Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Windows 7, XP
  • Vrste antivirusnih programa i njihove karakteristike. Postoje različite vrste antivirusnih programa

Vrste antivirusnih programa i njihove karakteristike. Postoje različite vrste antivirusnih programa

05.04.2019 Windows 7, XP

Moderan korisnik osobno računalo Ima Besplatan pristup na sve strojne resurse. To je ono što je otvorilo mogućnost postojanja opasnosti koja se zvala računalni virus.

Računalni virus je posebno napisan program koji se može spontano povezati s drugim programima, stvoriti svoje kopije i ubaciti ih u datoteke, područja računalnog sustava i računalne mreže kako bi poremetio rad programa, oštetio datoteke i direktorije te stvorio sve vrste smetnji u radu na računalu. Ovisno o staništu, virusi se mogu podijeliti na mrežne, datotečne, boot, file-boot, makro viruse i trojance.

  • Mrežni virusi distribuiran preko raznih računalnih mreža.
  • Datotečni virusi implementirani su uglavnom u izvršnim modulima. Datotečni virusi također mogu zaraziti druge vrste datoteka, ali u pravilu su upisani u takve datoteke, nikada ne dobivaju kontrolu i stoga gube sposobnost reprodukcije.
  • Virusi za pokretanje ugrađeni su u sektor za pokretanje diska (sektor za pokretanje) ili u sektor koji sadrži program za podizanje sustava s diska (Master Boot Record).
  • Virusi za pokretanje datoteka zaraziti i datoteke i sektore za pokretanje diska.
  • Makrovirusi napisane su na jezicima visoke razine i napadaju datoteke dokumenata aplikacija koje imaju ugrađene automatizacijske jezike (makrojezici), kao što su, na primjer, aplikacije iz obitelji Microsoft Office.
  • Trojanci, prerušeni u korisne programe, izvor su zaraze računalnim virusima.

Za otkrivanje, uklanjanje i zaštitu od računalnih virusa razvijeno je nekoliko vrsta. posebne programe, koji vam omogućuju otkrivanje i uništavanje virusa. Takvi se programi nazivaju antivirusni programi. Postoje sljedeće vrste antivirusni programi :

  • - programi-detektori;
  • - liječnički programi, odnosno fagi;
  • - programi-revizori;
  • - filtriranje programa;
  • - Programi cjepiva ili imunizatori.

Programi-detektori izvršiti traženje karakteristike potpisa određenog virusa u RAM-u i datotekama i, ako se otkrije, izdati odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Doktorski programi, ili fage, kao i programe cjepiva ne samo pronaći datoteke zaražene virusom, već ih i "liječiti", tj. ukloniti tijelo virusnog programa iz datoteke, vraćajući datoteke u početno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih i tek onda prelaze na "liječenje" datoteka. Među fagima su polifaga, tj. liječnički programi dizajnirani za traženje i uništavanje velikog broja virusa. Najpoznatiji od njih su: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Zbog činjenice da se novi virusi neprestano pojavljuju, detektorski i doktorski programi brzo zastarevaju, te su potrebna redovita ažuriranja.

Programi revizora spadaju među najpouzdanija sredstva zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računalo nije zaraženo virusom, a zatim povremeno ili na zahtjev korisnika uspoređuju trenutno stanje s izvornim. Otkrivene promjene prikazuju se na zaslonu monitora. U pravilu se stanja uspoređuju odmah nakon učitavanja operativnog sustava. Prilikom usporedbe provjerava se duljina datoteke, ciklički kontrolni kod (kontrolni zbroj datoteke), datum i vrijeme izmjene i drugi parametri. Programi revizora imaju prilično napredne algoritme, otkrivaju skrivene viruse, pa čak mogu razlikovati promjene u verziji programa koja se provjerava i promjenama koje je napravio virus. Među programima-revizorima je široko korišten program Kaspersky Monitor.

Filtrirajte programe ili "watchmen" su mali rezidentni programi dizajnirani za otkrivanje sumnjivih računalnih aktivnosti koje su karakteristične za viruse. Takve radnje mogu biti:

  • - pokušava ispraviti datoteke s COM ekstenzijama. EXE;
  • - promijeniti atribute datoteke;
  • - izravno upisivanje na disk na apsolutnoj adresi;
  • - upisivanje u boot sektore diska;

Kada bilo koji program pokuša izvršiti navedene radnje, "čuvar" šalje poruku korisniku i nudi zabranu ili dopuštanje odgovarajuće radnje. Programi za filtriranje su vrlo korisni. jer su u stanju otkriti virus u najranijoj fazi njegovog postojanja, prije reprodukcije. Međutim, oni ne "liječe" datoteke i diskove.

Da biste uništili viruse, morate koristiti druge programe, kao što su fagi. Nedostaci watchdog programa uključuju njihovu "smetanost" (primjerice, stalno izdaju upozorenje o svakom pokušaju kopiranja izvršne datoteke), kao i moguće sukobe s drugim softverom.

Cjepiva ili imunizatori rezidentni su programi. sprječava infekciju datoteke. Cjepiva se koriste ako ne postoje liječnički programi koji "liječe" ovaj virus. Cijepljenje je moguće samo protiv poznatih virusa. Cjepivo modificira program ili disk na način da ne utječe na njihov rad, a virus će ih doživjeti kao zaražene i stoga se neće ukorijeniti. Programi cjepiva trenutno su u ograničenoj upotrebi.

Pravovremeno otkrivanje virusom zaraženih datoteka i diskova, potpuno uništavanje otkrivenih virusa na svakom računalu pomaže u izbjegavanju širenja virusne epidemije na druga računala.

Najpopularniji i najučinkovitiji antivirusni programi su antivirusni skeneri (drugi nazivi: fagi, polifagi). Slijede ih po učinkovitosti i popularnosti CRC skeneri (također: auditor, checksumer, provjeravač integriteta). Često se obje ove metode kombiniraju u jedan univerzalni antivirusni program, što uvelike povećava njegovu snagu. Također primijeniti različite vrste monitori (blokatori) i imunizatori.

Skeneri

Princip rada antivirusnih skenera temelji se na skeniranju datoteka, sektora i memorije sustava te traženju poznatih i novih (skeneru nepoznatih) virusa u njima. Za traženje poznatih virusa koriste se takozvane maske. Maska virusa je neka konstantna kodna sekvenca specifična za taj određeni virus. Ako virus ne sadrži trajnu masku ili dužina ove maske nije dovoljno velika, tada se koriste druge metode.

Primjer takve metode je algoritamski jezik koji sve opisuje moguće opcije kod koji se može susresti kada se zarazi ovom vrstom virusa. Ovaj pristup koriste neki antivirusni programi za otkrivanje polimorfnih virusa.

Mnogi skeneri također koriste heurističke algoritme skeniranja, tj. analizu slijeda naredbi u skeniranom objektu, prikupljanje statističkih podataka i donošenje odluke ("vjerojatno zaraženo" ili "nije zaraženo") za svaki skenirani objekt. Budući da je heurističko skeniranje uglavnom probabilistička metoda za otkrivanje virusa, na njega se primjenjuju mnogi zakoni teorije vjerojatnosti. Na primjer, što je veći postotak otkrivenih virusa, veći je i broj lažno pozitivnih.

Prednosti skenera su njihova svestranost, nedostaci su veličina antivirusnih baza koje skeneri moraju "vući" i relativno mala brzina pretraživanja virusa.

CRC skeneri

Princip rada CRC skenera temelji se na izračunu CRC zbroja (kontrolnih zbroja) za datoteke/sektore sustava prisutnih na disku. Ti se CRC zbroji zatim pohranjuju u antivirusnu bazu podataka, kao i neke druge informacije: duljine datoteka, datumi njihove posljednje izmjene itd. Sljedeći put kada se pokrenu CRC skeneri, oni provjeravaju podatke sadržane u bazi podataka sa stvarnim izbrojanim vrijednostima. Ako podaci o datoteci zabilježeni u bazi podataka ne odgovaraju stvarnim vrijednostima, CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom.

CRC skeneri koji koriste "anti-stealth" algoritme prilično su snažno oružje protiv virusa: gotovo 100% virusa detektira se gotovo odmah nakon što se pojave na računalu. Međutim, ova vrsta antivirusa ima svoj nedostatak, što značajno smanjuje njihovu učinkovitost. Ovaj nedostatak je što CRC skeneri ne mogu uhvatiti virus u trenutku njegove pojave u sustavu, već to čine tek nakon nekog vremena, nakon što se virus proširi po cijelom računalu.

CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakiranja datoteka iz arhive), jer njihove baze podataka ne sadrže podatke o tim datotekama. Štoviše, povremeno se pojavljuju virusi koji koriste ovu "slabost" CRC skenera, inficiraju samo novostvorene datoteke i tako ostaju nevidljivi CRC skenerima.

Monitori

Antivirusni monitori- To su rezidentni programi koji presreću virusno opasne situacije i o tome obavještavaju korisnika. Pozivi opasni za viruse uključuju pozive za otvaranje radi upisivanja u izvršne datoteke, pisanje u sektore za pokretanje diskova ili MBR tvrdog diska, pokušaje programa da ostanu rezidentni, itd., odnosno pozive koji su tipični za viruse u vrijeme njihovu reprodukciju.

