blokira njihove radnje. Ovaj proces je vrlo naporan i samo je nekoliko istraživača u stanju poduzeti takve testove. Sve što je do sada dostupno široj javnosti su rezultati testiranja pojedinačnih proizvoda od strane tima AV-Comparatives. Ako su tijekom testiranja antivirusni programi uspješno blokirali radnje nepoznatih zlonamjernih programa tijekom njihovog pokretanja na računalu, tada je proizvod dobio nagradu za proaktivnu zaštitu. Trenutno su takve nagrade primili F-Secure s tehnologijom ponašanja DeepGuard i Kaspersky Anti-Virus s modulom Proactive Defense.

Tehnologije prevencije infekcija temeljene na analizi ponašanja zlonamjernog softvera postaju sve popularnije, a nedostatak sveobuhvatnih benchmarking testova u ovom području je alarmantan. Nedavno su stručnjaci iz istraživačkog laboratorija AV-Test održali opsežnu raspravu o ovom pitanju, u kojoj su sudjelovali i programeri antivirusnih proizvoda. Rezultat ove rasprave bila je nova metodologija za testiranje sposobnosti antivirusnih proizvoda da se odupru nepoznatim prijetnjama.

Visoka razina otkrivanja zlonamjernog softvera korištenjem različitih tehnologija jedna je od najvažnijih karakteristika antivirusnog programa. Međutim, ništa manje važna karakteristika je odsutnost lažnih pozitivnih rezultata. Lažno pozitivni rezultati ne mogu nanijeti manje štete korisniku od zaraze virusom: blokirati rad potrebnih programa, blokirati pristup web stranicama i tako dalje.

Kao dio svog istraživanja, AV-Comparatives provodi lažno pozitivne testove na zbirkama čistih datoteka zajedno s istraživanjem mogućnosti antivirusnog otkrivanja zlonamjernog softvera. Prema testu, najveći broj lažno pozitivnih pronađen je u antivirusima Doctor Web i Avira.

Ne postoji stopostotna zaštita od virusa. Korisnici se s vremena na vrijeme susreću sa situacijom kada zlonamjerni program prodre u računalo i računalo se zarazi. To se događa ili zato što na računalu uopće nije postojao antivirusni program ili zato što antivirusni program nije otkrio zlonamjerni program pomoću potpisa ili proaktivnih metoda. U takvoj situaciji važno je da prilikom instaliranja antivirusnog programa sa svježim bazama potpisa na računalo antivirusni program ne samo da može otkriti zlonamjerni program, već i uspješno otkloniti sve posljedice njegovog djelovanja, te izliječiti aktivnu infekciju. Važno je razumjeti da kreatori virusa neprestano poboljšavaju svoje "vještine", a neke od njihovih kreacija prilično je teško ukloniti s računala - zlonamjerni programi mogu prikriti svoju prisutnost u sustavu na različite načine (uključujući korištenje rootkita) i čak i ometati rad antivirusnih programa. Osim toga, nije dovoljno samo izbrisati ili dezinficirati zaraženu datoteku, potrebno je eliminirati sve promjene koje je napravio zlonamjerni proces u sustavu i potpuno vratiti performanse sustava. Tim ruskog portala Anti-Malware.ru proveo je sličan test, njegovi rezultati prikazani su na slici 4.

Slika 4 - Liječenje aktivne infekcije

Iznad su razmotreni različiti pristupi testiranju antivirusnih programa, pokazano je koji se parametri rada antivirusa razmatraju tijekom testiranja. Može se zaključiti da neki antivirusi pobjeđuju jedan pokazatelj, drugi - drugi. Istodobno, prirodno je da se u svojim reklamnim materijalima antivirusni programeri fokusiraju samo na one testove u kojima njihovi proizvodi zauzimaju vodeće pozicije. Na primjer, Kaspersky Lab se usredotočuje na brzinu reakcije na pojavu novih prijetnji, Eset - na snagu svojih heurističkih tehnologija, Doctor Web opisuje svoje prednosti u liječenju aktivnih infekcija.

Stoga je potrebno provesti sintezu rezultata različitih testova. Na taj se način sažimaju pozicije koje su antivirusi zauzeli u pregledanim testovima, te se prikazuje integrirana procjena – kakvo je prosječno mjesto ovog ili onog proizvoda u svim testovima. Kao rezultat toga, među prva tri pobjednika: Kaspersky, Avira, Symantec.

