Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Windows 7, XP
  • Tipuri de programe antivirus și caracteristicile acestora. Există diferite tipuri de programe antivirus:

Tipuri de programe antivirus și caracteristicile acestora. Există diferite tipuri de programe antivirus:

05.04.2019 Windows 7, XP

Utilizator de modern calculator personal Are Acces liber la toate resursele mașinii. Acesta este ceea ce a deschis posibilitatea existenței unui pericol numit virus informatic.

Un virus de computer este un program special scris, care este capabil să se atașeze spontan la alte programe, să creeze copii ale lui însuși și să le introducă în fișiere, zone de sistem ale computerului și rețele de calculatoare pentru a perturba funcționarea programelor, deteriora fișierele și directoarele, și creați tot felul de interferențe cu munca pe computer. În funcție de habitatul lor, virușii pot fi împărțiți în viruși de rețea, viruși de fișiere, viruși de boot, viruși de pornire a fișierelor, viruși macro și troieni.

  • Viruși de rețea distribuite pe diverse rețele de calculatoare.
  • Fișieră viruși sunt implementate în principal în module executabile. Virușii de fișiere pot fi încorporați în alte tipuri de fișiere, dar, de regulă, scrise în astfel de fișiere, nu câștigă niciodată controlul și, prin urmare, își pierd capacitatea de a se reproduce.
  • Porniți viruși sunt încorporate în sectorul de boot al discului (Sectorul de pornire) sau în sectorul care conține programul de pornire a discului de sistem (Master Boot Record).
  • File boot virus infecta atât fișierele, cât și sectoarele de boot ale discurilor.
  • Viruși macro sunt scrise în limbi de nivel înalt și atacă fișierele de documente ale aplicațiilor care au limbaje de automatizare încorporate (macrolimbi), cum ar fi aplicațiile din familia Microsoft Office.
  • troieni, prefăcându-se ca programe utile, sunt o sursă de infecție cu virusuri informatice.

Au fost dezvoltate mai multe tipuri pentru a detecta, elimina și proteja împotriva virușilor informatici. programe speciale, care vă permit să detectați și să distrugeți virușii. Astfel de programe se numesc programe antivirus. Se disting următoarele tipuri: programe antivirus :

  • - programe detectoare;
  • - programe medicale, sau fagi;
  • - programe de audit;
  • - programe de filtrare;
  • - programe de vaccinare sau imunizatoare.

Programe de detectoare Ei caută o semnătură caracteristică unui anumit virus în RAM și fișiere și, dacă este găsită, emit un mesaj corespunzător. Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

Programe medicale, sau fagi, de asemenea programe de vaccinare nu numai că găsiți fișierele infectate cu viruși, ci și „tratați”-le, adică eliminați corpul programului de viruși din fișier, returnând fișierele la starea initiala. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Printre fagi sunt polifage, adică programe medicale concepute pentru a căuta și a distruge un număr mare de viruși. Cele mai cunoscute dintre ele: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Datorită faptului că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor.

Programe de auditor sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus, apoi compară periodic sau la cererea utilizatorului starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, compararea stărilor se efectuează imediat după încărcarea sistemului de operare. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri. Programele de auditor au algoritmi destul de dezvoltați, detectează virușii ascunși și chiar pot distinge modificările versiunii programului verificat de modificările făcute de virus. Programele de auditor includ programul larg utilizat Kaspersky Monitor.

Programe de filtrare sau „watchmen” sunt mici programe rezidente menite să detecteze acțiuni suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:

  • - încearcă să corecteze fișierele cu extensii COM. EXE;
  • - modificarea atributelor fișierului;
  • - înregistrare directă pe disc la o adresă absolută;
  • - scrierea în sectoarele de boot ale discului;

Când orice program încearcă să efectueze acțiunile specificate, „garda” trimite un mesaj utilizatorului și se oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile. deoarece sunt capabili să detecteze virusul în cel mai timpuriu stadiu al existenței sale, înainte de reproducere. Cu toate acestea, nu „curăță” fișierele și discurile.

Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii. Dezavantajele programelor de supraveghere includ „intruzivitatea” lor (de exemplu, emit în mod constant un avertisment cu privire la orice încercare de a copia un fișier executabil), precum și posibilele conflicte cu alt software.

Vaccinuri sau imunizatoare Acestea sunt programe pentru rezidenți. prevenirea infectării fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. În prezent, programele de vaccinare au o utilizare limitată.

Detectarea în timp util a fișierelor și discurilor infectate cu viruși și distrugerea completă a virușilor detectați pe fiecare computer ajută la evitarea răspândirii unei epidemii de viruși la alte computere.

Cele mai populare și eficiente programe antivirus sunt scanerele antivirus (alte denumiri: fagi, polifagi). Urmează-le în ceea ce privește eficiența și popularitatea sunt scanerele CRC (de asemenea: auditor, checksumer, integrity checker). Adesea, ambele metode sunt combinate într-un singur program antivirus universal, ceea ce îi crește semnificativ puterea. Aplicabil de asemenea tipuri variate monitoare (blocante) și imunizatoare.

Scanere

Principiul de funcționare al scanerelor antivirus se bazează pe verificarea fișierelor, sectoarelor și memoriei de sistem și căutarea acestora pentru viruși cunoscuți și noi (necunoscuți de scaner). Pentru a căuta viruși cunoscuți, sunt folosite așa-numitele măști. Masca unui virus este o secvență constantă de cod specifică acestui virus anume. Dacă virusul nu conține o mască permanentă sau lungimea acestei măști nu este suficient de lungă, atunci se folosesc alte metode.

Un exemplu de astfel de metodă este un limbaj algoritmic care descrie totul opțiuni posibile cod care poate apărea atunci când este infectat cu un virus de acest tip. Această abordare este folosită de unii antivirusuri pentru a detecta viruși polimorfi.

Multe scanere folosesc, de asemenea, algoritmi de scanare euristică, adică analizând secvența comenzilor din obiectul scanat, colectând unele statistici și luând o decizie („posibil infectat” sau „neinfectat”) pentru fiecare obiect scanat. Deoarece scanarea euristică este o metodă probabilistică de căutare a virușilor, i se aplică multe legi ale teoriei probabilităților. De exemplu, cu cât procentul de viruși detectați este mai mare, cu atât este mai mare numărul de fals pozitive.

Avantajele scanerelor includ versatilitatea lor, dezavantajele sunt dimensiunea bazelor de date antivirus pe care scanerele trebuie să le „purtau” și viteza relativ scăzută de căutare a virușilor.

Scanere CRC

Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC (sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări etc. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile reale calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus.

Scanerele CRC care folosesc algoritmi „anti-stealth” sunt o armă destul de puternică împotriva virușilor: aproape 100% dintre viruși sunt detectați aproape imediat după ce apar pe computer. Cu toate acestea, acest tip de antivirus are un defect inerent care le reduce semnificativ eficacitatea. Acest dezavantaj este că scanerele CRC nu sunt capabile să prindă un virus în momentul în care acesta apare în sistem, dar face acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer.

Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișiere restaurate dintr-o copie de rezervă sau la despachetarea fișierelor dintr-o arhivă), deoarece bazele lor de date nu conțin informații despre aceste fișiere. Mai mult, apar periodic viruși care exploatează această „slăbiciune” a scanerelor CRC, infectând doar fișierele nou create și rămânând astfel invizibile pentru scanerele CRC.

Monitoare

Monitoare antivirus- Acestea sunt programe rezidente care interceptează situațiile periculoase de viruși și anunță utilizatorul despre aceasta. Apelurile periculoase pentru viruși includ apeluri de deschidere pentru scriere în fișiere executabile, scriere în sectoare de pornire ale discurilor sau MBR-ul unui hard disk, încercări ale programelor de a rămâne rezidente etc., adică apeluri tipice pentru viruși la momentul respectiv. a reproducerii lor.

Avantajele monitoarelor includ capacitatea lor de a detecta și bloca un virus în stadiul incipient al reproducerii sale, care, apropo, poate fi foarte util în cazurile în care un virus cunoscut de mult timp „se strecoară din senin”. Dezavantajele includ existența unor modalități de ocolire a protecției monitorului și a unui număr mare de fals pozitive, ceea ce, aparent, a fost motivul abandonului aproape complet al acestui tip de programe antivirus de către utilizatori.

De asemenea, este necesar să se remarce o astfel de direcție a instrumentelor antivirus precum monitoarele antivirus, realizate sub formă de componente hardware de computer („hardware”). Cea mai comună este protecția la scriere încorporată în BIOS în MBR-ul hard diskului. Cu toate acestea, ca și în cazul monitoarelor de program, o astfel de protecție poate fi ocolită cu ușurință prin scrierea directă pe porturile controlerului de disc, iar lansarea utilitarului DOS FDISK provoacă imediat o operare falsă a protecției.