Prednosti monitora uključuju njihovu sposobnost otkrivanja i blokiranja virusa u najranijoj fazi njegove reprodukcije, što je, usput rečeno, vrlo korisno u slučajevima kada poznati virus stalno „ispuzi niotkuda“. Nedostaci uključuju postojanje načina zaobilaženja zaštite monitora i veliki broj lažnih pozitivnih rezultata, što je, očito, bio razlog gotovo potpunog odbijanja korisnika od ove vrste antivirusnih programa.

Također je potrebno napomenuti takav smjer antivirusnih alata kao što su antivirusni monitori, izrađeni u obliku hardverskih komponenti računala ("hardver"). Najčešća je zaštita od pisanja ugrađena u BIOS u MBR tvrdog diska. Međutim, kao iu slučaju softverskih monitora, takva se zaštita može lako zaobići izravnim pisanjem na portove kontrolera diska, a pokretanje FDISK DOS uslužnog programa odmah uzrokuje lažni zaštitni odgovor.

Postoji nekoliko svestranijih hardverskih monitora, ali osim gore navedenih nedostataka, postoje i problemi s kompatibilnošću s standardne konfiguracije računala i složenost njihove instalacije i konfiguriranja. Sve to čini hardverske monitore krajnje nepopularnim u usporedbi s drugim vrstama antivirusne zaštite.

Imunizatori

Imunizatori se dijele u dvije vrste: imunizatori koji prijavljuju infekciju i imunizatori koji blokiraju infekciju bilo kojom vrstom virusa. Prvi se obično pišu na kraj datoteka (prema principu datotečnog virusa) i svaki put kada se datoteka pokrene, provjerava se ima li promjena. Nedostatak takvih imunizatora je samo jedan, ali je legalan: apsolutna nemogućnost prijave infekcije "stealth" virusom. Stoga se takvi imunizatori, kao i monitori, trenutno praktički ne koriste.

Druga vrsta imunizacije štiti sustav od napada određene vrste virusa. Datoteke na diskovima modificirane su na takav način da virus pretpostavlja da su već zaražene (primjer je zloglasni MSDos niz koji štiti od fosilnog virusa Jeruzalema). Kako bi se zaštitio od rezidentnog virusa, u memoriju računala unosi se program koji oponaša kopiju virusa, a kada se pokrene, virus naiđe na njega i smatra da je sustav već zaražen.

Ova vrsta imunizacije ne može biti univerzalna, jer je nemoguće imunizirati datoteke protiv svih poznatih virusa: neki virusi smatraju da su datoteke već zaražene ako vrijeme kreiranja datoteke sadrži oznaku od 62 sekunde, a drugi - 60 sekundi. Međutim, unatoč tome, takvi imunizatori kao polumjera mogu prilično pouzdano zaštititi računalo od novog nepoznatog virusa do trenutka kada ga antivirusni skeneri otkriju.

Moderni sigurnosni proizvodi za računala sa sustavom Windows složene su aplikacije. Broj ponuđenih specijaliziranih značajki može biti zbunjujući za krajnjeg korisnika. Svaki dobavljač softvera obično koristi svoje ime za istu značajku, koja se može pojaviti u drugim proizvodima pod drugim imenom. Zbunjenost se pojačava kada postane jasno da su dva razne opcije vrlo često imaju isti naziv u proizvodima različitih dobavljača.

Ova serija članaka ima za cilj objasniti osnove i stvarnu funkcionalnost najčešćih opcija. moderna pakiranja sigurnost za Windows OS. Opisat ćemo što možete očekivati specifično rješenje, bilo da se radi o kompletu alata za zaštitu od zlonamjernog softvera, sigurno pregledavanje weba ili sprječavanje upada. Koristeći informacije prikupljene u člancima, možete usporediti skupove značajki koje nude proizvodi različitih dobavljača i bolje razumjeti kako sigurnosni paketi rade.

U prvom dijelu serije članaka govorit ćemo o najosnovnijim komponentama: antivirusnom mehanizmu i vatrozidu (vatrozidu).
-
-
-
-


-
-
-
-
-

Antivirusni motor (Anti-virus Engine)

Također se zove: antivirusna zaštita u stvarnom vremenu, zaštita u stvarnom vremenu, praćenje datoteka, anti-malware

Antivirusni mehanizam glavna je komponenta uključena u većinu sigurnosnih paketa na tržištu. Glavna uloga motora je skeniranje pohrane podataka, on prodire u računalo kako bi otkrio i uklonio zlonamjerni softver. Zlonamjerni kod može se pohraniti u datoteke na tvrdi diskovi, USB prijenosni pogoni, RAM računala, mrežni upravljački programi, sektor za pokretanje diska ili kao dio mrežnog prometa.

Metode određivanja

Antivirusni mehanizam koristi veliki broj metoda za otkrivanje zlonamjernog softvera. Antivirusni programi sadrže opsežnu bazu podataka uzoraka virusa koji se moraju otkriti tijekom skeniranja. Svaki uzorak može definirati jedinstveni zlonamjerni kod ili, još češće, opisati cijelu obitelj virusa. Glavna značajka detekcije virusa u usporedbi s uzorcima je da antivirusni program može otkriti samo dobro poznati virus, dok nove prijetnje možda neće biti otkrivene.

Metoda heurističke analize(heuristic-based detection) koristi se za otkrivanje čak i onih virusa za koje u bazi antivirusnog programa nema uzoraka. Ima ih mnogo razne metode heuristička analiza. Osnovno načelo je identificirati programski kod, što je vrlo nepoželjno za opasni programi proizvodi. Međutim, ova metoda je netočna i može uzrokovati mnoge lažne alarme. Dobra heuristička analiza dobro je uravnotežena i uzrokuje minimalan broj lažnih alarma s visokim postotkom otkrivanja zlonamjernog softvera. Osjetljivost heuristike može se podesiti.

Virtualizacija(stvaranje virtualno okruženje, virtualizacija) ili sandboxing naprednije su metode za prepoznavanje prijetnji. Određeno vrijeme uzorci koda izvode se u virtualnom stroju ili drugom sigurno okruženje, gdje skenirani uzorci ne mogu pobjeći i oštetiti operativni sustav. Ponašanje ispitnog uzorka u pješčaniku se prati i analizira. Ova metoda je korisna kada je zlonamjerni softver prepun nepoznatog algoritma (uobičajen način da bude imun na sustave za otkrivanje virusa) i antivirusni sustav ga ne može dekomprimirati. Unutar virtualnog okruženja, virus se sam raspakira, kao da se na njemu izvršava pravi sustav a antivirusni mehanizam može skenirati dekomprimirani kod i podatke.

Jedno od najnovijih dostignuća u antivirusnim alatima je skeniranje u oblaku(skeniranje u oblaku). Ova se metoda temelji na činjenici da su računala ograničena u svojim računalnim sposobnostima, dok dobavljači antivirusnih programa imaju mogućnost stvaranja velikih sustava s ogromnim performansama. Snaga računala potrebna je za izvođenje složene heurističke analize, kao i analizu korištenjem virtualnih strojeva. Poslužitelji dobavljača mogu rukovati mnogo većim bazama podataka uzoraka virusa od računala u stvarnom vremenu. Prilikom obavljanja skeniranja u oblaku, jedini uvjet je brza i stabilna internetska veza. Kada klijentski stroj treba skenirati datoteku, datoteka se šalje na poslužitelj dobavljača putem mrežne veze i očekuje se odgovor. U međuvremenu, klijentski stroj može izvršiti vlastito skeniranje.

Vrste i postavke skeniranja

S stajališta korisnika, postoji nekoliko vrsta antivirusnog skeniranja, koje ovise o događajima koji su pokrenuli početak procesa skeniranja:

- Skeniranje pri pristupu(Pri pristupnom skeniranju) - skeniranje koje se događa kada resurs postane dostupan. Na primjer, kada se datoteka kopira u HDD ili kada se izvršna datoteka pokrene (pokretanje procesa skeniranja u ovom slučaju se ponekad naziva skeniranjem pri pokretanju). U ovom slučaju se skenira samo resurs kojem se pristupa.

- Skeniranje na zahtjev(Skeniranje na zahtjev) provocirano krajnji korisnik– na primjer, kada korisnik pozove skeniranje odgovarajućom naredbom izbornika u Windows Exploreru. To se također naziva ručno skeniranje. Samo odabrane mape i datoteke skeniraju se ovom metodom.

- Planirano skeniranje(Planirano skeniranje) često je ponavljana radnja koja osigurava da se sustav neprestano skenira u potrazi za zlonamjernim softverom. Korisnik može podesiti vrijeme i učestalost skeniranja. Ovo skeniranje se obično koristi za potpuno skeniranje sustava.

- Skenirajte pri pokretanju(Skeniranje pri pokretanju) – skeniranje koje pokreće antivirusni program pri pokretanju OS-a. Ovo skeniranje je brzo i utječe na mapu za pokretanje, pokrenute procese, memoriju sustava, usluge sustava i sektor za pokretanje.

