Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • TV 
  • Llojet e mbrojtjes antivirus apo si të mposhtni viruset kompjuterike? Monitori i antivirusit (Përshkrimi dhe heqja) Qendra e kontrollit të rrjetit antivirus.

Llojet e mbrojtjes antivirus apo si të mposhtni viruset kompjuterike? Monitori i antivirusit (Përshkrimi dhe heqja) Qendra e kontrollit të rrjetit antivirus.

06.07.2024 TV 

Alexander Frolov, Grigory Frolov

alexandre @frolov.pp.ru; http://www.frolov.pp.ru, http://www.datarecovery.ru

Në artikullin e mëparshëm mbi mbrojtjen antivirus, ne shikuam llojet kryesore të viruseve dhe mënyrën se si ato përhapen. Tani, bazuar në këto njohuri, do të merremi me mbrojtjen kundër viruseve, trojanëve dhe programeve të tjera me qëllim të keq. Ne do të flasim për zgjidhjet softuerike, harduerike, administrative dhe teknologjike dhe masat e nevojshme për të zvogëluar rrezikun e infeksionit viral dhe për të zvogëluar dëmin nëse një infeksion i tillë ka ndodhur tashmë.

Metodat e softuerit dhe harduerit për zbulimin e viruseve

Programet antivirus kanë qenë dhe mbeten mjetet kryesore për të luftuar viruset. Ju mund të përdorni programe antivirus (antiviruse) pa pasur asnjë ide se si funksionojnë ato. Sidoqoftë, pa i kuptuar parimet e softuerit antivirus, duke ditur llojet e viruseve, si dhe mënyrën e përhapjes së tyre, është e pamundur të organizohet një mbrojtje e besueshme e kompjuterit. Si rezultat, kompjuteri mund të infektohet edhe nëse në të është instaluar softuer antivirus.

Sot përdoren disa teknika themelore për zbulimin dhe mbrojtjen kundër viruseve:

· skanim;

· analiza heuristike;

· përdorimi i monitorëve antivirus;

· zbulimin e ndryshimeve;

· përdorimi i antiviruseve të integruar në BIOS-in e kompjuterit.

Për më tepër, pothuajse të gjitha programet antivirus ofrojnë rikuperim automatik të programeve të infektuara dhe sektorëve të nisjes. Sigurisht, nëse është e mundur.

Skanimi

Metoda më e thjeshtë e kërkimit të viruseve është që programi antivirus skanon në mënyrë sekuenciale skedarët e skanuar në kërkim të nënshkrimeve të viruseve të njohur. Një nënshkrim është një sekuencë unike bajtësh që i përket një virusi dhe nuk gjendet në programe të tjera.

Programet e skanerit antivirus janë në gjendje të gjejnë vetëm viruse tashmë të njohur dhe të studiuar për të cilët është përcaktuar një nënshkrim. Përdorimi i programeve të thjeshta të skanerit nuk e mbron kompjuterin tuaj nga depërtimi i viruseve të reja.

Për kodimin dhe viruset polimorfikë që mund të ndryshojnë plotësisht kodin e tyre kur infektojnë një program të ri ose sektor boot, është e pamundur të identifikohet një nënshkrim. Prandaj, programet e thjeshta të skanerit antivirus nuk mund të zbulojnë viruse polimorfike.

Analiza heuristike

Analiza heuristike ju lejon të zbuloni viruse të panjohura më parë, dhe për këtë nuk keni nevojë të mblidhni së pari të dhëna për sistemin e skedarëve, siç kërkohet, për shembull, nga metoda e zbulimit të ndryshimit të diskutuar më poshtë.

Programet antivirus që zbatojnë metodën e analizës heuristike skanojnë programet dhe sektorët e nisjes së disqeve dhe disketave, duke u përpjekur të zbulojnë kodin karakteristik të viruseve në to. Një analizues heuristik mund të zbulojë, për shembull, që programi që testohet instalon një modul rezident në memorie ose shkruan të dhëna në skedarin e ekzekutueshëm të programit.

Pothuajse të gjitha programet moderne antivirus zbatojnë metodat e tyre të analizës heuristike. Në Fig. 1 ne treguam një nga programet e tilla - skaneri McAffee VirusScan, i nisur manualisht për të skanuar diskun për antivirus.

Oriz. 1. McAffee VirusScan kontrollon diskun

Kur një antivirus zbulon një skedar të infektuar, ai zakonisht shfaq një mesazh në ekranin e monitorit dhe bën një hyrje në regjistrin e tij ose të sistemit. Në varësi të cilësimeve, antivirusi mund të dërgojë gjithashtu një mesazh në lidhje me virusin e zbuluar te administratori i rrjetit.

Nëse është e mundur, antivirusi dezinfekton skedarin, duke rivendosur përmbajtjen e tij. Përndryshe, opsioni i vetëm i ofruar është të fshini skedarin e infektuar dhe më pas ta rivendosni atë nga një kopje rezervë (nëse, sigurisht, keni një të tillë).

Monitorët antivirus

Ekziston gjithashtu një klasë e tërë e programeve antivirus që qëndrojnë përgjithmonë në kujtesën e kompjuterit dhe monitorojnë të gjitha veprimet e dyshimta të kryera nga programe të tjera. Programe të tilla quhen monitorë antivirus ose roje.

Monitori kontrollon automatikisht të gjitha programet e nisura, dokumentet e krijuara, të hapura dhe të ruajtura, skedarët e programeve dhe dokumenteve të marra përmes Internetit ose të kopjuara në hard disk nga një disketë ose CD. Monitoruesi antivirus do të njoftojë përdoruesin nëse ndonjë program përpiqet të kryejë një veprim potencialisht të rrezikshëm.

Kompleti i një prej skanerëve më të avancuar të Doctor Web (Fig. 2), i zhvilluar nga Igor Danilov (http://www.drweb.ru), përfshin një roje Spider Guard, e cila kryen funksionet e një monitori antivirus.

Oriz. 2. Doctor Web skaner

Zbulimi i ndryshimit

Kur një virus infekton një kompjuter, ai ndryshon përmbajtjen e diskut, për shembull, shton kodin e tij në një program ose skedar dokumenti, shton një thirrje në programin e virusit në skedarin AUTOEXEC.BAT, ndryshon sektorin e nisjes dhe krijon një skedar satelitor. Ndryshime të tilla, megjithatë, nuk bëhen nga viruse "të pa trupit" që jetojnë jo në disk, por në kujtesën e proceseve të OS.

Programet antivirus, të quajtur auditorë të diskut, nuk skanojnë për viruse me nënshkrim. Ata fillimisht kujtojnë karakteristikat e të gjitha zonave të diskut që janë sulmuar nga virusi, dhe më pas i kontrollojnë ato periodikisht (prandaj emri i programit të auditimit). Ekzaminuesi mund të gjejë ndryshimet e bëra nga një virus i njohur ose i panjohur.

Shembuj të inspektorëve të diskut përfshijnë programin Advanced Diskinfoscope (ADinf) i zhvilluar në DialogNauka CJSC (http://www.dials.ru, http://www.adinf.ru) dhe auditorin AVP Inspector prodhuar nga Kaspersky Lab CJSC "(http ://www.kaspersky.ru).

Së bashku me ADinf, përdoret moduli shërues ADinf Cure Module (ADinfExt), i cili përdor informacionin e mbledhur më parë rreth skedarëve për t'i rivendosur ato pas infektimit nga viruse të panjohura. AVP Inspector përfshin gjithashtu një modul shërimi që mund të heqë viruset.

Mbrojtje e integruar në BIOS të kompjuterit

Mjetet më të thjeshta të mbrojtjes kundër viruseve janë gjithashtu të integruara në pllakat amë të kompjuterëve. Këto mjete ju lejojnë të monitoroni të gjithë aksesin në rekordin kryesor të nisjes së disqeve të ngurtë, si dhe në sektorët e nisjes së disqeve dhe disketave. Nëse ndonjë program përpiqet të ndryshojë përmbajtjen e sektorëve të nisjes, aktivizohet mbrojtja dhe përdoruesi merr një paralajmërim përkatës.

Megjithatë, kjo mbrojtje nuk është shumë e besueshme. Ka viruse (për shembull, Tchechen.1912 dhe 1914) që përpiqen të çaktivizojnë kontrollin e antivirusit BIOS duke ndryshuar disa qeliza në memorien e paqëndrueshme (memoria CMOS) e kompjuterit.

