Как работает антивирусное программное обеспечение

Обновлено: 05.05.2024

Антивирусная программа (антивирус) — изначально компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации).

Содержание

Методы обнаружения вирусов [ ]

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

  • Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
  • Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре [ ]

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:

Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в словарь вирусов нужно периодически загружать (обычно, через Интернет) обновленные данные. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а они затем добавят информацию о новых вирусах в свой словарь.

Для многих антивирусных программ со словарем характерна проверка файлов в тот момент, когда операционная система создает, открывает, закрывает или посылает их по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. Заметьте, также, что системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жестком диске компьютера.

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в Метод обнаружения при помощи эмуляции [ ]

Другие методы обнаружения вирусов [ ]

Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также эвристическое сканирование).

Важные замечания [ ]

[1] использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность):

Антивирусы на SIM, флэш-картах и USB устройствах [ ]

Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства.

Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне.

Антивирусные программы на SIM с антивирусом, встроенном в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIM и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами.

Антивирусы, мобильные устройства и инновационные решения [ ]

Никого не удивит, когда вирусы, которые заражают персональные и портативные компьютеры, перейдут и на мобильные устройства. Все больше разработчиков этой области предлагают антивирусные программы для борьбы с вирусами и защиты мобильных телефонов. В мобильных устройствах есть следующие виды борьбы с вирусами:

  • ограничения процессора
  • ограничение памяти
  • определение и обновление сигнатур этих мобильных устройств

Антивирусные компании и программы [ ]

  • AOL® Virus Protection в составе ActiveVirusShield от AOL (на базе KAV 6, бесплатная)
  • ALWIL Software (avast!) из Чехии (бесплатная и платная версии)
  • AVZ из России (бесплатная)
  • Avira из Германии (есть бесплатная версия Classic)
  • BitDefender из Румынии
  • ClamWin — Dr.Web из России
  • NOD32 из Словакии
  • Fortinet
  • Frisk Software из Исландии
  • F-Secure из Финляндии
  • GeCAD из Румынии (Microsoft купил компанию в 2003)
  • AVG) из Чехии (бесплатная и платная версии)
  • Hauri
  • H+BEDV из Германии из России
  • MicroWorld Technologies из Индии
  • [1]
  • Panda Software из Испании
  • Quick Heal AntiVirus из Индии
  • ROSE SWE из России
  • Spyware Doctor
  • Symantec из США или Великобритания
  • Trend Micro из Японии (номинально Тайвань-США) [2]
  • Украинский Национальный Антивирус из Украины [3] (VBA32) из Беларуси [4]
  • VirusBuster из Венгрии
  • См. также [ ]

Ссылки [ ]

cs:Antivirový program cy:Gwrth-firws da:Antivirus-program de:Antivirenprogramm eo:Kontraŭvirusilo ko:바이러스 검사 소프트웨어 lt:Antivirusinė programa nl:Antivirussoftware pl:Program antywirusowy pt:Antivírus sk:Antivírusový softvér

Проект Matousec подготовил серию статей "Особенности современных пакетов безопасности". Мы предоставляем перевод для наших пользователей. В первой части серии статей, мы обсудим самые основные компоненты: антивирусный движок и фаервол (брандмауэр)

Современные продукты безопасности для ПК на базе ОС Windows являются комплексными приложениями. Количество предлагаемых специализированных функций может вводить в заблуждение конечного пользователя. Каждый вендор программного обеспечения стремится использовать свое собственное название для одной и той же функции, которая может встречаться и в других продуктах под другим названием. Путаница усиливается, когда становится ясно, что две различные опции довольно часто имеют одинаковое название в продуктах различных вендоров.

Эта серия статей предназначена разъяснить основы и действительную функциональность наиболее распространенных опций современных пакетов безопасности для ОС Windows. Мы собираемся описать, что вы можете ожидать от конкретного решения, будь то инструментарий для защиты от вредоносного ПО, безопасного серфинга по сети или предотвращения нежелательного вторжения. Используя собранную в статьях информацию, вы сможете сравнить предлагаемые наборы функции продуктов различных вендоров и лучше понимать, как работают пакеты безопасности.

В первой части серии статей, мы обсудим наиболее основные компоненты: антивирусный движок и фаервол (брандмауэр).

Содержание

Антивирусный движок (Anti-virus Engine)

Также называют: антивирусная защита реального времени, защита реального времени, мониторинг файлов, защита от вредоносного ПО

Антивирусный движок

Антивирусный движок – основной компонент, включенный в большинство пакетов безопасности, представленных на рынке. Основная роль движка – сканирование хранилища данных, он проникает в компьютер с целью обнаружения и удаления вредоносного ПО. Вредоносный код может храниться в файлах на жестких дисках, переносных USB накопителях, в оперативной памяти компьютера, сетевых драйверах, загрузочном секторе диска или поступать как часть сетевого трафика.

Методы определения

Антивирусный движок использует большое количество методов для обнаружения вредоносного ПО. Антивирусные программы содержат в себе обширную базу образцов вирусов, которые необходимо выявить во время сканирования. Каждый образец может либо определять уникальный вредоносный код или, что является более распространенным, описывать целое семейство вирусов. Основная особенность определения вирусов путем сравнивания с образцами в том, что антивирусная программа может определить только хорошо известный вирус, в то время как новые угрозы могут быть не обнаружены.