Većina proizvoda korisnicima omogućuje zasebno postavljanje svake vrste skeniranja. Neke od najosnovnijih opcija antivirusnog skeniranja navedene su u nastavku:

Ekstenzije datoteka za skeniranje - skenirajte sve datoteke ili samo one izvršne (.exe, .dll, .vbs, .cmd i druge.);
- Maksimalna veličina datoteke – datoteke veće od ovog parametra se ne skeniraju;
- Skenirati datoteke u arhivama - treba li skenirati datoteke u arhivama kao što su .zip, .rar, .7z i drugi;
- Korištenje heurističke analize - postavljanje upotrebe heuristike i, po želji, podešavanje osjetljivosti;
- Vrste programa za prijavu s alarmom - postoji mnogo programa koji se mogu netočno identificirati kao zlonamjerni softver. Dobavljači obično koriste pojmove kao što su Potencijalno neželjeni softver ili program s određenim rizikom od prijetnje;
- Vrste medija za skeniranje - treba li skenirati datoteke na mrežnoj pohrani ili prijenosnim uređajima za pohranu;
- Radnje koje treba poduzeti kada se otkrije prijetnja - pokušajte izliječiti uzorak ako je moguće, uklonite uzorak, karantena ( posebna mapa, s kojeg se zlonamjerni kod ne može izvršiti, ali se može poslati izravno dobavljaču na daljnju istragu), blokira pristup ili zatraži od korisnika da podnese akciju.

Mnogi od ovih parametara mogu utjecati na brzinu skeniranja. Skup pravila automatskog skeniranja za brzo, ali učinkovito skeniranje naziva se Smart Scan ili Brzo skeniranje(Brzo skeniranje). Inače, skeniranje se naziva Full Scan ili Deep Scan. Možemo naići i na skeniranje prijenosnih uređaja, koje se koristi za provjeru optički diskovi, diskete, USB diskovi, flash kartice i slični uređaji. Prilagođeno skeniranje je također dostupno i krajnji korisnik ga u potpunosti može prilagoditi.

Specijalizirani skeneri

Skeniranje rootkita(ili anti-rootkit skeniranje) je opcija koju neki dobavljači antivirusnih programa nude u svojim proizvodima, budući da rootkiti su postali iznimno uobičajeni tijekom posljednjeg desetljeća. Rootkit je posebna vrsta zlonamjernog softvera koji koristi pametne trikove kako bi ostao nevidljiv korisniku i osnovne metode otkrivanja virusa. Koristi interne mehanizme OS-a kako bi se učinio nedostupnim. Borba protiv rootkita zahtijeva od programera antivirusnog softvera stvaranje posebnih metoda otkrivanja. Skeniranje rootkita pokušava pronaći odstupanja u radu OS-a koja mogu poslužiti kao dokaz rootkita u sustavu. Neke implementacije provjera rootkita oslanjaju se na stalno praćenje sustava, dok se druge implementacije anti-rootkit alata mogu pozvati na zahtjev.

Skeniranje datoteka Microsoft Officea(ili skeniranje makro virusa) - opcija koja štiti korisnika od zlonamjernog koda unutar uredskih dokumenata. Principi internog skeniranja slični su općim metodama skeniranja, samo su specijalizirani za traženje virusa unutar makronaredbi. Opcija skeniranja može se ponuditi kao dodatak za Microsoft Office.

Dodatne povezane opcije

Antivirusni mehanizam obično je čvrsto povezan s ostalim komponentama sigurnosnog paketa. Neki proizvodi su dodatne funkcije, kao dio antivirusnog motora, drugi ih prikazuju zasebno. Web kontrola je opcija koja je tipičan predstavnik druge skupine. O ovoj opciji ćemo raspravljati zasebno.

Vatrozid

Također se naziva: osobni vatrozid, vatrozid, napredni vatrozid, dvosmjerni vatrozid.

Glavna uloga vatrozida je kontrola pristupa PC-u s vanjske mreže, tj. dolaznog prometa i, obrnuto, kontrolirati pristup s PC-a mreži, t.j. odlazni promet.

Filtriranje mrežnog prometa može se odvijati na nekoliko razina. Većina vatrozida uključenih u PC sigurnosne komplete ima skup pravila za najmanje dva sloja - donji internetski sloj kontroliran IP pravilima i gornji sloj aplikacije. Govoreći o najvišoj razini, vatrozid sadrži skup pravila za dopuštanje ili uskraćivanje pristupa određenoj aplikaciji mreži. Pojmovi kao što su Mrežna pravila, Stručna pravila ili Postavka IP pravila koriste se u niži nivo pravila. Na vrhunskoj razini susrećemo se s pojmovima Kontrola aplikacija(Upravljanje programom) ili pravila primjene(Pravila primjene).

mreže

Gomila moderni proizvodi dopustiti korisniku da postavi razinu povjerenja za sve mreže povezane s računalom. Čak i ako postoji samo jedna fizička veza, računalo može biti spojeno na više mreža – na primjer, kada je računalo spojeno na lokalna mreža, koji ima pristupnike za pristup internetu. Antivirusni kompleks će zasebno upravljati lokalnim i internetskim prometom. Svaka od pronađenih mreža može biti pouzdana ili nepouzdana i razne usluge sustava kao npr opći pristup za datoteke ili pisače može ili ne mora biti dopušteno. Prema zadanim postavkama, samo računala iz pouzdanih mreža mogu pristupiti zaštićenom računalu. Veze registrirane s nepouzdanih mreža obično su blokirane ako odgovarajuća opcija ne dopušta pristup. Zbog toga se internetska veza obično označava kao nepouzdana. Kako god bilo, neki proizvodi ne razlikuju mreže unutar istog korisničkog sučelja, a pouzdane/nepouzdane mrežne postavke mogu se specificirati zasebno za svako sučelje. Pojam mrežna zona ili jednostavno zona obično se koristi umjesto logičke mreže.

Za nepouzdane mreže moguće je konfigurirati skriveni način rada. Ovaj način vam omogućuje promjenu ponašanja sustava, kao da njegova adresa nije dostupna mreži. Ova mjera može dovesti u zabludu hakere koji prvi pronađu mete za napad. Zadano ponašanje sustava je odgovaranje na sve poruke, čak i na one poslane sa zatvorenih portova. Stealth način rada (također poznat kao prikriveni portovi) sprječava otkrivanje računala tijekom skeniranja portova.

Otkrivanje/prevencija upada

Također se zove: Detekcija napada, sustav za otkrivanje upada, IP blokiranje, zlonamjerni portovi.

Iako svi gore navedeni pojmovi nisu ekvivalentni, oni se odnose na skup svojstava koja su sposobna spriječiti ili otkriti određene vrste napada s udaljenih računala. To uključuje opcije kao što su otkrivanje porta za skeniranje, otkrivanje lažnog IP-a, blokiranje pristupa poznatim portovima zlonamjernog softvera koje koriste programi udaljene administracije, Trojanski konji, botnet klijenti. Neki pojmovi uključuju mehanizme za zaštitu od ARP napada (napadi lažiranja protokola proširenja) - ova se opcija može nazvati APR zaštita, zaštita od ARP predmemorija itd. Glavna sposobnost ove vrste obrane je automatsko blokiranje napadačkog stroja. Ova se opcija može izravno povezati sa sljedećom funkcijom.

IP crna lista

Upotreba ove jednostavne opcije je čuvanje baze podataka antivirusnih proizvoda mrežne adrese, s kojim zaštićeno računalo ne smije komunicirati. Ovu bazu podataka može nadopuniti sam korisnik, kada se otkriju virusi (pogledajte Otkrivanje i prevencija upada), ili se automatski ažurirati s opsežnog popisa opasnih sustava i mreža dobavljača antivirusnih programa.

Blokiranje cijelog prometa (Blokiraj sav promet)

U slučaju iznenadne infekcije sustava, neka antivirusna rješenja nude "pritisnuti gumb za kočenje u nuždi", t.j. blokirati sav dolazni i odlazni promet. Ova opcija može biti predstavljena kao veliki crveni gumb, bilo kao dio postavki sigurnosne politike vatrozida ili putem ikone u izborniku sustava. Ova funkcija bi se trebala koristiti kada korisnik sazna da je računalo zaraženo i želi spriječiti neželjenu upotrebu računala od strane zlonamjernog softvera: krađu osobnih podataka i preuzimanje dodatnih virusa putem interneta. Blokiranje mrežnog prometa može se kombinirati s prekidom svih nepoznatih procesa sustava. Ovu opciju treba koristiti s oprezom.

Kontrola programa

Također se zove: kontrola aplikacija, inspektor aplikacija

Filtriranje mrežnog prometa na softverskoj razini omogućuje sigurnosnim programima da zasebno kontroliraju pristup mreži za svaku aplikaciju na računalu. Antivirusni proizvod sadrži bazu podataka svojstava aplikacije koja određuje je li mreža dostupna programu ili ne. Ova svojstva se razlikuju između klijentski programi, koji inicijalizira vezu s lokalni stroj na udaljene poslužitelje (odlazni smjer) i poslužiteljske programe koji skeniraju mrežni port i prihvaćaju veze s udaljenih računala (dolazni smjer). Moderna antivirusna rješenja omogućuju korisniku da odredi detaljna pravila za svaku konkretnu primjenu.

