Антивирусные программы

Антивирусные программы можно разделить на две большие группы:

· Сканеры. Эти программы запускаются в определенный момент времени и проверяют оперативную память, жесткие диски и сменные носители на наличие вирусов. В зависимости от настроек сканеры могут либо только обнаруживать вирусы, либо удалять зараженные ими файлы, либо пытаться эти файлы «лечить», то есть удалять из них вирус, восстанавливая исходное содержимое файла.

· Мониторы. Эти программы являются резидентными, то есть постоянно находящимися в оперативной памяти компьютера. Они контролируют операции, выполняемые на компьютере, чтобы обнаружить возможные проявления активности вирусов, а в момент «простоя» процессора могут выполнять сканирование дисков на наличие вирусов.

Современные антивирусные пакеты представляют собой комплекс программ, включающих в себя и сканер, и монитор, и большую антивирусную базу. Состав пакетов различается по функциям, выполняемым программами, и используемым в них методам. Однако бывают исключения, и можно выделить следующие средства защиты от вредоносного ПО и отдельные составляющие антивирусных пакетов:

Детекторы – выполняют функцию обнаружения вирусов. Результатом работы детекторов является список инфицированных файлов и/или компонентов системных областей дисков, возможно, с указанием конкретных вирусов, их заразивших.

Детекторы могут быт специализированными и универсальными. Специализированные детекторы ориентированы на обнаружение конкретных заранее известных вирусов. Принцип их работы основан на обнаружении вирусных сигнатур. Сигнатура – последовательность байтов, содержащие наиболее характерные участки кодов вирусов. Поскольку специализированный детектор ищет вирусные сигнатуры, то он может обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Он не может обнаружить новые вирусы, а также полиморфные вирусы, меняющие свой код. Универсальные детекторы могут быть основаны на регистрации изменений или эвристическом анализе.

Эвристический анализ используется для поиска новых и полиморфных вирусов. При этом анализируются участки данных в памяти, на диске и на основании неких сложных правил определяется, может ли подобный участок являться признаком наличия вируса.

Метод детектирования вирусов, основанный на сравнении с сигнатурами, изживает себя. Дело в том, что данный метод вызывает необходимость проверки каждого файла компьютера по каждой из сигнатур в базе данных антивируса. Количество файлов, как и новых вирусов, стремительно растет, что требует все большей вычислительной мощности, отводимой для работы антивирусного ПО. Производители такого ПО и научное сообщество признают серьезность данной проблемы, поскольку существующие эвристические методы обладают рядом недостатков, таких как многочисленные ложные срабатывания и высокая вероятность необнаружения.

Доктора (фаги) способны не только обнаружить вирусы, но и в ряде случаев восстановить зараженный ими файл.

Вакцины – специальные программы, которые помечают (изменяют) файлы таким образом, что вирус воспринимает их уже как зараженные, и не внедряется в них.

Ревизоры обнаруживают изменения в файловой системе и системных областях диска и на этой основе могут сделать вывод о наличии вирусов. Программа-ревизор при первом запуске запоминает характеристики всех областей диска, которые могут подвергнуться нападению вируса, а затем периодически проверяет их. В случае обнаружения изменений выдается сообщение о том, что возможно наличие вируса. Следует учитывать, что не все изменения вызваны вторжением вируса, а могут быть следствием вполне легальных действий пользователя. Например, загрузочная запись может обновиться при обновлении версии операционной системы, программные файлы – в результате переконфигурирования.

Кроме того, некоторые программы записывают внутри своего исполняемого файла данные, изменение которых также может вызвать ложное срабатывание программы-ревизора.

Вирус–фильтры (мониторы) – это резидентные программы, которые постоянно находятся в памяти и отслеживают все подозрительные действия, выполняемые другими программами.

В случае попытки выполнения какой-либо операции, характерной для вируса, программа-монитор запрашивает у пользователя подтверждение на ее выполнение. В качестве основных контролируемых действий выступают:

· обновление программных файлов и системных областей диска;

· прямая запись на диск по физическому адресу;

· форматирование диска;

· резидентное размещение программ в памяти.

К сожалению, антивирусные мониторы (вирус-фильтры) имеют много недостатков. Они занимают оперативную память, замедляют работу программ, раздражают пользователей большим количеством сообщений, не имеющих отношения к вирусному заражению.

В настоящее время пользователям доступны разнообразные антивирусные пакеты.

Наиболее известные из них:

Программа DrWeb является одной из первых отечественных антивирусных программ и в настоящее время относится к наиболее популярным. В состав программы входит несколько самостоятельных модулей, которые, как правило, работают независимо друг от друга, хотя используют одну и ту же антивирусную базу. Модуль DrWeb for Windows представляет собойй сканер; модуль Spidеr Mail является почтовым сканером и предназначен для проверки потовых сообщений на предмет заражения вирусами; модуль файлового сканера Spidеr Guard проверяет файлы на наличие вируса в тот момент, когда с ними выполняют определенные действия (запускают, записывают на диск и т.д.).

Norton Antivirus разработан всемирно известной фирмой Symantec. Он имеет приятный и эргономичный интерфейс. Имеется возможность автоматического обновления антивирусных баз без участия пользователя (при наличии подключения к Интернету). Реализована мощная проверка электронной почты, при этом поддерживается работа с наиболее популярными почтовыми программами: Outlook Express, MS Outlook,Yhe Bat! и другими. Использование Norton Antivirus практически полностью исключает возможность приема и отправки сообщений, зараженных вирусами. Имеются также возможности запуска сканирования компьютера (или выбранных объектов) на наличие вирусов. К сожалению, сканирование выполняется медленно и требует много ресурсов компьютера, но высокое качество компенсирует это недостаток.

Panda Antivirus, разработка испанской фирмы Panda Software, в последнее время завоевала большую популярность. В состав программы входят модули сканирования и мониторинга, почтового сканирования и автоматического обновления антивирусных баз. Программа очень проста и удобна в использовании даже для неопытных пользователей, и в то же время обладает высокой эффективностью в унижении вирусов.

Наиболее широко распространенной антивирусной программой является Антивирус Касперского (AVP). К ее достоинствам можно отнести простой и интуитивно понятный пользовательский интерфейс, возможность гибкой настройки параметров сканирования, а так же наличие богатой антивирусной базы. Первоначальные версии антивируса состояли из набора приложений (Scanner, Monitor и др.), каждый из которых специализировался на определенном виде защиты. Последние же версии представляют собой цельный программный продукт, управляемый из одного интерфейса, что существенно упростило порядок использования программы.

Microsoft Security Essentials защищает от вирусов, шпионских и других вредоносных программ. Этот антивирус обеспечивает защиту компьютера в режиме реального времени. Он подходит для использования дома и на предприятиях малого бизнеса. Антивирус Microsoft Security Essentials бесплатен для обычных пользователей и предприятий малого бизнеса, в которых используется до 10 компьютеров. Его просто установить и легко использовать. Он тихо и эффективно работает в фоновом режиме, не отвлекая вас и не вынуждая выполнять обновления. Пакет Microsoft Security Essentials доступен только для ОС Windows, прошедшей проверку на наличие лицензии.

Заключение

Данный курс лекций соответствует Государственному образовательному стандарту по направлениям подготовки 230100, 230400, 231000 и современным достижениям в области технологий защиты информационных систем.

Данный курс лекций является необходимой составной частью подготовки студентов, специализирующихся в области программного обеспечения вычислительной техники и в области информатики и вычислительной техники. Для его изучения необходимо знание основ компьютерных сетей и телекоммуникационных технологий, протоколов стека TCP/IP, структуры пакетов протоколов ТСР и IP. Основой информационной безопасности являются криптографические методы защиты информации. Криптографические методы, приведенные в курсе лекций, изложены в соответствии с математическим уровнем подготовки студентов, что в большинстве случаев недостаточно для строгого формального доказательства. Однако это не мешает изучать и использовать данные методы в системах информационной безопасности.

По мере совершенствования учебного процесса, а так же с появлением новых методов и технологий, предполагается дальнейшее развитие курса лекций. Особое внимание будет уделяться изучению новых программных средств защиты информации и новым техническим средствам защиты информации, а также новым стандартам построения систем защиты информации предприятия.