Метод эвристического анализа (heuristic-based detection) служит для выявления даже тех вирусов, для которых не существует образцов в базе антивирусной программы. Существует множество различных методов эвристического анализа. Основной принцип – идентифицировать программный код, который является крайне нежелательным для безопасных программных продуктов. Как бы то ни было, этот метод неточен и может вызвать множество ложных тревог. Хороший эвристический анализ отлично сбалансирован и вызывает минимальное количество ложных тревог при большой доле обнаружения вредоносного ПО. Чувствительность эвристики может быть настроена.

Виртуализация (создание виртуальной среды, Virtualization) или песочница (sandboxing) являются более совершенными методами определения угроз. Определенное время образцы кода исполняются в виртуальной машине или другой безопасной среде, откуда сканируемые образцы не могут выбраться и навредить операционной системе. Поведение исследуемого образца в песочнице находится под наблюдением и анализируется. Этот метод является удобным в том случае, когда вредоносное ПО запаковано неизвестным алгоритмом (это обычный способ оказаться неуязвимым для системы обнаружения для вируса), и оно не может быть распаковано антивирусной системой. Внутри виртуальной среды вирус распаковывает сам себя, как будто он исполняется на реальной системе и антивирусный движок может просканировать распакованный код и данные.

Одно из новейших достижений антивирусного инструментария – облачное сканирование (scanning in the cloud). Этот метод основан на том, что ПК ограничены в своих вычислительных способностях, в то время как антивирусные вендоры имеют возможность создания крупных систем с огромной производительностью. Компьютерная мощность необходима для выполнения сложного эвристического анализа, а также анализа с использованием виртуальных машин. Сервера вендоров могут работать с гораздо более объемными базами данных образцов вирусов по сравнению с ПК в режиме реального времени. При выполнении облачного сканирования единственным требованием является наличие быстрого и стабильного интернет подключения. Когда клиентской машине необходимо отсканировать файл, этот файл отправляется на сервер вендора посредством сетевого соединения и ожидается ответ. Тем временем, клиентская машина может выполнять свое собственное сканирование.

Типы сканирования и настройки

С точки зрения пользователя, существует несколько типов антивирусного сканирования, Которые зависят от событий, которые вызвали запуск процесса сканирования:

- Сканирование при доступе (On access scan) – сканирование, которое происходит, когда ресурс становится доступен. Например, когда файл копируется на жесткий диск или когда запускается исполняемый файл (запуск процесса сканирования в этом случае иногда называется сканирование при запуске). Только ресурс, к которому появляется доступ, подвергается сканированию в этом случае.

- Сканирование по требованию (On demand scan) провоцируется конечным пользователем – например, когда пользователь вызывает сканирование соответствующей командой меню в проводнике Windows. Такое сканирование также называется ручным. Только выбранные папки и файлы сканируются при этом способе.

- Сканирование по расписанию (Scheduled scan) является обычно повторяемым действием, которое обеспечивает постоянную проверку системы на предмет вредоносного ПО. Пользователь может настраивать время и частоту сканирования. Это сканирование обычно применяется для полного сканирования системы.

- Сканирование при загрузке (Startup scan) – сканирование, инициализируемое антивирусной программой при запуске ОС. Это сканирование происходит быстро и затрагивает папку автозагрузки, запускающиеся процессы, системную память, системные службы и загрузочный сектор.

Большинство продуктов позволяет пользователям настраивать каждый вид сканирования раздельно. Ниже собраны одни из самых основных параметров антивирусного сканирования:

- Расширения файлов для сканирования – сканировать все файлы или только исполняемые (.exe, .dll, .vbs, .cmd и другие.);
- Максимальный размер файлов – файлы свыше этого параметра не подвергаются сканированию;
- Сканирование файлов в архивах – сканировать ли файлы в архивах, таких как .zip, .rar, .7z и другие;
- Использование эвристического анализа – настройка использования эвристики и, опционально, настройка чувствительности;
- Типы программ, о которых сообщить тревогой – существует множество программ которые могут быть неточно определены как вредоносные. Обычно вендоры используются такие термины, как Потенциально нежелательное ПО или программа с некоторым риском угрозы;
- Типы носителей для сканирования – сканировать ли файлы на сетевых хранилищах или переносных устройствах хранения данных;
- Действие, которое нужно предпринять, когда угроза обнаружена - попытка излечить образец если возможно, удаление образца, помещение в карантин (специальная папка, из которой вредоносный код не может исполняться, а может быть отправлен для дальнейшего исследования непосредственно вендору), заблокировать доступ или спросить о действии у пользователя.

Множество этих параметров могут влиять на скорость сканирования. Набор автоматических правил сканирования для быстрого, но в тоже время эффективного сканирования называется Интеллектуальное сканирование (Smart Scan) или Быстрое сканирование (Quick Scan). В противном случае, сканирование называется полным (Full Scan) или глубоким (Deep Scan). Мы также можем встретить сканирование переносных устройств, которое применяется для проверки оптических дисков, флоппи дисков, USB накопителей, флэш карт и схожих устройств. Пользовательское сканирование (Custom Scan) также доступно и является полностью настраиваемым конечным пользователем.

