Më lejoni të bëj një rezervë menjëherë që artikulli do të krahasojë vetëm ato zgjidhje antivirus që janë të zakonshme në Rusi, përkatësisht Kaspersky Anti-Virus , Eset Nod32 , Doktor Web , Symantec/Norton , Trendi Micro , Panda, McAfee, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG, Microsoft. Produkte të tilla ekzotike si G-DATA AVK, F-Prot Anti-Virus dhe AEC TrustPort nuk do të merren parasysh. Pra, le të fillojmë përgatitjen e testeve.
Patriarkët e testimit
Revista britanike Virus Bulletin ishte një nga të parat që testoi produktet antivirus; testet e para të publikuara në faqen e tyre datojnë që nga viti 1998. Testi bazohet në koleksionin WildList të malware. Për të kaluar me sukses testin, duhet të identifikoni të gjithë viruset në këtë koleksion dhe të demonstroni një nivel zero të rezultateve false në një koleksion skedarësh regjistri "të pastër". Testimi kryhet disa herë në vit në sisteme të ndryshme operative; Produktet që kalojnë me sukses testin marrin një çmim VB100%. Më poshtë mund të shihni se sa çmime VB100% janë marrë në 2006-2007 nga produkte nga kompani të ndryshme antivirus.
Sigurisht, revista Virus Bulletin mund të quhet testuesi më i vjetër i antiviruseve, por statusi i saj si patriark nuk e përjashton atë nga kritikat ndaj komunitetit antivirus. Kështu, në konferencën e Buletinit të Virusit të Shtatorit në Vjenë, eksperti i famshëm Andreas Marx nga laboratori i kërkimit AV-Test në Universitetin e Magdeburgut bëri një prezantim The WildList is Dead, Rroftë lista e egër! Në raportin e tij, Marks theksoi se të gjitha testet që kryhen në koleksionin WildList të viruseve (përfshirë VB100%) kanë një sërë mangësish që lidhen me përbërjen e këtij koleksioni. Së pari, WildList përfshin vetëm viruse dhe krimba dhe vetëm për platformën Windows, ndërsa llojet e tjera të malware (Trojanët, backdoors) dhe malware për platformat e tjera janë lënë jashtë. Së dyti, koleksioni WildList përmban një numër të vogël malware dhe rimbushet shumë ngadalë: vetëm disa dhjetëra viruse të rinj shfaqen në koleksion në muaj, ndërsa, për shembull, koleksioni AV-Test plotësohet me disa dhjetëra apo edhe qindra mijëra. të kopjeve të malware gjatë kësaj kohe.
E gjithë kjo sugjeron që në formën e tij aktuale, koleksioni WildList është moralisht i vjetëruar dhe nuk pasqyron situatën reale me viruset në internet. Si rezultat, sipas Andreas Marksit, testet e bazuara në koleksionin WildList po bëhen gjithnjë e më të pakuptimta. Ato janë të mira për reklamimin e produkteve që i kanë kaluar ato, por në fakt nuk pasqyrojnë cilësinë e mbrojtjes antivirus.
Nga WildList tek testet në koleksione të mëdha
Laboratorët e pavarur të kërkimit si AV-Comparatives, AV-Tests nuk kufizohen vetëm në kritikimin e metodave të testimit. Dy herë në vit ata kryejnë vetë testimin e zbulimit të malware sipas kërkesës të produkteve antivirus. Në të njëjtën kohë, koleksionet mbi të cilat kryhet testimi përmbajnë deri në një milion malware dhe përditësohen rregullisht. Rezultatet e testimit publikohen në faqet e internetit të këtyre organizatave (www.AV-Comparatives.org, www.AV-Test.org) dhe në revistat e njohura kompjuterike PC World, PC Welt etj. Rezultatet e testeve të gushtit janë paraqitur më poshtë:
Nëse flasim për produktet më të zakonshme në tregun rus, atëherë, siç e shohim, sipas rezultateve të këtyre testeve, vetëm zgjidhjet nga Kaspersky Lab dhe Symantec janë në tre të parat. Avira, lider në teste, meriton vëmendje të veçantë, por ne do t'i rikthehemi kësaj teme më tej në seksionin e fals pozitivëve.
Modelimi i një përdoruesi
Testet nga laboratorët kërkimor AV-Comparatives dhe AV-Test, si çdo test tjetër, kanë të mirat dhe të këqijat e tyre. Përparësitë janë se testimi kryhet në koleksione të mëdha malware dhe se këto koleksione përmbajnë një shumëllojshmëri të gjerë të llojeve të malware. E keqja është se këto koleksione përmbajnë jo vetëm mostra "të freskëta" të malware, por edhe ato relativisht të vjetra. Në mënyrë tipike, përdoren mostrat e mbledhura gjatë gjashtë muajve të fundit. Për më tepër, këto teste analizojnë rezultatet e një skanimi sipas kërkesës së diskut, ndërsa në jetën reale përdoruesi shkarkon skedarë të infektuar nga Interneti ose i merr ato si bashkëngjitje me email. Është e rëndësishme të zbuloni skedarë të tillë pikërisht në momentin që shfaqen në kompjuterin e përdoruesit.
Një përpjekje për të zhvilluar një metodologji testimi që nuk vuan nga ky problem u bë nga një nga revistat më të vjetra britanike të kompjuterit, PC Pro. Testi i tyre përdori një koleksion malware të zbuluar dy javë para testit në trafikun që kalonte përmes serverëve të MessageLabs. MessageLabs u ofron klientëve të saj shërbime për filtrimin e llojeve të ndryshme të trafikut, dhe koleksioni i tij i malware në fakt pasqyron situatën me përhapjen e infeksioneve kompjuterike në internet.
Ekipi i revistës PC Pro nuk skanoi thjesht skedarë të infektuar, por simuloi veprimet e përdoruesve: skedarët e infektuar iu bashkëngjitën shkronjave si bashkëngjitje dhe këto letra u shkarkuan në një kompjuter me një antivirus të instaluar. Përveç kësaj, duke përdorur skriptet e shkruara posaçërisht, skedarët e infektuar u shkarkuan nga serveri në internet, d.m.th. u simulua shfletimi i përdoruesve në internet. Kushtet në të cilat kryhen teste të tilla janë sa më afër që të jetë e mundur me ato reale, gjë që nuk mund të ndikonte në rezultatet: niveli i zbulimit të shumicës së antivirusëve doli të ishte dukshëm më i ulët se sa me një skanim të thjeshtë sipas kërkesës në AV- Testet krahasuese dhe AV-Test. Në teste të tilla, një rol të rëndësishëm luhet nga sa shpejt zhvilluesit e antiviruseve reagojnë ndaj shfaqjes së malware të ri, si dhe çfarë mekanizmash proaktivë përdoren për të zbuluar malware.
Ekipi i Reagimit të Shpejtë
Shpejtësia me të cilën lëshohen përditësimet antivirus me nënshkrimet e malware të rinj është një nga komponentët më të rëndësishëm të mbrojtjes efektive antivirus. Sa më shpejt të lëshohet përditësimi i bazës së të dhënave të nënshkrimit, aq më pak kohë përdoruesi do të mbetet i pambrojtur. Në prill 2007, ekipi laboratorik i AV-Test kreu një studim të shpejtësisë së reagimit ndaj kërcënimeve të reja për revistën amerikane PC World, dhe kjo është ajo që ata dolën:
I panjohur i njohur
Kohët e fundit, malware i ri shfaqet aq shpesh sa laboratorët antivirus mezi kanë kohë për t'iu përgjigjur shfaqjes së mostrave të reja. Në një situatë të tillë, lind pyetja se si një antivirus mund të kundërshtojë jo vetëm viruset tashmë të njohur, por edhe kërcënimet e reja për të cilat një nënshkrim zbulimi nuk është lëshuar ende.
Për të zbuluar kërcënime të panjohura, përdoren të ashtuquajturat teknologji proaktive. Këto teknologji mund të ndahen përafërsisht në dy lloje: heuristikë (ato zbulojnë malware bazuar në analizën e kodit të tyre) dhe bllokues të sjelljes (ato bllokojnë veprimet e malware kur ai funksionon në një kompjuter, bazuar në sjelljen e tyre).
Duke folur për heuristikën, efektiviteti i tyre është studiuar prej kohësh nga AV-Comparatives, një laborator kërkimor i udhëhequr nga Andreas Clementi. Ekipi AV-Comparatives përdor një teknikë të veçantë: antiviruset kontrollohen kundrejt koleksionit aktual të viruseve, por ata përdorin një antivirus me nënshkrime që janë tre muaj të vjetër. Kështu, antivirusi duhet të luftojë kundër malware për të cilët nuk di asgjë. Antiviruset testohen duke skanuar një koleksion malware në hard disk, kështu që kontrollohet vetëm efektiviteti i heuristikës; një teknologji tjetër proaktive - një bllokues i sjelljes - nuk përdoret në këto teste. Siç mund ta shohim, edhe heuristikat më të mira aktualisht tregojnë një shkallë zbulimi prej vetëm rreth 70%, dhe shumë prej tyre gjithashtu vuajnë nga pozitive false në skedarë të pastër. E gjithë kjo, për fat të keq, sugjeron që tani për tani kjo metodë e zbulimit proaktive mund të përdoret vetëm njëkohësisht me metodën e nënshkrimit.
Sa i përket një teknologjie tjetër proaktive - një bllokues i sjelljes, asnjë test serioz krahasues nuk është kryer deri më tani. Së pari, shumë produkte antivirus (Doctor Web, NOD32, Avira, etj.) Në thelb nuk kanë një bllokues të sjelljes. Së dyti, kryerja e testeve të tilla është e mbushur me disa vështirësi. Fakti është se për të testuar efektivitetin e një bllokuesi të sjelljes, nuk keni nevojë të skanoni një disk me një koleksion malware, por ekzekutoni këto malware në kompjuterin tuaj dhe vëzhgoni se sa me sukses bllokon antivirusi veprimet e tyre. Ky proces kërkon shumë punë intensive dhe vetëm pak studiues janë në gjendje të ndërmarrin teste të tilla. Gjithçka që është aktualisht në dispozicion për publikun e gjerë janë rezultatet e testimit të produktit individual të kryer nga ekipi AV-Comparatives. Nëse, gjatë testimit, antiviruset bllokuan me sukses veprimet e programeve me qëllim të keq të panjohur për ta, ndërsa ato funksiononin në kompjuter, atëherë produkti mori Çmimin e Mbrojtjes Proaktive. Aktualisht, çmime të tilla janë marrë nga F-Secure me teknologjinë e tij të sjelljes DeepGuard dhe Kaspersky Anti-Virus me modulin e tij Proactive Protection.
Teknologjitë e parandalimit të infeksioneve të bazuara në analizën e sjelljes së malware po bëhen gjithnjë e më të përhapura dhe mungesa e testeve gjithëpërfshirëse krahasuese në këtë fushë është alarmante. Kohët e fundit, ka pasur shpresë për shfaqjen e testeve të tilla: specialistë nga laboratori i kërkimit AV-Test mbajtën një diskutim të gjerë për këtë çështje në konferencën e Virus Bulletin 2007, në të cilën morën pjesë edhe zhvilluesit e produkteve antivirus. Rezultati i këtij diskutimi ishte një metodologji e re për testimin e aftësisë së produkteve antivirus për t'i bërë ballë kërcënimeve të panjohura. Kjo teknikë do të prezantohet në detaje në fund të nëntorit, në konferencën e Shoqatës Aziatike të Kërkuesve Antivirus në Seul.
Rezultatet false pozitive janë më të këqija se viruset
Një nivel i lartë i zbulimit të malware duke përdorur teknologji të ndryshme është një nga karakteristikat më të rëndësishme të një antivirusi. Por ndoshta një karakteristikë po aq e rëndësishme është mungesa e pozitiveve false. Pozitivet e rreme mund të shkaktojnë jo më pak dëm për përdoruesin sesa një infeksion virusi: bllokoni funksionimin e programeve të nevojshme, bllokoni hyrjen në faqe, etj. Fatkeqësisht, pozitivet e rreme ndodhin mjaft shpesh. Pas përditësimit të radhës në shtator 2007, antivirusi AVG filloi të gabonte Adobe Acrobat Reader 7.0.9 për programin SHueur-JXW Trojan dhe antivirusi NOD32 në korrik 2007 njoftoi përdoruesit për zbulimin e Trojanit Tivso.14a.gen kur u përball me banderola nga serving-sys.com në faqet e njohura si Yahoo, MySpace dhe portale të tjera me fokus kryesisht lajmet.
Gjatë hulumtimit të tij, AV-Comparatives, së bashku me studimin e aftësive të antiviruseve për të zbuluar malware, kryen gjithashtu teste për rezultate false në koleksionet e skedarëve të pastër (shih rezultatet në diagramin më poshtë). Sipas testit, antiviruset Doctor Web dhe Avira janë më të këqijat me rezultate false.
Ne trajtojmë atë që nuk e kemi kapur
Sado e trishtueshme të pranohet, nuk ka mbrojtje 100% kundër viruseve. Përdoruesit herë pas here përballen me një situatë ku një program keqdashës ka depërtuar në një kompjuter dhe kompjuteri është infektuar. Kjo ndodh ose sepse nuk kishte fare antivirus në kompjuter ose sepse antivirusi nuk e zbuloi programin keqdashës. duke përdorur ose metoda të nënshkrimit ose proaktive. Në një situatë të tillë, është e rëndësishme që kur një antivirus me baza të dhënash të reja nënshkrimesh instalohet në kompjuter, antivirusi jo vetëm që mund të zbulojë programin me qëllim të keq, por edhe të eliminojë me sukses të gjitha pasojat e aktiviteteve të tij dhe të kurojë infeksionin aktiv. Në të njëjtën kohë, është e rëndësishme të kuptohet se shkrimtarët e viruseve po përmirësojnë vazhdimisht "aftësitë" e tyre dhe disa nga krijimet e tyre janë mjaft të vështira për t'u hequr nga një kompjuter - programet me qëllim të keq mund të maskojnë praninë e tyre në sistem në mënyra të ndryshme (përfshirë përdorimin e rootkits) dhe madje kundërshtojnë punën e programeve antivirus. Për më tepër, nuk mjafton thjesht të fshini ose dezinfektoni një skedar të infektuar; ju duhet të eliminoni të gjitha ndryshimet e bëra nga procesi me qëllim të keq në sistem (për shembull, ndryshimet në regjistër) dhe të rivendosni plotësisht sistemin në funksionalitet. I vetmi grup studiuesish të panjohur për autorët është ekipi i portalit rus Anti-Malware.ru, i cili po kryen teste për trajtimin e infeksioneve aktive. Ata kryen testin e fundit të tillë në shtator të vitit të kaluar, rezultatet e tij janë paraqitur në diagramin e mëposhtëm:
Integrimi i vlerësimeve
Më sipër, ne shqyrtuam një sërë qasjesh për testimin e antiviruseve dhe treguam se cilët parametra të funksionimit të antivirusit merren parasysh gjatë testimit. Është e qartë se për disa antiviruse një tregues rezulton të jetë i favorshëm, për të tjerët - një tjetër. Në të njëjtën kohë, është e natyrshme që në materialet e tyre reklamuese, zhvilluesit e antiviruseve përqendrohen vetëm në ato teste ku produktet e tyre zënë pozicione drejtuese. Për shembull, Kaspersky Lab fokusohet në shpejtësinë e reagimit ndaj shfaqjes së kërcënimeve të reja, Eset - në fuqinë e teknologjive të tij heuristike, Doctor Web përshkruan avantazhet e tij në trajtimin e infeksioneve aktive. Por çfarë duhet të bëjë përdoruesi, si të bëjë zgjedhjen e duhur?
Shpresojmë që ky artikull të ndihmojë përdoruesit në zgjedhjen e një antivirusi. Për këtë qëllim, u prezantuan rezultatet e një sërë testesh për t'i dhënë përdoruesit një ide mbi pikat e forta dhe të dobëta të softuerit antivirus. Është e qartë se zgjidhja që zgjedh përdoruesi duhet të jetë e ekuilibruar dhe, në shumicën e aspekteve, duhet të jetë ndër liderët në rezultatet e testimit. Për të plotësuar tablonë, pozicionet që zinin antiviruset në testet e shqyrtuara përmblidhen në një tabelë të vetme më poshtë, si dhe jepet një vlerësim i integruar - çfarë vendi zë mesatarisht një produkt i veçantë në të gjitha testet. Si rezultat, tre fituesit kryesorë ishin: Kaspersky, Avira, Symantec.