Na temelju analiziranih antivirusnih paketa kreiran je programski proizvod za pretraživanje i dezinfekciju datoteka zaraženih virusom SVC 5.0. Ovaj virus ne dovodi do neovlaštenog brisanja ili kopiranja datoteka, ali značajno ometa punopravni rad s računalnim softverom.

Zaraženi programi duži su od izvornog koda. Međutim, kada pregledavate direktorije na zaraženom računalu, to neće biti vidljivo jer virus provjerava je li pronađena datoteka zaražena ili ne. Ako je datoteka zaražena, duljina nezaražene datoteke bilježi se u DTA.

Prilikom pisanja antivirusnog programa izvodi se sljedeći slijed radnji:

1 Vrijeme nastanka određuje se za svaku skeniranu datoteku.

2 Ako je broj sekundi šezdeset, tada se provjeravaju tri bajta s pomakom jednakom "duljina datoteke minus 8AN". Ako su 35H, 2HE, 30H, tada je datoteka zaražena.

3 Prva 24 bajta izvornog koda su dekodirana, koji se nalaze na pomaku "duljina datoteke minus 01CFH plus 0BAAH". Tipke za dekodiranje nalaze se na pomaku "duljina datoteke minus 01CFH plus 0C1AH" i "duljina datoteke minus 01CFH plus 0C1BH".

4 Dekodirani bajtovi se prepisuju na početku programa.

5 Datoteka je "skraćena" na vrijednost "duljina datoteke minus 0S1F".

Program je kreiran u programskom okruženju TurboPascal. Tekst programa nalazi se u Dodatku A.

Zaključak

U ovom kolegiju provedena je komparativna analiza antivirusnih paketa.

Tijekom analize uspješno su riješeni zadaci postavljeni na početku rada. Tako su proučeni pojmovi informacijske sigurnosti, računalni virusi i antivirusni alati, određene vrste prijetnji informacijskoj sigurnosti, metode zaštite, razmotrena je klasifikacija računalnih virusa i antivirusnih programa te provedena komparativna analiza antivirusnih paketa, program je napisano da traži zaražene datoteke.

Rezultati dobiveni tijekom rada mogu se primijeniti pri odabiru antivirusnog alata.

Svi dobiveni rezultati odražavaju se u radu pomoću dijagrama, tako da korisnik može samostalno provjeriti zaključke izvučene u konačnom dijagramu, koji odražava sintezu identificiranih rezultata različitih testova antivirusnih alata.

Rezultati dobiveni tijekom rada mogu poslužiti kao osnova za samousporedbu antivirusnih programa.

U svjetlu raširenosti informatičkih tehnologija, prezentirani kolegij je relevantan i ispunjava uvjete za njega. U procesu rada razmatrani su najpopularniji antivirusni alati.

Popis korištene literature

1 Anin B. Zaštita računalnih informacija. - SPb. : BHV - Sankt Peterburg, 2000 .-- 368 str.

2 Artyunov V.V. Sigurnost informacija: udžbenik. - metoda. džeparac. M.: Liberija - Bibinform, 2008.-- 55 str. - (Knjižničar i vrijeme. 21. stoljeće; br. 99).

3 Korneev IK, EA Stepanov Sigurnost informacija u uredu: udžbenik. - M.: Prospekt, 2008. - 333 str.

5 Kuprijanov A. I. Osnove informacijske sigurnosti: udžbenik. džeparac. - 2. izd. izbrisani. - M .: Akademija, 2007 .-- 254 str. - (Visoka stručna sprema).

6 Semenenko V. A., N. V. Fedorov Softverska i hardverska zaštita informacija: udžbenik. priručnik za stud. sveučilišta. - M.: MGIU, 2007. - 340 str.