Специализированные сканеры

Руткит-сканирование (или антируткит-сканирование) это опция, которую предлагают некоторые антивирусные вендоры всвоих продуктах, т.к. руткиты стали чрезвычайно распространенными за последнее десятилетие. Руткит – особенный тип вредоносного ПО, который использует хитрые приемы для того, чтобы оставаться невидимым для пользователя и основных методов детектирования вируса. Он применяет внутренние механизмы ОС для того чтобы сделать себя недосягаемым. Борьба с руткитами требует от разработчиков антивирусного ПО создания особых способов обнаружения. Руткит-сканирование пытается найти расхождения в работе ОС, которые могут служить доказательством наличия руткита в системе. Некоторые реализации проверок на наличие руткитов основываются на постоянном мониторинге системе, в то время как другие реализации антируткитного инструментария могут вызываться по требованию.

Сканирование файлов Microsoft Office (или сканирование на предмет макровирусов) – опция, которая защищает пользователя от вредоносного кода внутри офисных документов. Внутренние принципы сканирования схожи с общими методами сканирования, они просто специализируются на поисках вируса внутри макросов. Опция сканирования может быть представлена как плагин для Microsoft Office.

Дополнительные связанные опции

Антивирусный движок обычно тесно связан с остальными компонентами пакета безопасности. Некоторые продукты представляют дополнительные функции, как часть антивирусного движка, другие отображают их раздельно. Веб контроль – опция, которая является типичным представителем второй группы. Мы обсудим эту опцию отдельно.

Фаервол (Firewall)

Также называют: персональный фаервол, межсетевой экран, расширенный брандмауэр, двусторонний межсетевой экран.

Фаервол

Основная роль фаервола – контролировать доступ к ПК со стороны внешней сети, т.е. входящий трафик и, наоборот, контролировать доступ с ПК в сеть, т.е. исходящий трафик.

Фильтрация сетевого трафика может происходить на нескольких уровнях. Большинство фаерволов, включенных в комплекты безопасности для ПК имеют набор правил по крайней мере для двух уровней – нижний интернет уровень, контролируемый IP правилами и верхний уровень приложения. Говоря про верхний уровень, фаервол содержит набор правил для того чтобы допустить или запретить доступ конкретного приложения в сеть. Такие термины, как сетевые правила (Network Rules), экспертные правила (Expert Rules) или настройки правил IP (IP Rule Setting) используются на нижнем уровне правил. На верхнем уровне мы встречаемся с терминами Контроль программ (Program Control) или правила приложений (Application Rules).

Множество современных продуктов позволяют пользователю настраивать уровень доверия ко всем сетям, подключенных к компьютеру. Даже если существует только одно физическое подключение, ПК может быть подключен к нескольким сетям – например, когда ПК подключен к локальной сети, имеющей шлюзы для выхода в интернет. Антивирусный комплекс будет раздельно управлять локальным и интернет трафиком. Каждая из найденных сетей может быть либо доверенной, либо недоверенной и различные системные сервисы, такие как общий доступ для файлов или принтеров могут быть разрешены или запрещены. По умолчанию, только компьютеры из доверенных сетей (trusted networks) могут иметь доступ к защищаемому компьютер. Подключения, регистрируемые с недоверенных сетей (untrusted networks) обычно блокируются, если соответствующая опция не разрешает доступ. Вот почему интернет соединение обычно помечается как недоверенное. Как бы то ни было, некоторые продукты не различают сети в рамках одного пользовательского интерфейса и настройки доверенных/недоверенных сетей могут быть раздельно указаны для каждого интерфейса. Термин Сетевая зона (Network Zone) или просто зона (Zone) обычно используется вместо логической сети.

Обнаружение и предотвращение вторжения(Intrusion Detection/Prevention)

Также называют: Обнаружение атаки, Система обнаружения вторжения, IP блокировка, вредоносные порты.

Хотя все вышеперечисленные термины не являются эквивалентными, они относятся к набору свойств, которые способны предотвратить или обнаружить специальные виды атак с удаленных компьютеров. Они включают такие опции, как обнаружение порта сканирования, обнаружение подменного IP, блокирование доступа к хорошо известным портам вредоносного ПО, используемых программами удаленного администрирования, троянским коням, клиентами ботнета. Некоторые термины включают механизмы для защиты от ARP атак (атак с подменным адресом протокола расширения) – эта опция может называться защита от APR, защита от кэша ARP и т.д. Основная способность этого вида защиты – автоматическая блокировка атакующей машины. Это опция может быть напрямую связана с нижеследующей функцией.

Черный список IP (IP Blacklist)

Использование этой простой опции заключается в содержании в антивирусном продукте базы сетевых адресов, с которыми защищаемый компьютер не должен связываться. Эта база может пополняться как самим пользователем, при обнаружении вирусов (см. Обнаружение и предотвращение вторжения), так и автоматически обновляться из обширного списка опасных систем и сетей антивирусного вендора.