2.1.4 Analiza krahasuese e agjentëve antiviralë.
Ka shumë programe të ndryshme antivirus me origjinë vendase dhe jo shtëpiake. Dhe për të kuptuar se cili program antivirus është më i mirë, ne do të bëjmë një analizë krahasuese të tyre. Për ta bërë këtë, le të marrim programet moderne antivirus, si dhe ato që përdoren më shpesh nga përdoruesit e PC.
Panda Antivirus 2008 3.01.00
Sistemet e përputhshme: Windows 2000/XP/Vista
Instalimi
Është e vështirë të imagjinohet një instalim më i thjeshtë dhe më i shpejtë se sa ofron Panda 2008. Na thuhet vetëm nga cilat kërcënime do të mbrojë ky aplikacion dhe, pa asnjë zgjedhje të llojit të instalimit apo burimit të përditësimit, ata ofrojnë mbrojtje kundër viruseve, krimbave, trojanëve, softuerit spy dhe phishing në më pak se një minutë, pasi ka skanuar më parë kujtesën e kompjuterit për viruse. Megjithatë, ai nuk mbështet disa funksione të tjera të avancuara të antivirusëve modernë, si bllokimi i faqeve të dyshimta në internet ose mbrojtja e të dhënave personale.
Ndërfaqja dhe funksionimi
Ndërfaqja e programit është shumë e ndritshme. Cilësimet ekzistuese ofrojnë një nivel minimal ndryshimesh; janë të disponueshme vetëm gjërat thelbësore. Në përgjithësi, vetë-konfigurimi në këtë rast nuk është i nevojshëm: cilësimet e paracaktuara u përshtaten shumicës së përdoruesve, duke siguruar mbrojtje kundër sulmeve të phishing, spyware, viruseve, aplikacioneve të hakerëve dhe kërcënimeve të tjera.
Panda mund të përditësohet vetëm nëpërmjet internetit. Për më tepër, rekomandohet fuqimisht instalimi i përditësimit menjëherë pas instalimit të antivirusit, përndryshe Panda do të kërkojë rregullisht qasje në serverin "prind" me një dritare të vogël, por mjaft të dukshme në fund të ekranit, që tregon një nivel të ulët të mbrojtjes aktuale.
Panda 2008 i ndan të gjitha kërcënimet në të njohura dhe të panjohura. Në rastin e parë, ne mund të çaktivizojmë skanimin për lloje të caktuara kërcënimesh; në rastin e dytë, ne përcaktojmë nëse do t'i nënshtrojmë skedarët, mesazhet IM dhe emailet në skanim të thellë për të kërkuar objekte të panjohura me qëllim të keq. Nëse Panda zbulon sjellje të dyshimta në ndonjë aplikacion, do t'ju njoftojë menjëherë, duke siguruar kështu mbrojtje kundër kërcënimeve që nuk përfshihen në bazën e të dhënave antivirus.
Panda ju lejon të skanoni të gjithë hard diskun tuaj ose pjesë të veçanta të tij. Mos harroni se skanimi i arkivit është i çaktivizuar si parazgjedhje. Menyja e cilësimeve paraqet shtesat e skedarëve që skanohen; nëse është e nevojshme, mund të shtoni shtesat tuaja. Statistikat e kërcënimeve të zbuluara, të cilat paraqiten në formën e një grafiku byrek që tregon qartë pjesën e secilit lloj kërcënimi në numrin e përgjithshëm të objekteve me qëllim të keq, meriton përmendje të veçantë. Një raport i objekteve të zbuluar mund të gjenerohet për një periudhë të caktuar kohe.
· Kërkesat minimale të sistemit: Windows 98/NT/Me/2000/XP.
Kërkesat e harduerit korrespondojnë me ato të deklaruara për OS të specifikuar.
Karakteristikat kryesore funksionale:
· mbrojtje kundër krimbave, viruseve, trojanëve, viruseve polimorfikë, makro viruseve, spyware, telefonuesve, adware, shërbimeve të hakerëve dhe skripteve me qëllim të keq;
· përditësimi i bazave të të dhënave antivirus deri në disa herë në orë, madhësia e çdo përditësimi është deri në 15 KB;
· kontrollimi i kujtesës së sistemit të kompjuterit për të zbuluar viruse që nuk ekzistojnë në formën e skedarëve (për shembull, CodeRed ose Slammer);
· një analizues heuristik që ju lejon të neutralizoni kërcënimet e panjohura përpara se të lëshohen përditësimet përkatëse të bazës së të dhënave të virusit.
Instalimi
Në fillim, Dr.Web sinqerisht paralajmëron se nuk ka ndërmend të merret vesh me aplikacione të tjera antivirus dhe ju kërkon të siguroheni që të mos ketë aplikacione të tilla në kompjuterin tuaj. Përndryshe, puna e përbashkët mund të çojë në "pasoja të paparashikueshme". Tjetra, zgjidhni instalimin "Custom" ose "Normal" (rekomanduar) dhe filloni të studioni përbërësit kryesorë të paraqitur:
· skaner për Windows. Kontrollimi manual i skedarëve;
· Skaneri i konsolës për Windows. Projektuar për t'u lëshuar nga skedarët e komandës;
· Garda e merimangës. Kontrollimi i skedarëve në fluturim, parandalimi i infeksioneve në kohë reale;
· Spider Mail. Skanoni mesazhet e marra nëpërmjet protokolleve POP3, SMTP, IMAP dhe NNTP.
Ndërfaqja dhe funksionimi
Mungesa e konsistencës në ndërfaqen midis moduleve antivirus është e habitshme, gjë që krijon shqetësime shtesë vizuale me aksesin tashmë jo shumë miqësor ndaj komponentëve të Dr.Web. Një numër i madh i cilësimeve të ndryshme nuk janë të dizajnuara qartë për një përdorues fillestar, megjithatë, ndihma mjaft e detajuar në një formë të arritshme do të shpjegojë qëllimin e disa parametrave që ju interesojnë. Qasja në modulin qendror të Dr.Web - një skaner për Windows - nuk kryhet përmes tabakasë, si të gjithë antiviruset e diskutuar në rishikim, por vetëm përmes "Start" - larg nga zgjidhja më e mirë, e cila u fiksua në Kaspersky Antivirus në një kohë.
Përditësimi është i disponueshëm si nëpërmjet internetit, ashtu edhe përmes serverëve proxy, gjë që, duke pasur parasysh madhësinë e vogël të nënshkrimeve, e bën Dr.Web një opsion shumë tërheqës për rrjetet kompjuterike të mesme dhe të mëdha.
Mund të vendosni parametrat e skanimit të sistemit, rendin e përditësimit dhe të konfiguroni kushtet e funksionimit për çdo modul Dr.Web duke përdorur mjetin e përshtatshëm "Scheduler", i cili ju lejon të krijoni një sistem koherent mbrojtjeje nga "projektuesi" i komponentëve Dr.Web.
Si rezultat, ne marrim një burim kompjuterik jokërkues, mbrojtje holistik mjaft të pakomplikuar (pas shqyrtimit më të afërt) të kompjuterit nga të gjitha llojet e kërcënimeve, aftësitë e të cilit për të luftuar aplikacionet me qëllim të keq tejkalojnë qartë pengesën e vetme të shprehur nga ndërfaqja "e larmishme" e Dr. Modulet në ueb.
Le të shqyrtojmë procesin e skanimit të drejtpërdrejtë të drejtorisë së zgjedhur. "Subjekti i testimit" ishte një dosje e mbushur me dokumente teksti, arkiva, muzikë, video dhe skedarë të tjerë tipikë për hard diskun e përdoruesit mesatar. Sasia totale e informacionit ishte 20 GB. Fillimisht, ishte dashur të skanonte ndarjen e diskut në të cilën ishte instaluar sistemi, por Dr.Web synoi të zgjaste skanimin për dy deri në tre orë, duke studiuar plotësisht skedarët e sistemit, dhe si rezultat, një dosje e veçantë u nda për "zona e testimit". Çdo antivirus përdori të gjitha aftësitë e ofruara për të konfiguruar numrin maksimal të skedarëve të skanuar.
Vendi i parë për sa i përket kohës së shpenzuar shkoi për Panda 2008. E pabesueshme por e vërtetë: skanimi zgjati vetëm pesë (!) minuta. Dr.Web refuzoi të përdorte në mënyrë racionale kohën e përdoruesit dhe studioi përmbajtjen e dosjeve për më shumë se një orë e gjysmë. Koha e treguar nga Panda 2008 ngriti disa dyshime, duke kërkuar diagnostifikim shtesë të një parametri në dukje të parëndësishëm - numrin e skedarëve të skanuar. Dyshimet u ngritën jo më kot dhe gjetën një bazë praktike gjatë testeve të përsëritura. Ne duhet t'i bëjmë haraç Dr.Web - antivirusi nuk humbi aq shumë kohë kot, duke demonstruar rezultatin më të mirë: pak më shumë se 130 mijë skedarë. Le të bëjmë një rezervë që, për fat të keq, nuk ishte e mundur të përcaktohej numri i saktë i skedarëve në dosjen e testimit. Prandaj, treguesi Dr.Web u mor si pasqyrues i situatës reale në këtë çështje.
Përdoruesit kanë qëndrime të ndryshme ndaj procesit të skanimit "në shkallë të gjerë": disa preferojnë të largohen nga kompjuteri dhe të mos ndërhyjnë në skanim, të tjerët nuk duan të bëjnë kompromis me antivirusin dhe të vazhdojnë të punojnë ose të luajnë. Opsioni i fundit, siç doli, lejon që Panda Antivirus të zbatohet pa asnjë problem. Po, ky program, në të cilin doli të ishte e pamundur të theksoheshin veçoritë kryesore, në çdo konfigurim do të shkaktojë shqetësimin e vetëm me një shenjë jeshile që njofton përfundimin me sukses të skanimit. Dr.Web mori titullin e konsumatorit më të qëndrueshëm të RAM-it; në modalitetin e ngarkesës së plotë, funksionimi i tij kërkonte vetëm disa megabajt më shumë sesa gjatë funksionimit normal.
Tani le të hedhim një vështrim më të afërt të antiviruseve të tillë si:
1. Kaspersky Anti-Virus 2009;
3. Panda Antivirus 2008;
sipas kritereve të mëposhtme:
· Vlerësimi i përdorshmërisë së ndërfaqes së përdoruesit;
· Vlerësimi i lehtësisë së përdorimit;
· Analiza e një grupi aftësish teknike;
· Vlerësimi i kostos.
Nga të gjithë antivirusët e rishikuar, më i liri është Panda Antivirus 2008, dhe më i shtrenjti është NOD 32. Por kjo nuk do të thotë se Panda Antivirus 2008 është më i keq dhe kjo dëshmohet nga kriteret e tjera. Tre nga katër programet e rishikuara (Kaspersky Anti-Virus, Panda Antivirus, NOD 32) kanë një ndërfaqe më të thjeshtë, më funksionale dhe miqësore për përdoruesit sesa Dr. Web, i cili ka shumë cilësime që janë të pakuptueshme për një përdorues fillestar. Në program, mund të përdorni ndihmë të detajuar që do të shpjegojë qëllimin e disa parametrave që ju nevojiten.
Të gjitha programet ofrojnë mbrojtje të besueshme kundër krimbave, viruseve tradicionale, viruseve të postës elektronike, spyware, kuajve trojan, etj. Kontrollimi i skedarëve në programe të tilla si Dr. Web, NOD 32, kryhet në fillimin e sistemit, por Kaspersky Anti-Virus kontrollon skedarët në momentin që ato aksesohen. Kaspersky Anti-Virus, NOD 32, ndryshe nga të gjithë të tjerët, ka një sistem të avancuar të mbrojtjes proaktive bazuar në algoritmet e analizës heuristike; aftësia për të vendosur një fjalëkalim dhe në këtë mënyrë për të mbrojtur programin nga viruset që synojnë shkatërrimin e mbrojtjes antivirus. Përveç kësaj, Kaspersky Anti-Virus 2009 ka një bllokues të sjelljes. Panda Antivirus, ndryshe nga të gjithë të tjerët, nuk mbështet bllokimin e faqeve të dyshimta në internet ose mbrojtjen e të dhënave personale. Të gjithë këta antivirusë kanë përditësime automatike të bazës së të dhënave dhe një programues detyrash. Gjithashtu, këto programe antivirus janë plotësisht në përputhje me Vista. Por të gjithë, përveç Panda Antivirus, kërkojnë që përveç tyre të mos ketë programe të tjera të ngjashme në sistem. Bazuar në këto të dhëna, ne do të krijojmë një tabelë.
Tabela.1 Karakteristikat e programeve antivirus
| kriteret | Kaspersky Anti-Virus 2009 | NOD 32 | Dr. Web | Antivirus Panda |
| Vlerësimi i kostos | - | - | - | + |
| Vlerësimi i përdorshmërisë së ndërfaqes së përdoruesit | + | + | - | |
| Vlerësimi i lehtësisë së përdorimit | + | + | +- | - |
| Analiza e një grupi aftësish teknike | + | + | + | - |
| Përshtypja e përgjithshme e programit | + | + | - |
Secili prej antiviruseve të shqyrtuar ka fituar popullaritetin e tij në një mënyrë ose në një tjetër, por nuk ka zgjidhje absolutisht ideale për të gjitha kategoritë e përdoruesve.
Sipas mendimit tim, më të dobishmet janë Kaspersky Anti-Virus 2009 dhe NOD 32. Meqenëse ato kanë pothuajse të gjitha kërkesat që duhet të ketë një program antivirus. Kjo është njëkohësisht një ndërfaqe dhe një grup aftësish teknike. Në përgjithësi, ata kanë atë që ju nevojitet për të mbrojtur kompjuterin tuaj nga viruset.
konkluzioni
Në përfundim të kësaj pune të kursit, do të doja të them se qëllimi që vendosa - për të kryer një analizë krahasuese të mjeteve moderne antivirus - u arrit. Në këtë drejtim, u zgjidhën detyrat e mëposhtme:
1. Është përzgjedhur literatura për këtë temë.
2. Janë studiuar programe të ndryshme antivirus.
3. Është bërë një krahasim i programeve antivirus.
Gjatë përfundimit të lëndës, kam hasur në një sërë problemesh në lidhje me kërkimin e informacionit, pasi në shumë burime është mjaft kontradiktore; si dhe me një analizë krahasuese të avantazheve dhe disavantazheve të çdo programi antivirus dhe ndërtimin e një tabele përmbledhëse.
Edhe një herë, vlen të përmendet se nuk ka asnjë program universal antivirus. Asnjë prej tyre nuk mund të na garantojë mbrojtje 100% kundër viruseve, dhe zgjedhja e një programi antivirus varet kryesisht nga përdoruesi.
Letërsia
1. Revista për përdoruesit e kompjuterëve personalë "PC World"
2. Leontiev V.P. "Enciklopedia më e fundit e kompjuterit personal"
3. http://www.viruslist.com
Skanon për të gjitha modulet përveç modulit Computer Scan. 1) Moduli anti-spam për Outlook Express dhe Windows Mail është i mundshëm. Pas instalimit të Eset Smart Security në Outlook Express ose Windows Mail, shfaqet një shirit veglash që përmban funksionet e mëposhtme të modulit anti-spam 2) Moduli anti-spam funksionon...
Viruset kompjuterike. Për trajtimin me cilësi të lartë dhe korrekt të një programi të infektuar, nevojiten antivirusë të specializuar (për shembull, antivirus Kaspersky, Dr Web, etj.). KAPITULLI 2. ANALIZA KRAHASUESE E PROGRAMEVE ANTI-VIRUS Për të vërtetuar avantazhet e produkteve të tyre, zhvilluesit e antiviruseve shpesh përdorin rezultatet e testeve të pavarura. Një nga të parët që testoi antivirusin...
Funksionon shkëlqyeshëm me koleksionin VirusBulletin ITW - dhe asgjë më shumë. Vlerësimi mesatar i antivirusit në të gjitha testet tregohet në Fig. 1. (Shih Shtojcën Fig. 1.). Kapitulli 2. Përdorimi i programeve antivirus 2.1 Kontrolli antivirus i emailit Nëse në agimin e zhvillimit të teknologjisë kompjuterike kanali kryesor i përhapjes së viruseve ishte shkëmbimi i skedarëve të programit nëpërmjet disketave, atëherë...