7 Tsirlov V. L. Osnove informacijske sigurnosti: kratki tečaj. - Rostov n/a: Phoenix, 2008.-- 254 str. (Stručno obrazovanje).

dodatak

Popis programa

ProgramANTIVIRUS;

Koristi dos, crt, printer;

Vrsta St80 = String;

FileInfection: File Of Byte;

SearchFile: SearchRec;

Mas: Niz St80;

MasByte: niz bajtova;

Položaj, I, J, K: bajt;

Num, NumberOfFile, NumberOfInfFile: Word;

Zastava, NextDisk, Error: Boolean;

Key1, Key2, Key3, NumError: bajt;

MasScreen: Apsolutni niz bajtova $ B800: 0000;

Postupak Cure (St: St80);

I: bajt; MasCure: niz bajtova;

Dodijeli (FileInfection, St); Reset (FileInfection);

NumError: = IOResult;

Ako (BrojGreška<>

Traži (FileInfection, FileSize (FileInfection) - ($ 0C1F - $ 0C1A));

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Čitanje (FileInfection, Key1);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Čitanje (FileInfection, Key2);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Traži (FileInfection, FileSize (FileInfection) - ($ 0C1F - $ 0BAA));

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Za I: = 1 do 24 do

Čitanje (FileInfection, MasCure [i]);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Tipka3: = MasCure [i];

MasCure [i]: = Tipka3;

Traži (FileInfection, 0);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Za I: = 1 do 24 do Write (FileInfection, MasCure [i]);

Traži (FileInfection, FileSize (FileInfection) - $ 0C1F);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Skratiti (FileInfection);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Zatvori (FileInfection); NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Postupak F1 (St: St80);

FindFirst (St + "*. *", $ 3F, SearchFile);

Dok (SearchFile.Attr = 10 USD) I (DosError = 0) I

((SearchFile.Name = ".") Ili (SearchFile.Name = "..")) Učinite

FindNext (SearchFile);

Dok (DosError = 0) Do

Ako pritisnete tipku Tada

Ako je (Ord (Ključ za čitanje) = 27) Onda Zaustavi;

Ako (SearchFile.Attr = 10 $) Onda

Mas [k]: = St + SearchFile.Name + "\";

Ako (SearchFile.Attr<>10 dolara) Zatim

Broj datoteke: = Broj datoteke + 1;

UnpackTime (SearchFile.Time, DT);

Za I: = 18 do 70 do MasScreen: = 20 USD;

Write (St + SearchFile.Name, "");

Ako je (Dt.Sec = 60) Tada

Dodijeli (FileInfection, St + SearchFile.Name);

Reset (FileInfection);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Traži (FileInfection, FileSize (FileInfection) - 8A);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Za I: = 1 do 3 do Read (FileInfection, MasByte [i]);

Zatvori (FileInfection);

NumError: = IOResult;

Ako (BrojGreška<>0) Zatim Greška početka: = Istina; Izlaz; Kraj;

Ako (MasByte = $ 35) I (MasByte = $ 2E) I

(MasByte = 30 USD) Zatim

NumberOfInfFile: = BrojInfFile + 1;

Write (St + SearchFile.Name, "inficirovan.",

"Udalit?");

Ako je (Ord (Ch) = 27) Onda Izlaz;

Dok (Ch = "Y") ili (Ch = "y") ili (Ch = "N")

Ako (Ch = "Y") Ili (Ch = "y") Onda

Lijek (St + SearchFile.Name);

Ako (BrojGreška<>0) Zatim Izlaz;

Za I: = 0 do 79 do MasScreen: = 20 USD;

FindNext (SearchFile);

GoToXY (29.1); TextAttr: = $ 1E; GoToXY (20.2); TextAttr: = 17 USD;

Writeln ("Programma dlya poiska i lecheniya fajlov,");

Writeln ("zaragennih SVC50.");

TextAttr: = $4F; GoToXY (1,25);

Write ("ESC - izlaz");

TextAttr: = $1F; GoToXY (1.6);

Write ("Kakoj disk provjerit?");

Ako je (Red (Disk) = 27) Onda Izađi;

R.Ah: = $0E; R.Dl: = Red (UpCase (Disk)) - 65;

Intr (21 USD, R); R.Ah: = 19 USD; Intr (21 USD, R);

Zastava: = (R.Al = (Red (UpCase (Disk)) - 65));

St: = UpCase (Disk) + ": \";

Writeln ("Testiruetsya disk", St, "");

Writeln ("Testiruetsya fajl");

Broj datoteke: = 0;

NumberOfInfFile: = 0;

Ako je (k = 0) ili greška, onda oznaka: = lažno;

Ako je (k> 0) Tada je K: = K-1;

Ako je (k = 0) Tada Zastava: = Netočno;

Ako je (k> 0) Tada je K: = K-1;

Writeln ("Provereno fajlov -", NumberOfFile);