Блокирование всего трафика (Block All Traffic)

Контроль программ (Program Control)

Также называют: контроль приложений, инспектор приложений

Фильтрация сетевого трафика на программном уровне позволяет программам безопасности раздельно контролировать доступ в сеть каждого приложения на ПК. Антивирусный продукт содержит базу данных свойств приложений, которая определяет доступна ли сеть для программы или нет. Эти свойства различаются между клиентскими программами, которые инициализируют подключение с локальной машины на удаленные сервера (исходящее направление) и серверными программами, которые сканируют сетевой порт и принимают соединения с удаленных компьютеров (входящее направление). Современные антивирусные решения позволяют пользователю определять детальные правила для каждого конкретного приложения.

В общем, поведение контроля программ зависит от политики безопасности (Firewall Policy), выбранной в фаерволе и может включать следующие режимы поведения:

- Тихий режим (автоматический режим) работает без вмешательства пользователя. Все решения принимаются автоматически с использованием базы данных антивирусного продукта. В случае если не существует явного правила для программы, которая хочет получить доступ в сеть, этот доступ может быть либо всегда разрешен (режим полного разрешения - Allow All mode), либо всегда заблокирован (режим полного блокирования - Block All mode), либо специальный эвристический анализ используется для определения дальнейшего действия. Алгоритм выработки решения может быть очень сложным и может зависеть от дополнительных условий, таких как рекомендации сетевого сообщества. Как бы то ни было, некоторые продукты используют термины: режим полного разрешения/блокирования в обход существующим в базе данных наборам правил и просто разрешают, или блокируют доступ любому приложению в системе.

- Пользовательский режим (Настраиваемый режим - Advanced mode, Custom mode) предназначается для продвинутых пользователей, которые хотят контролировать каждое действие. В этом режиме продукт автоматически справляется только с теми ситуациями, для которых существуют исключительные правила в базе данных. В случае любых других действий пользователю предлагается принять решение. Некоторые антивирусные решения предлагают определить политику поведения, когда невозможно спросить пользователя – например при загрузке компьютера, завершении работы, когда графический интерфейс программы недоступен или во время особенных условий – запуске игры во весь экран, когда пользователь не хочет отвлекаться (иногда называется Игровой режим – Gaming mode). Обычно всего две опции доступны в этих случаях: режим полного разрешения и режим полного блокирования.

- Нормальный режим (безопасный режим - Normal mode, Safe mode) позволяет антивирусному продукту самому справляться с большинством ситуаций. Даже когда не существует явных правил в базе данных, действие программы разрешено, если программа считается безопасной. Аналогично автоматическому режиму решение может приниматься на основании эвристического анализа. В случае, когда программа безопасности не может определить безопасно ли приложение или нет, она выводит оповещение, как в пользовательском режиме.

- Режим обучения (режим тренировки, режим установки - Learning mode, Training mode, Installation mode) в основном используется сразу после установки антивирусного продукта или в случаях, когда пользователь устанавливает новое ПО на компьютер. В этом режиме антивирусный продукт позволяет все действия, для которых нет записей в базе данных наборов правил и добавляет новые правила, которые будут позволять соответствующие действия в будущем после смена режима безопасности. Использование режима обучения позволяет снизить количество тревожных оповещений после установки нового ПО.

Контроль программ обычно содержит настройки, которые могут помочь продукту разрешить спорные ситуации, независимо от включенного режима работы. Эта особенность известна как автоматический набор правил (Automatic rule creation). Типичная опция в этом случае позволяет любые действия приложениям с цифровой подписью от доверенных вендоров, даже если нет соответствующей записи в базе данных. Эта опция может быть расширена другой функцией, которая позволяет совершать любые действия приложениям без цифровой подписи, но знакомых антивирусному продукту. Контроль программ обычно тесно связан с другими функциями, которые мы осветим попозже, в особенности опция поведенческого контроля.

Антивирус — что это такое, как блокирует и какой лучше выбрать?

Антивирус — это средство защиты оборудования с программным обеспечением от вредоносного кода (вирусов).

Всё, что делает антивирус, направлено на выявление вирусов, которые модифицируют файлы с целью максимального распространения и нарушения штатной работы операционной системы и приложений.

Принято считать, что вирусы — это любой вредоносный код, хотя технически они являются лишь его разновидностью. Однако антивирусы способны взаимодействовать с любыми вариациями вредоносного кода: программными вирусами, червями, троянами, рекламным ПО и так далее.

Антивирус — что это такое, как блокирует и какой лучше выбрать?

Что делает антивирус?

Антивирус загружается на устройство с операционной системой в качестве программы или комплекса программных инструментов и обнаруживает вмешательство вредоносного кода в файловую систему извне, а затем блокирует модифицированные файлы (помещает в карантин) и либо удаляет их, либо исправляет согласно обновляемой через интернет базе данных профилей для известных угроз. Функциональность и возможности антивируса зависят от его технического совершенства, поэтому надёжность защиты оборудования во многом зависит от выбора наиболее эффективного продукта.

Какие антивирусы лучше выбирать?

Антивирусы бывают трёх видов: бесплатные, условно-бесплатные и платные (разовый платёж или по подписке). В зависимости от целей использования средства защиты от вирусов и потребности в дополнительной функциональности, определяется экономическая целесообразность в использовании платных продуктов и компромисс применения упрощённых бесплатных приложений.