... (për shembull, mos shkarkimi ose ekzekutimi i programeve të panjohura nga Interneti) do të zvogëlonte gjasat e përhapjes së viruseve dhe do të eliminonte nevojën për të përdorur shumë programe antivirus. Përdoruesit e kompjuterit nuk duhet të punojnë me të drejtat e administratorit gjatë gjithë kohës. Nëse do të përdornin modalitetin normal të aksesit të përdoruesit, atëherë disa lloje virusesh nuk do të...
Prezantimi
1. Pjesa teorike
1.1 Koncepti i sigurisë së informacionit
1.2 Llojet e kërcënimeve
1.3 Metodat e sigurisë së informacionit
2. Pjesa e projektimit
2.1 Klasifikimi i viruseve kompjuterike
2.2 Koncepti i një programi antivirus
2.3 Llojet e produkteve antivirus
2.4 Krahasimi i paketave antivirus
konkluzioni
Lista e literaturës së përdorur
Aplikacion
Prezantimi
Zhvillimi i teknologjive të reja të informacionit dhe kompjuterizimi universal kanë çuar në faktin se siguria e informacionit jo vetëm bëhet e detyrueshme, por është edhe një nga karakteristikat e sistemeve të informacionit. Ekziston një klasë mjaft e madhe e sistemeve të përpunimit të informacionit në zhvillimin e të cilave faktori i sigurisë luan një rol kryesor.
Përdorimi i gjerë i kompjuterëve personalë shoqërohet me shfaqjen e programeve të virusit vetë-riprodhues që ndërhyjnë në funksionimin normal të kompjuterit, shkatërrojnë strukturën e skedarëve të disqeve dhe dëmtojnë informacionin e ruajtur në kompjuter.
Megjithë ligjet e miratuara në shumë vende për të luftuar krimet kompjuterike dhe zhvillimin e softuerit special antivirus, numri i viruseve të reja softuerike po rritet vazhdimisht. Kjo kërkon që përdoruesi i një kompjuteri personal të ketë njohuri për natyrën e viruseve, metodat e infektimit nga viruset dhe mbrojtjen kundër tyre.
Viruset po bëhen më të sofistikuara çdo ditë e më shumë, duke rezultuar në një ndryshim të rëndësishëm në profilin e kërcënimit. Por tregu i programeve antivirus nuk qëndron ende, duke ofruar shumë produkte. Përdoruesit e tyre, duke e paraqitur problemin vetëm në terma të përgjithshëm, shpesh humbasin nuanca të rëndësishme dhe përfundojnë me iluzionin e mbrojtjes në vend të vetë mbrojtjes.
Qëllimi i kësaj pune të kursit është të kryejë një analizë krahasuese të paketave antivirus.
Për të arritur këtë qëllim, në punë zgjidhen detyrat e mëposhtme:
Mësoni konceptet e sigurisë së informacionit, viruset kompjuterike dhe mjetet antivirus;
Përcaktoni llojet e kërcënimeve ndaj sigurisë së informacionit, metodat e mbrojtjes;
Të studiojë klasifikimin e viruseve kompjuterike dhe programeve antivirus;
Kryerja e një analize krahasuese të paketave antivirus;
Krijoni një program antivirus.
Rëndësia praktike e punës.
Rezultatet e marra dhe materiali i punës së kursit mund të përdoren si bazë për krahasimin e pavarur të programeve antivirus.
Struktura e punës së kursit.
Kjo punë e kursit përbëhet nga një hyrje, dy seksione, një përfundim dhe një listë referencash.
antivirus i sigurisë së viruseve kompjuterike
1. Pjesa teorike
Në procesin e kryerjes së një analize krahasuese të paketave antivirus, është e nevojshme të përcaktohen konceptet e mëposhtme:
1 Siguria e informacionit.
2 Llojet e kërcënimeve.
3 Metodat e sigurisë së informacionit.
Le të kalojmë në një shqyrtim të hollësishëm të këtyre koncepteve:
1.1 Koncepti i sigurisë së informacionit
Pavarësisht përpjekjeve gjithnjë në rritje për krijimin e teknologjive të mbrojtjes së të dhënave, cenueshmëria e tyre në kushtet moderne jo vetëm që nuk ulet, por po rritet vazhdimisht. Prandaj, rëndësia e problemeve që lidhen me mbrojtjen e informacionit po rritet gjithnjë e më shumë.
Problemi i sigurisë së informacionit është i shumëanshëm dhe kompleks dhe mbulon një sërë detyrash të rëndësishme. Për shembull, konfidencialiteti i të dhënave, i cili sigurohet duke përdorur metoda dhe mjete të ndryshme. Lista e detyrave të ngjashme të sigurisë së informacionit mund të vazhdohet. Zhvillimi intensiv i teknologjive moderne të informacionit, dhe veçanërisht teknologjive të rrjetit, krijon të gjitha parakushtet për këtë.
Mbrojtja e informacionit është një grup masash që synojnë të sigurojnë integritetin, disponueshmërinë dhe, nëse është e nevojshme, konfidencialitetin e informacionit dhe burimeve të përdorura për futjen, ruajtjen, përpunimin dhe transmetimin e të dhënave.
Deri më sot, janë formuluar dy parime bazë për mbrojtjen e informacionit:
1 integriteti i të dhënave – mbrojtje nga dështimet që çojnë në humbje të informacionit, si dhe mbrojtje kundër krijimit ose shkatërrimit të paautorizuar të të dhënave;
2 konfidencialiteti i informacionit.
Mbrojtja nga dështimet që çojnë në humbjen e informacionit kryhet në drejtim të rritjes së besueshmërisë së elementeve dhe sistemeve individuale që futin, ruajnë, përpunojnë dhe transmetojnë të dhëna, duke dublikuar dhe të tepërt elementë dhe sisteme individuale, duke përdorur burime të ndryshme, përfshirë autonome, të energjisë, rritja e nivelit të kualifikimeve të përdoruesve, mbrojtje nga veprimet e paqëllimshme dhe të qëllimshme që çojnë në dështimin e pajisjeve, shkatërrimin ose ndryshimin (modifikimin) e softuerit dhe informacionit të mbrojtur.
Mbrojtja kundër krijimit ose shkatërrimit të paautorizuar të të dhënave sigurohet nga mbrojtja fizike e informacionit, kufizimi dhe kufizimi i aksesit në elementët e informacionit të mbrojtur, mbyllja e informacionit të mbrojtur gjatë përpunimit të tij të drejtpërdrejtë, zhvillimi i sistemeve softuerike dhe harduerike, pajisjeve dhe softuerëve të specializuar për të parandaluar të paautorizuarat. akses në informacionin e mbrojtur.
Konfidencialiteti i informacionit sigurohet nga identifikimi dhe vërtetimi i subjekteve të aksesit kur hyni në sistem duke përdorur një ID dhe fjalëkalim, identifikimi i pajisjeve të jashtme sipas adresave fizike, identifikimi i programeve, vëllimeve, drejtorive, skedarëve sipas emrit, kriptimi dhe deshifrimi i informacionit, përcaktimi dhe kontrollin e aksesit në të.
Ndër masat që synojnë mbrojtjen e informacionit, ato kryesore janë teknike, organizative dhe ligjore.
Masat teknike përfshijnë mbrojtjen kundër aksesit të paautorizuar në sistem, tepricën e nënsistemeve kompjuterike veçanërisht të rëndësishme, organizimin e rrjeteve kompjuterike me mundësinë e rishpërndarjes së burimeve në rast të një mosfunksionimi të lidhjeve individuale, instalimin e sistemeve rezervë të furnizimit me energji elektrike, pajisjen e ambienteve me bravë, instalimi i alarmeve, e kështu me radhë.
Masat organizative përfshijnë: sigurinë e qendrës kompjuterike (salla e informatikës); lidhja e një kontrate për mirëmbajtjen e pajisjeve kompjuterike me një organizatë me reputacion me reputacion të mirë; duke përjashtuar mundësinë e personave të paautorizuar, personave të rastësishëm e kështu me radhë, që punojnë në pajisje kompjuterike.
Masat ligjore përfshijnë zhvillimin e standardeve që vendosin përgjegjësinë për çaktivizimin e pajisjeve kompjuterike dhe shkatërrimin (ndryshimin) e softuerit, kontrollin publik mbi zhvilluesit dhe përdoruesit e sistemeve dhe programeve kompjuterike.
Duhet theksuar se asnjë harduer, softuer apo ndonjë zgjidhje tjetër nuk mund të garantojë besueshmëri dhe siguri absolute të të dhënave në sistemet kompjuterike. Në të njëjtën kohë, është e mundur të minimizohet rreziku i humbjeve, por vetëm me një qasje të integruar për mbrojtjen e informacionit.
1.2 Llojet e kërcënimeve
Kërcënimet pasive kanë për qëllim kryesisht përdorimin e paautorizuar të burimeve të informacionit të një sistemi informacioni, pa ndikuar në funksionimin e tij. Për shembull, aksesi i paautorizuar në bazat e të dhënave, përgjimi i kanaleve të komunikimit etj.
Kërcënimet aktive synojnë të prishin funksionimin normal të një sistemi informacioni duke ndikuar qëllimisht në komponentët e tij. Kërcënimet aktive përfshijnë, për shembull, çaktivizimin e një kompjuteri ose sistemin e tij operativ, shkatërrimin e programeve kompjuterike, ndërprerjen e linjave të komunikimit, etj. Kërcënimet aktive mund të vijnë nga hakerat, malware dhe të ngjashme.
Kërcënimet e qëllimshme ndahen gjithashtu në të brendshme (që dalin brenda organizatës së menaxhuar) dhe të jashtme.
Kërcënimet e brendshme më së shpeshti përcaktohen nga tensioni social dhe një klimë e vështirë morale.
Kërcënimet e jashtme mund të përcaktohen nga veprimet keqdashëse të konkurrentëve, kushtet ekonomike dhe arsye të tjera (për shembull, fatkeqësitë natyrore).
Kërcënimet kryesore për sigurinë e informacionit dhe funksionimin normal të sistemit të informacionit përfshijnë:
Rrjedhja e informacionit konfidencial;
Kompromisi i informacionit;
Përdorimi i paautorizuar i burimeve të informacionit;
Përdorimi i gabuar i burimeve të informacionit;
Shkëmbim i paautorizuar i informacionit ndërmjet abonentëve;
Refuzimi i informacionit;
Shkelje e shërbimeve të informacionit;
Përdorimi i paligjshëm i privilegjeve.
Rrjedhja e informacionit konfidencial është lëshimi i pakontrolluar i informacionit konfidencial jashtë sistemit të informacionit ose rrethit të personave të cilëve u është besuar gjatë punës së tyre ose u bë i njohur gjatë punës. Kjo rrjedhje mund të jetë për shkak të:
Zbulimi i informacionit konfidencial;
Transferimi i informacionit përmes kanaleve të ndryshme, kryesisht teknike;
Qasje e paautorizuar në informacione konfidenciale në mënyra të ndryshme.
Zbulimi i informacionit nga pronari ose mbajtësi i tij janë veprime të qëllimshme ose të pakujdesshme të zyrtarëve dhe përdoruesve të cilëve u është besuar informacioni përkatës në mënyrën e përcaktuar përmes shërbimit ose punës së tyre, gjë që ka çuar në njohjen me të të personave që nuk lejoheshin të kishin akses në këtë informacion.
Humbja e pakontrolluar e informacionit konfidencial është e mundur përmes kanaleve vizuale-optike, akustike, elektromagnetike dhe të tjera.
Qasja e paautorizuar është marrja e paligjshme e qëllimshme e informacionit konfidencial nga një person që nuk ka të drejtë të aksesojë informacionin e mbrojtur.
Mënyrat më të zakonshme të aksesit të paautorizuar në informacion janë:
Përgjimi i rrezatimit elektronik;
Përdorimi i pajisjeve të dëgjimit;
Fotografi në distancë;
Përgjimi i rrezatimit akustik dhe restaurimi i tekstit të printerit;
Kopjimi i mediave të ruajtjes duke kapërcyer masat e sigurisë;
Maskimi si përdorues i regjistruar;
Maskimi si kërkesa të sistemit;
Përdorimi i kurtheve të softuerit;
Shfrytëzimi i mangësive të gjuhëve të programimit dhe sistemeve operative;
Lidhja e paligjshme me pajisjet dhe linjat e komunikimit të harduerit të projektuar posaçërisht që ofron akses në informacion;
Dështimi keqdashës i mekanizmave mbrojtës;
Deshifrimi i informacionit të koduar nga programe speciale;
Infeksionet e informacionit.
Metodat e listuara të aksesit të paautorizuar kërkojnë mjaft njohuri teknike dhe zhvillim të duhur të harduerit ose softuerit nga ana e sulmuesit. Për shembull, përdoren kanalet e rrjedhjes teknike - këto janë rrugë fizike nga burimi i informacionit konfidencial te sulmuesi, përmes të cilave është e mundur të merret informacion i mbrojtur. Shkaku i kanaleve të rrjedhjes është dizajni dhe papërsosmëritë teknologjike në zgjidhjet e qarkut ose veshja operacionale e elementeve. E gjithë kjo lejon hakerat të krijojnë konvertues që funksionojnë në parime të caktuara fizike, duke formuar një kanal transmetimi informacioni të natyrshëm në këto parime - një kanal rrjedhjeje.
Sidoqoftë, ka edhe mënyra mjaft primitive të aksesit të paautorizuar:
Vjedhja e mjeteve të depozitimit dhe mbetjeve dokumentare;
Bashkëpunimi iniciativ;
Prirje për bashkëpunim nga ana e hajdutit;
hetim;
Përgjimi;
Vëzhgimi dhe mënyra të tjera.
Çdo mjet i rrjedhjes së informacionit konfidencial mund të çojë në dëme të konsiderueshme materiale dhe morale si për organizatën ku funksionon sistemi i informacionit, ashtu edhe për përdoruesit e tij.
Ekziston dhe po zhvillohet vazhdimisht një larmi e madhe programesh me qëllim të keq, qëllimi i të cilave është dëmtimi i informacionit në bazat e të dhënave dhe softuerët kompjuterikë. Numri i madh i varieteteve të këtyre programeve nuk na lejon të zhvillojmë mjete të përhershme dhe të besueshme të mbrojtjes kundër tyre.
Virusi besohet të karakterizohet nga dy karakteristika kryesore:
Aftësia për të vetë-riprodhuar;
Aftësia për të ndërhyrë në procesin e llogaritjes (për të fituar kontrollin).
Përdorimi i paautorizuar i burimeve të informacionit, nga njëra anë, është pasoja e rrjedhjes së tij dhe një mjet për ta kompromentuar atë. Nga ana tjetër, ai ka një rëndësi të pavarur, pasi mund të shkaktojë dëme të mëdha për sistemin e menaxhuar ose abonentët e tij.
Përdorimi i gabuar i burimeve të informacionit, megjithëse i autorizuar, megjithatë mund të çojë në shkatërrimin, rrjedhjen ose komprometimin e burimeve në fjalë.
Shkëmbimi i paautorizuar i informacionit ndërmjet pajtimtarëve mund të rezultojë që njëri prej tyre të marrë informacion në të cilin atij i ndalohet aksesi. Pasojat janë të njëjta si për aksesin e paautorizuar.
1.3 Metodat e sigurisë së informacionit
Krijimi i sistemeve të sigurisë së informacionit bazohet në parimet e mëposhtme:
1 Një qasje sistematike për ndërtimin e një sistemi mbrojtjeje, që nënkupton një kombinim optimal të ndërlidhura organizative, softuerike,. Vetitë harduerike, fizike dhe të tjera të konfirmuara nga praktika e krijimit të sistemeve të sigurisë vendase dhe të huaja dhe të përdorura në të gjitha fazat e ciklit teknologjik të përpunimit të informacionit.
2 Parimi i zhvillimit të vazhdueshëm të sistemit. Ky parim, i cili është një nga parimet themelore për sistemet e informacionit kompjuterik, është edhe më i rëndësishëm për sistemet e sigurisë së informacionit. Metodat për zbatimin e kërcënimeve ndaj informacionit janë duke u përmirësuar vazhdimisht, dhe për këtë arsye sigurimi i sigurisë së sistemeve të informacionit nuk mund të jetë një akt një herë. Ky është një proces i vazhdueshëm që konsiston në justifikimin dhe zbatimin e metodave, metodave dhe mënyrave më racionale të përmirësimit të sistemeve të sigurisë së informacionit, monitorimit të vazhdueshëm, identifikimit të pengesave dhe dobësive të tij, kanaleve të mundshme për rrjedhje informacioni dhe metodave të reja të aksesit të paautorizuar.