Writeln ("Zarageno fajlov -", NumberOfInfFile);

Writeln ("Izlecheno fajlov -", Num);

Write ("Proveriti drugu disk?");

Ako je (Ord (Ch) = 27) Onda Izlaz;

Dok (Ch = "Y") Ili (Ch = "y") Ili (Ch = "N") Ili (Ch = "n");

Ako (Ch = "N") Ili (Ch = "n") Tada NextDisk: = False;

Glavni kriteriji ocjenjivanja, koji su uključivali 200 pokazatelja, bili su:

virusna zastita;
praktičnost korištenja;
utjecaj na brzinu računala.

Zaštita od zlonamjernog softvera najvažniji je kriterij za njegovu ocjenu: pokazatelji unutar ove skupine parametara činili su 65% ukupne ocjene antivirusnog programa. Jednostavnost korištenja i utjecaj na brzinu računala dobili su 25% odnosno 10% ukupne ocjene.

Antivirusni softver odabran je za istraživanje na temelju popularnosti potrošača i pristupačnosti. Iz tog razloga, popis analiziranih antivirusnih programa uključuje:

Besplatni softver - ugrađen i zasebno ponuđen.
Plaćeni softver vodećih antivirusnih marki. Na temelju principa odabira, studija nije obuhvatila najskuplje verzije softverskih proizvoda ovih marki.
Na ljestvici od jednog brenda za jedan operativni sustav mogao je biti zastupljen samo jedan plaćeni proizvod. Drugi proizvod se mogao rangirati samo ako je besplatan.

Ovoga puta u međunarodno istraživanje uključeni su i proizvodi koje su razvile ruske tvrtke. U pravilu, popis robe za međunarodno testiranje uključuje proizvode s dovoljnim tržišnim udjelom i visokim priznanjem među potrošačima, stoga uključivanje ruskih razvoja u studiju ukazuje na njihovu široku zastupljenost i potražnju u inozemstvu.

Deset najboljih za Windows

Svih 10 najboljih antivirusnih programa bave se zaštitom od špijunskog softvera i zaštitom od krađe identiteta – pokušajima dobivanja pristupa povjerljivim podacima. Ali postoje razlike između antivirusnih programa u razini zaštite, kao iu prisutnosti ili odsutnosti ove ili one funkcije u testiranim verzijama antivirusa.

Stožerna tablica prikazuje prvih deset programa prema ukupnoj ocjeni. Također uzima u obzir značajke paketa za skup funkcija.

Koliko je dobra standardna zaštita sustava Windows 10

Od veljače 2018. udio korisnika Windows PC-a s Windows 10 operativnim sustavima instaliranim na stacionarnim računalima iznosio je 43%. Na takvim je računalima antivirusni program instaliran prema zadanim postavkama - program Windows Defender, koji je uključen u operativni sustav, štiti sustav.

Standardni antivirus, koji, prema statistikama, koristi većina ljudi, bio je tek na 17. retku ocjene. Sveukupno, Windows Defender je dobio 3,5 od mogućih 5,5.

Ugrađena zaštita najnovijih verzija sustava Windows iz godine u godinu postaje sve bolja, ali još uvijek ne odgovara razini mnogih specijaliziranih antivirusnih programa, uključujući i one koji se distribuiraju besplatno. Windows Defender se pokazao zadovoljavajuće u pogledu online zaštite, ali je u potpunosti pao na testu za krađu identiteta i anti-ransomware. Inače, anti-phishing zaštitu deklariraju proizvođači antivirusnih programa. Također se pokazalo da loše štiti vaše računalo izvan mreže.

Windows Defender je prilično jednostavan u smislu dizajna. Jasno obavještava o prisutnosti ove ili one prijetnje, jasno pokazuje stupanj zaštite i ima funkciju "roditeljske kontrole" koja djeci ograničava posjećivanje neželjenih resursa.

Standardna zaštita Windows 10 može se nazvati samo pristojnom. Na temelju ukupne ocjene, 16 programa za zaštitu osobnog računala na Windowsima bolje je od njega. Uključujući četiri besplatna.

U teoriji, na Windows Defender se možete osloniti samo ako korisnik ima omogućena redovita ažuriranja, ako je njegovo računalo većinu vremena povezano s internetom i ako je dovoljno napredan da svjesno ne posjećuje sumnjive stranice. Međutim, Roskachestvo preporučuje instaliranje specijaliziranog antivirusnog paketa za veće povjerenje u sigurnost vašeg računala.