Karakteristikat e mbrojtjes së intranetit të korporatës

Një intranet i korporatës mund të përbëhet nga qindra e mijëra kompjuterë që veprojnë si stacione pune dhe serverë. Ky rrjet zakonisht lidhet me internetin dhe përmban serverë poste, serverë të sistemit të automatizimit të dokumenteve si Microsoft Exchange dhe Lotus Notes dhe sisteme informacioni jo standarde.

Për të mbrojtur me siguri një intranet të korporatës, është e nevojshme të instaloni softuer antivirus në të gjitha stacionet e punës dhe serverët. Në këtë rast, softuer special antivirus i bazuar në server duhet të përdoret në serverët e skedarëve, serverët e postës elektronike dhe serverët e sistemit të menaxhimit të dokumenteve. Sa i përket stacioneve të punës, ato mund të mbrohen me skanerë dhe monitorë konvencionalë antivirus.

Janë zhvilluar serverë të veçantë proxy anti-virus dhe mure zjarri që skanojnë trafikun që kalon përmes tyre dhe heqin komponentët e softuerit me qëllim të keq prej tij. Këta antivirusë përdoren shpesh për të mbrojtur serverët e postës dhe serverët e sistemit të menaxhimit të dokumenteve.

Mbrojtja e serverit të skedarëve

Serverët e skedarëve duhet të mbrohen duke përdorur monitorë antivirus që mund të skanojnë automatikisht të gjithë skedarët e serverëve të aksesuar përmes rrjetit. Antivirusët e krijuar për të mbrojtur serverët e skedarëve prodhohen nga të gjitha kompanitë antivirus, kështu që ju keni një zgjedhje të gjerë.

Mbrojtja e serverit të postës

Monitorët antivirus nuk janë efektivë në zbulimin e viruseve në mesazhet e postës elektronike. Kjo kërkon antivirus të veçantë që mund të filtrojnë trafikun SMTP, POP3 dhe IMAP, duke parandaluar që mesazhet e infektuara të arrijnë stacionet e punës të përdoruesit.

Për të mbrojtur serverët e postës, mund të blini antiviruse të krijuar posaçërisht për të skanuar trafikun e postës ose të lidhni antiviruse të rregullt që mund të funksionojnë në modalitetin e linjës së komandës me serverin tuaj të postës.

Daemon antivirus Doctor Web mund të integrohet me të gjithë serverët dhe sistemet më të njohura të postës, si Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail dhe Zmailer. Mjete të ngjashme ofrohen nga Kaspersky Lab si pjesë e Kaspersky Corporate Suite.

Serveri i postës MERAK Mail Server lejon lidhjen e antivirusëve të jashtëm të llojeve të ndryshme që kanë një ndërfaqe të linjës komanduese. Disa serverë të postës (si p.sh. EServ) vijnë me antivirus të integruar.

Gjithashtu, mund të skanoni gjithashtu trafikun POP 3 në stacionet e punës të përdoruesve. Kjo mund të bëhet, për shembull, nga serveri proxy antivirus SpIDer Mail për protokollin POP 3, i cili mund të blihet së bashku me antivirusin Doctor Web.

Mbrojtja e serverëve të sistemit të menaxhimit të dokumenteve

Serverët e sistemit të menaxhimit të dokumenteve, si Microsoft Exchange dhe Lotus Notes, ruajnë dokumentet në bazat e të dhënave të formatit të tyre. Prandaj, përdorimi i skanerëve konvencionalë të skedarëve për skanimin antivirus të dokumenteve nuk do të japë ndonjë rezultat.

Ka një numër programesh antivirus të krijuar posaçërisht për mbrojtjen antivirus të sistemeve të tilla. Këto janë Trend Micro ScanMail për Lotus Notes, McAfee GroupScan dhe McAfee GroupShield, Norton Antivirus për Lotus Notes, Kaspersky Business Optimal antivirus për MS Exchange Server dhe disa të tjerë.

Këto programe skanojnë emailet dhe bashkëngjitjet e skedarëve, duke hequr të gjithë malware në kohë reale, zbulojnë makro viruse dhe trojan në forma dhe makro, skedarë skripti dhe objekte OLE. Verifikimi kryhet në kohë reale dhe sipas kërkesës.

Mbrojtja e sistemeve jo standarde të informacionit

Për mbrojtjen antivirus të sistemeve jo standarde të informacionit që ruajnë të dhënat në formatet e tyre, është e nevojshme ose të ndërtoni një kernel antivirus në sistem ose të lidhni një skaner të jashtëm që funksionon në modalitetin e linjës së komandës.

Për shembull, bërthama e antivirusit Doctor Web u përdor nga FSUE NPO Mashinostroeniya për të mbrojtur një sistem të menaxhimit të dokumenteve të krijuar në bazë të teknologjisë së vetë Sapiens (http://www.npomit.ru). I gjithë informacioni i ruajtur nga ky sistem në bazën e të dhënave kontrollohet nga motori antivirus Doctor Web.

Si zhvillues i sistemeve të informacionit për përdorim kritik, NPO Mashinostroyenia ka ofruar mbrojtje antivirus për zhvillime të tilla si Sapiens Regjistrimi dhe Kontrolli i Ekzekutimit të Dokumentit, Sapiens Monitorimi i Burimeve Kompjuterike, Arkivi Elektronik i Dokumentacionit të Dizajnit Sapiens.

Qendra e kontrollit të rrjetit antivirus

Nëse intraneti ka qindra e mijëra kompjuterë, atëherë është i nevojshëm menaxhimi i centralizuar në distancë i programeve antivirus dhe kontrolli i funksionimit të tyre. Kryerja e operacioneve në modalitetin "manual", të tilla si monitorimi i përditësimeve të bazës së të dhënave antivirus dhe moduleve të ngarkimit të programeve antivirus, monitorimi i efektivitetit të zbulimit të viruseve në stacionet e punës dhe serverët, etj., është i paefektshëm nëse ka një numër të madh të përdoruesit në rrjet ose nëse rrjeti përbëhet nga segmente të largëta gjeografikisht nga njëri-tjetri.

Nëse nuk siguroni zbatimin në kohë dhe efektiv të operacioneve të mësipërme, teknologjia e mbrojtjes antivirus të rrjetit të korporatës sigurisht që do të rrezikohet, gjë që herët a vonë do të çojë në infektim me virus. Për shembull, përdoruesit mund të konfigurojnë gabimisht përditësimet automatike të bazës së të dhënave antivirus ose thjesht të fikin kompjuterët e tyre ndërsa përditësime të tilla janë në proces. Si rezultat, përditësimi automatik nuk do të kryhet dhe do të ketë një kërcënim të mundshëm të infektimit me viruse të reja.

Sistemet moderne antivirus zbatojnë funksionet e mëposhtme të menaxhimit dhe kontrollit në distancë:

· instalimi dhe përditësimi i programeve antivirus, si dhe bazave të të dhënave antivirus;

· instalim dhe konfigurim i centralizuar në distancë i antiviruseve;

· zbulimi automatik i stacioneve të reja të punës të lidhura me rrjetin e korporatës, i ndjekur nga instalimi automatik i programeve antivirus në këto stacione;

· planifikimi i detyrave për nisje të menjëhershme ose të vonuar (të tilla si përditësimi i programeve, baza e të dhënave anti-virus, skanimi i skedarëve, etj.) në çdo kompjuter në rrjet;

· Shfaqja në kohë reale e procesit të funksionimit të antivirusit në stacionet e punës dhe serverët e rrjetit.

Të gjitha funksionet e mësipërme ose shumë prej tyre zbatohen në qendrat e kontrollit të rrjetit të produkteve kryesore antivirus të korporatave të krijuara nga Sophos (http://www.sophos.com), Symantec (http://www.symante с.ru) , Network Associates ( http://www.nai.com) dhe Kaspersky Lab.

Qendrat e kontrollit të rrjetit ju lejojnë të menaxhoni mbrojtjen antivirus të të gjithë rrjetit tuaj nga një stacion pune i administratorit të sistemit. Në të njëjtën kohë, për të përshpejtuar procesin e instalimit të antiviruseve në rrjetet e largëta të lidhura me rrjetin kryesor nëpërmjet kanaleve të komunikimit të ngadaltë, këto rrjete krijojnë drejtoritë e tyre lokale të shpërndarjes.

Kur përdorni një arkitekturë klient-server, baza e qendrës së kontrollit të rrjetit është një server antivirus i instaluar në një nga serverët në rrjetin e korporatës. Ai ndërvepron me, nga njëra anë, nga programet e agjentëve të instaluar së bashku me programet antivirus në stacionet e punës të rrjetit, dhe nga ana tjetër, nga tastiera e kontrollit të administratorit të mbrojtjes antivirus (Fig. 3).