Există mai multe monitoare hardware mai versatile, dar pe lângă dezavantajele enumerate mai sus, există și probleme de compatibilitate cu configurații standard computere și dificultățile de instalare și configurare a acestora. Toate acestea fac ca monitoarele hardware să fie extrem de nepopulare în comparație cu alte tipuri de protecție antivirus.

Imunizatoare

Imunizatorii sunt împărțiți în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția cu orice tip de virus. Primele sunt de obicei scrise la sfârșitul fișierelor (pe baza principiului unui virus de fișiere) și de fiecare dată când fișierul este lansat, îl verifică pentru modificări. Astfel de imunizatoare au un singur dezavantaj, dar este legal: incapacitatea absolută de a raporta infecția cu un virus „stealth”. Prin urmare, astfel de imunizatoare, precum monitoarele, practic nu sunt utilizate în prezent.

Al doilea tip de imunizare protejează sistemul de infecția cu un anumit tip de virus. Fișierele de pe discuri sunt modificate în așa fel încât virusul să le perceapă ca deja infectate (un exemplu este faimoasa linie MSDos care protejează împotriva virusului fosil de la Jerusalem). Pentru a proteja împotriva unui virus rezident, un program care simulează o copie a virusului este inserat în memoria computerului; atunci când este lansat, virusul îl întâlnește și crede că sistemul este deja infectat.

Acest tip de imunizare nu poate fi universal, deoarece este imposibil să se imunizeze fișierele împotriva tuturor virușilor cunoscuți: unii viruși consideră fișierele deja infectate dacă timpul de creare a fișierului conține un semn de 62 de secunde, în timp ce alții - 60 de secunde. Cu toate acestea, în ciuda acestui fapt, astfel de imunizatoare, ca jumătate de măsură, pot proteja destul de fiabil un computer de un nou virus necunoscut până în momentul în care este detectat de scanerele antivirus.

Produsele de securitate Windows PC de astăzi sunt aplicații complexe. Numărul de caracteristici specializate oferite poate fi confuz pentru utilizatorul final. Fiecare furnizor de software tinde să-și folosească propriul nume pentru aceeași caracteristică, care poate apărea în alte produse sub un nume diferit. Confuzia crește atunci când devine clar că doi diverse opțiuni Destul de des au același nume în produsele de la diferiți furnizori.

Această serie de articole are scopul de a explica elementele de bază și funcționalitatea reală a celor mai comune opțiuni. pachete moderne securitate pentru sistemul de operare Windows. Vom descrie la ce vă puteți aștepta de la solutie specifica, fie că este vorba de instrumente de protecție împotriva programelor malware, de navigare pe web în siguranță sau de prevenire a intruziunilor nedorite. Folosind informațiile colectate în articole, puteți compara seturile de caracteristici propuse de produse de la diferiți furnizori și puteți înțelege mai bine cum funcționează pachetele de securitate.

În prima parte a acestei serii de articole, vom discuta despre cele mai de bază componente: motorul antivirus și firewall-ul.
-
-
-
-


-
-
-
-
-

Motor antivirus

Numit si: protecție antivirus în timp real, protecție în timp real, monitorizare fișiere, protecție împotriva malware

Motorul antivirus este o componentă de bază inclusă în majoritatea pachetelor de securitate de pe piață. Rolul principal al motorului este de a scana stocarea datelor; acesta pătrunde în computer pentru a detecta și elimina malware. Codul rău intenționat poate fi stocat în fișiere pe hard disk-uri, unități USB portabile, în memoria RAM al computerului, drivere de rețea, sectorul de pornire a discului sau ca parte a traficului de rețea.

Metode de determinare

Motorul antivirus folosește un număr mare de metode pentru a detecta malware. Programele antivirus conțin o bază de date extinsă cu mostre de viruși care trebuie detectate în timpul scanării. Fiecare probă poate fie identifica un cod rău intenționat, fie, mai frecvent, poate descrie o întreagă familie de viruși. Principala caracteristică a identificării virușilor prin comparație cu mostre este că un program antivirus poate identifica doar un virus binecunoscut, în timp ce noile amenințări nu pot fi detectate.

Metoda analizei euristice(detecție bazată pe euristică) servește la detectarea chiar și a acelor viruși pentru care nu există mostre în baza de date a programului antivirus. Există multe diverse metode analiza euristica. Principiul principal este de a identifica codul programului, ceea ce este extrem de nedorit pentru fără programe periculoase Produse noi. Cu toate acestea, această metodă este inexactă și poate provoca multe alarme false. O analiză euristică bună este bine echilibrată și produce un număr minim de alarme false, menținând în același timp o rată ridicată de detectare a programelor malware. Sensibilitatea euristicii poate fi configurată.

Virtualizare(Creare mediu virtual, Virtualizare) sau sandboxing sunt metode mai avansate de identificare a amenințărilor. Anumit moment mostrele de cod sunt executate într-o mașină virtuală sau alta Mediu sigur, de unde mostrele scanate nu pot scăpa și dăunează sistemului de operare. Se monitorizează și se analizează comportamentul probei de testat în cutia de nisip. Această metodă este utilă atunci când malware-ul este împachetat cu un algoritm necunoscut (acesta este o modalitate obișnuită de a fi rezistent la detectarea virușilor) și nu poate fi despachetat de sistemul antivirus. În mediul virtual, virusul se despachetează ca și cum ar rula sistem real iar motorul antivirus poate scana codul și datele despachetate.

Una dintre cele mai recente realizări în instrumentele antivirus este scanare în nor(scanare în nor). Această metodă se bazează pe faptul că PC-urile sunt limitate în capabilitățile lor de calcul, în timp ce furnizorii de antivirus au capacitatea de a crea sisteme mari cu performanțe enorme. Puterea computerului este necesară pentru a efectua analize euristice complexe, precum și analize folosind mașini virtuale. Serverele furnizorilor pot lucra cu baze de date mult mai mari de mostre de viruși în comparație cu computerele în timp real. Când efectuați scanarea în cloud, singura cerință este o conexiune la Internet rapidă și stabilă. Când o mașină client trebuie să scaneze un fișier, fișierul este trimis la serverul furnizorului printr-o conexiune la rețea și se așteaptă un răspuns. Între timp, mașina client își poate efectua propria scanare.

Tipuri și setări de scanare

Din perspectiva unui utilizator, există mai multe tipuri de scanare antivirus, care depind de evenimentele care au declanșat procesul de scanare:

- Scanare la acces(Scanare la acces) – scanare care are loc atunci când o resursă devine disponibilă. De exemplu, atunci când un fișier este copiat în HDD sau când fișierul executabil este lansat (pornirea procesului de scanare în acest caz se numește uneori scanare de pornire). În acest caz, este scanată doar resursa accesată.

- Scanează la cerere(Scanare la cerere) provocat Utilizator final– de exemplu, când utilizatorul invocă scanarea cu comanda de meniu corespunzătoare în Windows Explorer. Acest tip de scanare se mai numește și scanare manuală. Numai folderele și fișierele selectate sunt scanate folosind această metodă.

- Scanare programată Scanarea programată este o acțiune de obicei repetabilă care verifică în mod continuu sistemul pentru malware. Utilizatorul poate configura timpul și frecvența de scanare. Această scanare este de obicei utilizată pentru o scanare completă a sistemului.

- Scanează la pornire(Scanare la pornire) – scanare inițiată de programul antivirus la pornirea sistemului de operare. Această scanare are loc rapid și afectează folderul de pornire, procesele de pornire, memoria sistemului, serviciile de sistem și sectorul de pornire.

Majoritatea produselor permit utilizatorilor să configureze fiecare tip de scanare separat. Mai jos sunt câțiva dintre cei mai de bază parametri de scanare antivirus:

Extensii de fișiere pentru scanare – scanați toate fișierele sau numai pe cele executabile (.exe, .dll, .vbs, .cmd și altele.);
- Dimensiunea maximă a fișierului – fișierele mai mari decât acest parametru nu sunt scanate;
- Scanarea fișierelor din arhive – dacă să scanați fișiere din arhive precum .zip, .rar, .7z și altele;
- Utilizarea analizei euristice – setarea utilizării euristicii și, opțional, setarea sensibilității;
- Tipuri de programe de raportat prin alarmă – Există multe programe care pot fi identificate în mod incorect ca fiind rău intenționate. De obicei, furnizorii folosesc termeni precum software sau program potențial nedorit, cu un anumit risc de amenințare;
- Tipuri de medii de scanat - dacă să scaneze fișiere de pe stocarea în rețea sau dispozitive portabile de stocare;
- Acțiune de luat atunci când este detectată o amenințare - încercați să vindecați proba dacă este posibil, îndepărtați proba, plasați în carantină ( folder special, din care codul rău intenționat nu poate fi executat, dar poate fi trimis direct vânzătorului pentru cercetări ulterioare), blochează accesul sau întreabă utilizatorul despre acțiune.