Следует различать антивирусы не только по эффективности. Методы защиты также могут быть разными и быть основным отличием одного средства от другого. Рассмотрим их подробнее.

Сканирование

Чаще всего это нерезидентные инструменты (запускаются пользователем вручную), которые выполняют сканирование оперативной памяти, жёсткого диска, SSD и внешних носителей для выявления вирусов. Обнаруженный код сравнивается с профилями из своей базы известных угроз, из-за чего её важно регулярно обновлять.

Лечение

Иммунизация

Антивирус блокирует определённые системные каталоги, записи в реестре и жизненно-важные ресурсы операционной системы для изменения сторонними программами. Метод требует подтверждения действий вручную, либо создания списка доверенных источников модификации.

Компарирование

Другими словами, ревизия существующих файлов. Антивирус фиксирует состояние системы (путём запоминания исходного кода файлов в системных каталогах) и выполняет сравнение в случае подозрительных операций.

Мониторинг

Метод характеризуется фоновой работой антивируса с перманентной защитой от пассивной угрозы вредоносного кода и его выявления путём безостановочного сканирования файловой системы.

Фильтрация

В большинстве случаев это резидентный инструмент в антивирусе, запускаемый одновременно с операционной системой для обнаружения вредоносного кода до того, как он начал свою активность и распространение.

Антивирус — что это такое, как блокирует и какой лучше выбрать?

Компания ZEL-Услуги

Теперь вы знаете в общих чертах, что такое вирус и антивирус, как функционирует средство защиты, какие методы использует. Обратитесь в компанию ИТ-аутсорсинга для дальнейшей экспертной поддержки и консультации по этой теме и любым другим техническим вопросам.

Эта статья нуждается в доработке: она в значительной степени не основана на надежных источниках, и поэтому сомнительно, что эта статья воспроизводит тему надлежащим образом и без какой-либо ценности. Утверждения из этой статьи следует проверять с помощью надежных источников и при необходимости исправлять.
Пожалуйста, помогите улучшить его , а затем удалите этот флаг.

Антивирусная программа , антивирус или защита от вирусов программа (аббревиатура: AV) является программным обеспечением , что создает вредоносные программы , такие как Б. обнаруживать, блокировать и, при необходимости, устранять компьютерные вирусы , компьютерные черви или троянские кони .

Оглавление

история

Большинство компьютерных вирусов, написанных в начале и середине 1980-х годов, ограничивались чистым самовоспроизведением и часто не обязательно имели конкретную вредоносную функцию. Только когда технология вирусного программирования стала широко известна, начали появляться вредоносные программы, которые специально манипулировали или уничтожали данные на зараженных компьютерах. Это заставило задуматься о борьбе с этими вредоносными программами с помощью специальных антивирусных программ.

Также в 1988 году в сети BITNET / EARN был создан список рассылки под названием VIRUS-L, в котором, в частности, обсуждалось появление новых вирусов и возможности борьбы с вирусами. Некоторые из участников этого списка, такие как Джон Макафи или Юджин Касперски , впоследствии основали компании, которые разрабатывали и предлагали коммерческие антивирусные программы. Четыре года назад, в 1984 году, была основана компания Arcen Data (ныне Norman ASA ), которая также специализировалась на антивирусных программах в конце 1980-х годов, когда в Норвегии появились первые компьютерные вирусы. В 1987 году компания G DATA Software представила первую в мире коммерческую программу защиты от вирусов, которая была специально разработана для Atari ST . До того, как подключение к Интернету стало обычным явлением, вирусы обычно распространялись через дискеты . Хотя антивирусные программы использовались иногда, они обновлялись нерегулярно. В это время антивирусные программы проверяли только исполняемые программы и загрузочные секторы на гибких дисках и жестких дисках. С распространением Интернета вирусы начали таким образом заражать новые компьютеры и, таким образом, представлять более общую угрозу.

Со временем для антивирусных программ становится все более важным сканировать различные типы файлов (а не только исполняемые программы) на предмет скрытых вирусов. На то были разные причины:

  • Использование макросов в программах обработки текстов , таких как Microsoft Word, создавало дополнительный вирусный риск. Вирусные программисты начали встраивать вирусы в документы в виде макросов. Это означало, что компьютеры могли быть заражены, просто запустив встроенный макровирус в документ.
  • Более поздние программы электронной почты, в частности MicrosoftOutlook Express и Outlook , были уязвимы для вирусов, встроенных в электронную почту. Это позволило заразить компьютер, открыв и просмотрев электронную почту.

С увеличением количества существующих вирусов возникла необходимость в частом обновлении антивирусных программ. Но даже в этих обстоятельствах новый тип вируса может быстро распространиться за короткий период времени, прежде чем производители антивирусов смогут ответить обновлением.

Типы антивирусных программ

Сканер в реальном времени

  1. Сканирование при открытии файлов (чтении)
  2. Сканирование при создании / изменении файлов (запись)

Может случиться так, что файл вируса был сохранен до того, как для него стала доступна сигнатура вируса. Однако после обновления сигнатуры ее можно распознать при открытии. В этом случае сканирование при открытии файла превосходит сканирование при записи файла. Чтобы снизить нагрузку, вызываемую сканером в реальном времени, некоторые форматы файлов , сжатые файлы (архивы) и т.п. часто сканируются только частично или не сканируются вообще.