Oriz. 3. Ndërveprimi ndërmjet konsolës së administratorit, agjentëve dhe serverit antivirus

Serveri antivirus kryen veprime kontrolli dhe koordinimi. Ai ruan një regjistër të përgjithshëm të ngjarjeve që lidhen me mbrojtjen antivirus dhe që ndodhin në të gjithë kompjuterët në rrjet, një listë dhe orar për ekzekutimin e detyrave. Serveri antivirus është përgjegjës për marrjen e mesazheve nga agjentët dhe transmetimin te administratori i mbrojtjes antivirus në lidhje me ndodhjen e ngjarjeve të caktuara në rrjet, duke kontrolluar periodikisht konfigurimin e rrjetit për të zbuluar stacione të reja pune ose stacione pune me një konfigurim të ndryshuar të antivirusit. -mjetet e virusit etj.

Përveç agjentëve, një antivirus është instaluar në çdo stacion pune dhe server në rrjetin e korporatës, i cili skanon skedarët dhe kontrollon skedarët kur ato hapen (funksionet e skanerit dhe monitorit antivirus). Rezultatet e operacionit antivirus transmetohen përmes agjentëve në serverin antivirus, i cili i analizon ato dhe i regjistron ato në regjistrin e ngjarjeve.

Paneli i kontrollit mund të jetë një aplikacion standard i Microsoft Windows me një ndërfaqe me dritare ose një aplikacion (snap-in) i panelit të kontrollit të panelit të kontrollit të sistemit operativ Microsoft Windows. Qasja e parë zbatohet, për shembull, në sistemin e menaxhimit të antiviruseve Sophos, dhe e dyta - në sistemin e menaxhimit të Norton AntiVirus.

Ndërfaqja e përdoruesit të konsolës së menaxhimit ju lejon të shikoni strukturën e pemës së rrjetit të korporatës, duke fituar akses, nëse është e nevojshme, në kompjuterë individualë të grupeve ose domeneve të caktuara të përdoruesve.

Sisteme me shumë nivele me një ndërfaqe Web

Arkitektura e sistemeve me shumë nivele me një ndërfaqe në internet përfshin përdorimin e një serveri në internet si thelbin e sistemit. Detyra e këtij kerneli është, nga njëra anë, të organizojë ndërveprim ndërveprues me përdoruesin, dhe nga ana tjetër, me modulet softuerike të një sistemi të caktuar.

Përparësitë e kësaj qasjeje janë unifikimi i metodave për menaxhimin e sistemeve të ndryshme të rrjetit, si dhe mungesa e nevojës për të instaluar ndonjë program kontrolli ose tastierë në stacionin e punës të administratorit. Administrimi mund të kryhet nga çdo kompjuter në rrjet, dhe nëse rrjeti është i lidhur me internetin, atëherë nga kudo në botë ku ka internet dhe një kompjuter me shfletues.

Për të mbrojtur informacionin e kontrollit kur ai transmetohet përmes Internetit ose intranetit të korporatës, përdoren protokollet SSH ose mjete të tjera të ngjashme (për shembull, modifikime të sigurta të pronarit të protokollit HTTP).

Në Fig. 4-5 ne treguam një bllok diagram të një sistemi mbrojtjeje antivirus me një ndërfaqe në internet Trend Virus Control System. Ky sistem ju lejon të menaxhoni dhe kontrolloni plotësisht funksionimin e një sistemi mbrojtjeje antivirus të korporatës nga një stacion pune përmes një shfletuesi, edhe nëse pjesë të veçanta të rrjetit ndodhen në vende të ndryshme ose në kontinente të ndryshme.

Oriz. 4. Sistem antivirus me ndërfaqe Web

Ky qark është i ngjashëm me qarkun e treguar në Fig. 4-1, megjithatë, administratori i antivirusit menaxhon funksionimin e tij përmes një shfletuesi, dhe jo përmes një aplikacioni konsol.

Një antivirus është instaluar në stacionet e punës (PC-cillin, Server Protect, InterScan VirusWall, ScanMail, etj.). Ky antivirus kontrollohet nga një server antivirus përmes një agjenti.

Serveri i uebit i Microsoft IIS është i instaluar në kompjuterin që luan rolin e një serveri antivirus. Një aplikacion i veçantë ueb që funksionon në këtë server kontrollon serverin antivirus. Ai gjithashtu i siguron administratorit një ndërfaqe përdoruesi për të menaxhuar sistemin e mbrojtjes antivirus.

Për të siguruar pavarësi maksimale nga platformat kompjuterike, Serveri Trend VCS dhe aplikacioni i klientit janë shkruar në gjuhën e programimit Java dhe gjuhë të tjera që përdoren për të zhvilluar aplikacione në internet.

Sa i përket njoftimeve në lidhje me ndodhjen e ngjarjeve në sistemin e mbrojtjes antivirus të korporatës, ato transmetohen nga programet e agjentëve në Serverin Trend VCS dhe dërgohen me postë elektronike, përmes rrjeteve të faqeve, përmes sistemeve SMS, etj.

Metodat administrative dhe teknologjike të mbrojtjes

Në mënyrë që programet antivirus të kryejnë në mënyrë efektive funksionet e tyre, është e nevojshme të ndiqni me përpikëri rekomandimet për përdorimin e tyre të përshkruara në dokumentacion. Vëmendje e veçantë duhet t'i kushtohet nevojës për të përditësuar rregullisht bazat e të dhënave të viruseve dhe komponentët e softuerit antivirus. Antivirusët modernë mund të shkarkojnë skedarë përditësimi nëpërmjet internetit ose përmes një rrjeti lokal. Sidoqoftë, për ta bërë këtë, ato duhet të konfigurohen në përputhje me rrethanat.

Megjithatë, edhe pa përdorur programe antivirus, mund të përpiqeni të parandaloni hyrjen e viruseve në kompjuterin tuaj dhe të zvogëloni dëmin që ata do të shkaktojnë nëse infektohen. Ja çfarë duhet të bëni së pari:

· bllokoni kanalet e mundshme të depërtimit të virusit: mos e lidhni kompjuterin me internetin dhe rrjetin lokal të kompanisë nëse nuk është e nevojshme, shkëputni pajisjet e jashtme të memories, të tilla si disqet dhe pajisjet CD-ROM;

Parandalimi i modifikimit të softuerit të përmbajtjes së memories jo të paqëndrueshme BIOS;

· krijoni një disketë për nisjen e sistemit, duke regjistruar antiviruse dhe shërbime të tjera të sistemit për të punuar me diskun në të, si dhe një disk rikuperimi emergjent të Microsoft Windows;

· skanoni të gjitha programet dhe skedarët e dokumenteve të regjistruara në kompjuter, si dhe disketat duke përdorur versionet më të fundit të programeve antivirus;

· instaloni softuer vetëm nga CD të licencuara;

· instaloni mbrojtjen e shkrimit në të gjitha disketat dhe hiqni atë vetëm nëse është e nevojshme;

· Kufizoni shkëmbimin e programeve dhe disketave;

· Bëni kopje rezervë të të dhënave tuaja rregullisht;

· caktoni të drejtat minimale të kërkuara të aksesit në drejtoritë e serverëve të skedarëve, mbroni me shkrim drejtoritë e kompleteve të shpërndarjes dhe skedarët e programit;

· hartoni udhëzime për përdoruesit për mbrojtjen antivirus, duke përshkruar në të rregullat për përdorimin e antiviruseve, rregullat për të punuar me skedarë dhe postë elektronike, si dhe përshkruani veprimet që duhet të ndërmerren kur zbulohen viruse.

Problem me kompjuterin në shtëpi

Shpesh, punonjësit e kompanisë punojnë jo vetëm në zyrë, por edhe në shtëpi, duke shkëmbyer skedarë midis kompjuterit të tyre të shtëpisë dhe stacionit të punës së zyrës. Një administrator i sistemit të kompanisë nuk është në gjendje të mbrojë të gjithë kompjuterët shtëpiak të punonjësve nga viruset. Viruset mund të futen në kompjuterin tuaj të shtëpisë nga interneti, si dhe përmes shkëmbimit të programeve të lojës. Kjo ndodh shpesh nëse anëtarët e tjerë të familjes dhe fëmijët kanë akses në kompjuterin e shtëpisë.

Të gjitha dosjet që punonjësit sjellin nga shtëpia në punë duhet të konsiderohen potencialisht të rrezikshme. Në raste kritike, një shkëmbim i tillë duhet të ndalohet plotësisht ose të kufizohet rreptësisht. Skedarët "home" potencialisht të rrezikshëm duhet të skanohen përpara se të hapen me programe antivirus.

Instalimi i mureve të zjarrit personal

Një rrjet i korporatës i lidhur me internetin duhet të mbrohet nga sulmet e hakerëve duke përdorur një mur zjarri. Megjithatë, përveç kësaj, ju mund të mbroni më tej stacionet e punës dhe serverët e rrjetit duke instaluar mure mbrojtëse personale në to, si për shembull AtGuard (Fig. 5).

Oriz. 5. Vendosja e murit të zjarrit personal AtGuard

Përveç filtrimit të trafikut të padëshiruar, disa mure mbrojtëse personale mund të mbrojnë kompjuterin tuaj nga aplikacionet Java Trojan dhe kontrollet ActiveX. Komponentë të tillë mund të futen në mesazhet e emailit HTML dhe në faqet e faqeve të internetit të Trojan.

Muret e zjarrit personal që janë në atë që njihet si modaliteti i të mësuarit mund të ndihmojnë në zbulimin e trafikut nga Trojans, bomba logjike dhe komponentë të tjerë të padëshiruar me qëllim të keq. Kur një komponent i tillë përpiqet të komunikojë me kompjuterin e një hakeri, muri i zjarrit do të shfaqë një mesazh paralajmërues në ekran.

Duhet të theksohet se në cilësimet e shfletuesit tuaj mund të çaktivizoni gjithashtu aftësinë për të përdorur komponentë aktivë si aplikacionet Java dhe kontrollet ActiveX. Sidoqoftë, muret e zjarrit personal janë më universale dhe ju lejojnë të bllokoni përdorimin e përbërësve të tillë nga çdo program, për shembull, klientët e postës elektronike

PROGRAMET MONITORUESE (MONITORËT ANTIVIRUS)

Infeksioni i kompleksit kompjuterik me virus

Programet rezidente. Thelbi i kësaj metode është se RAM përmban një virus të qëndrueshëm në një fazë të hershme. Disavantazhet: ka rrugëdalje dhe shumicën e provave false, të tilla si shkrimi i drejtpërdrejtë në portat e funksionimit të diskut.

NDËRTIMI I ANTI-VIRUSËVE NË BIOS-in e kompjuterit tuaj

Mjetet më të thjeshta të mbrojtjes kundër viruseve janë gjithashtu të integruara në pllakat amë të kompjuterëve. Këto mjete ju lejojnë të monitoroni të gjithë aksesin në rekordin kryesor të nisjes së disqeve të ngurtë, si dhe në sektorët e nisjes së disqeve dhe disketave. Nëse ndonjë program përpiqet të ndryshojë përmbajtjen e sektorëve të nisjes, mbrojtja aktivizohet dhe përdoruesi merr një modul antivirus që monitoron veprimet e dyshimta në sistem të kryera nga programe të tjera. Këto programe përgjojnë situata të rrezikshme për viruset dhe raportojnë shfaqjen e tyre. Situata të tilla si një thirrje për hapje, shkrim në sektorin e nisjes së një disku, një përpjekje e një programi për të mbetur rezident në kujtesë.

Përparësitë përfshijnë aftësinë për të bllokuar dhe zbuluar paralajmërimin përkatës.

Sisteme softuerike anti-virus. Në mënyrë tipike, një kompleks modern përfshin një monitor, një skaner, një auditor dhe një planifikues. Planifikuesi përdoret për të koordinuar punën.

Mbrojtja antivirus është masa më e zakonshme për të garantuar sigurinë e informacionit të infrastrukturës së TI-së në sektorin e korporatave. Megjithatë, vetëm 74% e kompanive ruse përdorin zgjidhje antivirus për mbrojtje, sipas një studimi të kryer nga Kaspersky Lab së bashku me kompaninë analitike B2B International (vjeshtë 2013).

Raporti thekson gjithashtu se në sfondin e rritjes shpërthyese të kërcënimeve kibernetike, nga të cilat kompanitë mbrohen nga antiviruse të thjeshtë, bizneset ruse kanë filluar të përdorin gjithnjë e më shumë mjete komplekse mbrojtjeje. Kryesisht për këtë arsye, përdorimi i mjeteve të enkriptimit të të dhënave në media të lëvizshme u rrit me 7% (24%). Përveç kësaj, kompanitë janë bërë më të gatshme për të diferencuar politikat e sigurisë për pajisjet e lëvizshme. Është rritur edhe diferencimi i nivelit të aksesit në seksione të ndryshme të infrastrukturës së TI-së (49%). Në të njëjtën kohë, bizneset e vogla dhe të mesme i kushtojnë më shumë vëmendje kontrollit të pajisjeve të lëvizshme (35%) dhe kontrollit të aplikacioneve (31%).

Studiuesit zbuluan gjithashtu se pavarësisht zbulimit të vazhdueshëm të dobësive të reja të softuerit, kompanitë ruse ende nuk i kushtojnë vëmendje të mjaftueshme përditësimeve të rregullta të softuerit. Për më tepër, numri i organizatave të përfshira në rregullim ka rënë nga viti i kaluar në vetëm 59%.

Programet moderne antivirus mund të zbulojnë në mënyrë efektive objekte me qëllim të keq brenda skedarëve dhe dokumenteve të programit. Në disa raste, një antivirus mund të heqë trupin e një objekti me qëllim të keq nga një skedar i infektuar, duke rivendosur vetë skedarin. Në shumicën e rasteve, një antivirus është në gjendje të heqë një objekt të softuerit me qëllim të keq jo vetëm nga një skedar programi, por edhe nga një skedar dokumenti zyre, pa cenuar integritetin e tij. Përdorimi i programeve antivirus nuk kërkon kualifikime të larta dhe është i disponueshëm për pothuajse çdo përdorues kompjuteri.

Shumica e programeve antivirus kombinojnë mbrojtjen në kohë reale (monitor antivirus) dhe mbrojtjen sipas kërkesës (skaner antivirus).

Vlerësimi i antivirusit

2019: Dy të tretat e antiviruseve për Android rezultuan të padobishëm

Në mars 2019, laboratori austriak AV-Comparatives, i specializuar në testimin e programeve antivirus, publikoi rezultatet e një studimi që tregoi padobishmërinë e shumicës së programeve të tilla për Android.

Vetëm 23 antivirusë të vendosur në katalogun zyrtar të Google Play Store identifikojnë me saktësi malware në 100% të rasteve. Pjesa tjetër e softuerit ose nuk u përgjigjet kërcënimeve celulare ose gabime në aplikacione absolutisht të sigurta për ta.

Ekspertët studiuan 250 antivirusë dhe raportuan se vetëm 80% e tyre mund të zbulojnë më shumë se 30% të malware. Kështu, 170 aplikacione dështuan në test. Produktet që kaluan testin përfshinin kryesisht zgjidhje nga prodhuesit kryesorë, duke përfshirë Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro dhe Trustwave.

Si pjesë e eksperimentit, studiuesit instaluan çdo aplikacion antivirus në një pajisje të veçantë (pa emulator) dhe automatizuan pajisjet për të nisur shfletuesin, për të shkarkuar dhe instaluar malware. Çdo pajisje u testua kundër 2 mijë viruseve më të zakonshme Android në vitin 2018.

Sipas llogaritjeve të AV-Comparatives, shumica e zgjidhjeve antivirus Android janë të rreme. Dhjetra aplikacione kanë një ndërfaqe pothuajse identike dhe krijuesit e tyre janë qartësisht më të interesuar në shfaqjen e reklamave sesa të shkruajnë një skaner antivirus që funksionon.

Disa antiviruse "shohin" një kërcënim në çdo aplikacion që nuk përfshihet në "listën e bardhë" të tyre. Për shkak të kësaj, ata, në një numër rastesh shumë anekdotike, ngritën alarmin për skedarët e tyre, pasi zhvilluesit harruan t'i përmendnin në "listën e bardhë".

2017: Microsoft Security Essentials njihet si një nga antiviruset më të këqij

Në tetor 2017, laboratori gjerman antivirus AV-Test publikoi rezultatet e testimit gjithëpërfshirës antivirus. Sipas studimit, softueri i pronarit i Microsoft-it, i krijuar për të mbrojtur kundër aktivitetit keqdashës, është pothuajse më i keqi në kryerjen e punës së tij.