Općenito, ponašanje softverske kontrole ovisi o politici vatrozida odabranoj u vatrozidu i može uključivati ​​sljedeća ponašanja:

- Tihi način rada(automatski način rada) radi bez intervencije korisnika. Sve odluke se donose automatski pomoću baze podataka antivirusnog proizvoda. Ako ne postoji eksplicitno pravilo za program koji želi pristupiti mreži, taj pristup može biti uvijek dopušten (dopusti sve načine), ili uvijek blokiran (blokiraj sve načine), ili se za određivanje koristi posebna heuristička analiza daljnje djelovanje. Algoritam odlučivanja može biti vrlo složen i može ovisiti o dodatnim uvjetima, kao što su preporuke online zajednice. Međutim, neki proizvodi koriste pojmove potpuno dopuštenje/blokiranje kako bi zaobišli postojeće skupove pravila baze podataka i jednostavno dopustili ili blokirali pristup bilo kojoj aplikaciji u sustavu.

- Korisnički način rada(Custom mode - Advanced mode, Custom mode) namijenjen je naprednim korisnicima koji žele kontrolirati svaku radnju. U ovom načinu rada, proizvod automatski obrađuje samo one situacije za koje postoje pravila iznimke u bazi podataka. Za bilo koju drugu radnju od korisnika se traži da donese odluku. Neka antivirusna rješenja nude definiranje politike ponašanja kada nije moguće zatražiti od korisnika - na primjer, kada se računalo pokreće, gasi, kada GUI programa nije dostupan, ili tijekom posebnih uvjeta - pokretanje igre u potpunosti zaslon kada korisnik ne želi da ga ometa (ponekad se zove Mod igre– Način igranja). Obično su u tim slučajevima dostupne samo dvije opcije: način potpunog omogućavanja i način potpunog blokiranja.

- Normalni mod(sigurni način rada - normalan način rada, siguran način rada) omogućuje antivirusnom proizvodu da samostalno rješava većinu situacija. Čak i kada u bazi podataka nema eksplicitnih pravila, radnja programa je dopuštena ako se program smatra sigurnim. Slično automatskom načinu rada, odluka se može donijeti na temelju heurističke analize. U slučaju kada sigurnosni program ne može odrediti je li aplikacija sigurna ili ne, prikazuje upozorenje, kao u korisničkom načinu rada.

- Način učenja(način obuke, način instalacije - Način učenja, Način obuke, Način instalacije) uglavnom se koristi odmah nakon instaliranja antivirusnog proizvoda ili u slučajevima kada korisnik instalira novi softver na računalo. U ovom načinu rada antivirusni proizvod omogućuje sve radnje za koje nema unosa u bazi pravila i dodaje nova pravila koja će dopustiti odgovarajuće radnje u budućnosti nakon sigurnosne promjene. Korištenje načina učenja omogućuje vam da smanjite broj alarma nakon instaliranja novog softvera.

Kontrola aplikacija obično sadrži postavke koje mogu pomoći proizvodu u rješavanju sporova, bez obzira na omogućen način rada. Ova je značajka poznata kao automatsko kreiranje pravila. Tipična opcija u ovom slučaju je dopustiti poduzimanje bilo kakve radnje digitalno potpisanim aplikacijama od pouzdanih dobavljača, čak i ako nema odgovarajućeg unosa u bazi podataka. Ova se opcija može proširiti drugom funkcijom koja omogućuje poduzimanje bilo kakve radnje aplikacijama koje nisu digitalno potpisane, ali su poznate antivirusnom proizvodu. Kontrola programa obično je usko povezana s drugim značajkama, koje ćemo kasnije pokriti, posebno s opcijom kontrole ponašanja.

Antivirusna zaštita najčešća je mjera za osiguranje informacijske sigurnosti IT infrastrukture u korporativnom sektoru. Međutim, samo 74% ruskih tvrtki koristi antivirusna rješenja za zaštitu, pokazalo je istraživanje koje je proveo Kaspersky Lab zajedno s analitičkom tvrtkom B2B International (jesen 2013.).

U izvješću se također navodi da usred eksplozije kibernetičkih prijetnji od kojih su tvrtke zaštićene jednostavnim antivirusima, ruske tvrtke sve više koriste složene alate za zaštitu. Uglavnom iz tog razloga, upotreba alata za šifriranje podataka porasla je za 7%. prijenosni medij(24%). Osim toga, tvrtke su postale spremnije razgraničiti sigurnosne politike za uklonjive uređaje. Povećana je i diferencijacija razine pristupa različitim dijelovima IT infrastrukture (49%). Istodobno, mala i srednja poduzeća više pažnje posvećuju kontroli prijenosnih uređaja (35%) i kontroli aplikacija (31%).

Istraživači su također otkrili da unatoč stalnom otkrivanju novih softverskih ranjivosti, ruske tvrtke još uvijek ne obraćaju dužnu pažnju na redovita ažuriranja softvera. Štoviše, broj organizacija za krpanje pao je u odnosu na prošlu godinu na samo 59%.

Moderni antivirusni programi mogu učinkovito otkriti zlonamjerne objekte unutar programskih datoteka i dokumenata. U nekim slučajevima antivirusni program može ukloniti tijelo zlonamjernog objekta iz zaražene datoteke, vraćajući samu datoteku. U većini slučajeva, antivirusni program može ukloniti zlonamjerni programski objekt ne samo iz programske datoteke, već i iz datoteke uredskog dokumenta bez narušavanja njezinog integriteta. Korištenje antivirusnih programa ne zahtijeva visoke kvalifikacije i dostupno je gotovo svakom korisniku računala.

Većina antivirusnih programa kombinira zaštitu u stvarnom vremenu (monitor virusa) i zaštitu na zahtjev (skener virusa).

Ocjena antivirusa

2019: Dvije trećine antivirusnih programa za Android bile su beskorisne

U ožujku 2019. AV-Comparatives, austrijski laboratorij specijaliziran za testiranje antivirusnog softvera, objavio je rezultate studije koja je pokazala beskorisnost većine takvih programa za Android.

Samo 23 antivirusna programa koja se nalaze u službenom katalogu Google Play Storea točno prepoznaju zlonamjerni softver u 100% slučajeva. Ostatak softvera ili ne reagira na mobilne prijetnje, ili za njih uzima apsolutno sigurne aplikacije.

AV-Comparatives je proučio 250 popularnih sigurnosnih aplikacija iz službenog kataloga Google Play i došao do zaključka da gotovo dvije trećine Android antivirusa ne obavljaju funkcije koje reklamiraju.

Stručnjaci su proučavali 250 antivirusnih programa i izvijestili da samo 80% njih može otkriti više od 30% zlonamjernog softvera. Tako je 170 prijava palo na testu. Proizvodi koji su prošli testove uglavnom su bila rješenja velikih proizvođača, uključujući Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro i Trustwave.

U sklopu eksperimenta znanstvenici su utvrdili svaki antivirusna aplikacija na odvojeni uređaj(bez emulatora) i automatiziranih uređaja za pokretanje preglednika, preuzimanje i zatim instaliranje zlonamjernog softvera. Svaki uređaj je testiran na 2000 najzastupljenijih Android virusa u 2018.

Prema izračunima AV-Comparatives, većina antivirusnih rješenja za Android je krivotvorina. Deseci aplikacija imaju gotovo identično sučelje, a njihove kreatore očito više zanima prikazivanje oglasa nego pisanje funkcionalnog skenera za viruse.

Neki antivirusni programi "vide" prijetnju u bilo kojoj aplikaciji koja nije uključena u njihov " Bijela lista". Zbog toga su, u nizu vrlo anegdotnih slučajeva, digli uzbunu zbog vlastitih datoteka, budući da su ih programeri zaboravili spomenuti na "bijelom popisu".

2017: Microsoft Security Essentials prepoznat je kao jedan od najgorih antivirusnih programa

U listopadu 2017. njemački antivirusni laboratorij AV-Test objavio je rezultate sveobuhvatno testiranje antivirusi. Prema studiji, vlasnički Microsoftov softver dizajniran za zaštitu od zlonamjerne aktivnosti, gotovo se najgori od svih nose sa svojim dužnostima.

Prema rezultatima testova provedenih u srpnju i kolovozu 2017., stručnjaci za AV-Test imenovali su najbolji antivirus za Windows 7 rješenje Kaspersky Internet Security , koje je dobilo 18 bodova u pogledu zaštite, performansi i upotrebljivosti.

Među prva tri su bili Trend Micro Internet Security i Bitdefender Internet Security, koji su osvojili po 17,5 bodova. Položaj proizvoda drugih antivirusnih tvrtki koje su bile uključene u istraživanje može se pronaći na slikama u nastavku:

Mnogi skeneri također koriste heurističke algoritme skeniranja, tj. analiza slijeda naredbi u provjerenom objektu, prikupljanje neke statistike i donošenje odluka za svaki provjereni objekt.

Skeneri se također mogu podijeliti u dvije kategorije - univerzalne i specijalizirane. Univerzalni skeneri dizajnirani su za traženje i neutralizaciju svih vrsta virusa, bez obzira na operacijski sustav u kojem je skener dizajniran za rad. Specijalizirani skeneri dizajnirani su za neutralizaciju ograničen broj virusi ili samo jedna njihova klasa, kao što su makro virusi.