3 Sigurimi i besueshmërisë së sistemit të mbrojtjes, domethënë pamundësisë së uljes së nivelit të besueshmërisë në rast të dështimeve, dështimeve, veprimeve të qëllimshme të një hakeri ose gabimeve të paqëllimshme të përdoruesve dhe personelit të mirëmbajtjes në sistem.
4 Sigurimi i kontrollit mbi funksionimin e sistemit të mbrojtjes, pra krijimi i mjeteve dhe metodave për monitorimin e performancës së mekanizmave mbrojtës.
5 Sigurimi i të gjitha llojeve të mjeteve kundër malware.
6 Sigurimi i fizibilitetit ekonomik të përdorimit të sistemit. Mbrojtja, e cila shprehet në tejkalimin e dëmeve të mundshme nga zbatimi i kërcënimeve mbi koston e zhvillimit dhe funksionimit të sistemeve të sigurisë së informacionit.
Si rezultat i zgjidhjes së problemeve të sigurisë së informacionit, sistemet moderne të informacionit duhet të kenë këto karakteristika kryesore:
Disponueshmëria e informacionit të shkallëve të ndryshme të konfidencialitetit;
Sigurimi i mbrojtjes kriptografike të informacionit të shkallëve të ndryshme të konfidencialitetit gjatë transferimit të të dhënave;
Kontroll i detyrueshëm i flukseve të informacionit, si në rrjetet lokale ashtu edhe kur transmetohen nëpërmjet kanaleve të komunikimit në distanca të gjata;
Prania e një mekanizmi për regjistrimin dhe llogaritjen e përpjekjeve për akses të paautorizuar, ngjarjet në sistemin e informacionit dhe dokumentet e printuara;
Sigurimi i detyrueshëm i integritetit të softuerit dhe informacionit;
Disponueshmëria e mjeteve për rivendosjen e sistemit të sigurisë së informacionit;
Kontabiliteti i detyrueshëm i mediave magnetike;
Disponueshmëria e sigurisë fizike të pajisjeve kompjuterike dhe mediave magnetike;
Disponueshmëria e një shërbimi të veçantë të sigurisë së informacionit të sistemit.
Metodat dhe mjetet për të garantuar sigurinë e informacionit.
Një pengesë është një metodë për të bllokuar fizikisht rrugën e një sulmuesi drejt informacionit të mbrojtur.
Kontrolli i aksesit - metodat e mbrojtjes së informacionit duke rregulluar përdorimin e të gjitha burimeve. Këto metoda duhet t'i rezistojnë të gjitha mënyrave të mundshme të aksesit të paautorizuar në informacion. Kontrolli i aksesit përfshin veçoritë e mëposhtme të sigurisë:
Identifikimi i përdoruesve, personelit dhe burimeve të sistemit (caktimi i një identifikuesi personal për çdo objekt);
Identifikimi i një objekti ose subjekti nga identifikuesi i paraqitur atyre;
Leja dhe krijimi i kushteve të punës brenda rregulloreve të përcaktuara;
Regjistrimi i kërkesave për burimet e mbrojtura;
Reagimi ndaj përpjekjeve për veprime të paautorizuara.
Mekanizmat e enkriptimit – mbyllja kriptografike e informacionit. Këto metoda mbrojtëse përdoren gjithnjë e më shumë si gjatë përpunimit dhe ruajtjes së informacionit në media magnetike. Kur transmetoni informacion mbi kanalet e komunikimit në distanca të gjata, kjo metodë është e vetmja e besueshme.
Kundër sulmeve malware përfshin një sërë masash të ndryshme organizative dhe përdorimin e programeve antivirus.
I gjithë grupi i mjeteve teknike ndahet në harduer dhe fizik.
Hardware - pajisje të ndërtuara drejtpërdrejt në pajisjet kompjuterike, ose pajisje që ndërlidhen me të duke përdorur një ndërfaqe standarde.
Mjetet fizike përfshijnë pajisje dhe struktura të ndryshme inxhinierike që parandalojnë depërtimin fizik të sulmuesve në objektet e mbrojtura dhe mbrojnë personelin (pajisjet e sigurisë personale), burimet materiale dhe financat, informacionin nga veprimet e paligjshme.
Mjetet softuerike janë programe speciale dhe paketa softuerike të dizajnuara për të mbrojtur informacionin në sistemet e informacionit.
Ndër softverët e sistemit të sigurisë, është gjithashtu e nevojshme të zgjidhet softueri që zbaton mekanizmat e enkriptimit (kriptografisë). Kriptografia është shkenca e sigurimit të fshehtësisë dhe/ose autenticitetit (autenticitetit) të mesazheve të transmetuara.
Mjetet organizative kryejnë rregullimin e tyre kompleks të aktiviteteve të prodhimit në sistemet e informacionit dhe marrëdhëniet e interpretuesve mbi një bazë ligjore në mënyrë të tillë që zbulimi, rrjedhja dhe qasja e paautorizuar në informacionin konfidencial të bëhet e pamundur ose të pengohet ndjeshëm për shkak të masave organizative.
Mjetet ligjore përcaktohen nga aktet legjislative të vendit, të cilat rregullojnë rregullat për përdorimin, përpunimin dhe transmetimin e informacionit të kufizuar dhe vendosin gjoba për shkeljen e këtyre rregullave.
Mjetet morale dhe etike të mbrojtjes përfshijnë të gjitha llojet e normave të sjelljes që janë zhvilluar tradicionalisht më parë, janë formuar me përhapjen e informacionit në vend dhe në botë, ose janë zhvilluar posaçërisht. Standardet morale dhe etike mund të jenë të pashkruara ose të formalizuara në një grup të caktuar rregullash ose rregulloresh. Këto norma, si rregull, nuk miratohen ligjërisht, por duke qenë se mospërputhja e tyre çon në rënie të prestigjit të organizatës, ato konsiderohen të detyrueshme.
2. Pjesa e projektimit
Në pjesën e projektimit duhet të kryhen hapat e mëposhtëm:
1 Përcaktoni konceptin e një virusi kompjuterik dhe klasifikimin e viruseve kompjuterike.
2 Përcaktoni konceptin e një programi antivirus dhe klasifikimin e mjeteve antivirus.
3 Kryeni një analizë krahasuese të paketave antivirus.
2.1 Klasifikimi i viruseve kompjuterike
Një virus është një program që mund të infektojë programe të tjera duke përfshirë në to një kopje të modifikuar që ka aftësinë për t'u riprodhuar më tej.
Viruset mund të ndahen në klasa sipas karakteristikave kryesore të mëposhtme:
Mundësitë shkatërruese
Karakteristikat e algoritmit të funksionimit;
Habitati;
Sipas aftësive të tyre shkatërruese, viruset mund të ndahen në:
Të padëmshme, domethënë, ato nuk ndikojnë në funksionimin e kompjuterit në asnjë mënyrë (përveç reduktimit të kujtesës së lirë në disk si rezultat i shpërndarjes së tij);
Jo të rrezikshme, ndikimi i të cilave është i kufizuar nga një rënie në kujtesën e lirë në disk dhe efekte grafike, zanore dhe të tjera;
Viruse të rrezikshme që mund të çojnë në keqfunksionime serioze të kompjuterit;
Shumë e rrezikshme, algoritmi i të cilit përmban qëllimisht procedura që mund të çojnë në humbjen e programeve, të shkatërrojnë të dhënat, të fshijnë informacionin e nevojshëm për funksionimin e kompjuterit të regjistruar në zonat e kujtesës së sistemit
Karakteristikat e algoritmit të funksionimit të virusit mund të karakterizohen nga vetitë e mëposhtme:
Vendbanimi;
Përdorimi i algoritmeve të fshehta;
Polimorfizëm;
Viruset rezidente.
Termi "rezidencë" i referohet aftësisë së viruseve për të lënë kopje të tyre në kujtesën e sistemit, për të përgjuar ngjarje të caktuara dhe për të thirrur procedurat për infektimin e objekteve të zbuluara (skedarët dhe sektorët). Kështu, viruset rezidente janë aktive jo vetëm gjatë ekzekutimit të programit të infektuar, por edhe pasi programi të ketë mbaruar ekzekutimin. Kopjet rezidente të viruseve të tillë mbeten të zbatueshme deri në rindezjen tjetër, edhe nëse të gjithë skedarët e infektuar në disk shkatërrohen. Shpesh është e pamundur të heqësh qafe viruse të tilla duke rivendosur të gjitha kopjet e skedarëve nga disqet e shpërndarjes ose kopjet rezervë. Kopja rezidente e virusit mbetet aktive dhe infekton skedarët e krijuar rishtazi. E njëjta gjë është e vërtetë për viruset e nisjes - formatimi i një disku kur ka një virus rezident në memorie nuk e shëron gjithmonë diskun, pasi shumë viruse rezidente infektojnë përsëri diskun pasi të jetë formatuar.
Viruset jorezidente. Viruset jorezidente, përkundrazi, janë aktive për një kohë mjaft të shkurtër - vetëm në momentin që programi i infektuar është nisur. Për t'u përhapur, ata kërkojnë skedarë të pa infektuar në disk dhe u shkruajnë atyre. Pasi kodi i virusit të transferojë kontrollin në programin pritës, ndikimi i virusit në funksionimin e sistemit operativ zvogëlohet në zero deri në nisjen tjetër të çdo programi të infektuar. Prandaj, është shumë më e lehtë të fshini skedarët e infektuar me viruse jo-rezidente nga disku pa lejuar që virusi t'i infektojë ato përsëri.
Viruset vjedhurazi. Viruset e fshehta në një mënyrë ose në një tjetër fshehin faktin e pranisë së tyre në sistem. Përdorimi i algoritmeve të fshehta lejon që viruset të fshihen plotësisht ose pjesërisht në sistem. Algoritmi më i zakonshëm i fshehtë është përgjimi i kërkesave të sistemit operativ për të lexuar (shkruar) objekte të infektuara. Në këtë rast, viruset e fshehta ose i kurojnë ato përkohësisht ose "zëvendësojnë" seksione të pa infektuara informacioni në vend të tyre. Në rastin e makro viruseve, metoda më e njohur është çaktivizimi i thirrjeve në menynë e shikimit të makrove. Viruset e fshehta të të gjitha llojeve janë të njohura, me përjashtim të viruseve Windows - viruset e nisjes, viruset e skedarëve DOS dhe madje edhe viruset makro. Shfaqja e viruseve të fshehta që infektojnë skedarët e Windows ka shumë të ngjarë një çështje kohe.
Viruset polimorfike. Vetë-kriptimi dhe polimorfizmi përdoren nga pothuajse të gjitha llojet e viruseve për të komplikuar sa më shumë procedurën e zbulimit të virusit. Viruset polimorfike janë mjaft të vështira për t'u zbuluar viruse që nuk kanë nënshkrime, domethënë nuk përmbajnë një seksion të vetëm konstant të kodit. Në shumicën e rasteve, dy mostra të të njëjtit virus polimorfik nuk do të kenë një ndeshje të vetme. Kjo arrihet duke enkriptuar trupin kryesor të virusit dhe duke modifikuar programin e deshifrimit.
Viruset polimorfike përfshijnë ato që nuk mund të zbulohen duke përdorur të ashtuquajturat maska virusi - seksione të kodit konstant specifik për një virus të veçantë. Kjo arrihet në dy mënyra kryesore - duke enkriptuar kodin kryesor të virusit me një thirrje të ndryshueshme dhe një grup të rastësishëm komandash dekriptuesi, ose duke ndryshuar vetë kodin e virusit të ekzekutueshëm. Polimorfizmi i shkallëve të ndryshme të kompleksitetit gjendet në viruset e të gjitha llojeve - nga viruset DOS të nisjes dhe skedarëve deri te viruset Windows.
Në bazë të habitatit të tyre, viruset mund të ndahen në:
Skedari;
Çizme;
Makroviruset;
Rrjeti.
Viruset e skedarëve. Viruset e skedarëve ose injektojnë veten në skedarë të ekzekutueshëm në mënyra të ndryshme, ose krijojnë skedarë të kopjuar (viruset shoqëruese), ose përdorin veçoritë e organizimit të sistemit të skedarëve (viruset e lidhjeve).
Një virus skedari mund të futet në pothuajse të gjithë skedarët e ekzekutueshëm të të gjitha sistemeve operative të njohura. Sot njihen viruset që infektojnë të gjitha llojet e objekteve standarde të ekzekutueshme DOS: skedarët e grupit (BAT), drejtuesit e ngarkueshëm (SYS, duke përfshirë skedarët specialë IO.SYS dhe MSDOS.SYS) dhe skedarët binare të ekzekutueshëm (EXE, COM). Ka viruse që infektojnë skedarët e ekzekutueshëm të sistemeve të tjera operative - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, duke përfshirë drejtuesit e Windows 3.x dhe Windows95 VxD.
Ka viruse që infektojnë skedarë që përmbajnë kodin burimor të programeve, moduleve të bibliotekës ose objekteve. Është gjithashtu e mundur që një virus të regjistrohet në skedarët e të dhënave, por kjo ndodh ose si rezultat i një gabimi të virusit ose kur shfaqen vetitë e tij agresive. Makro viruset gjithashtu e shkruajnë kodin e tyre në skedarë të dhënash - dokumente ose tabela, por këta viruse janë aq specifik sa klasifikohen si një grup i veçantë.
Boot viruse. Viruset e nisjes infektojnë sektorin e nisjes së një diskete dhe sektorin e nisjes ose Master Boot Record (MBR) të një hard disk. Parimi i funksionimit të viruseve të nisjes bazohet në algoritme për fillimin e sistemit operativ kur ndizni ose rindizni kompjuterin - pas testeve të nevojshme të harduerit të instaluar (memoria, disqet, etj.), Programi i nisjes së sistemit lexon sektorin e parë fizik të diskut të nisjes (A:, C: ose CD-ROM në varësi të parametrave të vendosur në BIOS Setup) dhe transferon kontrollin tek ai.
Në rastin e një diskete ose CD, kontrolli merret nga sektori i nisjes, i cili analizon tabelën e parametrave të diskut (BPB - BIOS Parameter Block), llogarit adresat e skedarëve të sistemit operativ, i lexon ato në memorie dhe i lëshon ato për ekzekutimi. Skedarët e sistemit janë zakonisht MSDOS.SYS dhe IO.SYS, ose IBMDOS.COM dhe IBMBIO.COM, ose të tjerë në varësi të versionit të instaluar të DOS, Windows ose sistemeve të tjera operative. Nëse nuk ka skedarë të sistemit operativ në diskun e nisjes, programi i vendosur në sektorin e nisjes së diskut shfaq një mesazh gabimi dhe sugjeron zëvendësimin e diskut të nisjes.
Në rastin e një hard disk, kontrolli merret nga një program i vendosur në MBR të diskut. Ky program analizon tabelën e ndarjes së diskut, llogarit adresën e sektorit aktiv të nisjes (zakonisht ky sektor është sektori i nisjes së diskut C), e ngarkon atë në memorie dhe transferon kontrollin në të. Pasi ka marrë kontrollin, sektori aktiv i nisjes së harduerit drive bën të njëjtat veprime si sektori i nisjes së disketës.
Kur infektojnë disqe, viruset e nisjes "zëvendësojnë" kodin e tyre në vend të çdo programi që fiton kontrollin kur sistemi niset. Parimi i infeksionit, pra, është i njëjtë në të gjitha metodat e përshkruara më sipër: virusi "detyron" sistemin, kur riniset, të lexojë në memorie dhe t'i japë kontrollin jo kodit origjinal të ngarkuesit, por kodit të virusit.
Disqet infektohen në të vetmen mënyrë të njohur - virusi shkruan kodin e tij në vend të kodit origjinal të sektorit të nisjes së disketës. Hard disku infektohet në tre mënyra të mundshme - virusi shkruhet ose në vend të kodit MBR, ose në vend të kodit të sektorit të nisjes së diskut (zakonisht disku C, ose modifikon adresën e sektorit aktiv të nisjes në Disk Tabela e ndarjes, e vendosur në MBR të diskut të ngurtë.