Mulți dintre acești parametri pot afecta viteza de scanare. Un set de reguli de scanare automată pentru o scanare rapidă, dar în același timp eficientă se numește Smart Scan sau Scanare rapidă(Scanare rapidă). În caz contrar, scanarea se numește Scanare completă sau Scanare profundă. De asemenea, putem întâlni scanarea dispozitivelor portabile, care este folosită pentru a verifica discuri optice, dischete, unități USB, carduri flash și dispozitive similare. Scanarea personalizată este, de asemenea, disponibilă și este complet personalizabilă de către utilizatorul final.

Scanere specializate

Scanare rootkit(sau scanarea anti-rootkit) este o opțiune pe care unii furnizori de antivirus o oferă în produsele lor deoarece... Rootkit-urile au devenit extrem de comune în ultimul deceniu. Un rootkit este un tip special de malware care folosește trucuri inteligente pentru a rămâne invizibil pentru utilizator și metode de bază de detectare a virușilor. Utilizează mecanisme interne ale sistemului de operare pentru a se face inaccesibil. Lupta împotriva rootkit-urilor necesită dezvoltatorilor de software antivirus să creeze metode speciale de detectare. Scanarea rootkit încearcă să găsească discrepanțe în funcționarea sistemului de operare care pot servi ca dovadă a prezenței unui rootkit în sistem. Unele implementări ale verificărilor rootkit se bazează pe monitorizarea continuă a sistemului, în timp ce alte implementări ale instrumentelor anti-rootkit pot fi invocate la cerere.

Scanați fișierele Microsoft Office(sau scanarea pentru viruși macro) este o opțiune care protejează utilizatorul de codurile rău intenționate din documentele de birou. Principiile interne ale scanării sunt similare cu metodele generale de scanare; pur și simplu se specializează în căutarea de viruși în macrocomenzi. Opțiunea de scanare poate fi furnizată ca plugin pentru Microsoft Office.

Opțiuni suplimentare legate

Motorul antivirus este de obicei strâns cuplat cu restul suitei de securitate. Unele produse reprezintă funcții suplimentare, ca parte a motorului antivirus, alții le afișează separat. Controlul web este o opțiune care este un reprezentant tipic al celui de-al doilea grup. Vom discuta separat despre această opțiune.

Firewall

Numit si: firewall personal, firewall, firewall avansat, firewall bidirecțional.

Rolul principal al firewall-ului este de a controla accesul la PC din rețeaua externă, adică. traficul de intrare și, invers, controlați accesul de la PC la rețea, adică trafic de ieșire.

Filtrarea traficului de rețea poate avea loc la mai multe niveluri. Majoritatea firewall-urilor incluse în suitele de securitate pentru PC au un set de reguli pentru cel puțin două straturi - un strat inferior de Internet controlat de regulile IP și un strat de aplicație superior. Vorbind despre nivelul superior, un firewall conține un set de reguli care să permită sau să interzică accesul la o anumită aplicație din rețea. Termeni precum Regulile de rețea, Regulile experților sau Setarea regulilor IP sunt utilizați în nivel inferior reguli La nivelul superior întâlnim termenii Controlul programului(Controlul programului) sau reguli de aplicare(Reguli de aplicare).

Rețele

O multime de produse moderne permite utilizatorului să configureze nivelul de încredere în toate rețelele conectate la computer. Chiar dacă există o singură conexiune fizică, computerul poate fi conectat la mai multe rețele - de exemplu, atunci când computerul este conectat la retea locala, având gateway-uri de acces la Internet. Complexul antivirus va gestiona separat traficul local și pe internet. Fiecare dintre rețelele găsite poate fi de încredere sau nede încredere și diverse servicii de sistem, cum ar fi acces general fișierele sau imprimantele pot fi permise sau refuzate. În mod implicit, numai computerele din rețele de încredere pot avea acces la computerul protejat. Conexiunile înregistrate din rețele de încredere sunt de obicei blocate, cu excepția cazului în care opțiunea corespunzătoare permite accesul. Acesta este motivul pentru care o conexiune la Internet este de obicei marcată ca nefiind de încredere. Cu toate acestea, unele produse nu fac distincție între rețelele din aceeași interfață cu utilizatorul, iar setările de rețea de încredere/neîncredere pot fi specificate separat pentru fiecare interfață. Termenul de zonă de rețea sau pur și simplu de zonă este folosit de obicei în locul unei rețele logice.

Pentru rețelele care nu sunt de încredere, este posibil să configurați modul stealth. Acest mod vă permite să schimbați comportamentul sistemului ca și cum adresa sa nu ar fi accesibilă rețelei. Această măsură poate deruta hackerii care găsesc mai întâi ținte de atacat. Comportamentul implicit al sistemului este de a răspunde la toate mesajele, chiar și la cele trimise din porturile închise. Modul Stealth (cunoscut și ca porturi stealth) împiedică detectarea computerului în timpul scanării portului.

Detectarea/Prevenirea intruziunilor

Numit si: Detectare atacuri, sistem de detectare a intruziunilor, blocare IP, porturi rău intenționate.

Deși termenii de mai sus nu sunt echivalenti, ei se referă la un set de proprietăți care pot preveni sau detecta tipuri specifice de atacuri de la computere la distanță. Acestea includ opțiuni precum detectarea portului de scanare, detectarea IP-ului falsificat, blocarea accesului la porturile malware cunoscute utilizate de programele de administrare la distanță, cai troieni, clienți ai rețelei bot. Unii termeni includ mecanisme de protecție împotriva atacurilor ARP (address protocol spoofing attacks) - această opțiune poate fi numită protecție APR, protecție împotriva cache ARP etc. Principala capacitate a acestui tip de protecție este blocarea automată a mașinii de atac. Această opțiune poate fi legată direct de următoarea funcție.

Lista neagră de IP

Utilizarea acestei opțiuni simple este de a conține o bază de date în produsul antivirus adrese de rețea, cu care computerul protejat nu trebuie să comunice. Această bază de date poate fi completată fie de către utilizator însuși atunci când sunt detectați viruși (vezi Detectarea și prevenirea intruziunilor), fie actualizată automat din lista extinsă de sisteme și rețele periculoase a furnizorului de antivirus.

Blocați tot traficul

În cazul unei infecții bruște a sistemului, unele soluții antivirus sugerează „apăsarea butonului de frână de urgență”, adică. blocați tot traficul de intrare și de ieșire. Această opțiune poate apărea ca un buton roșu mare, fie ca parte a setărilor politicii de securitate ale paravanului de protecție, fie ca pictogramă în meniul de sistem. Se presupune că această funcție este utilizată atunci când utilizatorul află că computerul este infectat și dorește să prevină utilizarea nedorită a computerului de către programe malware: furtul datelor personale și descărcarea de viruși suplimentari pe Internet. Blocarea traficului de rețea poate fi combinată cu terminarea tuturor proceselor de sistem necunoscute. Această opțiune trebuie utilizată cu prudență.

Controlul programului

Numit si: control aplicatie, inspector aplicatie

Filtrarea traficului de rețea la nivel de software permite programelor de securitate să controleze separat accesul la rețea pentru fiecare aplicație de pe PC. Produsul antivirus conține o bază de date cu proprietățile aplicației, care determină dacă rețeaua este accesibilă programului sau nu. Aceste proprietăți variază între programe client, care inițializează conexiunea cu mașină locală către servere la distanță (direcție de ieșire) și programe de server care scanează portul de rețea și acceptă conexiuni de la computere la distanță (direcția de intrare). Soluțiile antivirus moderne permit utilizatorului să determine reguli detaliate pentru fiecare aplicație specifică.

În general, comportamentul de control al aplicației depinde de politica de firewall selectată în firewall și poate include următoarele moduri de comportament:

- Mod silențios(mod automat) funcționează fără intervenția utilizatorului. Toate deciziile sunt luate automat folosind baza de date a produselor antivirus. Dacă nu există o regulă explicită pentru un program care dorește să obțină acces la rețea, acest acces poate fi fie întotdeauna permis (modul Permiteți toate), fie întotdeauna blocat (modul Blocați toate), fie se utilizează o analiză euristică specială pentru a determina acțiune ulterioară. Algoritmul pentru dezvoltarea unei soluții poate fi foarte complex și poate depinde de condiții suplimentare, cum ar fi recomandările din partea comunității online. Cu toate acestea, unele produse folosesc termenul de mod complet de permis/blocare pentru a ocoli seturile de reguli existente în baza de date și pur și simplu să permită sau să blocheze accesul la orice aplicație din sistem.