Skeneri se također dijele na rezidentne (monitore), koji skeniraju u hodu, i nerezidentne, koji provjeravaju sustav samo na zahtjev. U pravilu, rezidentni skeneri pružaju pouzdaniju zaštitu sustava, jer odmah reagiraju na pojavu virusa, dok nerezidentni skener može identificirati virus tek prilikom sljedećeg pokretanja.

CRC skeneri

Princip rada CRC skenera temelji se na izračunu CRC zbroja (kontrolnih zbroja) za datoteke/sektore sustava prisutnih na disku. Ti se CRC zbroji zatim pohranjuju u antivirusnu bazu podataka, kao i neke druge informacije: duljine datoteka, datumi njihove posljednje izmjene itd. Sljedeći put kada se pokrenu CRC skeneri, oni provjeravaju podatke sadržane u bazi podataka sa stvarnim izbrojanim vrijednostima. Ako podaci o datoteci zabilježeni u bazi podataka ne odgovaraju stvarnim vrijednostima, CRC skeneri signaliziraju da je datoteka izmijenjena ili zaražena virusom.

CRC skeneri nisu u stanju uhvatiti virus u trenutku njegove pojave u sustavu, već to čine tek nakon nekog vremena, nakon što se virus proširi po cijelom računalu. CRC skeneri ne mogu otkriti virus u novim datotekama (u e-pošti, na disketama, u datotekama vraćenim iz sigurnosne kopije ili prilikom raspakiranja datoteka iz arhive), jer njihove baze podataka nemaju podatke o tim datotekama. Štoviše, povremeno se pojavljuju virusi koji koriste ovu slabost CRC skenera, inficiraju samo novostvorene datoteke i tako im ostaju nevidljivi.

Blokatori

Antivirusni blokeri rezidentni su programi koji presreću situacije opasne od virusa i o tome obavještavaju korisnika. Pozivi opasni za viruse uključuju pozive za otvaranje radi upisivanja u izvršne datoteke, pisanje u sektore za pokretanje diskova ili MBR tvrdog diska, pokušaje programa da ostanu rezidentni, itd., odnosno pozive koji su tipični za viruse na vrijeme razmnožavanja.

Prednosti blokatora uključuju njihovu sposobnost otkrivanja i zaustavljanja virusa u najranijoj fazi njegove reprodukcije. Nedostaci uključuju postojanje načina zaobilaženja zaštite blokatora i veliki broj lažnih pozitivnih rezultata.

Imunizatori

Imunizatori se dijele u dvije vrste: imunizatori koji prijavljuju infekciju i imunizatori koji blokiraju infekciju. Prvi se obično pišu na kraj datoteka (prema principu datotečnog virusa) i svaki put kada se datoteka pokrene, provjerava se ima li promjena. Nedostatak takvih imunizatora je samo jedan, ali je smrtonosan: apsolutna nemogućnost prijave infekcije skrivenim virusom. Stoga se takvi imunizatori, kao i blokatori, trenutno praktički ne koriste.

Druga vrsta imunizacije štiti sustav od napada određene vrste virusa. Datoteke na diskovima modificiraju se na način da ih virus smatra već zaraženim. Radi zaštite od rezidentnog virusa, program koji oponaša kopiju virusa unosi se u memoriju računala. Kada se pokrene, virus naleti na njega i vjeruje da je sustav već zaražen.

Ova vrsta imunizacije ne može biti univerzalna, jer je nemoguće imunizirati datoteke protiv svih poznatih virusa.

Klasifikacija antivirusnih programa na temelju vremenske varijabilnosti

Prema Valeryju Konyavskyju, antivirusni alati mogu se podijeliti u dvije velike skupine - analiziranje podataka i analiziranje procesa.

Analiza podataka

Analiza podataka uključuje revizore i polifage. Revizori analiziraju posljedice djelovanja računalnih virusa i ostalog zlonamjernog softvera. Posljedice se očituju u promjeni podataka koji se ne bi trebali mijenjati. Upravo je činjenica promjene podataka znak aktivnosti zlonamjernih programa sa stajališta revizora. Drugim riječima, revizori kontroliraju integritet podataka i nakon kršenja integriteta donose odluku o prisutnosti zlonamjernog softvera u računalnom okruženju.

Polifagi djeluju drugačije. Na temelju analize podataka identificiraju fragmente zlonamjernog koda (na primjer, po njegovom potpisu) i na temelju toga donose zaključak o prisutnosti zlonamjernih programa. Brisanje ili dezinfekcija podataka zaraženih virusom pomaže u sprječavanju negativnih posljedica izvršenja zlonamjernog softvera. Tako se na temelju analize u statici sprječavaju posljedice koje nastaju u dinamici.

Shema rada i auditora i polifaga je gotovo ista - usporediti podatke (ili njihov kontrolni zbroj) s jednim ili više referentnih uzoraka. Podaci se uspoređuju s podacima. Dakle, da biste pronašli virus u vašem računalu, potrebno je da je već proradio kako bi se pojavile posljedice njegove aktivnosti. Ova metoda može pronaći samo poznate viruse za koje su prethodno opisani fragmenti koda ili potpisi. Malo je vjerojatno da se takva zaštita može nazvati pouzdanom.

Analiza procesa

Antivirusni alati temeljeni na analizi procesa rade nešto drugačije. Heuristički analizatori, poput onih gore opisanih, analiziraju podatke (na disku, u kanalu, u memoriji, itd.). Temeljna razlika sastoji se u tome da se analiza provodi pod pretpostavkom da kod koji se analizira nisu podaci, već naredbe (u računalima s von Neumannovom arhitekturom podaci i naredbe se ne razlikuju, pa se stoga mora iznijeti jedna ili druga pretpostavka tijekom analize.)

Heuristički analizator odabire slijed operacija, svakoj od njih dodjeljuje određenu ocjenu opasnosti i na temelju ukupne opasnosti odlučuje je li taj slijed operacija dio zlonamjernog koda. Sam kod se ne izvršava.

Druga vrsta antivirusnih alata temeljenih na analizi procesa su blokatori ponašanja. U tom slučaju, sumnjivi se kod izvršava korak po korak sve dok se skup akcija koje je pokrenuo kod ne ocijeni kao opasno (ili sigurno) ponašanje. U ovom slučaju, kod se djelomično izvršava, budući da se završetak zlonamjernog koda može detektirati više jednostavne metode Analiza podataka.

Tehnologije otkrivanja virusa

Tehnologije koje se koriste u antivirusnim programima mogu se podijeliti u dvije skupine:

  • Tehnologije analize potpisa
  • Tehnologije vjerojatnosne analize

Tehnologije analize potpisa

Analiza potpisa je metoda otkrivanja virusa koja provjerava prisutnost virusnih potpisa u datotekama. Analiza potpisa je najpoznatija metoda za otkrivanje virusa i koristi se u gotovo svim modernim antivirusima. Da bi izvršio skeniranje, antivirusni program treba skup virusnih potpisa koji je pohranjen u antivirusnoj bazi podataka.

Zbog činjenice da analiza potpisa uključuje provjeru datoteka za virusne potpise, antivirusnu bazu podataka potrebno je povremeno ažurirati kako bi antivirusni program bio ažuran. Sam princip analize potpisa također definira granice njegove funkcionalnosti - mogućnost otkrivanja samo poznatih virusa - skener potpisa je nemoćan protiv novih virusa.

S druge strane, prisutnost virusnih potpisa podrazumijeva mogućnost liječenja zaraženih datoteka otkrivenih analizom potpisa. Međutim, liječenje nije prihvatljivo za sve viruse – trojanci i većina crva se zbog njih ne mogu liječiti značajke dizajna, jer su čvrsti moduli dizajnirani da uzrokuju štetu.

Kompetentna implementacija virusnog potpisa omogućuje otkrivanje poznatih virusa sa 100% sigurnošću.

Tehnologije vjerojatnosne analize

Tehnologije vjerojatnosne analize, pak, podijeljene su u tri kategorije:

  • Heuristička analiza
  • Analiza ponašanja
  • Analiza kontrolnog zbroja

Heuristička analiza

Heuristička analiza je tehnologija koja se temelji na probabilističkim algoritmima, čiji je rezultat identifikacija sumnjivih objekata. Heuristička analiza provjerava strukturu datoteke i njezinu usklađenost s predlošcima virusa. Najpopularnija heuristička tehnika je provjera sadržaja datoteke na modifikacije već poznatih virusnih potpisa i njihovih kombinacija. To pomaže u otkrivanju hibrida i novih verzija prethodno poznatih virusa bez dodatnog ažuriranja antivirusne baze podataka.

Heuristička analiza koristi se za otkrivanje nepoznatih virusa i, kao rezultat, ne uključuje liječenje. Ova tehnologija nije u stanju 100% odrediti virus ispred sebe ili ne, i kao svaki probabilistički algoritam griješi lažno pozitivnim rezultatima.