Makro viruset. Makro viruset infektojnë skedarë të tillë si dokumente dhe fletëllogaritëse të disa redaktuesve të njohur. Makro viruset janë programe të shkruara në gjuhë (makro gjuhë) të integruara në disa sisteme të përpunimit të të dhënave. Për t'u riprodhuar, viruse të tillë përdorin aftësitë e gjuhëve makro dhe, me ndihmën e tyre, transferohen nga një skedar i infektuar te të tjerët. Më të përhapurit janë makro viruset për Microsoft Word, Excel dhe Office97. Ekzistojnë gjithashtu makro viruse që infektojnë dokumentet Ami Pro dhe bazat e të dhënave të Microsoft Access.
Viruset e rrjetit. Viruset e rrjetit përfshijnë viruse që përdorin në mënyrë aktive protokollet dhe aftësitë e rrjeteve lokale dhe globale për t'u përhapur. Parimi kryesor i funksionimit të një virusi të rrjetit është aftësia për të transferuar në mënyrë të pavarur kodin e tij në një server ose stacion pune të largët. Viruset e rrjetit "të plota" gjithashtu kanë aftësinë për të ekzekutuar kodin e tyre në një kompjuter të largët ose, të paktën, "të shtyjnë" përdoruesin të ekzekutojë një skedar të infektuar. Një shembull i viruseve të rrjetit janë të ashtuquajturat krimba IRC.
IRC (Internet Relay Chat) është një protokoll i veçantë i krijuar për komunikim në kohë reale ndërmjet përdoruesve të internetit. Ky protokoll u siguron atyre mundësinë për "bisedë" në internet duke përdorur softuer të zhvilluar posaçërisht. Përveç pjesëmarrjes në konferenca të përgjithshme, përdoruesit e IRC kanë mundësinë të bisedojnë një-në-një me çdo përdorues tjetër. Përveç kësaj, ka një numër mjaft të madh komandash IRC, me ndihmën e të cilave përdoruesi mund të marrë informacione për përdoruesit dhe kanalet e tjera, të ndryshojë disa cilësime të klientit IRC, etj. Ekziston gjithashtu aftësia për të dërguar dhe marrë skedarë - është kjo aftësi në të cilën bazohen krimbat IRC. Një sistem komandimi i fuqishëm dhe i gjerë i klientëve IRC lejon, bazuar në skriptet e tyre, të krijojnë viruse kompjuterike që transmetojnë kodin e tyre në kompjuterët e përdoruesve të rrjeteve IRC, të ashtuquajturat "krimbat IRC". Parimi i funksionimit të këtyre krimbave IRC është afërsisht i njëjtë. Duke përdorur komandat IRC, një skedar skripti pune (skript) dërgohet automatikisht nga kompjuteri i infektuar te çdo përdorues i ri që i bashkohet kanalit. Skedari i dërguar i skriptit zëvendëson atë standard dhe gjatë seancës së ardhshme klienti i porsa infektuar do të dërgojë krimbin. Disa krimba IRC përmbajnë gjithashtu një komponent trojan: duke përdorur fjalë kyçe të specifikuara, ata kryejnë veprime shkatërruese në kompjuterët e prekur. Për shembull, krimbi "pIRCH.Events", me një komandë të caktuar, fshin të gjithë skedarët në diskun e përdoruesit.
Ka një numër të madh kombinimesh - për shembull, viruset e nisjes së skedarëve që infektojnë të dy skedarët dhe sektorët e nisjes së disqeve. Viruse të tilla, si rregull, kanë një algoritëm funksionimi mjaft kompleks, shpesh përdorin metoda origjinale të depërtimit në sistem dhe përdorin teknologji të fshehta dhe polimorfike. Një shembull tjetër i një kombinimi të tillë është një makro virus i rrjetit që jo vetëm infekton dokumentet që modifikohen, por gjithashtu dërgon kopje të tij me email.
Përveç këtij klasifikimi, duhen thënë disa fjalë për malware të tjerë që ndonjëherë ngatërrohen me viruse. Këto programe nuk kanë aftësinë të vetëpërhapen si viruset, por mund të shkaktojnë dëme po aq shkatërruese.
Kuajt e Trojës (bomba logjike ose bomba me sahat).
Kuajt e Trojës përfshijnë programe që shkaktojnë ndonjë efekt shkatërrues, domethënë, në varësi të kushteve të caktuara ose sa herë që lëshohen, shkatërrojnë informacionin në disqe, "varin" sistemin, etj. Si shembull, mund të përmendim këtë rast - kur një program i tillë, gjatë një sesioni në internet, dërgoi identifikuesit e autorit dhe fjalëkalimet nga kompjuterët ku jetonte. Kuajt e Trojës më të njohur janë programe që "falsifikojnë" disa programe të dobishme, versione të reja të shërbimeve të njohura ose shtesa për to. Shumë shpesh ato dërgohen në stacionet BBS ose në konferenca elektronike. Krahasuar me viruset, kuajt e Trojës nuk përdoren gjerësisht për arsyet e mëposhtme - ata ose shkatërrojnë veten së bashku me pjesën tjetër të të dhënave në disk, ose demaskojnë praninë e tyre dhe shkatërrohen nga përdoruesi i prekur.
2.2 Koncepti i një programi antivirus
Metodat për të luftuar viruset kompjuterike mund të ndahen në disa grupe:
Parandalimi i infeksionit viral dhe zvogëlimi i dëmeve të pritshme nga një infeksion i tillë;
Metodat e përdorimit të programeve antivirus, duke përfshirë neutralizimin dhe heqjen e viruseve të njohura;
Metodat për zbulimin dhe heqjen e një virusi të panjohur.
Parandalimi i infeksionit të kompjuterit.
Një nga metodat kryesore të luftimit të viruseve është, si në mjekësi, parandalimi në kohë. Parandalimi kompjuterik përfshin ndjekjen e një numri të vogël rregullash, të cilat mund të zvogëlojnë ndjeshëm gjasat për të marrë një virus dhe për të humbur çdo të dhënë.
Për të përcaktuar rregullat themelore të "higjienës" së kompjuterit, është e nevojshme të zbulohen mënyrat kryesore që një virus depërton në kompjuter dhe rrjete kompjuterike.
Burimi kryesor i viruseve sot është Interneti global. Numri më i madh i infektimeve me virus ndodh kur shkëmbejmë shkronja në formatet Word/Office97. Përdoruesi i një redaktuesi të infektuar me një virus makro, pa e ditur, dërgon letra të infektuara te marrësit, të cilët nga ana e tyre dërgojnë letra të reja të infektuara, etj. Duhet të shmangni kontaktin me burime të dyshimta informacioni dhe të përdorni vetëm produkte softuerike legjitime (të licencuara).
Rivendosja e objekteve të dëmtuara.
Në shumicën e rasteve të infektimit me virus, procedura për rivendosjen e skedarëve dhe disqeve të infektuar zbret në ekzekutimin e një antivirusi të përshtatshëm që mund të neutralizojë sistemin. Nëse virusi është i panjohur për ndonjë antivirus, atëherë mjafton të dërgoni skedarin e infektuar te prodhuesit e antiviruseve dhe pas një kohe të merrni një ilaç "përditësues" kundër virusit. Nëse koha nuk pret, atëherë do të duhet të neutralizoni vetë virusin. Për shumicën e përdoruesve, është e nevojshme të kenë kopje rezervë të informacionit të tyre.
Mjetet e përgjithshme të sigurisë së informacionit janë të dobishme për më shumë sesa thjesht mbrojtje nga viruset. Ekzistojnë dy lloje kryesore të këtyre fondeve:
1 Kopjimi i informacionit – krijimi i kopjeve të skedarëve dhe zonave të sistemit të disqeve.
2 Kontrolli i aksesit parandalon përdorimin e paautorizuar të informacionit, në veçanti mbrojtjen nga ndryshimet në programe dhe të dhëna nga viruset, programet që nuk funksionojnë dhe veprimet e gabuara të përdoruesit.
Zbulimi në kohë i skedarëve dhe disqeve të infektuar me virus dhe shkatërrimi i plotë i viruseve të zbuluar në secilin kompjuter ndihmon në shmangien e përhapjes së një epidemie virusi në kompjuterë të tjerë.
Arma kryesore në luftën kundër viruseve janë programet antivirus. Ato ju lejojnë jo vetëm të zbuloni viruse, duke përfshirë viruse që përdorin metoda të ndryshme maskimi, por edhe t'i hiqni ato nga kompjuteri juaj.
Ekzistojnë disa metoda themelore të zbulimit të viruseve që përdoren nga programet antivirus. Metoda më tradicionale e kërkimit të viruseve është skanimi.
Për të zbuluar, hequr dhe mbrojtur nga viruset kompjuterike, janë zhvilluar disa lloje të programeve speciale që ju lejojnë të zbuloni dhe shkatërroni viruset. Programe të tilla quhen programe antivirus.
2.3 Llojet e produkteve antivirus
Programet e detektorëve. Programet e detektorit kërkojnë për një karakteristikë të nënshkrimit të një virusi të veçantë në RAM dhe skedarë dhe, kur zbulohen, lëshojnë një mesazh përkatës. Disavantazhi i programeve të tilla antivirus është se ata mund të gjejnë vetëm viruse që janë të njohur për zhvilluesit e programeve të tilla.
Programet e doktorit. Programet e mjekëve ose fagëve, si dhe programet e vaksinave, jo vetëm që gjejnë skedarë të infektuar me viruse, por edhe i "trajtojnë" ato, domethënë heqin trupin e programit të virusit nga skedari, duke i kthyer skedarët në gjendjen e tyre origjinale. Në fillim të punës së tyre, fagët kërkojnë viruse në RAM, duke i shkatërruar ato dhe vetëm atëherë vazhdojnë të "pastrojnë" skedarët. Midis fagëve ka polifagë, domethënë programe mjekësh të krijuar për të kërkuar dhe shkatërruar një numër të madh virusesh. Më të famshmit prej tyre: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Duke pasur parasysh që viruset e reja shfaqen vazhdimisht, programet e detektorëve dhe programet e mjekëve shpejt bëhen të vjetëruara dhe nevojiten përditësime të rregullta të versioneve.
Programet e auditorit (inspektorët) janë ndër mjetet më të besueshme të mbrojtjes kundër viruseve.
Auditorët (inspektorët) kontrollojnë të dhënat në disk për viruse të padukshme. Për më tepër, inspektori mund të mos përdorë mjetet e sistemit operativ për të hyrë në disqe, që do të thotë se një virus aktiv nuk do të jetë në gjendje të përgjojë këtë akses.
Fakti është se një numër virusesh, duke u futur në skedarë (d.m.th., duke u shtuar në fund ose në fillim të skedarit), zëvendësojnë të dhënat për këtë skedar në tabelat e ndarjes së skedarëve të sistemit tonë operativ.
Auditorët (inspektorët) mbajnë mend gjendjen fillestare të programeve, drejtorive dhe zonave të sistemit të diskut kur kompjuteri nuk është i infektuar me virus, dhe më pas periodikisht ose me kërkesë të përdoruesit krahasojnë gjendjen aktuale me atë origjinale. Ndryshimet e zbuluara shfaqen në ekranin e monitorit. Si rregull, krahasimi i gjendjeve kryhet menjëherë pas ngarkimit të sistemit operativ. Gjatë krahasimit, kontrollohet gjatësia e skedarit, kodi ciklik i kontrollit (shuma e kontrollit të skedarit), data dhe ora e modifikimit dhe parametrat e tjerë. Programet e auditorit (inspektorët) kanë zhvilluar mjaft algoritme, zbulojnë viruse të fshehta dhe madje mund të pastrojnë ndryshimet në versionin e programit që kontrollohet nga ndryshimet e bëra nga virusi.
Është e nevojshme të hapet auditori (inspektori) kur kompjuteri nuk është ende i infektuar, në mënyrë që të krijojë një tabelë në direktorinë rrënjë të çdo disku, me të gjitha informacionet e nevojshme për skedarët që janë në këtë disk, si dhe në lidhje me zonën e saj të bagazhit. Leja do të kërkohet për të krijuar çdo tabelë. Gjatë lëshimeve të mëvonshme, auditori (inspektori) do të skanojë disqet, duke krahasuar të dhënat për çdo skedar me të dhënat e tij.
Nëse zbulohen infeksione, auditori (inspektori) do të jetë në gjendje të përdorë modulin e tij të shërimit, i cili do të rivendosë skedarin e dëmtuar nga virusi. Për të rivendosur skedarët, inspektori nuk ka nevojë të dijë asgjë për një lloj specifik virusi; mjafton të përdorë të dhënat për skedarët e ruajtur në tabela.
Përveç kësaj, nëse është e nevojshme, mund të thirret një skaner antivirus.
Programet e filtrimit (monitorët). Programet e filtrit (monitorët) ose "rojat" janë programe të vogla rezidente të krijuara për të zbuluar veprime të dyshimta gjatë funksionimit të kompjuterit, karakteristikë e viruseve. Veprime të tilla mund të jenë:
Përpjekjet për të korrigjuar skedarët me shtesat COM, EXE;
Ndryshimi i atributeve të skedarit;
Shkrimi i drejtpërdrejtë në disk në adresë absolute;
Shkruani për të nisur sektorët e diskut;
Kur ndonjë program përpiqet të kryejë veprimet e specifikuara, "roja" i dërgon një mesazh përdoruesit dhe ofron të ndalojë ose lejojë veprimin përkatës. Programet e filtrit janë shumë të dobishëm sepse janë në gjendje të zbulojnë një virus në fazën më të hershme të ekzistencës së tij përpara replikimit. Sidoqoftë, ata nuk "pastrojnë" skedarët dhe disqet. Për të shkatërruar viruset, duhet të përdorni programe të tjera, si p.sh. fagët.
Vaksinat ose imunizuesit. Vaksinat janë programe rezidente që parandalojnë infeksionet e skedarëve. Vaksinat përdoren nëse nuk ka programe mjekësh që “trajtojnë” këtë virus. Vaksinimi është i mundur vetëm kundër viruseve të njohura. Vaksina modifikon programin ose diskun në mënyrë të tillë që të mos ndikojë në funksionimin e tij, dhe virusi do ta perceptojë atë si të infektuar dhe për këtë arsye nuk do të zërë rrënjë. Aktualisht, programet e vaksinave kanë përdorim të kufizuar.
Skaner. Parimi i funksionimit të skanerëve antivirus bazohet në kontrollimin e skedarëve, sektorëve dhe kujtesës së sistemit dhe kërkimin e tyre për viruse të njohura dhe të reja (të panjohura për skanerin). Për të kërkuar viruse të njohura, përdoren të ashtuquajturat "maska". Maska e një virusi është një sekuencë konstante kodi specifike për këtë virus të veçantë. Nëse virusi nuk përmban një maskë të përhershme, ose gjatësia e kësaj maske nuk është e gjatë, atëherë përdoren metoda të tjera. Një shembull i një metode të tillë është një gjuhë algoritmike që përshkruan të gjitha opsionet e mundshme të kodit që mund të ndodhin kur infektohen me një lloj të ngjashëm virusi. Kjo qasje përdoret nga disa antivirusë për të zbuluar viruset polimorfikë. Skanerët gjithashtu mund të ndahen në dy kategori - "universalë" dhe "të specializuar". Skanerët universalë janë krijuar për të kërkuar dhe neutralizuar të gjitha llojet e viruseve, pavarësisht nga sistemi operativ në të cilin skaneri është krijuar për të punuar. Skanerët e specializuar janë krijuar për të neutralizuar një numër të kufizuar virusesh ose vetëm një klasë virusesh, për shembull makro viruse. Skanerët e specializuar të krijuar vetëm për makro viruse shpesh rezultojnë të jenë zgjidhja më e përshtatshme dhe më e besueshme për mbrojtjen e sistemeve të menaxhimit të dokumenteve në mjediset MSWord dhe MSExcel.
Skanerët ndahen gjithashtu në "rezidentë" (monitorë, roje), të cilët kryejnë skanim në fluturim dhe "jorezident", të cilët skanojnë sistemin vetëm sipas kërkesës. Si rregull, skanerët "rezidentë" ofrojnë mbrojtje më të besueshme të sistemit, pasi ato i përgjigjen menjëherë shfaqjes së një virusi, ndërsa një skaner "jo-rezident" është në gjendje të identifikojë virusin vetëm gjatë lëshimit të tij të ardhshëm. Nga ana tjetër, një skaner rezident mund të ngadalësojë disi kompjuterin, duke përfshirë edhe për shkak të rezultateve të mundshme false.
Përparësitë e skanerëve të të gjitha llojeve përfshijnë shkathtësinë e tyre; disavantazhet janë shpejtësia relativisht e ulët e skanimit të viruseve.