- Modul personalizat(Modul avansat, modul personalizat) este destinat utilizatorilor avansați care doresc să controleze fiecare acțiune. În acest mod, produsul gestionează automat doar acele situații pentru care există reguli de excepție în baza de date. În cazul oricăror alte acțiuni, utilizatorului i se solicită să ia o decizie. Unele soluții antivirus oferă definirea unei politici de comportament atunci când este imposibil să întrebați utilizatorul - de exemplu, la pornirea unui computer, închiderea când interfața grafică a programului nu este disponibilă sau în condiții speciale - rularea unui joc pe ecran complet atunci când utilizatorul nu vrea să fie distras (uneori numit Mod de joc– modul joc). De obicei, există doar două opțiuni disponibile în aceste cazuri: modul de activare completă și modul blocare completă.

- Mod normal(mod sigur - modul normal, modul sigur) permite produsului antivirus să facă față singur la majoritatea situațiilor. Chiar și atunci când nu există reguli explicite în baza de date, programul este permis să funcționeze dacă programul este considerat sigur. Similar modului automat, decizia poate fi luată pe baza analizei euristice. În cazul în care programul de securitate nu poate determina dacă o aplicație este sigură sau nu, afișează o alertă ca în modul utilizator.

- Modul de antrenament(modul de antrenament, modul de instalare - modul de învățare, modul de antrenament, modul de instalare) este utilizat în principal imediat după instalarea unui produs antivirus sau în cazurile în care utilizatorul instalează software nou pe computer. În acest mod produs antivirus permite toate acțiunile pentru care nu există intrări în baza de date a setului de reguli și adaugă reguli noi care vor permite acțiunile corespunzătoare în viitor după modificarea modului de securitate. Utilizarea modului de învățare vă permite să reduceți numărul de alarme după instalarea unui nou software.

Controlul aplicației conține de obicei setări care pot ajuta produsul să rezolve situații controversate, indiferent de modul de operare activat. Această caracteristică este cunoscută sub numele de Creare automată a regulilor. O opțiune tipică în acest caz permite orice acțiuni ale aplicațiilor semnate digital de la furnizori de încredere, chiar dacă nu există nicio intrare corespunzătoare în baza de date. Această opțiune poate fi extinsă cu o altă funcție care permite aplicațiilor fără semnătură digitală, dar familiare produsului antivirus, să efectueze orice acțiuni. Controlul aplicației este de obicei strâns legat de alte funcții pe care le vom acoperi mai târziu, în special opțiunea de control comportamental.

Protecția antivirus este cea mai comună măsură pentru a asigura securitatea informațiilor infrastructurii IT din sectorul corporativ. Cu toate acestea, doar 74% dintre companiile rusești folosesc soluții antivirus pentru protecție, potrivit unui studiu realizat de Kaspersky Lab împreună cu compania de analiză B2B International (toamna 2013).

Raportul mai precizează că pe fondul creșterii explozive a amenințărilor cibernetice, de care companiile sunt protejate de simple antivirusuri, afacerile rusești încep să folosească din ce în ce mai mult instrumente complexe de protecție. În mare parte din acest motiv, utilizarea instrumentelor de criptare a datelor a crescut cu 7%. suporturi amovibile(24%). În plus, companiile au devenit mai dispuse să diferențieze politicile de securitate pentru dispozitivele amovibile. A crescut și diferențierea nivelului de acces la diferite secțiuni ale infrastructurii IT (49%). În același timp, întreprinderile mici și mijlocii acordă mai multă atenție controlului dispozitivelor amovibile (35%) și controlului aplicațiilor (31%).

De asemenea, cercetătorii au descoperit că, în ciuda descoperirii constante de noi vulnerabilități software, companiile rusești încă nu acordă suficientă atenție actualizărilor regulate de software. În plus, numărul organizațiilor implicate în corecție a scăzut față de anul trecut la doar 59%.

Programele antivirus moderne pot detecta în mod eficient obiectele rău intenționate din fișierele și documentele programului. În unele cazuri, un antivirus poate elimina corpul unui obiect rău intenționat dintr-un fișier infectat, restabilind fișierul în sine. În cele mai multe cazuri, un antivirus este capabil să elimine un obiect software rău intenționat nu numai dintr-un fișier de program, ci și dintr-un fișier de document de birou, fără a-i încălca integritatea. Utilizarea programelor antivirus nu necesită calificări înalte și este disponibilă pentru aproape orice utilizator de computer.

Majoritatea programelor antivirus combină protecția în timp real (monitor antivirus) și protecția la cerere (scanner antivirus).

Evaluare antivirus

2019: Două treimi din antivirusurile pentru Android s-au dovedit a fi inutile

În martie 2019, laboratorul austriac AV-Comparatives, specializat în testarea software-ului antivirus, a publicat rezultatele unui studiu care a arătat inutilitatea majorității astfel de programe pentru Android.

Doar 23 de antivirusuri aflate în catalogul oficial Google Play Store identifică cu exactitate malware-ul în 100% din cazuri. Restul software-ului fie nu răspunde la amenințările mobile, fie greșește aplicații absolut sigure pentru ele.

AV-Comparatives a studiat 250 de aplicații de securitate populare din catalogul oficial Google Play și a ajuns la concluzia: aproape două treimi dintre antivirusurile pentru Android nu îndeplinesc funcțiile menționate în reclamă.

Experții au studiat 250 de antivirusuri și au raportat că doar 80% dintre aceștia pot detecta mai mult de 30% din malware. Astfel, 170 de aplicații au picat testul. Produsele care au trecut testul au inclus în mare parte soluții de la producători importanți, inclusiv Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro și Trustwave.

Ca parte a experimentului, cercetătorii au stabilit fiecare aplicație antivirus pe dispozitiv separat(fără un emulator) și a automatizat dispozitivele pentru a lansa browserul, a descărca și apoi a instala malware. Fiecare dispozitiv a fost testat împotriva a 2 mii dintre cei mai obișnuiți viruși Android în 2018.

Conform calculelor AV-Comparatives, majoritatea soluțiilor antivirus Android sunt false. Zeci de aplicații au o interfață aproape identică, iar creatorii lor sunt în mod clar mai interesați să afișeze reclame decât să scrie un scaner antivirus funcțional.

Unii antivirusuri „văd” o amenințare în orice aplicație care nu este inclusă în „ Lista albă" Din această cauză, ei, într-o serie de cazuri foarte anecdotice, au tras un semnal de alarmă cu privire la propriile fișiere, deoarece dezvoltatorii au uitat să le menționeze în „lista albă”.

2017: Microsoft Security Essentials este recunoscut drept unul dintre cele mai proaste antivirusuri

În octombrie 2017, laboratorul german de antivirus AV-Test a publicat rezultatele testare cuprinzătoare antivirusuri. Potrivit studiului, software-ul proprietar Microsoft conceput pentru a proteja împotriva activitate rău intenționată, este aproape cel mai prost în a-și gestiona responsabilitățile.

Pe baza rezultatelor testelor efectuate în perioada iulie-august 2017, experții AV-Test au numit cel mai bun antivirus pentru Windows 7, soluția Kaspersky Internet Security, care a primit 18 puncte la evaluarea nivelului de protecție, performanță și ușurință în utilizare.

Primele trei au inclus Trend Micro Internet Security și Bitdefender Internet Security, care au câștigat 17,5 puncte fiecare. Puteți afla despre starea produselor de la alte companii de antivirus care au fost incluse în studiu din ilustrațiile de mai jos:

Multe scanere folosesc, de asemenea, algoritmi de scanare euristică, de exemplu. analizarea secvenței comenzilor din obiectul verificat, colectarea unor statistici și luarea unei decizii pentru fiecare obiect verificat.

Scanerele pot fi, de asemenea, împărțite în două categorii - universale și specializate. Scanere universale conceput pentru a detecta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza număr limitat viruși sau doar o clasă a acestora, de exemplu macrovirusuri.

Scanerele sunt, de asemenea, împărțite în rezidente (monitoare), care scanează din mers și nerezident, care scanează sistemul doar la cerere. De regulă, scanerele rezidente oferă o protecție mai fiabilă a sistemului, deoarece răspund imediat la apariția unui virus, în timp ce un scaner nerezident este capabil să identifice un virus doar la următoarea lansare.

Scanere CRC

Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC (sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări etc. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile reale calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus.

Scanerele CRC nu sunt capabile să prindă un virus în momentul în care acesta apare în sistem, dar face acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer. Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișiere restaurate dintr-o copie de rezervă sau la despachetarea fișierelor dintr-o arhivă), deoarece bazele lor de date nu conțin informații despre aceste fișiere. Mai mult, apar periodic viruși care exploatează această slăbiciune a scanerelor CRC, infectând doar fișierele nou create și rămânând astfel invizibile pentru ei.