Bazuar në rezultatet e testeve të kryera në korrik-gusht 2017, ekspertët e AV-Test emëruan Kaspersky Internet Security si antivirusin më të mirë për Windows 7, i cili mori 18 pikë kur vlerësoi nivelin e mbrojtjes, performancës dhe lehtësisë së përdorimit.

Tre vendet e para përfshinin Trend Micro Internet Security dhe Bitdefender Internet Security, të cilat fituan nga 17.5 pikë secila. Ju mund të mësoni për statusin e produkteve nga kompani të tjera antivirus që janë përfshirë në studim nga ilustrimet e mëposhtme:

Shumë skanerë përdorin gjithashtu algoritme skanimi heuristik, d.m.th. duke analizuar sekuencën e komandave në objektin që kontrollohet, duke mbledhur disa statistika dhe duke marrë një vendim për çdo objekt që kontrollohet.

Skanerët gjithashtu mund të ndahen në dy kategori - universale dhe të specializuara. Skanerët universalë janë krijuar për të zbuluar dhe neutralizuar të gjitha llojet e viruseve, pavarësisht nga sistemi operativ në të cilin skaneri është krijuar për të punuar. Skanerët e specializuar janë krijuar për të neutralizuar një numër të kufizuar virusesh ose vetëm një klasë virusesh, për shembull makro viruse.

Skanerët ndahen gjithashtu në rezidentë (monitorë), të cilët skanojnë në fluturim, dhe jorezidentë, të cilët skanojnë sistemin vetëm sipas kërkesës. Si rregull, skanerët rezidentë ofrojnë mbrojtje më të besueshme të sistemit, sepse ata i përgjigjen menjëherë shfaqjes së një virusi, ndërsa një skaner jorezident është në gjendje të identifikojë një virus vetëm gjatë lëshimit të tij të ardhshëm.

Skanera CRC

Parimi i funksionimit të skanerëve CRC bazohet në llogaritjen e shumave të CRC (shumave të kontrollit) për skedarët/sektorët e sistemit të pranishëm në disk. Këto shuma CRC më pas ruhen në bazën e të dhënave antivirus, si dhe disa informacione të tjera: gjatësia e skedarëve, datat e modifikimit të tyre të fundit, etj. Kur lëshohen më pas, skanerët CRC krahasojnë të dhënat e përfshira në bazën e të dhënave me vlerat aktuale të llogaritura. Nëse informacioni i skedarit të regjistruar në bazën e të dhënave nuk përputhet me vlerat reale, atëherë skanerët CRC sinjalizojnë se skedari është modifikuar ose infektuar me një virus.

Skanerët CRC nuk janë në gjendje të kapin një virus në momentin që ai shfaqet në sistem, por bëjeni këtë vetëm pak kohë më vonë, pasi virusi të jetë përhapur në të gjithë kompjuterin. Skanerët CRC nuk mund të zbulojnë një virus në skedarë të rinj (në email, në disqe, në skedarë të restauruar nga një kopje rezervë ose kur shpaketojnë skedarët nga një arkiv), sepse bazat e të dhënave të tyre nuk përmbajnë informacion rreth këtyre skedarëve. Për më tepër, në mënyrë periodike shfaqen viruse që shfrytëzojnë këtë dobësi të skanerëve CRC, duke infektuar vetëm skedarët e krijuar rishtazi dhe duke mbetur kështu të padukshëm për ta.

Bllokuesit

Bllokuesit antivirus janë programe rezidente që përgjojnë situata të rrezikshme nga virusi dhe njoftojnë përdoruesin për këtë. Ato të rrezikshme nga virusi përfshijnë thirrjet për të hapur për shkrim në skedarë të ekzekutueshëm, shkrimin në sektorët e nisjes së disqeve ose MBR të një hard disk, përpjekjet e programeve për të qëndruar rezident, etj., domethënë thirrjet që janë tipike për viruset gjatë riprodhimit.

Përparësitë e bllokuesve përfshijnë aftësinë e tyre për të zbuluar dhe ndaluar një virus në fazën më të hershme të riprodhimit të tij. Disavantazhet përfshijnë ekzistencën e mënyrave për të anashkaluar mbrojtjen e bllokuesve dhe një numër të madh pozitivësh të rremë.

Imunizuesit

Imunizuesit ndahen në dy lloje: imunizues që raportojnë infeksionin dhe imunizues që bllokojnë infeksionin. Të parët zakonisht shkruhen në fund të skedarëve (bazuar në parimin e virusit të skedarëve) dhe sa herë që skedari hapet, ata e kontrollojnë atë për ndryshime. Imunizues të tillë kanë vetëm një pengesë, por është vdekjeprurëse: pamundësia absolute për të raportuar infeksionin me një virus të fshehtë. Prandaj, imunizues të tillë, si bllokuesit, praktikisht nuk përdoren aktualisht.

Lloji i dytë i imunizimit mbron sistemin nga infeksioni nga një lloj specifik i virusit. Skedarët në disqe modifikohen në atë mënyrë që virusi t'i perceptojë ato si të infektuara tashmë. Për të mbrojtur kundër një virusi rezident, një program që simulon një kopje të virusit futet në kujtesën e kompjuterit. Kur lëshohet, virusi e has atë dhe beson se sistemi tashmë është i infektuar.

Ky lloj imunizimi nuk mund të jetë universal, pasi është e pamundur të imunizohen skedarët kundër të gjithë viruseve të njohura.

Klasifikimi i antiviruseve bazuar në ndryshueshmërinë në kohë

Sipas Valery Konyavsky, mjetet antivirus mund të ndahen në dy grupe të mëdha - ato që analizojnë të dhënat dhe ato që analizojnë proceset.

Analiza e të dhënave

Analiza e të dhënave përfshin auditorët dhe polifagët. Auditorët analizojnë pasojat e viruseve kompjuterike dhe programeve të tjera me qëllim të keq. Pasojat rezultojnë në ndryshime të të dhënave që nuk duhen ndryshuar. Është fakti që të dhënat kanë ndryshuar që është një shenjë e aktivitetit të malware nga këndvështrimi i auditorit. Me fjalë të tjera, auditorët monitorojnë integritetin e të dhënave dhe, bazuar në faktin e shkeljes së integritetit, marrin një vendim për praninë e programeve me qëllim të keq në mjedisin kompjuterik.

Polifagët veprojnë ndryshe. Bazuar në analizën e të dhënave, ata identifikojnë fragmente të kodit me qëllim të keq (për shembull, me nënshkrimin e tij) dhe mbi këtë bazë nxjerrin një përfundim për praninë e programeve me qëllim të keq. Heqja ose trajtimi i të dhënave të infektuara me virus ju lejon të parandaloni pasojat negative të ekzekutimit të programeve me qëllim të keq. Kështu, në bazë të analizës statike, parandalohen pasojat që lindin në dinamikë.

Skema e punës së auditorëve dhe polifagëve është pothuajse e njëjtë - krahasoni të dhënat (ose kontrollin e tyre) me një ose më shumë mostra referencë. Të dhënat krahasohen me të dhënat. Kështu, për të gjetur një virus në kompjuterin tuaj, duhet që ai të ketë funksionuar tashmë që të shfaqen pasojat e aktivitetit të tij. Kjo metodë mund të gjejë vetëm viruse të njohur për të cilët fragmentet e kodit ose nënshkrimet janë përshkruar paraprakisht. Një mbrojtje e tillë vështirë se mund të quhet e besueshme.

Analiza e procesit

Mjetet antivirus të bazuara në analizën e procesit funksionojnë disi ndryshe. Analizuesit heuristikë, si ata të përshkruar më sipër, analizojnë të dhënat (në disk, në një kanal, në memorie, etj.). Dallimi themelor është se analiza kryhet nën supozimin se kodi që analizohet nuk është të dhëna, por komanda (në kompjuterët me arkitekturë von Neumann, të dhënat dhe komandat janë të padallueshme, dhe për këtë arsye gjatë analizës është e nevojshme të bëhet një ose një tjetër supozim.)

Analizuesi heuristik identifikon një sekuencë operacionesh, cakton një vlerësim të caktuar rreziku për secilin prej tyre dhe bazuar në tërësinë e rrezikut, merr një vendim nëse kjo sekuencë operacionesh është pjesë e kodit me qëllim të keq. Vetë kodi nuk ekzekutohet.