Skanera CRC. Parimi i funksionimit të skanerëve CRC bazohet në llogaritjen e shumave të CRC (shumave të kontrollit) për skedarët/sektorët e sistemit të pranishëm në disk. Këto sasi CRC më pas ruhen në bazën e të dhënave antivirus, si dhe disa informacione të tjera: gjatësia e skedarëve, datat e modifikimit të tyre të fundit, etj. Kur lëshohen më pas, skanerët CRC krahasojnë të dhënat e përfshira në bazën e të dhënave me vlerat aktuale të llogaritura. Nëse informacioni i skedarit të regjistruar në bazën e të dhënave nuk përputhet me vlerat reale, atëherë skanerët CRC sinjalizojnë se skedari është modifikuar ose infektuar me një virus. Skanerët CRC që përdorin algoritme anti-stealth janë një armë mjaft e fuqishme kundër viruseve: pothuajse 100% e viruseve zbulohen pothuajse menjëherë pasi shfaqen në kompjuter. Sidoqoftë, ky lloj antivirusi ka një të metë të natyrshme që zvogëlon ndjeshëm efektivitetin e tyre. Ky disavantazh është se skanerët CRC nuk janë në gjendje të kapin një virus në momentin që ai shfaqet në sistem, por këtë e bëjnë vetëm pak kohë më vonë, pasi virusi të jetë përhapur në të gjithë kompjuterin. Skanerët CRC nuk mund të zbulojnë një virus në skedarë të rinj (në email, në disqe, në skedarë të restauruar nga një kopje rezervë ose kur shpaketojnë skedarët nga një arkiv), sepse bazat e të dhënave të tyre nuk përmbajnë informacion rreth këtyre skedarëve. Për më tepër, shfaqen periodikisht viruse që përfitojnë nga kjo "dobësi" e skanerëve CRC, duke infektuar vetëm skedarët e krijuar rishtazi dhe duke mbetur kështu të padukshëm për ta.
Bllokuesit. Bllokuesit janë programe rezidente që përgjojnë situatat "të rrezikshme nga virusi" dhe njoftojnë përdoruesin për këtë. "Të rrezikshëm nga viruset" përfshijnë thirrjet për të hapur për shkrim në skedarë të ekzekutueshëm, shkrimin në sektorët e nisjes së disqeve ose MBR të një hard drive, përpjekjet e programeve për të qëndruar rezidentë, dhe kështu me radhë, domethënë thirrjet që janë tipike për viruset në momenti i riprodhimit. Ndonjëherë disa funksione bllokuesi zbatohen në skanerët rezidentë.
Përparësitë e bllokuesve përfshijnë aftësinë e tyre për të zbuluar dhe ndaluar një virus në fazën më të hershme të riprodhimit të tij. Disavantazhet përfshijnë ekzistencën e mënyrave për të anashkaluar mbrojtjen e bllokuesve dhe një numër të madh pozitivësh të rremë.
Është gjithashtu e nevojshme të theksohet një drejtim i tillë i mjeteve antivirus si bllokuesit antivirus, të bërë në formën e komponentëve të harduerit kompjuterik. Më e zakonshme është mbrojtja e shkrimit e integruar në BIOS në MBR të hard drive. Sidoqoftë, si në rastin e bllokuesve të softuerit, një mbrojtje e tillë mund të anashkalohet lehtësisht duke shkruar direkt në portat e kontrolluesit të diskut dhe nisja e programit të DOS FDISK menjëherë shkakton një "pozitive false" të mbrojtjes.
Ekzistojnë disa bllokues të tjerë universalë të harduerit, por përveç disavantazheve të listuara më sipër, ka edhe probleme të përputhshmërisë me konfigurimet standarde të kompjuterit dhe kompleksitetin në instalimin dhe konfigurimin e tyre. E gjithë kjo i bën bllokuesit e harduerit jashtëzakonisht jopopullor në krahasim me llojet e tjera të mbrojtjes antivirus.
2.4 Krahasimi i paketave antivirus
Pavarësisht se cili sistem informacioni duhet të mbrohet, parametri më i rëndësishëm kur krahasojmë antiviruset është aftësia për të zbuluar viruse dhe malware të tjerë.
Sidoqoftë, megjithëse ky parametër është i rëndësishëm, ai është larg nga i vetmi.
Fakti është se efektiviteti i një sistemi mbrojtjeje antivirus varet jo vetëm nga aftësia e tij për të zbuluar dhe neutralizuar viruset, por edhe nga shumë faktorë të tjerë.
Një antivirus duhet të jetë i përshtatshëm për t'u përdorur, pa e shpërqendruar përdoruesin e kompjuterit nga kryerja e detyrave të drejtpërdrejta të tij/saj. Nëse antivirusi e bezdis përdoruesin me kërkesa dhe mesazhe të vazhdueshme, herët a vonë ai do të çaktivizohet. Ndërfaqja antivirus duhet të jetë miqësore dhe e kuptueshme, pasi jo të gjithë përdoruesit kanë përvojë të gjerë duke punuar me programe kompjuterike. Pa kuptuar kuptimin e mesazhit që shfaqet në ekran, mund të lejoni padashur një infektim me virus edhe me një antivirus të instaluar.
Mënyra më e përshtatshme e mbrojtjes kundër viruseve është kur të gjithë skedarët e hapur skanohen. Nëse antivirusi nuk është në gjendje të funksionojë në këtë mënyrë, përdoruesi do të duhet të kryejë një skanim të të gjithë disqeve çdo ditë për të zbuluar viruset e sapo shfaqura. Kjo procedurë mund të zgjasë dhjetëra minuta apo edhe orë nëse po flasim për disqe të mëdhenj të instaluar, për shembull, në një server.
Meqenëse viruset e reja shfaqen çdo ditë, është e nevojshme të përditësohet periodikisht baza e të dhënave antivirus. Përndryshe, efektiviteti i mbrojtjes antivirus do të jetë shumë i ulët. Antivirusët modernë, pas konfigurimit të duhur, mund të përditësojnë automatikisht bazat e të dhënave antivirus nëpërmjet internetit, pa i shpërqendruar përdoruesit dhe administratorët nga kryerja e kësaj pune rutinë.
Kur mbroni një rrjet të madh të korporatës, del në pah një parametër i tillë për krahasimin e antiviruseve si prania e një qendre kontrolli të rrjetit. Nëse një rrjet i korporatës bashkon qindra e mijëra stacione pune, dhjetëra e qindra serverë, atëherë pa një qendër kontrolli rrjeti është pothuajse e pamundur të organizohet një mbrojtje efektive antivirus. Një ose më shumë administratorë të sistemit nuk do të jenë në gjendje të anashkalojnë të gjitha stacionet e punës dhe serverët duke instaluar dhe konfiguruar programe antivirus në to. Ajo që nevojitet këtu janë teknologjitë që lejojnë instalimin dhe konfigurimin e centralizuar të antiviruseve në të gjithë kompjuterët në rrjetin e korporatës.
Mbrojtja e faqeve të internetit si serverët e postës dhe serverët e shërbimit të mesazheve kërkon përdorimin e mjeteve të specializuara antivirus. Programet konvencionale antivirus të krijuara për të skanuar skedarët nuk do të jenë në gjendje të gjejnë kodin keqdashës në bazat e të dhënave të serverëve të mesazheve ose në rrjedhën e të dhënave që kalon nëpër serverat e postës.
Në mënyrë tipike, faktorë të tjerë merren parasysh kur krahasohen produktet antivirus. Agjencitë qeveritare, duke qenë të tjera të barabarta, mund të preferojnë antivirusë të prodhuar vendas që kanë të gjitha certifikatat e nevojshme. Reputacioni i fituar nga një ose një mjet tjetër antivirus midis përdoruesve të kompjuterit dhe administratorëve të sistemit gjithashtu luan një rol të rëndësishëm. Preferencat personale gjithashtu mund të luajnë një rol të rëndësishëm në zgjedhje.
Zhvilluesit e antiviruseve shpesh përdorin rezultate të pavarura të testit për të provuar përfitimet e produkteve të tyre. Në të njëjtën kohë, përdoruesit shpesh nuk e kuptojnë se çfarë saktësisht dhe si u testua në këtë test.
Në këtë punë, programet më të njohura antivirus për momentin iu nënshtruan një analize krahasuese, përkatësisht: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F. -Secure, Avira, Avast!, AVG, Microsoft.
Revista britanike Virus Bulletin ishte një nga të parat që testoi produktet antivirus. Testet e para të publikuara në faqen e tyre datojnë në vitin 1998. Testi bazohet në koleksionin WildList të malware. Për të kaluar me sukses testin, është e nevojshme të identifikohen të gjithë viruset në këtë koleksion dhe të demonstrohet një nivel zero i rezultateve false në një koleksion skedarësh regjistri "të pastër". Testimi kryhet disa herë në vit në sisteme të ndryshme operative; Produktet që kalojnë me sukses testin marrin një çmim VB100%. Figura 1 tregon se sa çmime VB100% janë marrë nga produkte nga kompani të ndryshme antivirus.
Sigurisht, revista Virus Bulletin mund të quhet testuesi më i vjetër i antiviruseve, por statusi i saj si patriark nuk e përjashton atë nga kritikat ndaj komunitetit antivirus. Së pari, WildList përfshin vetëm viruse dhe krimba dhe është vetëm për platformën Windows. Së dyti, koleksioni WildList përmban një numër të vogël programesh me qëllim të keq dhe rimbushet shumë ngadalë: vetëm disa dhjetëra viruse të rinj shfaqen në koleksion në muaj, ndërsa, për shembull, koleksioni AV-Test plotësohet gjatë kësaj kohe me disa dhjetëra ose madje qindra mijëra kopje të softuerit me qëllim të keq.
E gjithë kjo sugjeron që në formën e tij aktuale, koleksioni WildList është moralisht i vjetëruar dhe nuk pasqyron situatën reale me viruset në internet. Si rezultat, testet e bazuara në koleksionin WildList bëhen gjithnjë e më të pakuptimta. Ato janë të mira për reklamimin e produkteve që i kanë kaluar ato, por në fakt nuk pasqyrojnë cilësinë e mbrojtjes antivirus.
Figura 1 – Numri i testeve të kaluara me sukses VB 100%
Laboratorët e pavarur të kërkimit si AV-Comparatives, AV-Tests testojnë produktet antivirus dy herë në vit për nivelet e zbulimit të malware sipas kërkesës. Në të njëjtën kohë, koleksionet mbi të cilat kryhet testimi përmbajnë deri në një milion malware dhe përditësohen rregullisht. Rezultatet e testimit publikohen në faqet e internetit të këtyre organizatave (www.AV-Comparatives.org, www.AV-Test.org) dhe në revistat e njohura kompjuterike PC World, PC Welt. Rezultatet e testeve të radhës janë paraqitur më poshtë:
Figura 2 – Shkalla e përgjithshme e zbulimit të malware sipas AV-Test
Nëse flasim për produktet më të zakonshme, atëherë sipas rezultateve të këtyre testeve, vetëm zgjidhjet nga Kaspersky Lab dhe Symantec janë në tre të parat. Avira, lider në teste, meriton vëmendje të veçantë.
Testet nga laboratorët kërkimor AV-Comparatives dhe AV-Test, si çdo test tjetër, kanë të mirat dhe të këqijat e tyre. Përparësitë janë se testimi kryhet në koleksione të mëdha malware dhe se këto koleksione përmbajnë një shumëllojshmëri të gjerë të llojeve të malware. E keqja është se këto koleksione përmbajnë jo vetëm mostra "të freskëta" të malware, por edhe ato relativisht të vjetra. Në mënyrë tipike, përdoren mostrat e mbledhura gjatë gjashtë muajve të fundit. Për më tepër, këto teste analizojnë rezultatet e një skanimi sipas kërkesës së diskut, ndërsa në jetën reale përdoruesi shkarkon skedarë të infektuar nga Interneti ose i merr ato si bashkëngjitje me email. Është e rëndësishme të zbuloni skedarë të tillë pikërisht në momentin që shfaqen në kompjuterin e përdoruesit.
Një përpjekje për të zhvilluar një metodologji testimi që nuk vuan nga ky problem u bë nga një nga revistat më të vjetra britanike të kompjuterit, PC Pro. Testi i tyre përdori një koleksion malware të zbuluar dy javë para testit në trafikun që kalonte përmes serverëve të MessageLabs. MessageLabs u ofron klientëve të saj shërbime për filtrimin e llojeve të ndryshme të trafikut, dhe koleksioni i tij i malware pasqyron në fakt situatën me përhapjen e viruseve kompjuterike në internet.
Ekipi i revistës PC Pro nuk skanoi thjesht skedarë të infektuar, por simuloi veprimet e përdoruesve: skedarët e infektuar iu bashkëngjitën shkronjave si bashkëngjitje dhe këto letra u shkarkuan në një kompjuter me një antivirus të instaluar. Për më tepër, duke përdorur skriptet e shkruara posaçërisht, skedarët e infektuar u shkarkuan nga një server në internet, d.m.th., u simulua surfimi në internet. Kushtet në të cilat kryhen teste të tilla janë sa më afër që të jetë e mundur me ato reale, gjë që nuk mund të ndikonte në rezultatet: niveli i zbulimit të shumicës së antivirusëve doli të ishte dukshëm më i ulët se sa me një skanim të thjeshtë sipas kërkesës në AV- Testet krahasuese dhe AV-Test. Në teste të tilla, një rol të rëndësishëm luhet nga sa shpejt zhvilluesit e antiviruseve reagojnë ndaj shfaqjes së malware të ri, si dhe çfarë mekanizmash proaktivë përdoren për të zbuluar malware.
Shpejtësia me të cilën lëshohen përditësimet antivirus me nënshkrimet e malware të rinj është një nga komponentët më të rëndësishëm të mbrojtjes efektive antivirus. Sa më shpejt të lëshohet përditësimi i bazës së të dhënave të nënshkrimit, aq më pak kohë përdoruesi do të mbetet i pambrojtur.
Figura 3 – Koha mesatare e përgjigjes ndaj kërcënimeve të reja
Kohët e fundit, malware i ri shfaqet aq shpesh sa laboratorët antivirus mezi kanë kohë për t'iu përgjigjur shfaqjes së mostrave të reja. Në një situatë të tillë, lind pyetja se si një antivirus mund të kundërshtojë jo vetëm viruset tashmë të njohur, por edhe kërcënimet e reja për të cilat një nënshkrim zbulimi nuk është lëshuar ende.
Për të zbuluar kërcënime të panjohura, përdoren të ashtuquajturat teknologji proaktive. Këto teknologji mund të ndahen në dy lloje: heuristike (ato zbulojnë malware bazuar në analizën e kodit të tyre) dhe bllokues të sjelljes (ato bllokojnë veprimet e malware kur funksionojnë në një kompjuter, bazuar në sjelljen e tyre).
Duke folur për heuristikën, efektiviteti i tyre është studiuar prej kohësh nga AV-Comparatives, një laborator kërkimor i udhëhequr nga Andreas Climenti. Ekipi AV-Comparatives përdor një teknikë të veçantë: antiviruset kontrollohen kundrejt koleksionit aktual të viruseve, por ata përdorin një antivirus me nënshkrime që janë tre muaj të vjetër. Kështu, antivirusi duhet të luftojë kundër malware për të cilët nuk di asgjë. Antiviruset kontrollohen duke skanuar një koleksion malware në hard disk, kështu që vetëm efektiviteti i heuristikës testohet. Një teknologji tjetër proaktive, një bllokues i sjelljes, nuk përdoret në këto teste. Edhe heuristikat më të mira aktualisht tregojnë një shkallë zbulimi prej vetëm rreth 70%, dhe shumë prej tyre gjithashtu vuajnë nga pozitive false në skedarë të pastër. E gjithë kjo sugjeron që tani për tani kjo metodë zbulimi proaktive mund të përdoret vetëm njëkohësisht me metodën e nënshkrimit.