Kako smo testirali

Testiranje je provedeno u najkvalificiranijem svjetskom laboratoriju specijaliziranom za antivirusni softver šest mjeseci. Provedene su ukupno četiri skupine testova zaštite od zlonamjernog softvera: online test opće zaštite, offline test, test stope lažnih pozitivnih rezultata te test automatskog skeniranja i skeniranja na zahtjev. U manjoj mjeri na konačnu ocjenu utjecala je provjera iskoristivosti antivirusa i njegovog utjecaja na brzinu rada računala.

Opća zaštita

Svaki antivirusni paket testiran je online na skup virusa, ukupno više od 40 000. Također je testirano kako se antivirusni program nosi s phishing napadima – kada netko pokuša pristupiti povjerljivim korisničkim podacima. Provedena je provjera zaštite od ransomwarea koji ograničava pristup računalu i podacima na njemu radi dobivanja otkupnine. Osim toga, na USB disku se provodi online testiranje zlonamjernog softvera. Potrebno je saznati koliko dobro se antivirus nosi s pretraživanjem i eliminacijom virusa, kada se unaprijed ne zna o prisutnosti zlonamjernih datoteka ili njihovom podrijetlu.

USB offline test

Otkrivanje zlonamjernog softvera koji se nalazi na USB pogonu spojenom na računalo. Prije skeniranja računalo je nekoliko tjedana bilo isključeno s interneta tako da antivirusni paketi nisu bili 100% ažurni.

Lažna uzbuna

Provjerili smo koliko je antivirus učinkovit u prepoznavanju stvarnih prijetnji i propuštanju datoteka koje su zapravo sigurne, ali koje je proizvod klasificirao kao opasne.

Automatsko skeniranje i test skeniranja na zahtjev

Testirali smo koliko učinkovito funkcionira funkcija skeniranja prilikom automatske provjere računala na zlonamjerni softver i prilikom ručnog pokretanja. Također, tijekom istraživanja provjereno je da li je moguće zakazati skeniranje za određeno vrijeme kada se računalo ne koristi.

Kao što možete očekivati, nemoguće je među pregledanim programima nazvati najbolji antivirusni program, jer postoji mnogo kriterija koje korisnici mogu koristiti pri odabiru. Jedno je sigurno - sva rješenja zaslužuju pažnju korisnika i spadaju među vrijedna. Najfunkcionalniji među njima je Kaspersky Anti-Virus, koji pruža sveobuhvatnu zaštitu od najšireg spektra prijetnji i ima impresivne mogućnosti prilagodbe. No, u smislu kombiniranja visoke funkcionalnosti i jednostavnosti korištenja (odnosno jednostavnosti korištenja i minimalne "uočljivosti" u pozadinskom radu), Eset NOD32 nam se u većoj mjeri svidio. Avast! Antivirusi AntiVirus i Avira AntiVir također su nezahtjevni za resurse sustava i stoga se ponašaju skromno kada rade u pozadini, ali njihove mogućnosti neće odgovarati svim korisnicima. U prvom, na primjer, razina heurističke analize je nedostatna, u drugom još nema lokalizacije na ruskom jeziku i, po našem mišljenju, upravljanje modulima nije baš zgodno. Što se tiče Norton AntiVirusa i Dr.Weba, unatoč svoj popularnosti prvog u svijetu i zasluženom priznanju za nekadašnje zasluge drugoga, palma u perspektivi koju razmatramo očito nije na njihovoj strani. Norton AntiVirus, unatoč činjenici da je njegova posljednja inačica puno brža (u usporedbi s prethodnim) u radu i ima bolje promišljeno sučelje, i dalje zamjetno opterećuje sustav i prilično sporo reagira na pokretanje određenih funkcija. Iako pošteno, treba napomenuti da on samo skeniranje izvodi brzo. I Dr.Web nije baš impresivan u usporedbi s drugim antivirusima, jer su njegove mogućnosti ograničene na zaštitu datoteka i pošte, ali ima svoj plus - najjednostavniji je među recenziranim antivirusima.