Një lloj tjetër i mjeteve antivirus bazuar në analizën e procesit janë bllokuesit e sjelljes. Në këtë rast, kodi i dyshimtë ekzekutohet hap pas hapi derisa grupi i veprimeve të nisura nga kodi të vlerësohet si sjellje e rrezikshme (ose e sigurt). Në këtë rast, kodi ekzekutohet pjesërisht, pasi plotësimi i kodit me qëllim të keq mund të zbulohet me metoda më të thjeshta të analizës së të dhënave.

Teknologjitë e zbulimit të viruseve

Teknologjitë e përdorura në antiviruse mund të ndahen në dy grupe:

  • Teknologjitë e analizës së nënshkrimit
  • Teknologjitë e analizës probabilistike

Teknologjitë e analizës së nënshkrimit

Analiza e nënshkrimit është një metodë për zbulimin e viruseve që përfshin kontrollin për praninë e nënshkrimeve të virusit në skedarë. Analiza e nënshkrimit është metoda më e njohur për zbulimin e viruseve dhe përdoret pothuajse në të gjithë antivirusët modernë. Për të kryer një skanim, antivirusi kërkon një grup nënshkrimesh të virusit, të cilat ruhen në bazën e të dhënave antivirus.

Për shkak të faktit se analiza e nënshkrimit përfshin kontrollimin e skedarëve për praninë e nënshkrimeve të virusit, baza e të dhënave antivirus duhet të përditësohet periodikisht për të mbajtur antivirusin të përditësuar. Vetë parimi i funksionimit të analizës së nënshkrimit përcakton gjithashtu kufijtë e funksionalitetit të tij - aftësinë për të zbuluar vetëm viruse të njohura tashmë - një skaner nënshkrimi është i pafuqishëm kundër viruseve të rinj.

Nga ana tjetër, prania e nënshkrimeve të virusit sugjeron mundësinë e trajtimit të skedarëve të infektuar të zbuluar duke përdorur analizën e nënshkrimit. Megjithatë, trajtimi nuk është i mundur për të gjithë viruset - Trojans dhe shumica e krimbave nuk mund të trajtohen për shkak të veçorive të tyre të projektimit, pasi ato janë module solide të krijuara për të shkaktuar dëme.

Zbatimi i duhur i një nënshkrimi të virusit ju lejon të zbuloni viruse të njohura me një probabilitet qind për qind.

Teknologjitë e analizës probabilistike

Teknologjitë e analizës probabiliste, nga ana tjetër, ndahen në tre kategori:

  • Analiza heuristike
  • Analiza e sjelljes
  • Analiza kontrolluese

Analiza heuristike

Analiza heuristike është një teknologji e bazuar në algoritme probabiliste, rezultati i së cilës është identifikimi i objekteve të dyshimta. Gjatë procesit të analizës heuristike, kontrollohet struktura e skedarit dhe përputhshmëria e tij me modelet e virusit. Teknologjia më e njohur heuristike është kontrollimi i përmbajtjes së një skedari për modifikime të nënshkrimeve tashmë të njohura të virusit dhe kombinimeve të tyre. Kjo ndihmon për të zbuluar hibridet dhe versionet e reja të viruseve të njohura më parë pa përditësime shtesë të bazës së të dhënave antivirus.

Analiza heuristike përdoret për të zbuluar viruse të panjohura dhe, si rezultat, nuk përfshin trajtim. Kjo teknologji nuk është 100% e aftë të përcaktojë nëse një virus është para tij apo jo, dhe si çdo algoritëm probabilistik, ai vuan nga pozitive false.

Analiza e sjelljes

Analiza e sjelljes është një teknologji në të cilën një vendim për natyrën e objektit që testohet merret bazuar në një analizë të operacioneve që ai kryen. Analiza e sjelljes është shumë e zbatueshme në praktikë, pasi shumica e veprimeve karakteristike të viruseve mund të kryhen nga aplikacione të zakonshme. Më të famshmit janë analizuesit e sjelljes së skripteve dhe makrove, pasi viruset përkatës pothuajse gjithmonë kryejnë një numër veprimesh të ngjashme.

Masat e sigurisë të integruara në BIOS gjithashtu mund të klasifikohen si analizues të sjelljes. Kur përpiqeni të bëni ndryshime në MBR të kompjuterit, analizuesi bllokon veprimin dhe shfaq një njoftim përkatës për përdoruesin.

Për më tepër, analizuesit e sjelljes mund të monitorojnë përpjekjet për të hyrë drejtpërdrejt në skedarë, ndryshimet në rekordin e nisjes së disketave, formatimin e disqeve të ngurtë, etj.

Analizuesit e sjelljes nuk përdorin objekte shtesë të ngjashme me bazat e të dhënave të viruseve për punën e tyre dhe, si rezultat, nuk janë në gjendje të bëjnë dallimin midis viruseve të njohur dhe të panjohur - të gjitha programet e dyshimta konsiderohen a priori viruse të panjohura. Në mënyrë të ngjashme, veçoritë e funksionimit të mjeteve që zbatojnë teknologjitë e analizës së sjelljes nuk nënkuptojnë trajtim.

Analiza kontrolluese

Analiza kontrolluese është një mënyrë për të gjurmuar ndryshimet në objektet e sistemit kompjuterik. Bazuar në analizën e natyrës së ndryshimeve - njëkohshmëri, shfaqje masive, ndryshime identike në gjatësinë e skedarëve - mund të konkludojmë se sistemi është i infektuar. Analizuesit kontrollues (të quajtur edhe auditorët e ndryshimit), si analizuesit e sjelljes, nuk përdorin objekte shtesë në punën e tyre dhe nxjerrin një vendim për praninë e një virusi në sistem ekskluzivisht me metodën e vlerësimit të ekspertëve. Teknologji të ngjashme përdoren në skanerët me qasje - gjatë skanimit të parë, një sasi kontrolli hiqet nga një skedar dhe vendoset në cache para skanimit tjetër të të njëjtit skedar, shuma e kontrollit hiqet përsëri, krahasohet dhe nëse nuk ka; ndryshimet, skedari konsiderohet i pa infektuar.

Komplekset antivirus

Kompleksi antivirus - një grup antivirusësh që përdorin të njëjtin kernel ose kernele antivirus, të krijuar për të zgjidhur problemet praktike në sigurimin e sigurisë antivirus të sistemeve kompjuterike. Kompleksi antivirus gjithashtu përfshin domosdoshmërisht mjete për azhurnimin e bazave të të dhënave antivirus.

Përveç kësaj, kompleksi anti-virus mund të përfshijë gjithashtu analizues të sjelljes dhe auditorë të ndryshimit që nuk përdorin bërthamën antivirus.

Dallohen llojet e mëposhtme të komplekseve antivirus:

  • Kompleks antivirus për mbrojtjen e stacioneve të punës
  • Kompleks antivirus për mbrojtjen e serverëve të skedarëve
  • Kompleks antivirus për mbrojtjen e sistemeve të postës
  • Kompleks antivirus për mbrojtjen e portave.

Cloud dhe antivirus tradicional i desktopit: çfarë të zgjidhni?

(Bazuar në materialet nga Webroot.com)

Tregu modern i produkteve antivirus përbëhet kryesisht nga zgjidhjet tradicionale për sistemet desktop, mekanizmat e mbrojtjes së të cilave janë ndërtuar në bazë të metodave të nënshkrimit. Një metodë alternative e mbrojtjes antivirus është përdorimi i analizës heuristike.

Probleme me programin antivirus tradicional

Kohët e fundit, teknologjitë tradicionale antivirus janë bërë gjithnjë e më pak efektive dhe po bëhen shpejt të vjetruara, gjë që është për shkak të një sërë faktorësh. Numri i kërcënimeve të viruseve të njohura nga nënshkrimet është tashmë aq i madh sa që sigurimi i përditësimit në kohë 100% të bazave të të dhënave të nënshkrimeve në kompjuterët e përdoruesve është shpesh një detyrë joreale. Hakerët dhe kriminelët kibernetikë po përdorin gjithnjë e më shumë botnet dhe teknologji të tjera që përshpejtojnë përhapjen e kërcënimeve të virusit të ditës zero. Për më tepër, kur kryhen sulme të synuara, nuk krijohen nënshkrime të viruseve përkatëse. Së fundi, përdoren teknologji të reja për të luftuar zbulimin e antiviruseve: kriptimi i malware, krijimi i viruseve polimorfikë në anën e serverit, testimi paraprak i cilësisë së një sulmi virusi.

Mbrojtja tradicionale antivirus ndërtohet më shpesh në një arkitekturë "klient i trashë". Kjo do të thotë që një sasi e madhe kodi softuerësh është instaluar në kompjuterin e klientit. Me ndihmën e tij, të dhënat hyrëse skanohen dhe zbulohet prania e kërcënimeve të virusit.