Sa i përket një teknologjie tjetër proaktive - një bllokues i sjelljes, nuk janë kryer teste serioze krahasuese në këtë fushë. Së pari, shumë produkte antivirus (Doctor Web, NOD32, Avira dhe të tjerët) nuk kanë një bllokues të sjelljes. Së dyti, kryerja e testeve të tilla është e mbushur me disa vështirësi. Fakti është se për të testuar efektivitetin e një bllokuesi të sjelljes, nuk keni nevojë të skanoni një disk me një koleksion programesh me qëllim të keq, por ekzekutoni këto programe në kompjuterin tuaj dhe vëzhgoni se sa me sukses bllokon antivirusi veprimet e tyre. Ky proces kërkon shumë punë intensive dhe vetëm pak studiues janë në gjendje të ndërmarrin teste të tilla. Gjithçka që është aktualisht në dispozicion për publikun e gjerë janë rezultatet e testimit të produktit individual të kryer nga ekipi AV-Comparatives. Nëse, gjatë testimit, antiviruset bllokuan me sukses veprimet e programeve me qëllim të keq të panjohur për ta, ndërsa ato funksiononin në kompjuter, atëherë produkti mori Çmimin e Mbrojtjes Proaktive. Aktualisht, çmime të tilla janë marrë nga F-Secure me teknologjinë e sjelljes DeepGuard dhe Kaspersky Anti-Virus me modulin Proactive Protection.
Teknologjitë e parandalimit të infeksioneve të bazuara në analizën e sjelljes së malware po bëhen gjithnjë e më të përhapura dhe mungesa e testeve gjithëpërfshirëse krahasuese në këtë fushë është alarmante. Kohët e fundit, specialistët nga laboratori i kërkimit AV-Test zhvilluan një diskutim të gjerë për këtë çështje, në të cilën morën pjesë edhe zhvilluesit e produkteve antivirus. Rezultati i këtij diskutimi ishte një metodologji e re për testimin e aftësisë së produkteve antivirus për t'i bërë ballë kërcënimeve të panjohura.
Një nivel i lartë i zbulimit të malware duke përdorur teknologji të ndryshme është një nga karakteristikat më të rëndësishme të një antivirusi. Megjithatë, një karakteristikë po aq e rëndësishme është mungesa e pozitivëve të rremë. Pozitivet e rreme mund të shkaktojnë jo më pak dëm për përdoruesin sesa një infeksion virusi: bllokoni funksionimin e programeve të nevojshme, bllokoni hyrjen në faqe, etj.
Gjatë hulumtimit të tij, AV-Comparatives, së bashku me studimin e aftësive të antiviruseve për të zbuluar malware, kryen gjithashtu teste për rezultate false në koleksionet e skedarëve të pastër. Sipas testit, numri më i madh i rezultateve false u gjetën në antiviruset Doctor Web dhe Avira.
Nuk ka mbrojtje 100% kundër viruseve. Përdoruesit herë pas here hasin në një situatë ku një program keqdashës ka depërtuar në kompjuterin e tyre dhe kompjuteri infektohet. Kjo ndodh ose sepse nuk kishte fare antivirus në kompjuter, ose sepse antivirusi nuk e zbuloi malware duke përdorur metoda të nënshkrimit ose proaktive. Në një situatë të tillë, është e rëndësishme që kur instaloni një antivirus me baza të dhënash të reja nënshkrimesh në kompjuterin tuaj, antivirusi jo vetëm që mund të zbulojë një program me qëllim të keq, por edhe të eliminojë me sukses të gjitha pasojat e veprimtarisë së tij dhe të kurojë një infeksion aktiv. Në të njëjtën kohë, është e rëndësishme të kuptohet se krijuesit e viruseve po përmirësojnë vazhdimisht "aftësitë" e tyre dhe disa nga krijimet e tyre janë mjaft të vështira për t'u hequr nga një kompjuter - malware mund të maskojë praninë e tij në sistem në mënyra të ndryshme (përfshirë përdorimin e rootkits ) dhe madje të kundërshtojnë punën e programeve antivirus. Për më tepër, nuk mjafton thjesht të fshini ose dezinfektoni një skedar të infektuar; ju duhet të eliminoni të gjitha ndryshimet e bëra nga procesi me qëllim të keq në sistem dhe të rivendosni plotësisht funksionalitetin e sistemit. Ekipi i portalit rus Anti-Malware.ru kreu një test të ngjashëm, rezultatet e tij janë paraqitur në Figurën 4.
Figura 4 – Trajtimi i infeksionit aktiv
Qasje të ndryshme për testimin e antivirusit u diskutuan më lart, dhe u tregua se cilët parametra të funksionimit të antivirusit merren parasysh gjatë testimit. Mund të konkludojmë se për disa antivirusë një tregues rezulton të jetë i favorshëm, për të tjerët - një tjetër. Në të njëjtën kohë, është e natyrshme që në materialet e tyre reklamuese, zhvilluesit e antiviruseve përqendrohen vetëm në ato teste ku produktet e tyre zënë pozicione drejtuese. Për shembull, Kaspersky Lab fokusohet në shpejtësinë e reagimit ndaj shfaqjes së kërcënimeve të reja, Eset në fuqinë e teknologjive të tij heuristike, Doctor Web përshkruan avantazhet e tij në trajtimin e infeksioneve aktive.
Prandaj, duhet të bëhet një sintezë e rezultateve të testeve të ndryshme. Kjo përmbledh pozicionet që morën antiviruset në testet e rishikuara, dhe gjithashtu ofron një vlerësim të integruar - çfarë vendi zë mesatarisht një produkt i veçantë në të gjitha testet. Si rezultat, tre fituesit kryesorë ishin: Kaspersky, Avira, Symantec.
Bazuar në paketat e analizuara antivirus, u krijua një produkt softuer i krijuar për të kërkuar dhe trajtuar skedarët e infektuar me virusin SVC 5.0. Ky virus nuk çon në fshirje ose kopjim të paautorizuar të skedarëve, por ndërhyn ndjeshëm në funksionimin e plotë të softuerit kompjuterik.
Programet e infektuara janë më të gjata se kodi burimor. Sidoqoftë, kur shfletoni drejtoritë në një makinë të infektuar, kjo nuk do të jetë e dukshme, pasi virusi kontrollon nëse skedari i gjetur është i infektuar apo jo. Nëse një skedar është i infektuar, gjatësia e skedarit të painfektuar regjistrohet në DTA.
Ju mund ta zbuloni këtë virus si më poshtë. Në zonën e të dhënave të virusit ekziston një varg karakteresh "(c) 1990 nga SVC, Ver. 5.0", me anë të të cilit virusi, nëse është në disk, mund të zbulohet.
Kur shkruani një program antivirus, kryhet sekuenca e mëposhtme e veprimeve:
1 Për çdo skedar të skanuar, përcaktohet koha e krijimit të tij.
2 Nëse numri i sekondave është gjashtëdhjetë, atëherë tre bajt kontrollohen në një zhvendosje të barabartë me "gjatësia e skedarit minus 8AN". Nëse ato janë përkatësisht të barabarta me 35H, 2EN, 30H, atëherë skedari është i infektuar.
3 Deshifrohen 24 bajtët e parë të kodit origjinal, të cilët janë të vendosur në kompensimin "gjatësia e skedarit minus 01CFН plus 0BAAN". Çelësat e dekodimit janë të vendosur në zhvendosjet "gjatësia e skedarit minus 01CFН plus 0С1АН" dhe "gjatësia e skedarit minus 01CFН plus 0С1BN".
4 Bajtet e dekoduara rishkruhen në fillim të programit.
5 Skedari është "i shkurtuar" në vlerën "gjatësia e skedarit minus 0С1F".
Programi u krijua në mjedisin e programimit TurboPascal. Teksti i programit është paraqitur në Shtojcën A.
konkluzioni
Në këtë punë kursi, u krye një analizë krahasuese e paketave antivirus.
Gjatë analizës u zgjidhën me sukses detyrat e parashtruara në fillim të punës. Kështu, u studiuan konceptet e sigurisë së informacionit, viruset kompjuterike dhe mjetet antivirus, u identifikuan llojet e kërcënimeve për sigurinë e informacionit, metodat e mbrojtjes, u mor në konsideratë klasifikimi i viruseve kompjuterike dhe programeve antivirus dhe një analizë krahasuese e antiviruseve. u kryen paketat, u shkrua një program që kërkon skedarë të infektuar.
Rezultatet e marra gjatë punës mund të përdoren kur zgjidhni një agjent antivirus.
Të gjitha rezultatet e marra pasqyrohen në punën duke përdorur diagrame, kështu që përdoruesi mund të kontrollojë në mënyrë të pavarur përfundimet e nxjerra në diagramin përfundimtar, i cili pasqyron sintezën e rezultateve të identifikuara të testeve të ndryshme të produkteve antivirus.
Rezultatet e marra gjatë punës mund të përdoren si bazë për krahasimin e pavarur të programeve antivirus.
Në dritën e përdorimit të gjerë të teknologjive të TI-së, puna e paraqitur e kursit është e rëndësishme dhe plotëson kërkesat për të. Gjatë punës, u morën parasysh mjetet më të njohura antivirus.
Lista e literaturës së përdorur
1 Anin B. Mbrojtja e informacionit kompjuterik. - Shën Petersburg. : BHV – Shën Petersburg, 2000. – 368 f.
2 Artyunov V.V. Mbrojtja e informacionit: libër shkollor. - metodë. kompensim. M.: Liberia - Bibinform, 2008. - 55 f. – (Bibliotekari dhe koha. shek. XXI; numri nr. 99).
3 Korneev I.K., E.A. Stepanov Mbrojtja e informacionit në zyrë: tekst shkollor. – M.: Prospekt, 2008. – 333 f.
5 Kupriyanov A.I. Bazat e mbrojtjes së informacionit: libër shkollor. kompensim. - botimi i 2-të. fshihet – M.: Akademia, 2007. – 254 f. – (Arsimi i lartë profesional).
6 Semenenko V. A., N. V. Fedorov Mbrojtja e informacionit të softuerit dhe harduerit: libër shkollor. ndihmë për studentët universitetet – M.: MGIU, 2007. – 340 f.
7 Tsirlov V.L. Bazat e sigurisë së informacionit: një kurs i shkurtër. – Rostov n/d: Phoenix, 2008. – 254 f. (Arsimi profesional).
Aplikacion
Listimi i programeve
Program ANTIVIRUS;
Përdor dos, crt, printer;
Lloji St80 = String;
FileInfection:File Of Byte;
SearchFile:SearchRec;
Mas: Array of St80;
MasByte:Array of Byte;
Pozicioni,I,J,K:Byte;
Num,NumberOfFile,NumberOfInfFile:Word;
Flamuri,NextDisk,Gabim:Boolean;
Key1,Key2,Key3,NumriError:Byte;
Ekrani masiv:Array Of Byte Absolute $B800:0000;
Procedura e kurimit (Rr: St80);
I: Byte; MasCure: Array Of Byte;
Cakto (FileInfection, St); Reset (FileInfection);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>
Kërko (Infeksioni i skedarit, Madhësia e skedarit (Infeksioni i skedarit) - ($0C1F - $0C1A));
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Lexoni (Infeksioni i skedarit, Çelësi 1);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Lexoni (Infeksioni i skedarit, Çelësi 2);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Seek(FileInfection,FileSize(FileInfection) - ($0C1F - $0BAA));
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Për unë:=1 deri në 24 bëj
Read(FileInfection,MasCure[i]);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Key3:=MasCure[i];
MasCure[i]:=Çelësi3;
Kërko (FileInfection,0);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Për I:=1 deri në 24 bëj Write(FileInfection,MasCure[i]);
Seek(FileInfection,FileSize(FileInfection) - $0C1F);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Cruncate (Infeksioni i skedarit);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Mbyll (FileInfection); NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Procedura F1 (Rr: St80);
FindFirst(St + "*.*", $3F, SearchFile);
Ndërsa (SearchFile.Attr = $10) Dhe (DosError = 0) Dhe
((SearchFile.Name = ".") Ose (SearchFile.Name = "..")) Bëni
FindNext(SearchFile);
Ndërsa (DosError = 0) Bëni
Nëse shtypet butoni atëherë
Nëse (Ord(ReadKey) = 27) Pastaj Ndaloni;
Nëse (SearchFile.Attr = $10) Atëherë
Mas[k]:=St + SearchFile.Emri + "\";
Nëse (SearchFile. Attr<>10 dollarë) Pastaj
NumberOfFile:=NumberOfFile + 1;
UnpackTime (SearchFile.Time, DT);
Për I:=18 deri në 70 bëni MasScreen:=$20;
Shkruani (St + Search File.Name," ");
Nëse (Dt.Sec = 60) Atëherë
Cakto (FileInfection, St + Search File.Name);
Reset (FileInfection);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Seek(FileInfection,FileSize(FileInfection) - $8A);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Për I:=1 deri në 3 bëj Read(FileInfection,MasByte[i]);
Mbyll (FileInfection);
NumGabim:=IORrezultat;
Nëse (Numri Gabim<>0) Pastaj Gabim Fillimi:=E vërtetë; Dalje; Fundi;
Nëse (MasByte = $35) Dhe (MasByte = $2E) Dhe
(MasByte = 30 $) Pastaj
NumberOfInfFile:=NumberOfInfFile + 1;
Shkruani(St + SearchFile.Name," infektuar.",
"Fshi?");
Nëse (Ord(Ch) = 27) Atëherë Dilni;
Deri (Ch = "Y") Ose (Ch = "y") Ose (Ch = "N")
Nëse (Ch = "Y") Ose (Ch = "y") Atëherë
Cure (St + Search File.Name);
Nëse (Numri Gabim<>0) Pastaj Dil;
Për I:=0 deri në 79 bëni MasScreen:=$20;
FindNext(SearchFile);
GoToXY (29,1); TextAttr:=$1E; GoToXY (20,2); TextAttr:=17$;
Writeln ("Programi dlya poiska i lecheniya fajlov,");
Writeln ("zaragennih SVC50.");
TextAttr:=$4F; GoToXY (1,25);
Shkruani (" ESC - dalje ");
TextAttr:=$1F; GoToXY (1,6);
Write("Kakoj disk proveit?");
Nëse (Ord(Disk) = 27) Pastaj Exit;
R.Ah:=$0E; R.Dl:=Rend(Rastia e lart(Disk))-65;
Intr ($21,R); R.Ah:=19$; Intr ($21,R);
Flamuri:=(R.Al = (Ord(UpCase(Disk))-65));
St:=UpCase(Disk) + ":\";
Writeln("Disk Testiruetsya ",St," ");
Writeln ("Testiruetsya Fahl");
NumberOfFile:=0;
NumberOfInfFile:=0;
Nëse (k = 0) Ose Gabim Pastaj Flag:=False;
Nëse (k > 0) Atëherë K:=K-1;
Nëse (k=0) Atëherë Flag:=False;
Nëse (k > 0) Atëherë K:=K-1;
Writeln("Verifikuar fajlov - ",NumberOfFile);
Writeln("Zarageno fajlov - ",NumberOfInfFile);
Writeln("Izlecheno fajlov - ",Num);
Write("Kontrollo diskun e drogës? ");
Nëse (Ord(Ch) = 27) Atëherë Dilni;
Deri (Ch = "Y") Ose (Ch = "y") Ose (Ch = "N") Ose (Ch = "n");
Nëse (Ch = "N") Ose (Ch = "n") Pastaj NextDisk:=False;
Kriteret kryesore të vlerësimit, të cilat përfshinin 200 tregues, ishin:
- mbrojtje nga virusi;
- Lehtësinë e përdorimit;
- ndikim në shpejtësinë e kompjuterit.
Mbrojtja kundër malware është kriteri më i rëndësishëm i vlerësimit: treguesit brenda këtij grupi parametrash përbënin 65% të vlerësimit të përgjithshëm të antivirusit. Lehtësia e përdorimit dhe ndikimi në shpejtësinë e kompjuterit përbënin përkatësisht 25% dhe 10% të rezultatit të përgjithshëm.
Programet antivirus u zgjodhën për kërkime bazuar në popullaritetin midis konsumatorëve dhe përballueshmërinë. Për këtë arsye, lista e programeve antivirus të studiuara përfshinte:
- Programet falas - të integruara dhe të ofruara veçmas.
- Programe me pagesë nga markat kryesore antivirus. Bazuar në parimet e përzgjedhjes, studimi nuk përfshiu versionet më të shtrenjta të produkteve softuerike nga këto marka.
- Vetëm një produkt me pagesë nga një markë për një sistem operativ mund të përfshihet në vlerësim. Produkti i dytë mund të përfshihej në vlerësim vetëm nëse ishte falas.
Këtë herë, studimi ndërkombëtar përfshiu produkte të zhvilluara nga kompanitë ruse në kategori. Si rregull, lista e produkteve për testim ndërkombëtar përfshin produkte me një pjesë të mjaftueshme të tregut dhe njohje të lartë midis konsumatorëve, kështu që përfshirja e zhvillimeve ruse në studim tregon përfaqësimin dhe kërkesën e tyre të gjerë jashtë vendit.