stol 1... Usporedba funkcionalnosti antivirusnih rješenja

Ništa manje zanimljivo nije, naravno, usporediti recenzirane antiviruse u smislu učinkovitosti njihova otkrivanja zlonamjernog softvera. Ovaj se parametar ocjenjuje u posebnim i međunarodno priznatim centrima i laboratorijima, kao što su ICSA Labs, West Soast Labs, Virus Bulletin itd. Prva dva izdaju posebne certifikate onim antivirusima koji su prošli određeni nivo testiranja, ali evo jednog upozorenja - svi poznati antivirusni paketi danas imaju takve certifikate (ovo je određeni minimum). Antivirusni časopis Virus Bulletin nekoliko puta godišnje testira velik broj antivirusnih programa i na temelju rezultata dodjeljuje im VB100% nagrade. Jao, danas svi popularni virusi također imaju takve nagrade, uključujući, naravno, i one koje smo razmatrali. Stoga ćemo pokušati analizirati rezultate drugih testova. Usredotočit ćemo se na testove uglednog austrijskog laboratorija Av-Comparatives.org koji testira antivirusne programe i grčke tvrtke Virus.gr koja je specijalizirana za antivirusne testove i ocjene antivirusa i poznata je po jednoj od najvećih kolekcija virusa. Avira AntiVir Premium i Norton AntiVirus bili su najbolji među onima koji su pregledani u najnovijem testiranju skeniranja na zahtjev koje je proveo Av-Comparatives.org u kolovozu 2009. (Tablica 2). No Kaspersky Anti-Virus uspio je otkriti samo 97,1% virusa, iako je, naravno, potpuno nepravedno ovu razinu otkrivanja virusa nazvati niskom. Za više informacija napominjemo da je obujam virusnih baza korištenih u ovom testu iznosio više od 1,5 milijuna zlonamjernih kodova, a razlika je samo 0,1% – to nije ni više ni manje, već 1,5 tisuća zlonamjernih programa. Što se tiče brzine, još je teže objektivno uspoređivati rješenja u ovom aspektu, jer brzina skeniranja ovisi o mnogim čimbenicima - posebice o tome koristi li antivirusni proizvod emulacijski kod, je li sposoban prepoznati složene polimorfne viruse, je li u -provodi se dubinska analiza heurističkog skeniranja, aktivno skeniranje rootkita itd. Sve gore navedene točke izravno su povezane s kvalitetom prepoznavanja virusa, stoga u slučaju antivirusnih rješenja brzina skeniranja nije najvažniji pokazatelj njihovog nastupa. Ipak, stručnjaci Av-Comparatives.org smatrali su mogućim ocijeniti rješenja i prema ovom pokazatelju, kao rezultat, Avast! AntiVirus i Norton AntiVirus.

tablica 2... Usporedba antivirusnih rješenja u smislu otkrivanja zlonamjernog softvera (izvor - Av-Comparatives.org, kolovoz 2009.)

Ime		Brzina skeniranja
Avira AntiVir Premium 8.2	99,7	Prosječno
Norton AntiVirus 16.2	98,7	Brzo
	98,2	Brzo
ESET NOD32 Antivirus 3.0	97,6	Prosječno
Kaspersky Anti-Virus 8.0	97,1	Prosječno
AVG Anti-Virus 8.0.234	93	Usporiti
Dr.Web antivirusni program za Windows	Nije testirano	Nema podataka
PANDA Antivirus Pro 2010	Nije testirano	Nema podataka

Na temelju rezultata kolovoškog testiranja Virus.gr, prikazanih u tablici. 3, podaci su nešto drugačiji. Ovdje su vodeći Kaspersky Anti-Virus 2010 s 98,67% i Avira AntiVir Premium 9,0 s 98,64%. Usput, odmah treba napomenuti da besplatni program Avira AntiVir Personal, koji koristi iste baze potpisa i iste metode testiranja kao i plaćeni Avira AntiVir Premium, prilično zaostaje za komercijalnim rješenjem. Razlike u rezultatima uzrokovane su činjenicom da različiti laboratoriji koriste različite baze podataka o virusima - naravno, sve takve baze podataka temelje se na kolekciji divljih virusa "In the Wild", ali je nadopunjena drugim virusima. O tome kakvi su virusi i koliki je njihov postotak u ukupnoj bazi, ovisi o tome koji će od paketa postati vodeći.