Kjo qasje ka një sërë disavantazhesh. Së pari, skanimi për malware dhe krahasimi i nënshkrimeve kërkon një ngarkesë të konsiderueshme llogaritëse, e cila i heq përdoruesit. Si rezultat, produktiviteti i kompjuterit zvogëlohet dhe funksionimi i antivirusit ndonjëherë ndërhyn në detyrat e aplikimit paralel. Ndonjëherë ngarkesa në sistemin e përdoruesit është aq e dukshme saqë përdoruesit çaktivizojnë programet antivirus, duke hequr kështu pengesën ndaj një sulmi të mundshëm të virusit.

Së dyti, çdo përditësim në makinën e përdoruesit kërkon dërgimin e mijëra nënshkrimeve të reja. Sasia e të dhënave të transferuara zakonisht është rreth 5 MB në ditë për makinë. Transferimi i të dhënave ngadalëson rrjetin, konsumon burime shtesë të sistemit dhe kërkon përfshirjen e administratorëve të sistemit për të kontrolluar trafikun.

Së treti, përdoruesit që janë në roaming ose të vendosur në një distancë nga një vend fiks i punës janë të pambrojtur ndaj sulmeve të ditës zero. Për të marrë një pjesë të përditësuar të nënshkrimeve, ata duhet të lidhen me një rrjet VPN që është i paarritshëm për ta nga distanca.

Mbrojtje antivirus nga cloud

Kur kaloni në mbrojtjen antivirus nga cloud, arkitektura e zgjidhjes ndryshon ndjeshëm. Një klient "i lehtë" është instaluar në kompjuterin e përdoruesit, funksioni kryesor i të cilit është kërkimi i skedarëve të rinj, llogaritja e vlerave të hash-it dhe dërgimi i të dhënave në serverin cloud. Në cloud, kryhet një krahasim në shkallë të plotë, i kryer në një bazë të dhënash të madhe të nënshkrimeve të mbledhura. Kjo bazë të dhënash përditësohet vazhdimisht dhe në kohë duke përdorur të dhënat e transmetuara nga kompanitë antivirus. Klienti merr një raport me rezultatet e inspektimit.

Kështu, arkitektura cloud e mbrojtjes antivirus ka një numër avantazhesh:

  • sasia e llogaritjes në kompjuterin e përdoruesit rezulton të jetë e papërfillshme në krahasim me një klient të trashë, prandaj, produktiviteti i përdoruesit nuk ulet;
  • nuk ka asnjë ndikim katastrofik të trafikut antivirus në xhiron e rrjetit: një pjesë kompakte e të dhënave që përmban vetëm disa dhjetëra vlera hash duhet të transferohet, vëllimi mesatar i trafikut ditor nuk i kalon 120 KB;
  • ruajtja cloud përmban grupe të mëdha nënshkrimesh, shumë më të mëdha se ato të ruajtura në kompjuterët e përdoruesve;
  • Algoritmet e krahasimit të nënshkrimeve të përdorura në re janë dukshëm më inteligjente në krahasim me modelet e thjeshtuara që përdoren në nivelin e stacioneve lokale, dhe për shkak të performancës më të lartë, krahasimi i të dhënave kërkon më pak kohë;
  • shërbimet antivirus cloud punojnë me të dhëna reale të marra nga laboratorët antivirus, zhvilluesit e sigurisë, përdoruesit e korporatave dhe private; Kërcënimet e ditës zero bllokohen njëkohësisht me njohjen e tyre, pa vonesën e shkaktuar nga nevoja për të fituar akses në kompjuterët e përdoruesve;
  • përdoruesit në roaming ose pa akses në stacionet e tyre kryesore të punës marrin mbrojtje nga sulmet e ditës zero njëkohësisht me aksesin në internet;
  • Ngarkesa e punës e administratorëve të sistemit zvogëlohet: ata nuk kanë nevojë të shpenzojnë kohë për të instaluar softuer antivirus në kompjuterët e përdoruesve, si dhe për të përditësuar bazat e të dhënave të nënshkrimit.

Pse antiviruset tradicionale dështojnë

Kodi modern me qëllim të keq mund të:

  • Anashkaloni kurthe antivirus duke krijuar një virus të veçantë të synuar për kompaninë
  • Përpara se antivirusi të krijojë një nënshkrim, ai do të shmangë përdorimin e polimorfizmit, transkodimit, përdorimit të DNS dinamike dhe URL-ve
  • Krijimi i synuar për një kompani
  • Polimorfizmi
  • Kodi i panjohur për askënd ende - pa nënshkrim

Vështirë për t'u mbrojtur

Antivirusët e shpejtë të 2011

Qendra e pavarur ruse e informacionit dhe analitike Anti-Malware.ru publikoi në maj 2011 rezultatet e një testi tjetër krahasues të 20 antivirusëve më të njohur për performancën dhe konsumin e burimeve të sistemit.

Qëllimi i këtij testi është të tregojë se cilët antivirusë personalë kanë më pak ndikim në operacionet tipike të përdoruesit në një kompjuter, ngadalësojnë më pak funksionimin e tij dhe konsumojnë sasinë minimale të burimeve të sistemit.

Ndër monitorët antivirus (skanerët në kohë reale), një grup i tërë produktesh demonstruan shpejtësi shumë të lartë funksionimi, duke përfshirë: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro dhe Dr.Web. Me këta antivirusë në bord, ngadalësimi i kopjimit të koleksionit të testit ishte më pak se 20% në krahasim me standardin. Monitorët antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton dhe Emsisoft gjithashtu treguan rezultate të larta të performancës, duke rënë në intervalin 30-50%. Monitorët antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton dhe Emsisoft gjithashtu treguan rezultate të larta të performancës, duke rënë në intervalin 30-50%.

Në të njëjtën kohë, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost dhe PC Tools në kushte reale mund të jenë shumë më të shpejta për shkak të optimizimit të tyre të kontrolleve të mëvonshme.

Antivirus Avira tregoi shpejtësinë më të mirë të skanimit sipas kërkesës. Ishte pak inferior ndaj Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus dhe Outpost. Për sa i përket shpejtësisë së skanimit të parë, këta antivirusë janë vetëm pak inferiorë ndaj liderit, në të njëjtën kohë, të gjithë kanë në arsenalin e tyre teknologji të fuqishme për optimizimin e skanimeve të përsëritura.

Një karakteristikë tjetër e rëndësishme e shpejtësisë së një antivirusi është ndikimi i tij në funksionimin e programeve aplikative me të cilat shpesh punon përdoruesi. Për testim u zgjodhën pesë: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader dhe Adobe Photoshop. Antiviruset Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost dhe G Data treguan ngadalësimin më të vogël në lëshimin e këtyre programeve të zyrës.

Monitorët antivirus

Ekziston gjithashtu një klasë e tërë e programeve antivirus që qëndrojnë përgjithmonë në kujtesën e kompjuterit dhe monitorojnë të gjitha veprimet e dyshimta të kryera nga programe të tjera. Programe të tilla quhen monitorë antivirus ose roje.

Monitori kontrollon automatikisht të gjitha programet e nisura, dokumentet e krijuara, të hapura dhe të ruajtura, skedarët e programeve dhe dokumenteve të marra përmes Internetit ose të kopjuara në hard disk nga një disketë ose CD. Monitoruesi antivirus do të njoftojë përdoruesin nëse ndonjë program përpiqet të kryejë një veprim potencialisht të rrezikshëm.

Kompleti i një prej skanerëve më të avancuar të Doctor Web të zhvilluar nga Igor Danilov (http: // www. drweb. ru) përfshin një roje Spider Guard, e cila kryen funksionet e një monitori antivirus.

Zbulimi i ndryshimit

Kur një virus infekton një kompjuter, ai ndryshon përmbajtjen e diskut të ngurtë, për shembull, shton kodin e tij në një program ose skedar dokumenti, ose shton një thirrje për programin e virusit në skedarin AUTOEXEC. BAT, modifikon sektorin e nisjes, krijon një skedar satelitor. Ndryshime të tilla, megjithatë, nuk bëhen nga viruse "të pa trupit" që jetojnë jo në disk, por në kujtesën e proceseve të OS.