Dhjetëja më e mirë për Windows
Të gjithë antivirusët në dhjetëshen e parë përballen me mbrojtjen nga spyware dhe mbrojnë kundër phishing - përpjekjet për të fituar akses në të dhënat konfidenciale. Por ka dallime midis antiviruseve në nivelin e mbrojtjes, si dhe në praninë ose mungesën e këtij ose atij funksioni në versionet e testuara të antivirusit.
Tabela përmbledhëse tregon dhjetë programet më të mira sipas vlerësimit të përgjithshëm. Ai gjithashtu merr parasysh veçoritë e paketave për sa i përket grupit të funksioneve të tyre.
Sa e mirë është mbrojtja standarde e Windows 10?
Që nga shkurti 2018, përqindja e përdoruesve të Windows PC me sisteme operative Windows 10 të instaluar në kompjuterët e tyre desktop ishte 43%. Në kompjuterë të tillë, antivirusi është instaluar si parazgjedhje - sistemi mbrohet nga programi Windows Defender, i cili përfshihet në sistemin operativ.
Antivirusi standard, i cili, duke gjykuar nga statistikat, përdoret nga shumica e njerëzve, ishte vetëm i 17-ti në renditje. Për sa i përket performancës së përgjithshme, Windows Defender shënoi 3.5 nga 5.5 e mundshme.
Mbrojtja e integruar e versioneve më të fundit të Windows po përmirësohet çdo vit, por ende nuk përputhet me nivelin e shumë programeve të specializuara antivirus, përfshirë ato që shpërndahen pa pagesë. Windows Defender tregoi rezultate të kënaqshme për sa i përket mbrojtjes në internet, por dështoi plotësisht në testet e phishing dhe anti-ransomware. Nga rruga, mbrojtja kundër phishing pretendohet nga prodhuesit e antiviruseve. Doli gjithashtu se bën një punë të dobët për të mbrojtur kompjuterin tuaj jashtë linje.
Windows Defender është mjaft i thjeshtë për sa i përket dizajnit. Ai raporton qartë praninë e një kërcënimi të veçantë, demonstron qartë nivelin e mbrojtjes dhe ka një funksion "kontrolli prindëror" që kufizon fëmijët nga vizita e burimeve të padëshiruara.
Mbrojtja standarde e Windows 10 është vetëm e mirë. Bazuar në vlerësimin e përgjithshëm, 16 programe për mbrojtjen e një kompjuteri personal në Windows OS doli të ishin më të mirë se ai. Përfshirë katër të lira.
Në teori, ju mund të mbështeteni vetëm në Windows Defender nëse përdoruesi ka përditësime të rregullta të ndezura, kompjuteri i tij është i lidhur me internetin shumicën e kohës dhe ata janë mjaft të avancuar për të shmangur me vetëdije vizitën e faqeve të dyshimta. Sidoqoftë, Roskachestvo rekomandon instalimin e një pakete të specializuar antivirus për besim më të madh në sigurinë e kompjuterit tuaj.
Si e testuam
Testimi u krye në laboratorin më të kualifikuar në botë të specializuar në programet antivirus për një periudhë gjashtëmujore. Janë kryer gjithsej katër grupe testesh për mbrojtjen e malware: testi i përgjithshëm i mbrojtjes në internet, testi offline, testi i normës së rreme pozitive dhe testi i skanimit automatik dhe sipas kërkesës. Në një masë më të vogël, vlerësimi përfundimtar u ndikua nga kontrollimi i lehtësisë së përdorimit të antivirusit dhe efekti i tij në shpejtësinë e kompjuterit.
- Mbrojtje e përgjithshme
Çdo paketë antivirus u testua në internet kundër një grupi virusesh, në total më shumë se 40,000. Gjithashtu u kontrollua se sa mirë përballon antivirusi me sulmet e phishing - kur dikush përpiqet të fitojë akses në të dhënat konfidenciale të përdoruesit. Është kryer një test për mbrojtjen kundër ransomware, i cili kufizon aksesin në një kompjuter dhe të dhënat në të me qëllim të shpërblesës. Përveç kësaj, kryhet një test në internet i një disku USB që përmban malware. Është e nevojshme për të zbuluar se sa mirë përballet antivirusi me gjetjen dhe eliminimin e viruseve kur as prania e skedarëve me qëllim të keq dhe as origjina e tyre nuk dihet paraprakisht.
- Testi jashtë linje USB
Zbulimi i malware i vendosur në një disk USB të lidhur me një kompjuter. Para skanimit, kompjuteri ishte shkëputur nga interneti për disa javë në mënyrë që paketat antivirus të mos ishin 100% të përditësuara.
- Alarm i rremë
Ne testuam se sa efektivisht antivirusi identifikon kërcënimet reale dhe anashkalon skedarët që janë në të vërtetë të sigurt, por që produkti i klasifikon si të rrezikshëm.
- Test skanimi automatik dhe sipas kërkesës
Ne testuam se sa efektivisht funksionon funksioni i skanimit kur skanoni automatikisht kompjuterin për malware dhe kur e përdorni atë manualisht. Studimi gjithashtu testoi nëse skanimi mund të planifikohej për periudha specifike kur kompjuteri nuk ishte në përdorim.
Siç mund të pritet, është e pamundur të emërosh programin më të mirë antivirus midis programeve të shqyrtuara, sepse ka shumë kritere që përdoruesit mund të përdorin kur zgjedhin. Një gjë është e sigurt - të gjitha zgjidhjet meritojnë vëmendjen e përdoruesve dhe konsiderohen të denja. Në të njëjtën kohë, më funksionalja prej tyre është Kaspersky Anti-Virus, i cili ofron mbrojtje gjithëpërfshirëse kundër gamës më të gjerë të kërcënimeve dhe ka aftësi mbresëlënëse personalizimi. Por për sa i përket kombinimit të funksionalitetit të lartë dhe lehtësisë së përdorimit (d.m.th., lehtësisë së përdorimit dhe "dukshmërisë" minimale gjatë punës në sfond), na pëlqeu më shumë Eset NOD32. Antivirus Avast! AntiVirus dhe Avira AntiVir janë gjithashtu të pakërkueshëm për burimet e sistemit dhe për këtë arsye sillen me modesti kur punojnë në sfond, por aftësitë e tyre nuk u përshtaten të gjithë përdoruesve. Në të parën, për shembull, niveli i analizës heuristike është i pamjaftueshëm, në të dytën nuk ka ende një lokalizim në gjuhën ruse dhe, për mendimin tonë, menaxhimi i moduleve nuk është i organizuar shumë i përshtatshëm. Sa i përket Norton AntiVirus dhe Dr.Web, me gjithë popullaritetin në botë të të parit dhe njohjen e merituar për meritat e së kaluarës së të dytit, pëllëmba nga këndvështrimi që po shqyrtojmë nuk është qartësisht në anën e tyre. Norton AntiVirus, përkundër faktit se versioni i tij i fundit është shumë më i shpejtë (krahasuar me ato të mëparshme) në funksionim dhe ka një ndërfaqe të dizajnuar më mirë, megjithatë ngarkon ndjeshëm sistemin dhe reagon mjaft ngadalë ndaj nisjes së funksioneve të caktuara. Edhe pse me drejtësi, duhet theksuar se skanimin e kryen vetë shpejt. Dhe Dr.Web nuk është shumë mbresëlënës në krahasim me antivirusët e tjerë, sepse aftësitë e tij janë të kufizuara në mbrojtjen e skedarëve dhe postës, por ka avantazhin e tij - është më i thjeshti ndër antiviruset e shqyrtuar.Tabela 1. Krahasimi i funksionalitetit të zgjidhjeve antivirus
Nuk është më pak interesante, natyrisht, të krahasohen antiviruset e shqyrtuara për sa i përket efektivitetit të tyre në zbulimin e programeve me qëllim të keq. Ky parametër vlerësohet në qendra dhe laboratorë të posaçëm dhe të njohur ndërkombëtarisht, si ICSA Labs, West Сoast Labs, Virus Bulletin etj. Dy të parët lëshojnë certifikata speciale për ata antivirusë që kanë kaluar një nivel të caktuar testesh, por ka një paralajmërim. - të gjitha paketat e njohura antivirus sot kanë certifikata të tilla (ky është një minimum i caktuar). Revista antivirus Virus Bulletin teston një numër të madh antivirusësh disa herë në vit dhe, në bazë të rezultateve, u jep atyre VB100%. Mjerisht, sot të gjitha viruset e njohura kanë gjithashtu çmime të tilla, përfshirë, natyrisht, ato që shqyrtuam. Prandaj, le të përpiqemi të analizojmë rezultatet e testeve të tjera. Ne do të fokusohemi në testet nga laboratori me reputacion austriak Av-Comparatives.org, i cili është i përfshirë në testimin e antiviruseve, dhe kompania greke Virus.gr, e cila është e specializuar në testimin e programeve antivirus dhe përpilimin e vlerësimeve antivirus dhe është e njohur për një nga koleksionet më të mëdha të viruseve. Sipas rezultateve të testimit të fundit në Av-Comparatives.org, të kryer në gusht 2009 për skanim sipas kërkesës (Tabela 2), midis atyre të ekzaminuar, programet Avira AntiVir Premium dhe Norton AntiVirus treguan rezultatet më të mira. Por Kaspersky Anti-Virus ishte në gjendje të zbulonte vetëm 97.1% të viruseve, megjithëse ta quash këtë nivel të zbulimit të virusit të ulët, natyrisht, është krejtësisht e padrejtë. Për informacion më të madh, vërejmë se vëllimi i bazave të të dhënave të viruseve të përfshira në këtë test arriti në më shumë se 1.5 milion kode me qëllim të keq, dhe diferenca është vetëm 0.1% - kjo nuk është as më shumë e as më pak, por 1.5 mijë programe me qëllim të keq. Sa i përket shpejtësisë, është edhe më e vështirë të krahasohen në mënyrë objektive zgjidhjet në këtë aspekt, sepse shpejtësia e skanimit varet nga shumë faktorë - në veçanti, nëse produkti antivirus përdor kod emulimi, nëse është në gjendje të njohë viruse komplekse polimorfike, qoftë në thellësi. kryhet analiza e skanimit heuristik dhe skanimi aktiv i rootkits, etj. Të gjitha pikat e mësipërme lidhen drejtpërdrejt me cilësinë e njohjes së virusit, prandaj, në rastin e zgjidhjeve antivirus, shpejtësia e skanimit nuk është treguesi më i rëndësishëm i efektivitetin e punës së tyre. Sidoqoftë, specialistët e Av-Comparatives.org e konsideruan të mundur vlerësimin e zgjidhjeve, dhe sipas këtij treguesi, në fund, Avast doli në krye midis programeve antivirus në shqyrtim! AntiVirus dhe Norton AntiVirus.tabela 2. Krahasimi i zgjidhjeve antivirus për sa i përket zbulimit të tyre të malware (burimi - Av-Comparatives.org, gusht 2009)
| Emri | Shpejtësia e skanimit | |
| Avira AntiVir Premium 8.2 | 99,7 | Mesatare |
| Norton AntiVirus 16.2 | 98,7 | Shpejt |
| 98,2 | Shpejt | |
| ESET NOD32 Antivirus 3.0 | 97,6 | Mesatare |
| Kaspersky Anti-Virus 8.0 | 97,1 | Mesatare |
| AVG Anti-Virus 8.0.234 | 93 | I ngadalshëm |
| Dr.Web antivirus për Windows | I pa testuar | Nuk ka të dhëna |
| PANDA Antivirus Pro 2010 | I pa testuar | Nuk ka të dhëna |
Sipas rezultateve të testimit të gushtit të Virus.gr, të paraqitura në tabelë. 3, të dhënat janë paksa të ndryshme. Këtu liderët janë Kaspersky Anti-Virus 2010 me 98.67% dhe Avira AntiVir Premium 9.0 me 98.64%. Nga rruga, vlen të përmendet se programi falas Avira AntiVir Personal, i cili përdor të njëjtat baza të të dhënave të nënshkrimit dhe të njëjtat metoda testimi si Avira AntiVir Premium me pagesë, është mjaft prapa zgjidhjes komerciale. Dallimet në rezultate janë për faktin se laboratorë të ndryshëm përdorin baza të të dhënave të ndryshme të viruseve - natyrisht, të gjitha bazat e të dhënave të tilla bazohen në koleksionin "In the Wild" të viruseve të egër, por ai plotësohet nga viruse të tjerë. Varet se çfarë lloj virusesh janë dhe sa përqind e tyre janë në bazën totale të të dhënave, cila paketë do të bëhet lider.
Tabela 3. Krahasimi i zgjidhjeve antivirus përsa i përket zbulimit të tyre të malware (burimi - Virus.gr, gusht 2009)
| Emri | Përqindja e zbulimit të llojeve të ndryshme të malware |
| Kaspersky Anti-Virus 2010 | 98,67 |
| Avira AntiVir Premium 9.0 | 98,64 |
| Avira AntiVir Personal 9.0 | 98,56 |
| AVG Anti-Virus Pa pagesë 8.5.392 | 97 |
| ESET NOD32 Antivirus 4.0 | 95,97 |
| Avast! Antivirus pa 4.8 | 95,87 |
| Norton AntiVirus Norton 16.5 | 87,37 |
| Dr. Ueb 5.00 | 82,89 |
| Panda 2009 9.00.00 | 70,8 |
Vlen gjithashtu t'i kushtohet vëmendje masës në të cilën antiviruset mund të përballen me kërcënime të panjohura në praktikë - domethënë efektivitetin e metodave proaktive të mbrojtjes antivirus që ata përdorin. Kjo është jashtëzakonisht e rëndësishme, pasi të gjithë ekspertët kryesorë në këtë fushë kanë arritur prej kohësh në konsensus se kjo fushë e veçantë është më premtuese në tregun e antiviruseve. Testime të ngjashme u kryen nga specialistët e Anti-Malware.ru nga 3 dhjetor 2008 deri më 18 janar 2009. Për të kryer testin, ata mblodhën një koleksion prej 5,166 kodesh unike të malware-it më të fundit ndërsa ngrinin bazat e të dhënave anti-virus. Ndër antivirusët e konsideruar në këtë artikull, rezultatet më të mira u demonstruan nga Avira AntiVir Premium dhe Dr.Web (Tabela 4), të cilët ishin në gjendje të identifikonin një numër relativisht të lartë të kodeve me qëllim të keq që mungonin në bazat e të dhënave të tyre, megjithatë, numrin e rezultateve false. për këto antiviruse doli të jetë i lartë. Prandaj, ekspertët i dhanë dafinat e kampionatit në formën e "Çmimit Gold Proactive Protection Award" zgjidhjeve krejtësisht të ndryshme. Këto janë Kaspersky Anti-Virus, ESET NOD32 Antivirus dhe BitDefender Antivirus, të cilët rezultuan të ishin më të mirët për sa i përket bilancit të zbulimit proaktiv dhe pozitivëve të rremë. Rezultatet e tyre ishin pothuajse identike - shkalla e zbulimit heuristik ishte 60% dhe shkalla false pozitive ishte rreth 0.01-0.04%.
Tabela 4. Krahasimi i zgjidhjeve antivirus për sa i përket efektivitetit të mbrojtjes proaktive antivirus (burimi - Anti-Malware.ru, janar 2009)
| Emri | Përqindja e viruseve të zbuluar | Norma false pozitive |
| Avira AntiVir Premium 8.2 | 71 | 0,13 |
| Dr.Web 5.0 | 61 | 0,2 |
| Kaspersky Anti-Virus 2009 | 60,6 | 0,01 |
| ESET NOD32 Antivirus 3.0 | 60,5 | 0,02 |
| AVG Anti-Virus 8.0 | 58,1 | 0,02 |
| Avast! AntiVirus Professional 4.8 | 53,3 | 0,03 |
| Norton Anti-Virus 2009 | 51,5 | 0 |
| Panda Antivirus 2009 | 37,9 | 0,02 |
Nga të dhënat e mësipërme, mund të nxirret vetëm një përfundim - të gjitha zgjidhjet antivirus të konsideruara me të vërtetë mund të konsiderohen të denja për vëmendje. Sidoqoftë, kur punoni në ndonjë prej tyre, nuk duhet të harroni kurrë azhurnimin në kohë të bazave të të dhënave të nënshkrimit, pasi niveli i metodave të mbrojtjes proaktive në cilindo prej programeve është ende larg idealit.