Blocante

Blocanții antivirus sunt programe rezidente care interceptează situațiile periculoase de viruși și informează utilizatorul despre acestea. Cele periculoase pentru viruși includ apeluri de deschidere pentru scriere în fișiere executabile, scriere în sectoare de boot ale discurilor sau MBR-ul unui hard disk, încercări ale programelor de a rămâne rezidente etc., adică apeluri tipice pentru viruși în timpul reproducerii.

Avantajele blocantelor includ capacitatea lor de a detecta și opri un virus în cel mai timpuriu stadiu al reproducerii acestuia. Dezavantajele includ existența unor modalități de a ocoli protecția blocantului și un număr mare de fals pozitive.

Imunizatoare

Imunizatoarele sunt împărțite în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția. Primele sunt de obicei scrise la sfârșitul fișierelor (pe baza principiului unui virus de fișiere) și de fiecare dată când fișierul este lansat, îl verifică pentru modificări. Astfel de imunizatoare au un singur dezavantaj, dar este letal: incapacitatea absolută de a raporta infecția cu un virus stealth. Prin urmare, astfel de imunizatori, cum ar fi blocanții, practic nu sunt utilizați în prezent.

Al doilea tip de imunizare protejează sistemul de infecția cu un anumit tip de virus. Fișierele de pe discuri sunt modificate în așa fel încât virusul să le perceapă ca deja infectate. Pentru a proteja împotriva unui virus rezident, un program care simulează o copie a virusului este introdus în memoria computerului. Când este lansat, virusul îl întâlnește și crede că sistemul este deja infectat.

Acest tip de imunizare nu poate fi universal, deoarece este imposibil să se imunizeze fișierele împotriva tuturor virușilor cunoscuți.

Clasificarea antivirusurilor pe baza variabilității în timp

Potrivit lui Valery Konyavsky, instrumentele antivirus pot fi împărțite în două grupuri mari - cele care analizează datele și cele care analizează procesele.

Analiza datelor

Analiza datelor include auditori și polifagi. Auditorii analizează consecințele virușilor informatici și a altora malware. Consecințele au ca rezultat modificări ale datelor care nu ar trebui modificate. Faptul că datele s-au schimbat este un semn al activității malware din punctul de vedere al auditorului. Cu alte cuvinte, auditorii monitorizează integritatea datelor și, pe baza faptului unei încălcări a integrității, iau o decizie cu privire la prezența programelor rău intenționate în mediul computerului.

Polifagele acționează diferit. Pe baza analizei datelor, ei identifică fragmente de cod rău intenționat (de exemplu, prin semnătura acestuia) și pe această bază trag o concluzie despre prezența programelor rău intenționate. Eliminarea sau tratarea datelor infectate cu viruși vă permite să preveniți consecințele negative ale executării programelor rău intenționate. Astfel, pe baza analizei statice, sunt prevenite consecințele care apar în dinamică.

Schema de lucru atât a auditorilor, cât și a polifagelor este aproape aceeași - comparați datele (sau suma lor de control) cu una sau mai multe mostre de referință. Datele sunt comparate cu datele. Astfel, pentru a găsi un virus în computerul tău, trebuie să fi funcționat deja pentru ca consecințele activității sale să apară. Această metodă poate găsi doar viruși cunoscuți pentru care fragmente de cod sau semnături au fost descrise în prealabil. O astfel de protecție cu greu poate fi numită fiabilă.

Analiza procesului

Instrumentele antivirus bazate pe analiza proceselor funcționează oarecum diferit. Analizatoarele euristice, ca cele descrise mai sus, analizează datele (pe disc, pe un canal, în memorie etc.). Diferența fundamentală constă în faptul că analiza se realizează în ipoteza că codul analizat nu este date, ci comenzi (la calculatoarele cu arhitectură von Neumann, datele și comenzile nu se pot distinge și, prin urmare, în timpul analizei trebuie făcută una sau alta presupunere). .)

Analizorul euristic identifică o secvență de operații, atribuie fiecăruia un anumit grad de pericol și, pe baza totalității pericolului, ia o decizie dacă această secvență de operațiuni face parte din codul rău intenționat. Codul în sine nu este executat.

Un alt tip de instrumente antivirus bazate pe analiza proceselor sunt blocantele comportamentale. În acest caz, codul suspect este executat pas cu pas până când setul de acțiuni inițiate de cod este evaluat ca fiind un comportament periculos (sau sigur). În acest caz, codul este parțial executat, deoarece completarea codului rău intenționat poate fi detectată ulterior metode simple analiza datelor.

Tehnologii de detectare a virusurilor

Tehnologiile utilizate în antivirusuri pot fi împărțite în două grupe:

  • Tehnologii de analiză a semnăturilor
  • Tehnologii de analiză probabilistică

Tehnologii de analiză a semnăturilor

Analiza semnăturilor este o metodă de detectare a virușilor care implică verificarea prezenței semnăturilor virușilor în fișiere. Analiza semnăturilor este cea mai cunoscută metodă de detectare a virușilor și este folosită în aproape toate antivirusurile moderne. Pentru a efectua o scanare, antivirusul necesită un set de semnături de viruși, care sunt stocate în baza de date antivirus.

Datorită faptului că analiza semnăturii implică verificarea fișierelor pentru prezența semnăturilor virușilor, baza de date antivirus trebuie actualizată periodic pentru a menține antivirusul la zi. Însuși principiul de funcționare al analizei semnăturilor determină, de asemenea, granițele funcționalității sale - capacitatea de a detecta doar viruși deja cunoscuți - un scaner de semnătură este neputincios împotriva noilor viruși.

Pe de altă parte, prezența semnăturilor de viruși sugerează posibilitatea tratării fișierelor infectate detectate prin analiza semnăturilor. Cu toate acestea, tratamentul nu este posibil pentru toți virușii - troienii și majoritatea viermilor nu pot fi tratați din cauza lor caracteristici de proiectare, deoarece sunt module solide concepute pentru a provoca daune.

Implementarea corectă a semnăturii unui virus vă permite să detectați viruși cunoscuți cu o probabilitate de sută la sută.

Tehnologii de analiză probabilistică

Tehnologiile de analiză probabilistică, la rândul lor, sunt împărțite în trei categorii:

  • Analiza euristica
  • Analiza comportamentală
  • Analiza sumei de control

Analiza euristica

Analiza euristică este o tehnologie bazată pe algoritmi probabilistici, al cărei rezultat este identificarea obiectelor suspecte. În timpul procesului de analiză euristică, structura fișierului și conformitatea acesteia cu tiparele de virus sunt verificate. Cea mai populară tehnologie euristică este verificarea conținutului unui fișier pentru modificări ale semnăturilor de viruși deja cunoscute și combinațiile acestora. Acest lucru ajută la detectarea hibrizilor și a noilor versiuni ale virușilor cunoscuți anterior, fără o actualizare suplimentară a bazei de date antivirus.

Analiza euristică este utilizată pentru a detecta viruși necunoscuți și, ca urmare, nu implică tratament. Această tehnologie nu este capabil să determine 100% dacă un virus se află sau nu în fața lui și, ca orice algoritm probabilistic, suferă de fals pozitive.

Analiza comportamentală

Analiza comportamentală este o tehnologie în care o decizie cu privire la natura obiectului testat este luată pe baza unei analize a operațiunilor pe care le efectuează. Analiza comportamentală este aplicabilă foarte restrâns în practică, deoarece majoritatea acțiunilor caracteristice virușilor pot fi efectuate aplicații regulate. Cei mai faimoși sunt analizatorii comportamentali de scripturi și macrocomenzi, deoarece virușii corespunzători efectuează aproape întotdeauna o serie de acțiuni similare.

Măsurile de securitate încorporate în BIOS pot fi, de asemenea, clasificate ca analizoare comportamentale. Când încercați să faceți modificări la MBR-ul computerului, analizorul blochează acțiunea și afișează o notificare corespunzătoare utilizatorului.

În plus, analizatorii comportamentali pot urmări încercările acces direct la fișiere, efectuând modificări în înregistrarea de pornire a dischetelor, formatare greu discuri etc.

Analizatoarele comportamentale nu folosesc obiecte suplimentare similare bazelor de date cu viruși pentru a funcționa și, prin urmare, nu sunt în măsură să facă distincția între viruși cunoscuți și necunoscuți - toate programele suspecte sunt luate în considerare a priori virusuri necunoscute. În mod similar, caracteristicile de operare ale instrumentelor care implementează tehnologii de analiză comportamentală nu implică tratament.

Analiza sumei de control

Analiza sumelor de control este o modalitate de urmărire a modificărilor aduse obiectelor sistemului informatic. Pe baza analizei naturii modificărilor - simultaneitate, apariție în masă, modificări identice ale lungimii fișierelor - putem concluziona că sistemul este infectat. Analizatorii de sumă de control (numiți și auditori de schimbare), precum analizatorii comportamentali, nu folosesc obiecte suplimentare în munca lor și emit un verdict cu privire la prezența unui virus în sistem exclusiv prin metoda evaluării expertului. Tehnologii similare sunt utilizate în scanerele la acces - în timpul primei scanări, o sumă de control este eliminată dintr-un fișier și plasată în cache; înainte de următoarea scanare a aceluiași fișier, suma de control este eliminată din nou, comparată și, dacă nu există modificări, fișierul este considerat neinfectat.

Complexe antivirus

Complex antivirus - un set de antiviruși care utilizează același nucleu sau nuclee antivirus, concepute pentru a rezolva probleme practice pentru asigurarea securitate antivirus sisteme informatice. Complexul antivirus include în mod necesar și instrumente pentru actualizarea bazelor de date antivirus.

În plus, complexul anti-virus poate include în plus analizoare comportamentale și auditori de schimbare care nu folosesc nucleul anti-virus.

Se disting următoarele tipuri de complexe antivirus:

  • Complex antivirus pentru protejarea stațiilor de lucru
  • Complex antivirus pentru protejarea serverelor de fișiere
  • Complex antivirus pentru protejarea sistemelor de mail
  • Complex antivirus pentru protejarea gateway-urilor.

Cloud și antivirus tradițional pentru desktop: ce să alegi?

(Pe baza materialelor de pe Webroot.com)

Piața modernă a produselor antivirus constă în primul rând din soluții tradiționale pentru sisteme desktop, ale căror mecanisme de protecție sunt construite pe baza metodelor de semnătură. Mod alternativ protecție antivirus - utilizarea analizei euristice.

Probleme cu software-ul antivirus tradițional

Recent, tehnologiile antivirus tradiționale au devenit din ce în ce mai puțin eficiente și devin rapid depășite, ceea ce se datorează mai multor factori. Numărul de amenințări virale recunoscute de semnături este deja atât de mare încât asigurarea actualizării 100% la timp a bazelor de date de semnături pe computerele utilizatorilor este adesea o sarcină nerealistă. Hackerii și criminalii cibernetici folosesc din ce în ce mai mult rețele botnet și alte tehnologii care accelerează răspândirea amenințărilor virusurilor zero-day. În plus, atunci când sunt efectuate atacuri direcționate, semnăturile virușilor corespunzători nu sunt create. În cele din urmă, sunt utilizate tehnologii noi pentru a contracara detectarea antivirus: criptarea malware-ului, crearea de viruși polimorfi pe partea de server, testarea preliminară a calității unui atac de virus.

Protecția antivirus tradițională este cel mai adesea construită într-o arhitectură „client gros”. Aceasta înseamnă că o cantitate mare de cod software este instalată pe computerul clientului. Cu ajutorul acestuia, datele primite sunt scanate și este detectată prezența amenințărilor viruși.

Această abordare are o serie de dezavantaje. În primul rând, scanarea pentru malware și compararea semnăturilor necesită o sarcină de calcul semnificativă, care îndepărtează utilizatorul. Ca urmare, productivitatea computerului scade, iar antivirusul interferează uneori cu execuția paralelă. probleme aplicate. Uneori încărcarea sistem utilizator poate fi atât de vizibil încât utilizatorii dezactivează programele antivirus, eliminând astfel bariera în calea unui potențial atac de viruși.

În al doilea rând, fiecare actualizare pe computerul utilizatorului necesită trimiterea a mii de semnături noi. Cantitatea de date transferate este de obicei de aproximativ 5 MB pe zi pe mașină. Transferul de date încetinește rețeaua și distrage atenția suplimentară resursele sistemului, necesită implicarea administratorilor de sistem pentru a controla traficul.

În al treilea rând, utilizatorii care se află în roaming sau care se află la distanță de un loc fix de muncă sunt lipsiți de apărare împotriva atacurilor zero-day. Pentru a primi o parte actualizată a semnăturilor, trebuie să se conecteze la o rețea VPN care le este inaccesibilă de la distanță.

Protecție antivirus din cloud

Când treceți la protecția antivirus din cloud, arhitectura soluției se schimbă semnificativ. Pe computerul utilizatorului este instalat un client „ușor”, a cărui funcție principală este să caute fișiere noi, să calculeze valori hash și să trimită date către serverul cloud. În cloud, se realizează o comparație la scară completă, efectuată pe o bază de date mare de semnături colectate. Această bază de date este actualizată în mod constant și în timp util folosind datele transmise companii de antivirus. Clientul primește un raport cu rezultatele inspecției.

Astfel, arhitectura cloud a protecției antivirus are o serie de avantaje:

  • cantitatea de calcul pe computerul utilizatorului se dovedește a fi neglijabilă în comparație cu un client gros, prin urmare, productivitatea utilizatorului nu scade;
  • nu există un impact catastrofal al traficului antivirus asupra debitului rețelei: trebuie transferată o bucată de date compactă care conține doar câteva zeci de valori hash, volumul mediu al traficului zilnic nu depășește 120 KB;
  • stocarea în cloud conține o serie uriașă de semnături, mult mai mari decât cele stocate pe computerele utilizatorilor;
  • algoritmii de comparare a semnăturilor utilizați în cloud sunt semnificativ mai inteligenți în comparație cu modelele simplificate care sunt utilizate la nivelul stațiilor locale, iar datorită performanței mai mari, compararea datelor necesită mai puțin timp;
  • Serviciile antivirus cloud funcționează cu date reale primite de la laboratoare antivirus, dezvoltatori de securitate, utilizatori corporativi și privați; Amenințările zero-day sunt blocate concomitent cu recunoașterea lor, fără întârzierea cauzată de necesitatea de a obține acces la computerele utilizatorilor;
  • utilizatorii în roaming sau fără acces la stațiile lor de lucru principale primesc protecție împotriva atacurilor zero-day simultan cu accesul la Internet;
  • Volumul de lucru al administratorilor de sistem este redus: aceștia nu trebuie să petreacă timp instalând software antivirus pe computerele utilizatorilor, precum și actualizării bazelor de date de semnături.

De ce eșuează antivirusurile tradiționale

Codul rău intenționat modern poate:

  • Ocoliți capcanele antivirus creând un virus țintă special pentru companie
  • Înainte ca antivirusul să creeze o semnătură, acesta va evita utilizarea polimorfismului, transcodării, utilizând DNS dinamic și URL-uri
  • Creație țintită pentru o companie
  • Polimorfismul
  • Cod necunoscut încă de nimeni - fără semnătură

Greu de apărat

Antivirusuri rapide din 2011

Centrul de informare și analiză independent rus Anti-Malware.ru a publicat în mai 2011 rezultatele unui alt test comparativ al celor mai populare 20 de antivirusuri privind performanța și consumul resurselor sistemului.

Ţintă acest test- arată care antivirusuri personale au cel mai mic impact asupra operațiunilor tipice ale utilizatorului pe un computer, încetinește funcționarea acestuia mai puțin și consumă o cantitate minimă de resurse de sistem.

Dintre monitoarele antivirus (scanere în timp real), un întreg grup de produse au demonstrat viteză de operare foarte mare, printre care: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro și Dr.Web. Cu acești antivirusuri la bord, încetinirea copierii colecției de testare a fost mai mică de 20% față de standard. Monitoare antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton și Emsisoft au mai arătat rezultate bune din punct de vedere al performanțelor, încadrându-se în intervalul 30-50%. Monitoarele antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton și Emsisoft au prezentat și ele rezultate de înaltă performanță, încadrându-se în intervalul 30-50%.

În același timp, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost și PC Tools în conditii reale pot fi semnificativ mai rapide datorită optimizării lor a verificărilor ulterioare.

A arătat cea mai bună viteză de scanare la cerere Antivirus Avira. A fost ușor inferior față de Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus și Outpost. În ceea ce privește viteza primei scanări, acești antivirusuri sunt doar puțin inferioare liderului, în același timp, toți au în arsenal tehnologii puternice pentru optimizarea scanărilor repetate.

Încă una caracteristică importantă viteza antivirusului este impactul acestuia asupra muncii programe de aplicație, cu care utilizatorul lucrează adesea. Pentru test au fost aleși cinci: Internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe Acrobat Readerși Adobe Photoshop. Cea mai mică încetinire a lansării acestora programe de birou a aratat Antivirusuri Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost și G Data.

Astăzi, mai mult ca niciodată, software-ul antivirus nu este doar cel mai solicitat în sistemul de securitate al oricărui sistem de operare, ci și una dintre componentele sale principale. Și dacă anterior utilizatorul avea o alegere foarte limitată, modestă, acum puteți găsi o mulțime de astfel de programe. Dar dacă te uiți la lista „Top 10 antivirusuri”, vei observa că nu toți sunt egali în ceea ce privește funcţionalitate. Să ne uităm la cele mai populare pachete. În același timp, analiza va include atât aplicații plătite, cât și shareware (antivirus timp de 30 de zile), cât și aplicații distribuite gratuit. Dar mai întâi lucrurile.

Top 10 antivirusuri pentru Windows: criterii de testare

Înainte de a începe să compilați o evaluare, probabil că ar trebui să vă familiarizați cu criteriile de bază care sunt utilizate în majoritatea cazurilor când testați un astfel de software.

Desigur, este pur și simplu imposibil să luăm în considerare toate pachetele cunoscute. Totuși, dintre toate cele menite să asigure protecția unui sistem informatic în sensul cel mai larg, pot fi identificate cele mai populare. În același timp, vom ține cont și de ratingurile oficiale laboratoare independente, și recenzii de la utilizatorii care folosesc acest produs software în practică. In afara de asta, programe mobile nu vor fi afectate, ne vom concentra pe sistemele staționare.

În ceea ce privește efectuarea testelor de bază, de regulă, acestea includ câteva aspecte principale:

  • disponibilitatea versiunilor plătite și gratuite și limitări legate de funcționalitate;
  • viteza standard de scanare;
  • identificarea rapidă a potențialelor amenințări și capacitatea de a le elimina sau de a le pune în carantină folosind algoritmi încorporați;
  • frecvența actualizării bazelor de date antivirus;
  • autoapărare și încredere;
  • disponibilitatea caracteristicilor suplimentare.

După cum se poate observa din lista de mai sus, verificarea funcționării software-ului antivirus vă permite să determinați punctele forte și părțile slabe unul sau altul produs. În continuare, voi lua în considerare cele mai populare pachete software incluse în Top 10 antiviruși și, de asemenea, voi da și principalele lor caracteristici, desigur, ținând cont de opiniile oamenilor care le folosesc în munca lor de zi cu zi.

Produse software Kaspersky Lab

În primul rând, să ne uităm la modulele software dezvoltate de Kaspersky Lab, care sunt extrem de populare în spațiul post-sovietic.

Este imposibil să evidențiați un singur program aici, deoarece printre ele puteți găsi și un obișnuit Scaner Kaspersky Antivirus și module precum Internet Security și utilitare portabile cum ar fi Virus Removal Tool și chiar discuri de pornire pentru sistemele deteriorate Rescue Disc.

Este de remarcat imediat două dezavantaje principale: în primul rând, judecând după recenzii, aproape toate programele, cu rare excepții, sunt plătite sau shareware și, în al doilea rând, cerințele de sistem sunt nerezonabil de mari, ceea ce face imposibilă utilizarea lor în configurații relativ slabe. . Desigur, acest lucru sperie mulți utilizatori obișnuiți, deși activare Cheile Kaspersky Antivirus sau Internet Security pot fi găsite cu ușurință pe World Wide Web.

Pe de altă parte, situația de activare poate fi corectată în alt mod. De exemplu, cheile Kaspersky pot fi generate folosind aplicatii speciale precum Key Manager. Adevărat, această abordare este, ca să spunem ușor, ilegală, totuși, ca o cale de ieșire, este folosită de mulți utilizatori.

Viteza de funcționare pe mașinile moderne este medie (din anumite motive, se creează din ce în ce mai multe versiuni grele pentru noi configurații), dar bazele de date actualizate constant, tehnologia unică de identificare și eliminare a virușilor cunoscuți și a programelor potențial periculoase sunt la maxim. Nu este surprinzător faptul că Laboratorul Kapersky este astăzi lider în rândul dezvoltatorilor de software de securitate.

Și încă două cuvinte despre discul de recuperare. Este unic în felul său, deoarece încarcă un scanner cu o interfață grafică chiar înainte de a porni Windows, permițându-vă să eliminați amenințările chiar și din RAM.

Același lucru este valabil și pentru portabil Utilitare de virus Instrument de eliminare, capabil să urmărească orice amenințare pe un terminal infectat. Poate fi comparat doar cu o utilitate similară de la Dr. Web.

Protectie de la Dr. Web

În fața noastră se află un alt dintre cei mai puternici reprezentanți în domeniul securității - faimosul „Doctor Web”, care a stat la originile creării tuturor programelor antivirus din timpuri imemoriale.

Printre sumă uriașă De asemenea, puteți găsi scanere standard, instrumente de securitate pentru navigarea pe Internet, utilitare portabile și discuri de recuperare. Nu poți enumera totul.

Principalul factor în favoarea software-ului acestui dezvoltator poate fi numit de mare viteză, detectarea instantanee a amenințărilor cu capacitatea de a îndepărtarea completă, sau izolare, precum și o sarcină moderată asupra sistemului în ansamblu. În general, din punctul de vedere al majorității utilizatorilor, aceasta este un fel de versiune ușoară a Kaspersky. Mai este ceva interesant aici. În special, acesta este Dr. Web Katana. Se crede că acesta este un produs software de nouă generație. Se concentrează pe utilizarea tehnologiilor „nisip”, adică plasarea unei amenințări în „nor” sau „cutie de nisip” (indiferent cum doriți să o numiți) pentru analiză înainte de a pătrunde în sistem. Cu toate acestea, dacă te uiți la el, nu există inovații speciale aici, deoarece această tehnică a fost folosită în mod gratuit Antivirus panda. În plus, potrivit multor utilizatori, Dr. Web Katana este un fel de Spațiu de Securitate cu aceleași tehnologii. Cu toate acestea, în general, orice software de la acest dezvoltator este destul de stabil și puternic. Nu este de mirare că mulți utilizatori preferă astfel de pachete.

programe ESET

Vorbind despre Top 10 antivirusuri, este imposibil să nu menționăm un alt reprezentant strălucit al acestui domeniu - compania ESET, care a devenit faimoasă pentru un produs atât de cunoscut precum NOD32. Puțin mai târziu, a luat naștere modulul ESET Smart Security.

Dacă luăm în considerare aceste programe, putem observa un punct interesant. Pentru a activa întreaga funcționalitate a oricărui pachet, puteți face două lucruri. Pe de o parte, aceasta este achiziția unei licențe oficiale. Pe de altă parte, puteți instala gratuit un antivirus de probă, dar activați-l la fiecare 30 de zile. Interesantă este și situația cu activarea.

După cum notează absolut toți utilizatorii, pentru ESET Smart Security (sau pentru antivirus standard) pe site-ul oficial puteți găsi chei distribuite gratuit sub forma unui login și a unei parole. Până de curând, doar aceste date puteau fi folosite. Acum, procesul a devenit ceva mai complicat: mai întâi trebuie să vă autentificați și să faceți parola pe un site web special, să îl convertiți într-un număr de licență și abia apoi să îl introduceți în câmpul de înregistrare din programul însuși. Cu toate acestea, dacă nu acordați atenție unor astfel de fleacuri, puteți observa că acest antivirus este unul dintre cele mai bune. Avantaje remarcate de utilizatori:

  • bazele de date de semnături de viruși sunt actualizate de mai multe ori pe zi,
  • identificarea amenințărilor la cel mai înalt nivel,
  • nu există conflicte cu componentele sistemului (firewall),
  • pachetul are cea mai puternică autoapărare,
  • nu exista alarme false etc.

Separat, este de remarcat faptul că încărcarea sistemului este minimă, iar utilizarea modulului Anti-Theft vă permite chiar să protejați datele de furt sau utilizare abuzivă în beneficiul personal.

AVG Antivirus

AVG Antivirus este un software cu plată, conceput pentru a oferi securitate completă pentru sistemele informatice (există și o versiune gratuită, trunchiată). Și, deși astăzi acest pachet nu se mai numără printre primele cinci, demonstrează totuși viteză și stabilitate destul de ridicate.

În principiu, este ideal pentru uz casnic, deoarece, pe lângă viteză, are o interfață rusificată convenabilă și un comportament mai mult sau mai puțin stabil. Adevărat, așa cum notează unii utilizatori, uneori este capabil să rateze amenințările. Și acest lucru nu se aplică virușilor ca atare, ci mai degrabă spyware sau „junk” publicitar numit Malware și Adware. Modulul propriu al programului, deși promovat pe scară largă, totuși, conform utilizatorilor, pare oarecum neterminat. Și un firewall suplimentar poate provoca adesea conflicte cu firewall-ul Windows „nativ” dacă ambele module sunt active.

Pachet Avira

Avira este un alt membru al familiei de antivirus. Nu este fundamental diferit de majoritatea pachetelor similare. Cu toate acestea, dacă citiți recenziile utilizatorilor despre el, puteți găsi postări destul de interesante.