Programet antivirus, të quajtur auditorë të diskut, nuk skanojnë për viruse me nënshkrim. Ata fillimisht kujtojnë karakteristikat e të gjitha zonave të diskut që janë sulmuar nga virusi, dhe më pas i kontrollojnë ato periodikisht (prandaj emri i programit të auditimit). Ekzaminuesi mund të gjejë ndryshimet e bëra nga një virus i njohur ose i panjohur.

Shembuj të inspektorëve të diskut përfshijnë programin e avancuar të Diskinfoskopit (ADinf) të zhvilluar në DialogNauka CJSC (http: // www. dials. ru, http: // www. adinf. ru) dhe auditorin AVP Inspector prodhuar nga Kaspersky Lab CJSC "(http ://www.kaspersky.ru).

Së bashku me ADinf, përdoret moduli shërues ADinf Cure Module (ADinfExt), i cili përdor informacionin e mbledhur më parë rreth skedarëve për t'i rivendosur ato pas infektimit nga viruse të panjohura. AVP Inspector përfshin gjithashtu një modul shërimi që mund të heqë viruset.

Mbrojtje e integruar në BIOS të kompjuterit

Mjetet më të thjeshta të mbrojtjes kundër viruseve janë gjithashtu të integruara në pllakat amë të kompjuterëve. Këto mjete ju lejojnë të monitoroni të gjithë aksesin në rekordin kryesor të nisjes së disqeve të ngurtë, si dhe në sektorët e nisjes së disqeve dhe disketave. Nëse ndonjë program përpiqet të ndryshojë përmbajtjen e sektorëve të nisjes, aktivizohet mbrojtja dhe përdoruesi merr një paralajmërim përkatës.

Megjithatë, kjo mbrojtje nuk është shumë e besueshme. Ka viruse (për shembull, Tchechen. 1912 dhe 1914) që përpiqen të çaktivizojnë kontrollin e antivirusit BIOS duke ndryshuar disa qeliza në memorien e paqëndrueshme (memoria CMOS) e kompjuterit.

Ky është një program me qëllim të keq që i përket klasës së programeve të rreme anti-spyware, sepse zbulon skedarë të infektuar dhe trojan që nuk ekzistojnë në kompjuter, shfaq një numër të madh paralajmërimesh të ndryshme dhe, përveç kësaj, e bën të vështirë punën normale me kompjuteri, duke bllokuar nisjen e shumicës së programeve. Antivirus Monitor është një përditësim i një malware të mëparshëm të quajtur AntiMalware GO dhe depërton në kompjuterin tuaj kryesisht përmes Trojans. Këta trojanë infektojnë kompjuterin përmes dobësive të ndryshme në programet e instaluara tashmë (Internet Explorer, Adobe Acrobar Reader, Adobe Flash Player, etj.). Përveç kësaj, Antivirus Monitor mund të futet në kompjuterin tuaj nën maskën e programeve të tjera. Pra, kini kujdes se çfarë shkarkoni nga Interneti dhe më pas ekzekutoni në kompjuterin tuaj!

Paralajmërim për spiun
Aplikimi nuk mund të ekzekutohet. Skedari rundll32.exe është
i infektuar.
Dëshironi të aktivizoni programin tuaj antivirus tani?

Sinjalizim i sigurisë së Windows
Windows raporton se kompjuteri është i infektuar. Softuer antivirus
ndihmon për të mbrojtur kompjuterin tuaj nga viruset dhe të tjerët
kërcënimet e sigurisë. Klikoni këtu për skanimin e kompjuterit tuaj. E juaja
sistemi mund të jetë në rrezik tani.

Përveç kësaj, Antivirus Monitor mund të bllokojë nisjen e çdo programi, duke raportuar se skedari që po lëshohet është i infektuar me një virus ose Trojan të rrezikshëm. Një shembull i një mesazhi të tillë është më poshtë:

Aplikimi nuk mund të ekzekutohet. Skedari (emri i programit) është i infektuar.
Dëshironi të aktivizoni programin tuaj antivirus tani?

Por kjo nuk është e gjitha, ky program me qëllim të keq ndryshon gjithashtu cilësimet e shfletuesve të instaluar (cilësimet e serverit proxy), për shkak të të cilit qasja në çdo sit mund të bllokohet. Në vend të kësaj, një faqe do të shfaqet me një mesazh që faqja që po vizitoni nuk është e sigurt dhe mund të dëmtojë kompjuterin tuaj. Mos harroni, të gjitha këto mesazhe dhe paralajmërime janë të rreme dhe duhet të injorohen si rezultat i skanimit!

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:(bashkësi numrash të rastit)
O4 – HKLM\..\Run: [(bashkësi shkronjash të rastit)] %Temp%\(bashkësi shkronjash të rastit)\(bashkësi shkronjash të rastit).exe
O4 – HKCU\..\Run: [(bashkësi shkronjash të rastit)] %Temp%\(bashkësi shkronjash të rastit)\(bashkësi shkronjash të rastit).exe

Udhëzime për heqjen e Monitorit të Antivirusit

Rinisni kompjuterin tuaj. Pasi kompjuteri juaj të bie shkurt, shtypni F8. Do të shihni menunë e nisjes së Windows siç tregohet më poshtë.

Zgjidhni Safe Mode with networking – rreshti i dytë dhe shtypni Enter. Mund të lexoni më shumë rreth punës në modalitetin e sigurt në artikull -.

Hapi 2. Rivendosja e funksionalitetit të shfletuesit të Internet Explorer

Hapni Internet Explorer. Klikoni Tools dhe zgjidhni Opsionet e Internetit siç tregohet më poshtë:

Do të shihni një dritare siç tregohet në imazhin më poshtë:

Këtu, hapni skedën Lidhjet dhe klikoni në butonin "Cilësimet LAN". Do t'ju shfaqen cilësimet aktuale të LAN.

Zgjidh kutinë pranë "Përdor një server proxy për lidhjet LAN". Klikoni OK për të ruajtur cilësimet dhe OK përsëri për të mbyllur dritaren e cilësimeve të Internet Explorer.

Hapi 3. Heqja e Monitorit të Antivirusit nga Autorun

Meqenëse keni gjetur Antivirus Monitor në kompjuterin tuaj, kjo është një arsye për të menduar nëse gjithçka është në rregull me mbrojtjen tuaj antivirus dhe anti-spyware, nëse programet janë përditësuar në versionet më të fundit. Para së gjithash, kushtojini vëmendje faktit që keni aktivizuar përditësimet automatike të Windows dhe të gjitha përditësimet e disponueshme janë instaluar tashmë. Nëse nuk jeni të sigurt, atëherë duhet të vizitoni faqen e internetit të Windows Update, ku ata do t'ju tregojnë se si dhe çfarë duhet të përditësohet në Windows. Përveç kësaj, sigurohuni që të kontrolloni nëse keni të instaluar versionet më të fundit të programeve të mëposhtme: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Nëse nuk është kështu, atëherë sigurohuni që t'i përditësoni ato. Përveç kësaj, ju këshilloj të blini versionin e plotë të programit Malwarebytes Anti-malware, i cili do t'ju ndihmojë të mbroni kompjuterin tuaj nga infeksionet e mundshme në të ardhmen. Dallimi kryesor midis versionit të plotë dhe versionit falas është prania e një moduli të mbrojtjes kompjuterike në kohë reale Për të blerë, ndiqni lidhjen e mëposhtme: Versioni i plotë i Malwarebytes Anti-malware.

Çelësat e regjistrit të lidhur me Antivirus Monitor

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | "Aktivizuar" = "0"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Cilësimet e Internetit | "ProxyOverride" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Cilësimet e Internetit | "ProxyServer" = "http=127.0.0.1:11415"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | "ProxyEnable" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | (një grup shkronjash të rastësishme)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | (një grup shkronjash të rastësishme)

Skedarët dhe drejtoritë e lidhura me Antivirus Monitor

%Temp%\(bashkësi shkronjash të rastësishme)\
%Temp%\(bashkësi shkronjash të rastit)\(bashkësi shkronjash të rastit).exe

Artikujt më të mirë mbi këtë temë

Faqja fillestare e Firefox-it dhe si mund ta ndryshoni lehtësisht
Faqja fillestare e Firefox-it dhe si mund ta ndryshoni lehtësisht
Vlerësime: ATX FRACTAL DESIGN Define S case, e zezë
Vlerësime: ATX FRACTAL DESIGN Define S case, e zezë
Antivirus Monitor (Përshkrimi dhe heqja) Qendra e kontrollit të rrjetit antivirus
Antivirus Monitor (Përshkrimi dhe heqja) Qendra e kontrollit të rrjetit antivirus
Kategoritë:
© 2024 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.