Analiza ponašanja

Analiza ponašanja je tehnologija u kojoj se odluka o prirodi objekta koji se provjerava donosi na temelju analize operacija koje obavlja. Analiza ponašanja vrlo je usko primjenjiva u praksi, budući da se većina radnji karakterističnih za viruse može izvesti i uobičajene aplikacije. Najpoznatiji su analizatori ponašanja skripti i makronaredbi, budući da odgovarajući virusi gotovo uvijek izvode niz sličnih radnji.

Sigurnosne značajke ugrađene u BIOS također se mogu klasificirati kao analizatori ponašanja. Kada se pokuša napraviti promjene u MBR-u računala, analizator blokira radnju i prikazuje odgovarajuću obavijest korisniku.

Osim toga, analizatori ponašanja mogu pratiti pokušaje Direktni pristup na datoteke, unošenje promjena u zapis za pokretanje disketa, teško formatiranje diskovi itd.

Analizatori ponašanja ne koriste dodatne objekte slične bazama podataka virusa za svoj rad i, kao rezultat toga, ne mogu razlikovati poznate i nepoznate viruse - svi sumnjivi programi se a priori razmatraju nepoznati virusi. Slično, značajke rada alata koji implementiraju tehnologije analize ponašanja ne podrazumijevaju liječenje.

Analiza kontrolnog zbroja

Analiza kontrolnog zbroja način je praćenja promjena u objektima računalnog sustava. Na temelju analize prirode promjena – simultanosti, masovnosti, identičnih promjena duljine datoteka – možemo zaključiti da je sustav zaražen. Analizatori kontrolnog zbroja (također se nazivaju i revizori promjena), kao i analizatori ponašanja, ne koriste dodatne objekte u svom radu i donose presudu o prisutnosti virusa u sustavu isključivo metodom stručne procjene. Slične tehnologije koriste se i u pristupnim skenerima - prilikom prve provjere iz datoteke se uzima kontrolni zbroj i stavlja u predmemoriju, prije sljedeće provjere iste datoteke ponovno se uzima kontrolni zbroj, uspoređuje i ako nema promjena, datoteka se smatra nezaraženom.

Antivirusni kompleksi

Antivirusni kompleks - skup antivirusnih programa koji koriste isti antivirusni mehanizam ili motore, dizajniran za rješavanje praktični problemi osigurati antivirusna sigurnost računalni sustavi. Antivirusni kompleks također uključuje alate za ažuriranje antivirusnih baza podataka.

Osim toga, antivirusni kompleks može dodatno uključivati ​​analizatore ponašanja i revizore promjena koji ne koriste antivirusni mehanizam.

Postoje sljedeće vrste antivirusnih kompleksa:

  • Antivirusni kompleks za zaštitu radnih stanica
  • Antivirusni kompleks za zaštitu poslužitelja datoteka
  • Antivirusni kompleks za zaštitu sustava pošte
  • Antivirusni kompleks za zaštitu pristupnika.

Cloud naspram tradicionalnog antivirusnog programa za stolna računala: što odabrati?

(Prema resursu Webroot.com)

Suvremeno tržište antivirusnih alata prvenstveno su tradicionalna rješenja za desktop sustave, čiji su mehanizmi zaštite izgrađeni na temelju metoda temeljenih na potpisu. Alternativni način antivirusna zaštita – korištenje heurističke analize.

Problemi s tradicionalnim antivirusnim softverom

Posljednjih godina tradicionalne antivirusne tehnologije postaju sve manje učinkovite i brzo zastarjevaju, zbog niza čimbenika. Broj virusnih prijetnji identificiranih potpisima već je toliko velik da je često nerealan zadatak osigurati pravovremeno 100% ažuriranje baza potpisa na korisničkim računalima. Hakeri i cyber kriminalci sve više koriste botnete i druge tehnologije kako bi ubrzali širenje virusnih prijetnji nultog dana. Osim toga, potpisi odgovarajućih virusa ne stvaraju se tijekom ciljanih napada. Konačno, primjenjuju se nove antivirusne tehnologije detekcije: enkripcija zlonamjernog softvera, kreiranje polimorfnih virusa na strani poslužitelja, preliminarno testiranje kvalitete virusnog napada.

Tradicionalna antivirusna zaštita najčešće se gradi u arhitekturi "debelog klijenta". To znači da je na računalu klijenta instalirano mnogo programskog koda. Provjerava dolazne podatke i otkriva prisutnost virusnih prijetnji.

Ovaj pristup ima niz nedostataka. Prvo, skeniranje u potrazi za zlonamjernim softverom i podudaranje potpisa zahtijeva značajno računalno opterećenje, koje je "oduzeto" korisniku. Kao rezultat toga, produktivnost računala je smanjena, a rad antivirusnog programa ponekad ometa paralelno izvršavanje primijenjeni zadaci. Ponekad opterećenje na prilagođeni sustav je toliko uočljiv da korisnici isključuju antivirusne programe, čime se uklanja prepreka potencijalnom napadu virusa.

Drugo, svako ažuriranje na korisnikovom stroju zahtijeva prijenos tisuća novih potpisa. Količina prenesenih podataka obično je reda veličine 5 MB dnevno po stroju. Prijenos podataka usporava mrežu, dodatno ometa resursi sustava, zahtijeva uključivanje administratora sustava za kontrolu prometa.

Treće, korisnici koji su u roamingu ili su udaljeni od svog fiksnog mjesta rada ranjivi su na napade nultog dana. Da bi primili ažurirani dio potpisa, moraju se povezati s VPN mrežom koja im nije dostupna daljinski.

Antivirusna zaštita iz oblaka

Prelaskom na antivirusnu zaštitu iz oblaka, arhitektura rješenja značajno se mijenja. Na korisničkom računalu instaliran je "lagani" klijent čija je glavna funkcija traženje novih datoteka, izračunavanje hash vrijednosti i slanje podataka na poslužitelj u oblaku. U oblaku se vrši usporedba u punoj mjeri na velikoj bazi podataka prikupljenih potpisa. Ova baza podataka se stalno i pravovremeno ažurira zbog prenijetih podataka antivirusne tvrtke. Naručitelj dobiva izvješće s rezultatima revizije.

Dakle, arhitektura oblaka antivirusne zaštite ima niz prednosti:

  • obujam izračuna na korisničkom računalu je zanemariv u usporedbi s debelim klijentom, stoga se produktivnost korisnika ne smanjuje;
  • nema katastrofalnog učinka antivirusnog prometa na propusnost mreže: šalje se kompaktan dio podataka koji sadrži samo nekoliko desetaka hash vrijednosti, prosječni dnevni promet ne prelazi 120 KB;
  • pohrana u oblaku sadrži goleme nizove potpisa, mnogo veće od onih pohranjenih na korisničkim računalima;
  • algoritmi za usporedbu potpisa koji se koriste u oblaku znatno su inteligentniji od pojednostavljenih modela koji se koriste na razini lokalne stanice, a zbog veće izvedbe, usporedba podataka traje manje vremena;
  • Antivirusne usluge temeljene na oblaku rade sa stvarnim podacima primljenim od antivirusni laboratoriji, programeri sigurnosnih alata, korporativni i privatni korisnici; prijetnje zero-day blokiraju se istodobno s njihovim prepoznavanjem, bez odgode uzrokovane potrebom za pristupom korisničkim računalima;
  • korisnici koji su u roamingu ili nemaju pristup svojim glavnim radnim mjestima dobivaju zaštitu od napada nultog dana u isto vrijeme kada pristupaju internetu;
  • opterećenje administratora sustava je smanjeno: ne moraju trošiti vrijeme na instaliranje antivirusnog softvera na računala korisnika, kao i na ažuriranje baza podataka potpisa.

Zašto tradicionalni antivirusni programi ne uspijevaju

Moderni zlonamjerni kod može:

  • Zaobiđite antivirusne zamke stvaranjem posebnog ciljanog virusa za tvrtku
  • Prije nego što antivirus stvori potpis, izbjeći će korištenjem polimorfizma, transkodiranja pomoću dinamičkog DNS-a i URL-a
  • Kreiranje cilja za tvrtku
  • Polimorfizam
  • Šifra nepoznata nikome - bez potpisa

Teško za obranu

Brzi antivirusni programi iz 2011

Ruski neovisni informacijsko-analitički centar Anti-Malware.ru objavio je u svibnju 2011. rezultate još jednog usporednog testa 20 najpopularnijih antivirusa za performanse i potrošnju resursa sustava.

Cilj ovaj test- pokazati koji osobni antivirusi najmanje utječu na tipične radnje korisnika na računalu, manje usporavaju njegov rad i troše minimalnu količinu resursa sustava.

Među antivirusnim monitorima (skenerima u stvarnom vremenu) cijela skupina proizvoda pokazala je vrlo visoke performanse, među kojima su: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro i Dr.Web. S ovim antivirusima, usporavanje kopiranja testne zbirke bilo je manje od 20% u usporedbi s referentnom vrijednošću. Antivirusni monitori BitDefender, PC Tools, Outpost, F-Secure, Norton i Emsisoft također su pokazali visoke rezultatešto se tiče brzine, u rasponu od 30-50%. Antivirusni monitori BitDefender, PC Tools, Outpost, F-Secure, Norton i Emsisoft također su pokazali visoke rezultate u pogledu performansi, u rasponu od 30-50%.