Mulți oameni nu recomandă utilizarea versiunii gratuite în niciun caz, deoarece pur și simplu lipsesc unele module din ea. Pentru a asigura o protecție fiabilă, va trebui să achiziționați un produs plătit. Dar un astfel de antivirus este potrivit pentru versiunile 8 și 10, în care sistemul în sine folosește o mulțime de resurse, iar pachetul le folosește la cel mai de jos nivel. Pe scurt, Avira este mai bună Este potrivit doar pentru, de exemplu, laptopuri bugetare și computere slabe. Cu toate acestea, o instalare în rețea este exclusă.

Serviciu cloud Panda Cloud

Gratuit a devenit la un moment dat aproape o revoluție în domeniul tehnologiilor antivirus. Utilizarea așa-numitei „sandbox” pentru a trimite conținut suspect spre analiză înainte de a pătrunde în sistem a făcut această aplicație deosebit de populară în rândul utilizatorilor de toate nivelurile.

Și tocmai cu „sandbox” este asociat astăzi acest antivirus. Da, într-adevăr, această tehnologie, spre deosebire de alte programe, vă permite să împiedicați amenințările să intre în sistem. De exemplu, orice virus își salvează mai întâi corpul pe hard disk sau în RAM și abia apoi își începe activitatea. Aici chestiunea nu vine la conservare. La început dosar suspect este trimis la un serviciu cloud, unde este verificat și abia apoi poate fi salvat în sistem. Adevărat, conform martorilor oculari, din păcate, acest lucru poate dura destul de mult timp și încarcă inutil sistemul. Pe de altă parte, merită să vă întrebați ce este mai important: securitatea sau creșterea timpului de verificare? Cu toate acestea, pentru configurațiile moderne de computer cu viteze de conectare la Internet de 100 Mbit/s și mai mari, acesta poate fi folosit fără probleme. Apropo, propria sa protecție este asigurată tocmai prin „nor”, ​​care provoacă uneori critici.

Avast Pro Antivirus Scanner

Acum câteva cuvinte despre un alt reprezentant luminos.El este destul de popular printre mulți utilizatori, totuși, în ciuda prezenței aceluiași sandbox, anti-spyware, scanner de rețea, firewall și birou virtual Din păcate, Avast Pro Antivirus este net inferior unor giganți precum produsele software Kaspersky Lab sau aplicațiile care utilizează tehnologii Bitdefender în principalii indicatori de performanță, funcționalitate și fiabilitate, deși demonstrează viteză mare de scanare și consum redus de resurse.

Utilizatorii sunt atrași de acest produs în principal de faptul că versiunea gratuită a pachetului este cât se poate de funcțională și nu diferă foarte mult de software-ul plătit. În plus, acest antivirus funcționează pe toate versiunile de Windows, inclusiv Windows 10 și funcționează excelent chiar și pe mașinile învechite.

Pachete de securitate 360

În fața noastră se află probabil unul dintre cele mai rapide antivirusuri ale vremurilor noastre - 360 Security, dezvoltat de specialiști chinezi. În general, toate produsele etichetate „360” se disting printr-o viteză de operare de invidiat (același browser de Internet 360 Safety Browser).

În ciuda scopului său principal, programul are module suplimentare pentru a elimina vulnerabilitățile sistemului de operare și pentru a-l optimiza. Dar nici viteza de funcționare, nici distribuția gratuită nu pot fi comparate cu alarmele false. În lista de programe care au cei mai înalți indicatori pentru acest criteriu, acest software ocupă unul dintre primele locuri. Potrivit multor experți, conflictele apar în nivel de sistem datorită optimizatorilor suplimentari, a căror acțiune se intersectează cu sarcinile sistemului de operare însuși.

Produse software bazate pe tehnologii Bitdefender

Un alt „bătrân” printre cei mai renumiți apărători ai sistemelor de operare este Bitdefender. Din păcate, în 2015 a pierdut palma în fața produselor Kaspersky Lab, cu toate acestea, în mod antivirus, ca să spunem așa, este unul dintre cei care au marcat tendințe.

Dacă te uiți puțin mai atent, vei observa că multe programe moderne (același pachet 360 ​​Security) în diferite variante sunt realizate tocmai pe baza acestor tehnologii. În ciuda celor bogați baza functionala, există și câteva neajunsuri aici. În primul rând, nu veți găsi antivirusul rus (rusificat) Bitdefender, deoarece nu există deloc în natură. În al doilea rând, în ciuda utilizării celor mai recente evoluții tehnologice în ceea ce privește protecția sistemului, din păcate, acesta arată un număr prea mare de fals pozitive (apropo, conform experților, acest lucru este tipic pentru întregul grup de programe create pe baza Bitdefender). Prezența componentelor suplimentare de optimizare și a propriilor firewall-uri, în general, nu afectează în bine comportamentul unor astfel de antivirusuri. Dar nu puteți nega viteza acestei aplicații. În plus, P2P este folosit pentru verificare, dar nu există o verificare a e-mailurilor în timp real, ceea ce multor oameni nu le place.

Antivirus de la Microsoft

O altă aplicație care se remarcă prin funcționarea sa de invidiat cu sau fără motiv este propria sa produs Microsoft intitulat Elemente esențiale de securitate.

Acest pachet este inclus în Top 10 antivirusuri, aparent, doar pentru că este conceput exclusiv pentru sisteme Windows, ceea ce înseamnă că nu provoacă absolut niciun conflict la nivel de sistem. De altfel, cine, dacă nu specialiștii de la Microsoft, cunoaște toate găurile și vulnerabilitățile de securitate ale lor sisteme de operare. Apropo, este interesant că inițiala Windows se construiește 7 și Windows 8 aveau MSE ca standard, dar apoi din anumite motive au abandonat acest kit. Cu toate acestea, pentru Windows poate deveni cea mai simplă soluție din punct de vedere al securității, deși nu poți conta pe nicio funcționalitate specială.

aplicația McAfee

În ceea ce privește această aplicație, pare destul de interesantă. Cu toate acestea, a câștigat cea mai mare popularitate în domeniul aplicației pe dispozitivele mobile cu tot felul de blocări, totuși, pe computerele desktop acest antivirus nu se comportă mai rău.

Programul are suport la nivel scăzut pentru rețelele P2P atunci când partajează fișiere Instant Messenger și oferă, de asemenea, protecție pe 2 niveluri în care rolul principal dedicat modulelor WormStopper și ScriptStopper. Dar, în general, în opinia consumatorilor, funcționalitatea este la un nivel mediu, iar programul în sine este axat mai mult pe identificarea spyware-urilor, viermilor de computer și a troienilor și împiedicarea scripturilor executabile sau a codurilor rău intenționate să intre în sistem.

Antivirusuri și optimizatori combinați

Desigur, aici au fost luate în considerare doar cele incluse în Top 10 antivirusuri. Dacă vorbim despre alte software-uri de acest fel, putem remarca unele pachete care conțin module antivirus în seturile lor.

Ce să prefer?

Desigur, toate antivirusurile au anumite asemănări și diferențe. Ce sa instalezi? Aici trebuie să porniți de la nevoile și nivelul de protecție oferit. De regulă, clienții corporativi ar trebui să achiziționeze ceva mai puternic, cu posibilitatea instalării în rețea (Kaspersky, Dr. Web, ESET). Cât despre uz casnic, aici utilizatorul alege ceea ce are nevoie (dacă dorește, poți găsi chiar și un antivirus pentru un an - fără înregistrare sau achiziție). Dar, dacă te uiți la recenziile utilizatorilor, este mai bine să instalezi Panda Cloud, chiar și în ciuda unei sarcini suplimentare asupra sistemului și a timpului de testare în sandbox. Dar aici există o garanție completă că amenințarea nu va pătrunde în niciun fel în sistem. Cu toate acestea, fiecare este liber să aleagă singur ceea ce are nevoie. Dacă activarea nu este dificilă, vă rugăm: funcționează bine în sistemele de acasă produse ESET. Dar utilizarea optimizatoarelor cu module antivirus ca principal mijloc de protecție este extrem de nedorită. Ei bine, de asemenea, este imposibil să spunem care program ocupă primul loc: există atât de mulți utilizatori, atât de multe opinii.

Cele mai bune articole pe această temă

Tapet animat pentru telefon Android Tapet animat pentru Android
Tapet animat pentru telefon Android Tapet animat pentru Android
Cum să schimbi limba de pe tastatură și ce să faci dacă nu se schimbă
Cum să schimbi limba de pe tastatură și ce să faci dacă nu se schimbă
Jocuri pentru copii Tabelele de înmulțire de învățare distractive
Jocuri pentru copii Tabelele de înmulțire de învățare distractive
Categorii:
© 2024 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.