Ручной сканер

Интернет-сканер вирусов

Существуют также веб-сайты, которые позволяют проверять отдельные файлы с помощью различных антивирусных сканеров. Для этого типа сканирования пользователь должен сам активно загрузить файл, поэтому это особая форма сканирования по требованию .

Другие сканеры

  • Помимо сканеров реального времени и ручных сканеров, существует ряд других сканеров.

Большинство из них работают путем анализа сетевого трафика. Для этого они сканируют поток данных и, в случае отклонения от нормы, выполняют определенную операцию, такую ​​как блокирование трафика данных.

  • Другое решение - использовать прокси . Некоторые прокси позволяют интегрировать антивирусное программное обеспечение. Если файл загружается таким образом, он сначала проверяется на прокси-сервере и проверяется, не загрязнен ли он. В зависимости от результата он доставляется клиенту или блокируется. Однако очевидным недостатком является тот факт, что это практически неэффективно при сквозном шифровании. Вариантом этих прокси-вирусных фильтров являются почтовые ретрансляционные серверы с антивирусным программным обеспечением, иногда называемые онлайн-фильтрами вирусов (но см. Выше). Электронные письма сначала отправляются на сервер ретрансляции, где они сканируются и отклоняются, помещаются в карантин или очищаются, а затем пересылаются на почтовый сервер получателя.

Как это работает и вероятность успеха

В принципе, можно провести различие между двумя методами обнаружения. Из-за преимуществ и недостатков существующих антивирусных сканеров оба метода используются для компенсации слабых сторон друг друга.

  • Реактивный: при этом типе обнаружения вредоносное ПО обнаруживается только в том случае, если соответствующая подпись (или известное значение хеш-функции в облаке) предоставлено производителем антивирусного программного обеспечения. Это классический тип обнаружения вирусов, который используется практически всеми антивирусными программами.
    • Преимущество: подпись может быть создана за короткое время и, следовательно, по-прежнему составляет основу каждого сканера (с онлайн-подключениями также и облачным распознаванием).
    • Недостаток: без обновленных сигнатур новые вредоносные программы обнаруживаться не будут.
    • Преимущество: обнаружение неизвестного вредоносного ПО.
    • Недостаток: сложная технология требует высоких затрат на разработку и длительных циклов разработки. В принципе, проактивные методы имеют более высокий процент ложных тревог, чем реактивные.

    Сканеры

    Механизм сканирования - это программная часть антивирусного сканера, отвечающая за проверку компьютера или сети на наличие вредоносных программ . Таким образом, сканирующее ядро ​​напрямую отвечает за эффективность антивирусного программного обеспечения. Сканеры обычно представляют собой программные модули, которые можно обновлять и использовать независимо от остальной части антивирусного сканера. Существует антивирусное программное обеспечение, которое, помимо собственного механизма сканирования, также использует лицензированные механизмы сканирования других производителей AV. Использование нескольких модулей сканирования теоретически может увеличить скорость обнаружения, но это всегда приводит к резкому снижению производительности. Поэтому остается под вопросом, имеют ли смысл антивирусные сканеры с несколькими ядрами сканирования. Это зависит от требований безопасности или требований к производительности системы и должно решаться в каждом конкретном случае.

    Эффективность антивирусного сканера на основе сигнатур при обнаружении вредоносных файлов зависит не только от используемых сигнатур вирусов. Часто исполняемые файлы упаковываются перед их распространением, чтобы они могли распаковать себя позже (сжатие во время выполнения). Известный вирус может не обнаруживаться некоторыми сканерами, поскольку они не могут проверить содержимое архива, сжатого во время выполнения. С помощью этих сканеров в подписи может быть включен только архив как таковой. Если архив будет перепакован (без изменения содержимого), этот архив тоже нужно будет включить в подписи. Сканер с возможностью распаковки как можно большего количества форматов имеет здесь преимущество, потому что он проверяет содержимое архивов. Таким образом, количество использованных подписей ничего не говорит о производительности распознавания.

    Движок содержит несколько модулей, которые реализованы и интегрированы по-разному в зависимости от производителя и взаимодействуют друг с другом:

    • Анализ формата файлов (например, программ ( PE , ELF ), скриптов ( VBS , JavaScript ), файлов данных ( PDF , GIF ))
    • Устройство сопоставления образов (распознавание образов) для классических подписей
    • Распаковка для
      • Программы, сжатые во время выполнения , и процедуры шифрования (такие как UPX , Aspack, Y0daCrypt)
      • Архивы (например, ZIP , RAR , 7z , UUE / Base64 )
      • Форматы почтовых ящиков (например, mbox . DBX . Eml , mime )

      Также используется или в основном для защиты в реальном времени:

      • Анализ поведения
      • Облачные технологии
      • Песочница

      Эвристический

      SandBox

      Чтобы повысить уровень обнаружения неизвестных вирусов и червей, норвежский производитель антивирусов Norman в 2001 году представил новую технику, при которой программы выполняются в безопасной среде - песочнице . Проще говоря, эта система работает как компьютер внутри компьютера. Это среда, в которой файл запускается и анализируется, чтобы увидеть, какие действия он предпринимает. При необходимости песочница может также предоставлять сетевые функции, такие как почтовый или IRC- сервер. При выполнении файла песочница ожидает поведения, типичного для этого файла. Если файл в какой-то степени отклоняется от этого, песочница классифицирует его как потенциальную опасность. Он может различать следующие опасности:

      • W32 / вредоносное ПО
      • W32 / EMailWorm
      • W32 / NetworkWorm
      • W32 / BackDoor
      • W32 / P2PWorm
      • W32 / FileInfector
      • W32 / номеронабиратель
      • W32 / Загрузчик
      • W32 / шпионское ПО

      Подобно онлайн-сканерам, различные поставщики предоставляют веб-интерфейсы для своих песочниц для анализа отдельных подозрительных файлов (обычно базовые функции предоставляются бесплатно, расширенные функции - за плату).

      Анализ поведения

      Обнаружение постов

      Облачные технологии

      Автоматическое обновление

      Так называемая функция автоматического, интернет-обновления или обновления в реальном времени, при которой текущие сигнатуры вирусов автоматически загружаются от производителя , имеет особое значение для антивирусных сканеров. Если этот параметр включен, пользователю будут регулярно приходить напоминания о необходимости проверять наличие последних обновлений , или программное обеспечение будет проверять их самостоятельно. Рекомендуется использовать эту опцию, чтобы убедиться, что программа действительно актуальна.

      Проблемы со сканером вирусов

      Поскольку антивирусные сканеры очень глубоко проникают в систему, при сканировании у некоторых приложений возникают проблемы. В большинстве случаев эти проблемы возникают при сканировании в реальном времени. Чтобы избежать осложнений с этими приложениями, большинство антивирусных сканеров позволяют вести список исключений, в котором можно определить, какие данные не должны отслеживаться сканером в реальном времени. Общие проблемы возникают с:

      Критика антивирусных сканеров

      Исследование безопасности, проведенное в 2014 году, показало, что почти все исследованные антивирусные программы имеют широкий спектр ошибок и поэтому иногда делают системы, на которых они установлены, уязвимыми.

      Проверьте конфигурацию антивирусного сканера

      Программа-антивирус

      Антивирусное программное обеспечение доступно бесплатно или в качестве платного предложения. Коммерческие производители часто также предлагают бесплатные версии с ограниченным набором функций. Весной 2017 года Stiftung Warentest пришел к выводу, что существует хорошая защита с помощью бесплатного программного обеспечения для обеспечения безопасности. Следующая таблица дает лишь небольшой обзор нескольких соответствующих производителей, продуктов и брендов.

      Производитель Соответствующие продукты / бренды Предложения для следующих платформ Лицензия Говорящий по-немецки включая бесплатные предложения
      Германия Avira Антивирус Avira Windows , macOS , Android , iOS Проприетарный да да
      Объединенное Королевство / Avast Республика Чехия Антивирус Avast Windows, macOS, Android, iOS Проприетарный да да
      Антивирус AVG Windows, macOS, Android Проприетарный да да
      Румыния Bitdefender Bitdefender Антивирус Windows, macOS, Android Проприетарный да да
      США Cisco ClamAV Windows, Unix-подобная (включая Linux ) GPL Нет да
      Новая Зеландия Emsisoft Emsisoft Anti-Malware Windows, Android Проприетарный да Нет
      Словакия ESET Антивирус ESET NOD32 Windows, macOS, Linux, Android Проприетарный да Нет
      Финляндия F-Secure Corporation F-Secure Антивирус Windows, macOS, Android Проприетарный да Нет
      Германия G Data CyberDefense G Data Antivirus Windows, macOS, Android, iOS Проприетарный да Нет
      Россия Лаборатория Касперского Антивирус Касперского Windows, macOS, Android, iOS Проприетарный да да
      США Malwarebytes Inc. Malwarebytes Windows, macOS, Android Проприетарный да да
      США McAfee McAfee VirusScan Windows, macOS, Android, iOS Проприетарный да Нет
      США Microsoft Защитник Microsoft Окна Проприетарный да да
      США NortonLifeLock (ранее Symantec ) Norton AntiVirus Windows, macOS, Android, iOS Проприетарный да Нет

      веб ссылки

      Викисловарь: Антивирусная программа - объяснение значений, происхождение слов, синонимы, переводы

      • Роберт А. Геринг: Иммунная система компьютера: антивирусное программное обеспечение . В: Безопасность потребителей в Интернете. ( проект Берлинского технического университета, финансируемый BMELV )

      Индивидуальные доказательства

        Эта страница последний раз была отредактирована 21 июля 2021 в 18:29.


      Информационную безопасность любой компьютерной или мобильной системы невозможно представить без использования специальных защитных программных продуктов, называемых антивирусами. Такого ПО на сегодняшний день разработано много, а пользователи нередко оказываются перед сложным выбором в пользу какого-то определенного приложения, которое могло бы обеспечить защиту в полной мере. Чтобы максимально правильно подойти к решению этой проблемы, изначально необходимо иметь хотя бы базовые знания, касающиеся того, как работает антивирус.

      Давайте же разберемся в фундаментальных принципах организации системы безопасности на компьютере или мобильном девайсе и выясним, каким именно критериям должен соответствовать антивирус, который предполагается установить на устройство.