U isto vrijeme, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost i PC Tools u stvarni uvjeti mogu biti mnogo brži zbog njihove optimizacije naknadnih provjera.

Pokazao najbolju brzinu skeniranja na zahtjev Avira antivirusni program. Malo iza njega bili su Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus i Outpost. Što se tiče brzine prvog skeniranja, ovi su antivirusi tek neznatno inferiorni od vodećih, a istovremeno svi imaju u svom arsenalu moćne tehnologije za optimizaciju ponovljenih skeniranja.

Još jedan važna karakteristika brzina antivirusa je njegov učinak na rad aplikativni programi s kojima korisnik često komunicira. Za test je odabrano njih pet: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader i Adobe Photoshop. Najmanje usporavanje u lansiranju ovih uredski programi pokazala Eset antivirusi, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost i G Data.

Danas, više nego ikad, antivirusni softver nije samo najtraženiji u sigurnosnom sustavu bilo kojeg operacijskog sustava, već i jedna od njegovih glavnih komponenti. I ako je ranije korisnik imao vrlo ograničen, skroman izbor, sada ima puno takvih programa. Ali ako pogledate popis "Top 10 antivirusa", primijetit ćete da nisu svi jednaki u smislu funkcionalnost. Razmotrite najpopularnije pakete. Istodobno, analiza će uključivati ​​i plaćene i shareware (anti-virus 30 dana), te besplatno distribuirane aplikacije. Ali prije svega.

10 najboljih antivirusnih programa za Windows: kriteriji testiranja

Prije nego što počnete sastavljati neku vrstu ocjene, možda biste se trebali upoznati s glavnim kriterijima koji se u većini slučajeva koriste pri testiranju takvog softvera.

Naravno, jednostavno je nemoguće razmotriti sve poznate pakete. Međutim, među svima onima koji su dizajnirani za zaštitu računalnog sustava u najširem smislu mogu se izdvojiti oni najpopularniji. Istodobno, uzimamo u obzir službene ocjene nezavisni laboratoriji, te povratne informacije korisnika koji u praksi koriste ovaj ili onaj softverski proizvod. Osim, mobilni programi neće utjecati, usredotočit ćemo se na stacionarne sustave.

Što se tiče provođenja osnovnih testova, oni u pravilu uključuju nekoliko glavnih aspekata:

  • dostupnost plaćenih i besplatnih verzija i ograničenja vezana za funkcionalnost;
  • redovita brzina skeniranja;
  • brzina identificiranja potencijalnih prijetnji i mogućnost njihovog uklanjanja ili izolacije u karanteni pomoću ugrađenih algoritama;
  • učestalost ažuriranja antivirusnih baza podataka;
  • samoobrana i pouzdanost;
  • dostupnost dodatnih značajki.

Kao što možete vidjeti iz gornjeg popisa, provjera rada antivirusnog softvera omogućuje vam da odredite prednosti i slabe strane jedan ili drugi proizvod. Zatim ću razmotriti najpopularnije softverske pakete uključene u Top 10 antivirusa, a također ću dati njihove glavne karakteristike, naravno, uzimajući u obzir mišljenja ljudi koji ih koriste u svom svakodnevnom radu.

Kaspersky Lab softverski proizvodi

Za početak, razmotrimo softverske module koje je razvio Kaspersky Lab, a koji su iznimno popularni u postsovjetskom prostoru.

Ovdje je nemoguće izdvojiti bilo koji program, jer među njima možete pronaći i stalno zaposlene kaspersky skener Antivirus i moduli poput Internet Security i prijenosni uslužni programi poput Virus Removal Tool, pa čak i diskova za podizanje sustava za oštećene Rescue Disc sustave.

Odmah je vrijedno napomenuti dva glavna nedostatka: prvo, sudeći po recenzijama, gotovo svi programi, uz rijetke iznimke, su plaćeni ili shareware, a drugo, zahtjevi sustava su nerazumno visoki, što onemogućuje njihovu upotrebu u relativno slabim konfiguracijama . Naravno, to plaši mnoge obične korisnike, iako aktivacija Kaspersky ključevi Antivirus ili Internet Security lako se mogu pronaći na World Wide Webu.

S druge strane, situacija s aktivacijom se može ispraviti i na drugi način. Na primjer, Kaspersky ključevi se mogu generirati pomoću posebne aplikacije poput Key Managera. Istina, ovaj pristup je, blago rečeno, protuzakonit, međutim, kao izlaz, koriste ga mnogi korisnici.

Brzina rada na modernim strojevima je prosječna (iz nekog razloga se stvara sve više teških verzija za nove konfiguracije), ali stalno ažurirane baze podataka, jedinstvenost tehnologija za otkrivanje i uklanjanje poznatih virusa i potencijalno opasnih programa ovdje su na vrhu. Nije iznenađujuće da je Kapersky Lab danas vodeći među programerima sigurnosnog softvera.

I još dvije riječi o disku za oporavak. Jedinstven je na svoj način, jer učitava skener s grafičkim sučeljem čak i prije početka samog Windowsa, što vam omogućuje uklanjanje prijetnji čak i iz RAM-a.

Isto vrijedi i za prijenosne Uslužni programi za viruse Alat za uklanjanje, sposoban pronaći bilo koju prijetnju na zaraženom terminalu. Može se usporediti samo sa sličnim uslužnim programom Dr. Mreža.

Zaštita od Dr. mreža

Pred nama je još jedan od njihovih najjačih predstavnika na području sigurnosti – čuveni “Doktor Web” koji je od pamtivijeka stajao u začecima stvaranja svih antivirusnih softvera.

Među veliki iznos programe, također možete pronaći obične skenere i alate za zaštitu za surfanje Internetom, prijenosne uslužne programe i diskove za oporavak. Ne možete sve nabrojati.

Glavni čimbenik u korist softvera ovog programera može se nazvati velikom brzinom, trenutnim otkrivanjem prijetnji s mogućnošću bilo potpuno uklanjanje, odnosno izolacije, kao i umjereno opterećenje sustava u cjelini. Općenito, sa stajališta većine korisnika, ovo je neka vrsta lagane verzije Kasperskyja. ima tu još nešto zanimljivo. Konkretno, ovo je dr. web katana. Vjeruje se da se radi o softverskom proizvodu nove generacije. Fokusiran je na korištenje "pješčanih" tehnologija, tj. stavljanje prijetnje u "olak" ili "pješčanik" (kako god to želite nazvati) radi analize prije nego što prodre u sustav. Međutim, ako pogledate, ovdje nema posebnih inovacija, jer se ova tehnika koristila čak i u besplatnom antivirusni Panda. Osim toga, prema mnogim korisnicima, Dr. Web Katana je svojevrsni Sigurnosni prostor s istim tehnologijama. Međutim, općenito govoreći, svaki softver ovog programera prilično je stabilan i moćan. Nije iznenađujuće da mnogi korisnici preferiraju upravo takve pakete.

ESET softver

Govoreći o Top 10 antivirusa, ne može se ne spomenuti još jedan najsjajniji predstavnik ovog područja - ESET, koji je postao poznat po tako dobro poznatom proizvodu kao što je NOD32. Nešto kasnije rođen je modul ESET Smart Security.

Ako uzmemo u obzir ove programe, možemo primijetiti zanimljivu točku. Da biste aktivirali punu funkcionalnost bilo kojeg paketa, možete učiniti dvije stvari. S jedne strane, ovo je stjecanje službene dozvole. S druge strane, možete besplatno instalirati probni antivirusni program, ali ga aktivirajte svakih 30 dana. S aktivacijom također zanimljiva situacija.

Kao što su primijetili apsolutno svi korisnici, za ESET Smart Security (ili za redoviti antivirusni program) na službenoj web stranici bilo je moguće pronaći slobodno distribuirane ključeve u obliku prijave i lozinke. Donedavno su se mogli koristiti samo ti podaci. Sada je proces postao nešto složeniji: prvo vam je potrebna prijava i lozinka na posebnom web-mjestu, pretvorite ga u broj licence, a tek onda unesite u polje za registraciju već u samom programu. Međutim, ako ne obratite pozornost na takve sitnice, može se primijetiti da je ovaj antivirus jedan od najboljih. Prednosti koje su prijavili korisnici:

  • baze podataka virusnih potpisa ažuriraju se nekoliko puta dnevno,
  • definicija prijetnji na najvišoj razini,
  • nema sukoba s komponentama sustava (firewall),
  • paket ima najjaču samozaštitu,
  • nema lažnih alarma itd.

Zasebno, vrijedi napomenuti da je opterećenje na sustavu minimalno, a korištenje modula Anti-Theft čak vam omogućuje zaštitu podataka od krađe ili zlouporabe za osobnu korist.

AVG antivirusni program

AVG Antivirus je plaćeni softver dizajniran za pružanje sveobuhvatne sigurnosti za računalne sustave (postoji i besplatna skraćena verzija). I iako danas ovaj paket više nije među prvih pet, ipak pokazuje prilično veliku brzinu i stabilnost.

U principu je idealan za kućnu upotrebu, jer osim brzine rada ima zgodno rusificirano sučelje i manje-više stabilno ponašanje. Istina, kao što neki korisnici primjećuju, ponekad može preskočiti prijetnje. I to se ne odnosi na viruse kao takve, već na špijunski softver ili reklamno smeće pod nazivom Malware i Adware. Vlastiti modul programa, iako se naširoko reklamira, ipak, prema riječima korisnika, izgleda pomalo nedovršeno. Da, i dodatni vatrozid često može uzrokovati sukobe s "nativnim" Windows vatrozidom ako su oba modula u aktivnom stanju.

Avira paket

Avira je još jedan član obitelji antivirusnih programa. U osnovi se ne razlikuje od većine sličnih paketa. Međutim, ako pročitate recenzije korisnika o tome, možete pronaći prilično zanimljive postove.

Mnogi ni u kojem slučaju ne preporučuju korištenje besplatne verzije, jer neki moduli jednostavno nedostaju u njoj. Da biste osigurali pouzdanu zaštitu, morat ćete kupiti plaćeni proizvod. Ali takav je antivirus prikladan za 8. i 10. verziju, u kojima sam sustav koristi puno resursa, a paket ih koristi na najnižoj razini. U osnovi, Avira je bolja samo prikladno, recimo, za jeftina prijenosna računala i slaba računala. O mrežnoj instalaciji, međutim, ne može biti govora.

Usluga u oblaku Panda Cloud

Besplatno je u jednom trenutku postalo gotovo revolucija na području antivirusne tehnologije. Korištenje takozvanog "sandboxa" za slanje sumnjivog sadržaja na analizu prije nego što uđe u sustav učinilo je ovu aplikaciju posebno popularnom među korisnicima svih razina.

A upravo je uz "pješčanik" ovaj antivirus danas povezan. Da, doista, ova tehnologija, za razliku od drugih programa, omogućuje vam da zadržite prijetnju izvan sustava. Na primjer, bilo koji virus prvo sprema svoje tijelo na tvrdi disk ili u RAM, a tek onda počinje svoju aktivnost. Ovdje stvar ne dolazi do očuvanja. Isprva sumnjiva datoteka se šalje u cloud servis, gdje se provjerava, a tek tada se može spremiti u sustav. Istina, prema riječima očevidaca, nažalost, to može potrajati dosta vremena i nepotrebno opterećuje sustav. S druge strane, ovdje se vrijedi zapitati što je važnije: sigurnost ili povećano vrijeme skeniranja? Međutim, za moderne računalne konfiguracije s brzinom internetske veze od 100 Mbps ili više, može se koristiti bez problema. Inače, vlastita zaštita pruža se upravo kroz "oblak", što ponekad izaziva kritike.

Skener Avast Pro Antivirus

Sada nekoliko riječi o još jednom sjajnom predstavniku. On je prilično popularan među mnogim korisnicima, međutim, unatoč prisutnosti istog "pješčanika", anti-spywarea, mrežnog skenera, vatrozida i virtualni ured Nažalost, Avast Pro Antivirus očito gubi od divova poput softverskih proizvoda Kaspersky Laba ili aplikacija koje koriste Bitdefender tehnologije u pogledu glavnih pokazatelja performansi, funkcionalnosti i pouzdanosti, iako pokazuje veliku brzinu skeniranja i nisku potrošnju resursa.

Korisnike u ovom proizvodu najviše privlači činjenica da je besplatna verzija paketa što funkcionalnija i da se ne razlikuje puno od plaćenog softvera. Osim toga, ovaj antivirusni program radi na svim verzijama Windowsa, uključujući Windows 10, te se savršeno ponaša čak i na zastarjelim strojevima.

360 sigurnosni paketi

Pred nama je vjerojatno jedan od najbržih antivirusa našeg vremena - 360 Security, koji su razvili kineski stručnjaci. Općenito, svi proizvodi s oznakom "360" odlikuju se zavidnom brzinom rada (isti internetski preglednik 360 Safety Browser).

Unatoč glavnoj namjeni, program ima dodatne module za uklanjanje ranjivosti operacijskog sustava i njegovu optimizaciju. Ali ni brzina rada ni besplatna distribucija ne mogu se usporediti s lažnim uzbunama. Na popisu programa koji imaju najviše pokazatelje za ovaj kriterij, ovaj softver zauzima jedno od prvih mjesta. Prema mnogim stručnjacima, sukobi nastaju na razini sustava zbog dodatnih optimizatora, čija se radnja presijeca s izvršavanjem zadataka samog OS-a.

Softverski proizvodi temeljeni na Bitdefender tehnologijama

Još jedan "stari" među najpoznatijim braniteljima "OS-a" je Bitdefender. Nažalost, 2015. godine izgubio je palmu na proizvodima Kaspersky Laba, no, u antivirusnoj modi, da tako kažem, jedan je od trendsetera.

Ako malo bolje pogledate, možete vidjeti da su mnogi moderni programi (isti paket 360 Security) u različitim varijacijama napravljeni na temelju ovih tehnologija. Unatoč bogatima funkcionalna baza, ima i svojih nedostataka. Prvo, nećete pronaći ruski antivirusni (rusificirani) Bitdefender, jer on uopće ne postoji u prirodi. Drugo, unatoč korištenju najnovijih tehnoloških dostignuća u smislu zaštite sustava, nažalost, pokazuje preveliki broj lažnih pozitivnih rezultata (usput, prema riječima stručnjaka, to je tipično za cijelu grupu programa stvorenih na temelju Bitdefender). Prisutnost dodatnih komponenti optimizatora i vlastitih vatrozida općenito ne utječe na ponašanje takvih antivirusnih programa. Ali ne možete odbiti brzinu ove aplikacije. Osim toga, za provjeru se koristi P2P, ali je provjera e-pošte u stvarnom vremenu potpuno odsutna, što se mnogima ne sviđa.

Antivirus iz Microsofta

Još jedna aplikacija koja ima zavidan odaziv s razlogom ili bez njega je vlastita Microsoftov proizvod pod naslovom Sigurnosne osnove.

Ovaj paket je uključen u Top 10 antivirusnih programa, očito, samo zato što je razvijen isključivo za Windows sustave, što znači da ne uzrokuje apsolutno nikakve sukobe na razini sustava. Osim toga, tko bi, ako ne stručnjaci iz Microsofta, trebao znati sve vlastite sigurnosne rupe i ranjivosti operativnim sustavima. Inače, zanimljivo je da inicijal Windows grade 7 i Windows 8 imali su MSE kao standard, ali onda je iz nekog razloga ovaj komplet napušten. Međutim, za Windows može postati najjednostavnije rješenje u smislu zaštite, iako ne možete računati na posebnu funkcionalnost.

McAfee aplikacija

Što se tiče ove aplikacije, izgleda prilično zanimljivo. Istina, najveću popularnost stekao je u području primjene na mobilnim uređajima sa svim vrstama blokiranja, no ovaj se antivirus ne ponaša ništa lošije na stacionarnim računalima.

Program ima podršku niske razine za P2P mreže prilikom dijeljenja datoteka Instant Messengera, a također nudi sigurnost na 2 razine, u kojoj glavnu ulogu rezervirano za module WormStopper i ScriptStopper. No općenito, prema potrošačima, funkcionalni skup je prosječan, a sam program više je usmjeren na otkrivanje špijunskog softvera, računalnih crva i trojanaca te sprječavanje prodora izvršnih skripti ili zlonamjernih kodova u sustav.

Kombinirani antivirusi i optimizatori

Naravno, ovdje su razmatrani samo oni koji su uključeni u Top 10 antivirusa. Ako govorimo o ostatku softvera ove vrste, možemo primijetiti neke pakete koji u svojim setovima sadrže antivirusne module.

Što preferirati?

Naravno, svi antivirusni programi imaju određene sličnosti i razlike. Što instalirati? Ovdje morate polaziti od potreba i razine pružene zaštite. Korporativni klijenti u pravilu bi trebali kupiti nešto moćnije s mogućnošću mrežne instalacije (Kaspersky, Dr. Web, ESET). Što se tiče kućne upotrebe, ovdje korisnik sam bira što mu treba (ako želite, čak možete pronaći antivirusni program na godinu dana - bez registracije ili kupnje). Ali, ako pogledate recenzije korisnika, bolje je instalirati Panda oblak, čak i unatoč dodatnom opterećenju sustava i vremenu provjere u "pješčaniku". Ali upravo ovdje postoji puno jamstvo da prijetnja ni na koji način neće prodrijeti u sustav. Međutim, svatko je slobodan izabrati što mu treba. Ako aktivacija ne otežava, molimo: radite sjajno u kućnim sustavima ESET proizvodi. Ali korištenje optimizatora s antivirusnim modulima kao glavnog sredstva zaštite vrlo je nepoželjno. Pa, također je nemoguće reći koji program zauzima prvo mjesto: koliko korisnika, toliko mišljenja.

Vrhunski povezani članci

Kako vratiti izgubljeni ili ukradeni pametni telefon Kako pronaći ukradeni izgubljeni telefon
Kako vratiti izgubljeni ili ukradeni pametni telefon Kako pronaći ukradeni izgubljeni telefon
Koliko košta paket s Aliexpressom?
Koliko košta paket s Aliexpressom?
Tko je prvi izumio žarulju sa žarnom niti
Tko je prvi izumio žarulju sa žarnom niti
Kategorije:
© 2022 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.