Tablica 3... Usporedba antivirusnih rješenja u smislu otkrivanja zlonamjernog softvera (izvor - Virus.gr, kolovoz 2009.)

Ime	Postotak otkrivanja različitih vrsta zlonamjernog softvera
Kaspersky Anti-Virus 2010	98,67
Avira AntiVir Premium 9.0	98,64
Avira AntiVir Personal 9.0	98,56
AVG Anti-Virus Free 8.5.392	97
ESET NOD32 Antivirus 4.0	95,97
Avast! Bez antivirusnog programa 4.8	95,87
Norton AntiVirus Norton 16.5	87,37
dr. Web 5.00	82,89
Panda 2009. 9.00.00	70,8

Također je vrijedno obratiti pozornost na to u kojoj se mjeri antivirusni programi u praksi mogu nositi s nepoznatim prijetnjama – odnosno na učinkovitost proaktivnih metoda zaštite od virusa koji se u njima koriste. To je iznimno važno, budući da su svi vodeći stručnjaci u ovom području već odavno došli do zajedničkog mišljenja da je upravo ovo područje najperspektivnije na antivirusnom tržištu. Takvo testiranje proveli su stručnjaci Anti-Malware.ru u razdoblju od 3. prosinca 2008. do 18. siječnja 2009. godine. Kako bi proveli test, prikupili su zbirku od 5166 jedinstvenih kodova najnovijih zlonamjernih programa dok su zamrzavali antivirusne baze podataka. Među antivirusima koji se razmatraju u ovom članku, najbolje rezultate pokazali su Avira AntiVir Premium i Dr.Web (tablica 4), koji su uspjeli otkriti relativno velik broj zlonamjernih kodova koji nedostaju u njihovim bazama podataka, ali je broj lažno pozitivnih u tim antivirusi su također bili visoki. Stoga su stručnjaci dodijelili lovorike primata u obliku "Gold Proactive Protection Award" potpuno drugačijim rješenjima. To su Kaspersky Anti-Virus, ESET NOD32 AntiVirus i BitDefender Antivirus, koji su se pokazali najboljima u odnosu proaktivne detekcije i lažnih pozitivnih rezultata. Njihovi rezultati bili su gotovo identični - razina heurističke detekcije bila je 60%, a razina lažnih pozitivnih rezultata bila je u području od 0,01-0,04%.

Tablica 4... Usporedba antivirusnih rješenja u smislu učinkovitosti proaktivne antivirusne zaštite (izvor - Anti-Malware.ru, siječanj 2009.)

Ime	Postotak otkrivenih virusa	Postotak lažnih pozitivnih rezultata
Avira AntiVir Premium 8.2	71	0,13
Dr.Web 5.0	61	0,2
Kaspersky Anti-Virus 2009	60,6	0,01
ESET NOD32 AntiVirus 3.0	60,5	0,02
AVG Anti-Virus 8.0	58,1	0,02
Avast! AntiVirus Professional 4.8	53,3	0,03
Norton Anti-Virus 2009	51,5	0
Panda Antivirus 2009	37,9	0,02

Iz gore navedenih podataka može se izvući samo jedan zaključak - sva razmatrana antivirusna rješenja doista se mogu pripisati broju vrijednih pažnje. Međutim, pri radu u bilo kojem od njih, ni u kojem slučaju ne smijemo zaboraviti na pravovremeno ažuriranje baza potpisa, budući da je razina proaktivnih metoda zaštite u bilo kojem od programa još uvijek daleko od idealne.

Tablica za analizu antivirusnog softvera. Usporedna analiza antivirusnog softvera

Testiranje patrijarha

Od WildList-a do testova na velikim zbirkama

Modeliranje korisnika

Tim za brzu reakciju

Poznato nepoznato

Lažno pozitivni su gori od virusa

Liječimo ono što nije uhvaćeno

Integriramo procjene

Rezidentni virusi.

Datotečni virusi. Datotečni virusi se ili ubrizgavaju u izvršne datoteke na različite načine, ili stvaraju duple datoteke (popratni virusi), ili koriste osobitosti organizacije datotečnog sustava (virusi veza).

Trojanski konji (logičke bombe ili tempirane bombe).

Prevencija računalne infekcije.

Oporavak oštećenih predmeta.

Deset najboljih za Windows

Koliko je dobra standardna zaštita sustava Windows 10

Kako smo testirali

Vrhunski povezani članci