      Как работает антивирус: общие принципы

      Что касается основных направлений в обеспечении комплексной защиты любого компьютерного устройства, то следует четко понимать, что разные защитные модули по-разному реагируют не потенциальные угрозы, поскольку в наше время среди них можно найти не только, так сказать, чистые вирусы, наносящие вред операционной системе, хранящейся на жестком диске и съемном носителе информации, установленному оборудованию, а целые категории апплетов вроде троянов, шпионов, кейлоггеров или рекламных приложений, которые на самом деле вирусами не являются, а скорее относятся к нежелательному ПО.

      Типы антивирусов, определение и нейтрализация потенциальных угроз

      Но, если разбираться, как работает антивирус по отношению к основным типам угроз, можно выделить несколько базовых принципов, по которым производится их обнаружение:

      • сигнатурный анализ;
      • эвристическое определение (поведенческий анализ);
      • сравнение контрольных сумм;
      • анализ угроз на уровне файрвола.

      Первая методика является самой распространенной и основана на сравнении сигнатур (структур) подозрительных объектов с теми, которые хранятся в антивирусных базах. Именно поэтому такие базы необходимо поддерживать в актуальном состоянии, а обновление обычно производится автоматически самим антивирусом. Сигнатурный метод позволяет вовремя отследить появление в системе известных вирусов, но очень часто оказывается совершенно недейственным при попытке идентификации неизвестных и новых угроз.

      В этом случае в действие вступает вторая методика. Как работает антивирус в такой ситуации? Он попросту отслеживает запуск некоторых программ или файлов (особенно тех, которые стартуют вместе с системой), анализируя их поведение. Если в процессе запуска наблюдается что-то подозрительное, антивирус и определяет такой компонент как потенциально опасный зараженный объект. Преимущество метода состоит в том, что с его помощью можно выявить новые угрозы, а вот среди недостатков главным считается ложное срабатывание даже при попытке запуска какого-то официального ПО.

      Методика сравнения контрольных сумм часто применяется в тех случаях, когда вирусные апплеты пытаются заменить системные элементы или файлы программ собственными компонентами, содержащими вредоносные коды.

      Наконец, достаточно широкое распространение получило использование файрволов (брандмауэров), постоянно отслеживающих входящий и исходящий трафик при наличии сетевых подключений и активного доступа к интернету. Это тоже позволяет вовремя установить преграду на пути, по которому теоретически вирус или угроза могли бы внедриться в систему и вызвать нежелательные действия, повредив важные файлы ОС или испортив пользовательские данные. Самыми опасными тут являются всевозможные вирусы-шифровальщики и вымогатели, которые могут сделать файлы полностью нечитаемыми.

      Почему некоторые антивирусы пропускают угрозы?

      Как антивирус обнаруживает вирус, немного разобрались. Теперь стоит посмотреть на слабые стороны штатных защитных программ. В частности, речь идет о всевозможных рекламных апплетах, которые в последнее время наводнили интернет. Так почему же при таком распространении некоторые бесплатные антивирусы на них не реагируют? Да только потому, что большинство таких апплетов имеет сертификаты безопасности и цифровые подписи разработчика или издателя. Антивирусу этого достаточно, чтобы признать программное обеспечение легальным. А ведь на изменение стартовых страниц и поисковых систем в браузерах антивирусные сканеры не реагируют! И тут приходится удалять угрозы самостоятельно.

      Что же касается предпочтений в выборе защитного ПО, определить какой-то один программный продукт, который бы считался лучшим абсолютно по всем параметрам, очень сложно.

      Лучшие антивирусы для Windows

      Бесплатный антивирус с

      Антивирусные приложения для Android

      Лучшие антивирусы для Android

      В список можно добавить еще приложения вроде антивирусов McAfee, CM Security или 360 Internet Security, которые не без оснований конкурируют с именитыми брендами.

      Краткие сведения об удалении рекламных вирусов

      Теперь кратко об удалении рекламных апплетов, которые защитой были проигнорированы. Общий порядок действий здесь таков:

      • определяете название вируса по изменившейся стартовой странице или поисковой системе;
      • удаляете соответствующее приложение в разделе программ и компонентов или в списке расширений браузеров;
      • избавляетесь в ручном режиме от всех остаточных ключей реестра и файлов на диске, задав поиск по названию удаленного апплета;
      • проверяете ярлык браузера на предмет наличия в поле типа объекта всевозможных приписок или ссылок после названия файла старта обозревателя с расширением EXE.

      Зараженный ярлык браузера

      Примечание: если программа не удаляется или ее нет в списке, сначала удаление записей производите в реестре, а потом избавляетесь от всего остального. Некоторые угрозы рекламного типа могут быть обнаружены узконаправленными приложениями вроде AdwCleaner. В случае удаления имеющихся приложений, чтобы не чистить остатки самостоятельно, лучше воспользоваться программами-деинсталляторами (iObit Uninstaller или Revo Uninstaller).

      Заключение

      Вот вкратце и все, что касается основных принципов функционирования антивирусного ПО и выбора антивируса, подходящего для ваших нужд по всем критериям. В качестве советов по обеспечению безопасности можно добавить следующее:

      Читайте также: