Какви са антивирусните програми. Видове антивирусни програми

Потребителят на модерен персонален компютър има безплатен достъп до всички ресурси на машината. Именно това отвори възможността за съществуване на опасност, наречена компютърен вирус.

Компютърният вирус е специално написана програма, която може спонтанно да се прикрепя към други програми, да създава свои копия и да ги вмъква във файлове, системни области на компютър и компютърни мрежи, за да наруши работата на програмите, да повреди файлове и директории и да създаде всякакви смущения в компютъра. В зависимост от средата вирусите могат да бъдат разделени на мрежови, файлови, зареждащи, файлово-зареждащи, макровируси и троянски коне.

• Мрежови вирусиразпространени в различни компютърни мрежи.
• Файлови вирусиса вградени основно в изпълними модули. Файловите вируси могат да се инжектират в други типове файлове, но като правило, записани в такива файлове, те никога не получават контрол и следователно губят способността си да се репликират.
• Вируси за зарежданеса вградени в сектора за зареждане на диска (Boot sector) или в сектора, съдържащ програмата за стартиране на системния диск (Master Boot Record).
• Файлови зареждащи вирусизаразява както файловете, така и секторите за зареждане на дисковете.
• Макровирусиса написани на езици от високо ниво и заразяват файлове с документи на приложения, които имат вградени езици за автоматизация (макро езици), като приложения от семейството на Microsoft Office.
• троянски конемаскирани като полезни програми, те са източник на компютърна инфекция с вируси.

За откриване, премахване и защита срещу компютърни вируси са разработени няколко вида специални програми, които ви позволяват да откривате и унищожавате вируси. Такива програми се наричат ​​антивирусни програми. Има следните видове антивирусен софтуер:

• - детекторни програми;
• - програми-лекари, или фаги;
• - одиторски програми;
• - филтриращи програми;
• - програми за ваксини или имунизатори.

Детекторни програмите търсят сигнатурна характеристика на конкретен вирус в RAM и във файлове и при откриване издават съответно съобщение. Недостатъкът на подобни антивирусни програми е, че те могат да намерят само вируси, които са известни на разработчиците на такива програми.

Докторски програми, или фаги, и програми за ваксинине само намират файлове, заразени с вируси, но и ги "лекуват", тоест изтриват тялото на вирусната програма от файла, връщайки файловете в първоначалното им състояние. В началото на своята работа фагите търсят вируси в RAM паметта, унищожавайки ги, и едва след това пристъпват към „лекуване“ на файлове. Сред фагите има полифаги, тоест докторски програми, предназначени да търсят и унищожават голям брой вируси. Най-известните от тях: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Поради факта, че непрекъснато се появяват нови вируси, програмите за детектори и лекарските програми бързо стават остарели и се изискват редовни актуализации на версиите.

Одиторски програмиса сред най-надеждните средства за защита срещу вируси. Одиторите запомнят първоначалното състояние на програмите, директориите и системните области на диска, когато компютърът не е заразен с вирус, и след това периодично или по искане на потребителя сравняват текущото състояние с първоначалното. Откритите промени се показват на екрана на монитора. По правило състоянията се сравняват веднага след зареждане на операционната система. При сравняване се проверяват дължината на файла, цикличен контролен код (контролна сума на файла), дата и час на модификация и други параметри. Програмите за одитор имат доста напреднали алгоритми, откриват стелт вируси и дори могат да разграничат промените във версията на програмата, която се сканира от промените, направени от вирус. Широко използваната програма Kaspersky Monitor е една от програмите за одит.

Филтриили "watchmen" са малки резидентни програми, предназначени да откриват подозрителни действия по време на работа на компютъра, типични за вирусите. Такива действия могат да бъдат:

• - се опитва да коригира файлове с COM разширения. EXE;
• - промяна на атрибутите на файла;
• - директен запис на диск на абсолютен адрес;
• - запис в зареждащите сектори на диска;

Когато някоя програма се опита да изпълни посочените действия, "стражът" изпраща съобщение до потребителя и предлага да забрани или разреши съответното действие. Програмите за филтриране са доста полезни. тъй като те са в състояние да открият вирус в най-ранния етап от неговото съществуване, преди размножаването. Те обаче не "лекуват" файлове и дискове.

За да унищожите вируси, трябва да използвате други програми, като фаги. Недостатъците на програмите за наблюдение включват тяхната "натрапчивост" (например, те постоянно издават предупреждение за всеки опит за копиране на изпълним файл), както и възможни конфликти с друг софтуер.

Ваксини или имунизаториТова са резидентни програми. предотвратяване на заразяване на файлове. Ваксините се използват, ако няма лекарски програми, които да "лекуват" този вирус. Ваксинацията е възможна само срещу известни вируси. Ваксината модифицира програмата или диска по такъв начин, че да не повлияе на тяхната работа и вирусът ще ги възприеме като заразени и следователно няма да бъде въведен. Програмите за ваксини в момента са с ограничена употреба.

Навременното откриване на заразени с вируси файлове и дискове, пълното елиминиране на откритите вируси на всеки компютър помагат да се избегне разпространението на вирусна епидемия към други компютри.

Използвайки интернет, е много лесно да „хванете“ вирус или неволно да изтеглите шпионски софтуер или друго вредно приложение на компютъра си. Нуждаем се от ресурси за защита на вашия компютър, включително антивирусни решения. Сред тях има както безплатни, така и комерсиални, като изборът е доста широк. Кои са добрите антивируси? Има ли такива сред безплатните версии?

Направихме селекция от програми въз основа на тяхната гъвкавост - всяко решение, съдейки по съдържанието на рецензиите в интернет, е оптималната антивирусна програма за Windows 7, за XP, за най-новата версия 8.1.

Първо, ще разгледаме характеристиките на някои търговски предложения. Нека единият е руски, а другият чужд.

Основното нещо за Kaspersky

Сред най-популярните платени антивирусни програми в света е продукт на Kaspersky Lab. Дистрибуторът от 2014 г. е в състояние да защитава не само от вируси и "троянски коне", но и от шпионски софтуер и рекламни скриптове. Подобно на повечето съвременни антивирусни програми, програмата от Kaspersky може да открива заплахи, информация за които не е в базата данни. За целта се използва евристичен анализ.

Основните функции на програмата от Kaspersky:

• проследяване на вирусни атаки, лечение на файлове в реално време;
• проверка на програми за репутация;
• анализ и откриване на злонамерени кодове в интернет трафик (линкове);
• наблюдение на системата за подозрителни софтуерни действия.

Съвременната версия на Kaspersky Anti-Virus е съвместима с най-новите операционни системи като Windows 8.1. Политиката за проактивна защита, реализирана от това решение, включва проследяване на сайтове, на които са инсталирани злонамерени модули, и предоставяне на ранно предупреждение на потребителя за идентифицирани заплахи в момента на опит за достъп до такива уеб ресурси. Експертите отбелязват адаптивността на антивируса към оптималното използване на ресурсите на компютъра.

Приложение на Kaspersky: нюанси на активиране

В продължение на много години Kaspersky изисква специални ключове за антивирусен софтуер, за да активира дистрибутивния комплект (това е обичайна практика). Но от август 2013 г. методологията на този процес се промени. Можете да активирате Kaspersky Anti-Virus само със специален код онлайн, тоест е необходим достъп до Интернет. Предпоставка за успешното завършване на тази процедура е правилно зададената системна дата.

Kaspersky и промоция от Yandex

В историята на руската IT индустрия има интересен прецедент. Потребителите имаха възможността да наблюдават доста необичаен външен вид, в който имаше Kaspersky Anti-Virus - "Yandex" - версия на продукта. През декември 2011 г. две големи руски ИТ компании - Yandex и Kaspersky Labs - решиха да проведат необичайна кампания.

Потребители от Русия и няколко други съседни страни получиха възможността да използват безплатно пълноценен продукт от Kaspersky, пуснат в кобрандирана версия с Yandex. В този случай би било по-справедливо да се каже, че в тази форма Kaspersky Anti-Virus е пробна версия. Факт е, че срокът на валидност на лиценза за програмата в рамките на кампанията не беше много дълъг - 6 месеца. Участниците в акцията също имаха възможност да закупят стандартен антивирус на Kaspersky с 20% отстъпка.

Промоцията включваше редица ограничения. По-специално, нямаше техническа поддръжка за версията на антивируса, разпространявана чрез Yandex. Ако потребителят е имал трудности при овладяването на приложението, той е посъветван да се обърне към ресурсите на базата знания на Kaspersky Lab.

Промоцията приключи досега. Понастоящем можете да използвате продуктите на Kaspersky Lab безплатно само ако изтеглите пробна антивирусна програма, която работи за 30 дни.

NOD: силен конкурент от Словакия

Един от най-известните конкуренти на антивируса от Kaspersky Lab е продукт, произведен от словашката компания ESET. Говорим за програмата NOD32 (в Русия често се нарича просто "NOD"). Основните му функции са същите като тези на повечето аналози: "улавяне" на вируси, "троянски коне", рекламни приложения, защита срещу фишинг и т.н. Програмата има собствен алгоритъм за евристичен анализ, наречен ThreatSense.

Потребителите и експертите в областта на информационната сигурност отбелязват ниско ниво на потребление на компютърни ресурси от антивируса, както и ниска интензивност на интернет трафик при актуализиране на бази данни и основни софтуерни модули. В по-голямата си част системата за защита работи във фонов режим. Някои експерти смятат, че този антивирус е един от най-добрите по отношение на скоростта на сканиране на файлове.

Софтуерният пакет ESET включва и приложението Smart Security. Основните му функции са:

• наблюдение на имейл, блокиране на злонамерени скриптове, филтриране на спам;
• откриване и премахване на шпионски софтуер;
• защита на компютъра от външни връзки (приложението действа като защитна стена).

Също така Smart Security се характеризира от много експерти като решение, което консумира минимум системни ресурси.

Според много експерти, NOD е антивирус, който може да се класира наравно с водещите световни продукти по отношение на нивото си.

Сега да преминем към безплатния антивирусен софтуер.

"Avast" - надеждна защита за нищо

Антивирусът "Avast" (във безплатната антивирусна версия), според някои анализатори, е най-популярният продукт в света в сегмента на безплатните решения. Той има всички основни функции, които са ви необходими за домашна програма. Активирането на антивирусната програма Avast е много просто - просто въведете вашето име и имейл. След това програмата може да се използва безплатно за една година.

Операционните системи за компютри, на които може да се инсталира безплатната версия на Avast, са Windows, Linux и MacOS. Сред мобилните платформи, съвместими с антивируса, са Android, Windows. Има и няколко платени версии на програмата: Pro, Internet Security и Premier. Има редица корпоративни решения.

Много потребители отбелязват, че антивирусната програма Avast има много удобен за потребителя интерфейс. Всички необходими опции се показват компактно и удобно на екрана. Потребителите харесват показването на интерфейси, свързани с компютърна защита в реално време. Този компонент на програмата анализира няколко източника на заплахи наведнъж и показва на екрана колко процента от този или онзи източник е разработен.

Отбелязва се и минималното количество реклама в интерфейса на приложението, както и пълното му отсъствие при използване на някои опции в активния прозорец. Много потребители, определяйки сами кои антивируси са добри и кои не са много добри, формират мнението си въз основа на количеството реклама в безплатните версии на програмите.

Потребителите отбелязват много бързата работа на модула за ръчно сканиране, както и ниската консумация на RAM на компютъра.

AVIRA: универсален защитен формат

Друго популярно решение, което можете да използвате безплатно, е антивирусната програма Avira във версията Free Antivirus. Този продукт се състои от няколко приложения: монитор (който сканира файлове в реално време), модул за проверка на системата при поискване и програма за актуализиране на бази данни със злонамерени кодове.

Основна функционалност на антивирусната програма:

• откриване и премахване на злонамерени кодове, троянски коне и други злонамерени приложения;
• идентифициране и филтриране на рекламни „подвизи“, шпионски софтуер.

Има и комерсиална версия на продукта - AntiVirus Premium. В сравнение с безплатния антивирусен софтуер, програмата има няколко предимства:

• ускорени актуализации чрез интернет;
• липса на реклама;
• наличието на функция за блокиране на сайтове, съдържащи злонамерени кодове;
• възможността за проверка на електронната поща при използване на протоколите POP3 и SMTP.

В допълнение към основните платформи, Avira предлага на потребителите няколко специализирани пакета, които са адаптирани за работа на работни станции, в корпоративни мрежи и др.

Lavasoft: простота и надеждност

Потребителите на тази антивирусна програма отбелязват удобството и баланса на интерфейса. В прозореца се показва само необходимата информация, има минимум ненужни данни. Ако има нужда да активирате някаква допълнителна функция, това може да стане с едно щракване. Ако потребителят иска да сканира цялата система наведнъж, просто натиснете големия бутон Scan Now.

Единствената трудност, отбелязана от потребителите на антивирусната програма, е, че по подразбиране няма начин да се избират отделни дискове за сканиране. Тази опция обаче може да бъде активирана чрез менюто с настройки на програмата. Допълнителни функции за потребители на антивирусни програми са налични в големи количества в платената версия. Някои потребители говорят за Lavasoft като не най-продуктивното решение. Дори на заден план има активно потребление на софтуерна RAM памет.

AVG: простота и функционалност

AVG е друга безплатна антивирусна програма. Интерфейсът на програмата, както отбелязват потребителите, е много прост. Това е списък с икони, обозначаващи конкретен модул за антивирусна защита. Функциите за системно сканиране са разположени в страничния панел на прозореца. Точно както в много други антивирусни програми, има бутон Scan Now, когато щракнете върху него, се извършва цялостно сканиране на целия компютър.

Пакетът AVG съдържа голям брой допълнителни модули. Например тези, които са предназначени за защита на имейл, филтриране на уеб трафика. Някои потребители казват, че за да активирате много модули, трябва да закупите лиценз. Понякога се оказва, че опциите не са за настолни операционни системи, а за мобилни платформи.

Много хора отбелязват недостатъчната производителност на антивируса при сканиране на дискове, но са доста доволни от ниското ниво на консумация на RAM от програмата.

Друг недостатък на антивирусната програма AVG е нейният доста сложен интерфейс. Можете да се объркате. За да сканирате конкретен диск или друг носител за съхранение, трябва да извършите няколко последователни действия. Освен това, за да използвате някои от опциите, трябва да активирате специален режим, наречен "експерт", докато в много други антивирусни програми тази опция е налична в главното меню на програмата. Не е необходимо да активирате други режими, освен този, който е активиран по подразбиране.

Много потребители бяха впечатлени от производителността на антивируса и ниската консумация на системни ресурси.

Microsoft Security Essentials: безплатно решение от гиганта

За разлика от други програми в нашия преглед (които предоставят за безплатно използване само най-основната версия с ограничения), този продукт е напълно безплатен. И това въпреки факта, че беше пуснат от една от най-комерсиално ангажираните ИТ компании в света.

Много потребители отбелязват, че интерфейсът на програмата е много лесен за използване, като подчертават, че в него няма реклами. Има обаче някои недостатъци: не може да сканира електронна поща, не съдържа модули против фишинг. Докато други антивируси дори включват такива функции в безплатната версия.

Потребителите смятат, че продуктът на Microsoft има средно ниво на производителност.

Плюсове и минуси на безплатния антивирусен софтуер

Без да се преструваме на истината в последно време, нека се опитаме да обобщим плюсовете и минусите на всеки един от безплатните антивируси в нашия преглед. Въз основа, разбира се, на отзивите на потребителите. Няма да определяме кои антивирусни програми са добри и кои не. Ще подчертаем силните и слабите страни на всеки.

Ако потребителят се интересува от скоростта на работа, тогава има смисъл да се обърне внимание на "Avira", дори въпреки недостатъците на платформата под формата на объркващи елементи на интерфейса. Според някои потребители създателите на този антивирус определено трябва да работят върху външния вид на продукта. Ако направят това, Avira ще има голям шанс да се доближи до лидерите на пазара.

Антивирусната програма "Avast" може да бъде най-добрият избор за тези потребители, които не гравитират към задълбочено проучване на настройките на програмата. Производителността на продукта не е лоша. Интерфейсът е ясен и приятен. Рекламата, ако не й обърнете внимание, изобщо не пречи на работата с програмата. Много потребители ще искат да получат безплатна антивирусна програма за 1 година с функционалността, която Avast има.

Потребителите хвалят решенията на Lavasoft и AVG за тяхната добра функционалност. За някои потребители е важно кои антивирусни програми са добри по отношение на възможностите, с които създателите са ги надарили.

Ние се фокусираме върху рейтинга

Мненията на потребителите за определени софтуерни продукти са субективни. Сега се правят опити за формиране на обективна оценка на антивирусния софтуер. Да видим кой го прави и какви са резултатите от работата им.

Изследователските методи на портала Safety-Gate са признати от руската ИТ общност като едни от най-ефективните. Затова ще вземем рейтинга на антивирусите според експертите на тази организация. Satefy-Gate провежда тестове на решения от различни световни производители на всяко тримесечие. Тестовите сесии се наричат ​​On-Demand (сканиране при поискване, тоест в режим на ръчно сканиране). През второто тримесечие на 2014 г. порталът Safety-Gate тества ефективността на 26 решения, както търговски, така и безплатни. Нека да разгледаме общите резултати и какви са показателите за антивирусите от нашия преглед.

По време на тестването програмите трябваше да идентифицират толкова от 3266 файла, заразени със злонамерен код, които бяха подготвени от специалистите на Safety-Gate. Броят на откритите вируси беше изразен като процент, закръглен до най-близките стотни. Тоест, ако например програмата откри 3000 заразени файла, тогава резултатът беше записан като 91,86%.

Да видим разпределението на местата в челната десетка на рейтинга.

• Първият ред беше зает от антивируса Ashampoo, неговият индикатор - 98,96% или около 3232 открити вируса.
• На второ място (с много малко изоставане) е словашкият продукт ESED NOD32, който открива 98,71% от заразените файлове.
• Третият и четвъртият ред бяха споделени от решения от TrustPort (съответно Total Protection и Internet Security). Първият получи резултат от 98,07%, а вторият изостава, като успя да намери само 95,71% от вирусите.
• Програмата Emsisoft Anti-Malwre влезе в топ 5 с резултат от 95,34%.
• На шесто място е антивирусът от нашия преглед на Avira. Програмата успя да намери 95,22% от заразените файлове.
• Седмият резултат показа антивирусът 360 Internet Security, който успя да открие 94,76% от програмите със злонамерен код.
• Руският Dr.Web зае осмо място с резултат от 94,3%.
• На девето място е HitmanPro, който успя да открие 93,63% от заразените файлове.
• Десетото място зае eScan Internet Secutiry, показвайки резултат от 93,57%.
• Къде се вписва Kaspersky Anti-Virus? Едно от най-популярните руски решения показа доста скромен резултат, заемайки 12-та линия. Програмата откри 92,92% от заразените файлове.

Какви са резултатите от останалите антивируси от нашия преглед? Още по-ниско.

AVG се класира на 14-то място с открити 92,22% от заразените файлове. Avast се класира на 16-о място, като успя да намери 91,64% от вирусите. Microsoft Security Essencials и Lavasoft не са тествани от експерти.

Това е рейтингът на антивирусите според портала Safety-Gate. Това несъмнено е едно от десетките или дори стотиците възможни класации, но ви позволява да получите приблизителна представа за качеството на решенията за защита на вашия компютър от злонамерени кодове. Ако погледнете оценката на Safety-Gate, тогава най-добрите безплатни антивируси за 2014 г. сред прегледаните от нас са Avira и Avast. Първият изпревари решението от Kaspersky. Най-добре платеният антивирус в нашия преглед, съдейки по резултатите от теста, е Satefy-Gate, който е NOD32.

След преглед на общите данни за водещите антивирусни марки и преглед на резултатите от тестовете, можем да обърнем внимание и на някои експертни съвети относно критериите за избор на най-доброто решение за защита на вашия компютър от злонамерени кодове.

Експертите не препоръчват използването на "крекнати" ("крекнати") версии на антивируси, изтеглени от безплатни торенти и други портали от този тип. Често се случва инсталационните файлове на тези програми вече да са заразени със злонамерен код. Освен това производителите на съвременни антивирусни програми са се научили как да изграждат надеждни алгоритми за откриване на пиратски версии. Най-вероятно нелегално копие на програмата бързо ще бъде открито и ще престане да се обслужва (новите бази данни и софтуерните компоненти вече няма да се изтеглят). Експертите отбелязват, че поради затягането на политиката на филтриране на резултатите от търсенето по отношение на пиратски копия на програми от руски доставчици, търсенето на нелицензирани версии на антивируси или „ключове“ за тях ще отнеме много време. Анализаторите съветват да харчите пари за закупуване на легално копие на софтуера и да спестите време.

ИТ експертите не препоръчват да избирате антивирусни програми въз основа на критерии за „лекота“: малко заето дисково пространство, ниски нива на консумация на RAM, ниско натоварване на процесора и т.н. Според експертите, висококачествена програма за компютърна защита срещу заплахи не може да бъде „ лек"... Антивирусната програма изпълнява много функции и това не може да стане без използването на системни ресурси. Експертите посочват, че повечето съвременни компютри са оборудвани с достатъчно RAM и твърди дискове, за да пренебрегнат изискванията за производителност на компютъра, препоръчани от производителите на софтуер. Ако се окаже, че мощността на системата не е достатъчна, тогава е за предпочитане да надстроите отделните й компоненти, отколкото да смените антивируса на по-малко взискателен. Единствената трудност е, че по подразбиране няма начин да изберете отделни дискове за сканиране, но тази опция може да бъде активирана чрез менюто с настройки на програмата.

По време на сравнително кратката история на съществуването на компютърните вируси, антивирусната индустрия разработи редица доста ефективни мерки за борба с „компютърната инфекция“. С течение на времето някои от тях остаряха и постепенно бяха премахнати от антивирусни компании от съществуващия арсенал, които бяха заменени от нови, по-модерни и ефективни технологии. Тази смяна на поколенията е много типична за антивирусните програми, която се определя от постоянното противопоставяне между вирус и антивирус. Последното обстоятелство поражда непрекъсната надпревара във въоръжаването: появата на нов вирус, който използва неизвестен досега недостатък в системата за защита на операционна система или приложение, незабавно води до адекватни действия за неутрализиране на заплахата от антивирусни програми. Например, такава съдба сполетя имунизаторите, които бяха толкова популярни в първите дни на персоналния компютър: те просто престанаха да отговарят на изискванията на антивирусните програми. От своя страна антивирусните компании също не могат да бъдат обвинявани, че са пасивни, когато става въпрос за сигурността на техните клиенти. Почти във всеки от тях или има специални подразделения от високопрофесионални антивирусни експерти, които изучават възможните пътища на развитие на вирусите, или тези компании редовно провеждат срещи, мозъчни сесии, преследващи едни и същи цели. Илюстративен пример е разработването на защитни механизми срещу неизвестни вируси: технология за евристичен анализ, излишно сканиране и поведенчески

блокери

Днес има 5 основни типа антивирусни програми: скенери, монитори, инспектори за промяна, имунизатори и поведенчески блокери. Някои от тях на практика са излезли от употреба поради ниската си ефективност, други все още не са широко използвани.

скенери

Антивирусните скенери са пионерите на антивирусното движение, което се появи почти едновременно със самите компютърни вируси. Техният принцип на действие е да търсят файлове, памет и сектори за зареждане за вирусни маски, т.е. уникален програмен код на вируса. Вирусните маски (описания) на известни вируси се съдържат в антивирусната база данни и ако скенерът срещне програмен код, който съответства на едно от тези описания, той показва съобщение за откриването на съответния вирус.

Тук възниква първият проблем, тъй като най-малката модификация на вируса може да го направи невидим за скенера: програмният код няма да съответства напълно на описанието в базата данни. Например, има много варианти на вируса Чернобил и за почти всички от тях антивирусните кампании трябваше да издадат отделна актуализация на антивирусната база данни. Друг аспект на този проблем е т.нар. полиморфни вируси, т.е. вируси, които нямат постоянен програмен код: заразявайки друг файл, те, използвайки криптиране, променят външния си вид самостоятелно, като запазват своята функционалност.

Прикачването на скенери към антивирусни бази данни означава втория проблем: времето между появата на вируса и пускането на съответната актуализация, потребителят остава практически незащитен от атаки на нови вируси. За щастие скоростта на доставяне на антидота вече е намалена до минимум, в някои случаи за минути. Но вирусите не стоят на едно място: използвайки електронна поща, те могат да се разпространят по целия свят за броени секунди! По този начин дори сегашната скорост на развитие и предоставяне на защита срещу нови вируси не може да се счита за достатъчна. Ето защо още в началото на 90-те години експерти изобретиха и въведоха в скенерите оригинален начин за откриване на неизвестни вируси – евристичен анализатор, т.е. анализ на последователността от команди в сканирания обект, натрупване на статистика и вземане на решение за възможността за наличие на неизвестен компютърен вирус в него. Този метод обаче се характеризира с наличието на фалшиви положителни резултати, недостатъчно високо ниво на надеждност и липсата на гаранция за ефективно отстраняване на откритите вируси. За борба с полиморфните вируси бяха измислени други техники: алгоритмични езици, които описват всички възможни версии на кода и системи за автоматично декриптиране на код (емулатори).

И накрая, третият проблем: антивирусният скенер сканира файлове само когато потребителят го „помоли“ да го направи, т.е. ще стартира програмата. Това изисква постоянно внимание и концентрация. Много често потребителите забравят да проверят съмнителен файл, изтеглен например от интернет, и в резултат на това заразяват компютъра си със собствените си ръце. Така скенерът е в състояние да определи факта на заразяване след факта, т.е. след като вирусът се появи в системата.

Други недостатъци на скенерите включват големия им размер, който се определя от необходимостта да „носите“ антивирусна база данни със себе си, високите изисквания към системните ресурси и ниската скорост на сканиране за вируси. Въпреки това, не забравяйте важно предимство на скенерите: те са в състояние да блокират разпространението на интернет червеи, ефективно да премахват вируси от заразени файлове и сектори за зареждане на диска и да възстановят тяхната функционалност. Разбира се, последното е възможно само ако вирусът не е унищожил оригиналното съдържание на заразения обект.

Монитори

Развитието на хардуерните възможности на компютрите и появата на по-модерни операционни системи направи възможно разработването на втория тип антивирусни програми - антивирусни монитори. Понастоящем се разграничават три основни типа: файлови монитори, монитори за пощенски програми и монитори за специални приложения.

В основата си всички те са един вид скенери, които са постоянно в паметта на компютъра и автоматично сканират всички използвани файлове в реално време. Съвременните монитори извършват проверки в момента на отваряне и затваряне на програмата. Това елиминира възможността за стартиране на вече заразени файлове и заразяване на файла с резидентен вирус.

За да активира антивирусна защита, потребителят трябва само да зареди монитора, когато операционната система или приложението стартира. По правило това се прави от самия антивирусен пакет по време на инсталирането му по следните начини:

Добавя инструкция за стартиране на монитор към директорията на автоматично изпълними програми или към съответното поле на системния регистър
- регистрира монитора като системна услуга, която се стартира независимо от потребителското име
- интегрира монитора в програма за електронна поща или друго приложение.
Поради фоновия режим на работа, антивирусните монитори позволяват на потребителя да не се натоварва с притесненията за ръчно сканиране на всеки нов файл: антивирусното сканиране ще се извърши автоматично. Ако бъде открита злонамерена програма, мониторът, в зависимост от настройките, ще излекува файла, ще блокира изпълнението му или ще го изолира, премествайки го в специална карантина за по-нататъшно разследване.

Файловите монитори са най-разпространеният вариант на този тип антивирусен софтуер. Те работят като част от операционната система, проверявайки в реално време всички използвани обекти, независимо от техния произход или принадлежност към някое приложение. Работата на файловите монитори се основава на прихващане и антивирусно филтриране на потока от данни. входна точка на операционната система. Ако в обекта, пристигащ на входната точка, не бъдат открити злонамерени програми, той се изпраща за изпълнение. В противен случай обектът, съгласно описания по-горе сценарий, се дезинфекцира, блокира или изолира. Файловите монитори се използват широко както на работни станции, така и на файлови сървъри и сървъри на приложения. Ако се използват на сървъра, трябва да се уверите, че мониторът поддържа многонишкова обработка на файлове, т.е. може да проверява много файлове едновременно. В противен случай това може да повлияе негативно на производителността както на сървъра, така и на мрежата като цяло.

Мониторите за пощенски програми са антивирусни модули, които се интегрират в програми за електронна поща - както сървърни, така и клиентски. Всъщност те стават неразделна част от програмата и автоматично я проверяват, когато пристигне ново писмо. За разлика от файловите монитори, те изискват по-малко системни ресурси и са много по-стабилни, тъй като възможността за системен конфликт на ниво приложение е значително по-малка, отколкото на ниво операционна система. В допълнение към това, мониторите на "поща" проверяват всички входящи и изходящи съобщения веднага щом бъдат получени или изпратени. Файловите монитори са в състояние да разпознаят злонамерен код само когато потребителят се опита да го стартира. В допълнение, антивирусният модул е ​​в състояние не само да открие, но и да дезинфекцира успешно всички секции от заразени съобщения: прикачени файлове, други съобщения от всяко ниво на влагане, вградени OLE обекти и самото тяло на съобщението. Такъв интегриран подход не дава шанс на вирусите да се „скрият“ в която и да е част от съобщението. Специалните монитори на приложения също осигуряват фоново сканиране на обекти, но само в рамките на приложението, за което са предназначени. Илюстративен пример могат да бъдат антивирусните монитори за MS Office 2000. Подобно на техните "поща" "колеги", те са интегрирани в програмата и се съхраняват в паметта на компютъра, докато тя работи. Тези монитори също така наблюдават всички използвани файлове в реално време и докладват за открити вируси. В сравнение с антивирусните скенери, мониторите предоставят на потребителите повече удобство при работа с компютри, като напълно автоматизират процеса на проверка на системните ресурси. Другите им предимства включват способността да откриват, локализират и блокират вирус в най-ранен етап от неговото размножаване, което, между другото, е много полезно в случаите, когато добре познат вирус постоянно „изпълзява от нищото“. Мониторите обаче изискват и обемисти антивирусни бази данни. Освен това те се характеризират с по-ниска степен на стабилност на работа, което кара много системни администратори да предпочитат редовното сканиране на сървърни ресурси със скенери, вместо постоянното използване на монитори.

Сменете одиторите

Третият тип антивирусни програми са проверките на целостта. Тази технология за защита се основава на факта, че вирусите са обикновени компютърни програми, които имат способността да създават тайно нови обекти или да инжектират в съществуващи обекти (файлове, сектори за зареждане). С други думи, те оставят следи във файловата система, които след това могат да бъдат проследени и да се открие наличието на злонамерен софтуер.

Принципът на одиторите за промяна се основава на премахване на оригиналните „отпечатъци“ (CRC-суми) от файлове, системни сектори и системния регистър. Тези "пръстови отпечатъци" се съхраняват в базата данни. При следващото стартиране одиторът проверява „разпечатките“ с техните оригинали и информира потребителя за настъпилите промени, отделно подчертавайки подобни на вируси и други неподозрителни промени.

През 1990 г. първите стелт вируси Frodo и Whale почти поставиха под въпрос ефективността на този тип антивирус. Технологията на невидимите вируси се основава на скриването на присъствието им в системата чрез заместването им в случай на опит за сканиране на заразени файлове и зареждащи сектори с антивирусни програми на техните "чисти" варианти. Такива вируси прихващат прекъсвания на диска и при откриване на опит за стартиране или четене на заразен обект, заместват неговото незаразено копие. Въпреки това одиторите се „научиха“ да осъществяват достъп до дискове директно чрез драйвера на дисковата подсистема на IOS (I/O supervisor), заобикаляйки прекъсванията на системата, което им позволи успешно да откриват дори невидими вируси.

Предимствата на най-напредналите ревизионисти включват изключително висока скорост на работа, ниски изисквания към компютърния хардуер, висок процент на възстановяване на файлове и сектори за зареждане, повредени от вируси, включително неизвестни. Техният подход за дезинфекция на заразени обекти не се основава на това да знаят как изглежда вирусът, а да знаят как изглежда "чист" файл или сектор: всичко, което "разваля чистотата" се счита за промяна, достойна за внимание на одитор, който е може да върне обект в първоначалното му състояние. Ето защо одиторите не изискват тромава антивирусна база данни, съдържаща се само с описания как се въвеждат вируси, които в зависимост от продукта отнемат само 300 до 500 килобайта. Познавайки тези методи, програмата може бързо и ефективно да премахне вируса, независимо къде се намира кодът му: в началото, в средата, в края или дори разпръснат на малки парченца из заразения обект. Одиторите за промяна също имат своите недостатъци. Първо, те не могат да хванат вируса в момента на появата му в системата, но го правят само след известно време, след като вирусът се разпространи през компютъра. Второ, те не могат да открият вируса в нови файлове (в електронна поща, на дискети, във файлове, възстановени от резервно копие, или при разопаковане на файлове от архив), тъй като в техните бази данни липсва информация за тези файлове. Това се използва от някои вируси, които се възползват от тази "слабост" на одиторите и заразяват само новосъздадени файлове, като по този начин остават невидими за тези антивирусни програми. Трето, одиторите изискват редовно стартиране - колкото по-често се случва това, толкова по-надежден ще бъде контролът върху вирусната активност.

Имунизатори

Също така е необходимо да се спомене такова разнообразие от антивирусни програми като имунизатори. Те са разделени на два вида: имунизатори, които съобщават за инфекция, и имунизатори, които блокират инфекцията с всякакъв вид вирус. Първите обикновено се записват в края на файловете (като файлов вирус) и всеки път, когато файлът се стартира, той се проверява за промени. Има само един недостатък на такива имунизатори, но той е основен: абсолютната невъзможност за откриване на инфекция с невидими вируси, принципът на маскиране, който е описан по-горе. Вторият тип имунизатори предпазват системата от въздействие на конкретен вирус. Файловете се променят по такъв начин, че вирусът ги приема като вече заразени. Например, за да предотвратите заразяването на COM файл от вируса на Йерусалим, достатъчно е да добавите реда MSDos в края му. За да се предпази от резидентен вирус, в паметта на компютъра се записва програма, която имитира копие на вируса. Когато се стартира, вирусът се натъква на него и вярва, че системата вече е заразена. Вторият тип имунизация не може да бъде разпознат като универсален, тъй като файловете не могат да бъдат имунизирани срещу всички известни вируси: всеки от тях има свои собствени методи за определяне на заразяването на файлове. Освен това много вируси не сканират файлове за наличие на собствено копие. Въпреки това, такива имунизатори, като полумярка, могат доста надеждно да защитят компютъра от нов неизвестен вирус до момента, когато той бъде открит от антивирусни скенери. Поради описаните по-горе недостатъци, имунизаторите не са получили широко разпространение и в момента практически не се използват. Поведенчески блокери

Всички горепосочени видове антивируси не решават основния проблем - защита срещу неизвестни вируси. Така компютърните системи са беззащитни срещу тях, докато антивирусните компании не разработят антидот. Понякога отнема до няколко седмици. През цялото това време компаниите по света имат реална „възможност“ да загубят критични данни, от които зависи бъдещето на техния бизнес или резултатите от многогодишна работа. Отговорете недвусмислено на въпроса "какво да правя с неизвестни вируси?" ние сме изправени само пред новото хилядолетие. Въпреки това, вече е възможно да се направи прогноза за най-обещаващите начини за разработване на антивирусен софтуер. Според нас такава посока ще бъде т.нар. поведенчески блокери. Именно те имат реална възможност със 100% гаранция да устоят на атаките на нови вируси. Какво е поведенчески блокер? Това е резидентна програма, която прихваща различни събития и в случай на "подозрителни" действия (действия, които може да извърши вирус или друга злонамерена програма), забранява това действие или иска разрешение от потребителя. С други думи, блокерът не търси уникалния програмен код на вируса (както правят скенерите и мониторите), не сравнява файловете с техните оригинали (като одитори за промяна), а проследява и неутрализира злонамерените програми чрез характерните им действия. Идеята за блокери не е нова. Те се появиха доста отдавна, но тези антивирусни програми не са станали широко разпространени поради сложността на конфигурацията, която изисква задълбочено познаване на компютрите от потребителите. Въпреки това, технологията се е вкоренила доста добре в други области на защита на информацията. Например, добре познатият стандарт на Java, разработен от Sun, предоставя на всяка изпълнима Java програма строго ограничено виртуално пространство (набор от разрешени действия), които представляват заплаха за сигурността на неговите данни.

Нека разгледаме по-подробно плюсовете и минусите на поведенческите блокери. На теория блокерът може да предотврати разпространението на всеки известен или неизвестен вирус, като предупреди потребителя, преди вирусът да зарази други файлове или да причини вреда на компютъра. Но самата операционна система или полезни помощни програми могат да извършват подобни на вируси действия. Тук си струва да се прави разлика между два типа блокери: блокиращи файлове и блокери на приложения.

Поведенческият блокер на файлове не може самостоятелно да определи кой извършва подозрителното действие - вирус, операционна система или някаква помощна програма и е принуден да поиска от потребителя потвърждение. Тези. в крайна сметка решението често се взема от потребителя, който трябва да има достатъчно знания и опит, за да даде правилния отговор. В противен случай операционната система или помощната програма няма да могат да извършат необходимото действие или вирус ще влезе в системата. Поради тази причина блокерите не станаха популярни: техните предимства често се превръщаха в техни недостатъци, изглеждаха твърде натрапчиви със своите заявки и потребителите просто премахваха тези програми. За съжаление ситуацията може да бъде коригирана само чрез изобретяването на изкуствен интелект, който може самостоятелно да разбере причините за това или онова подозрително действие.

Много по-вероятно е блокерите за специализирани приложения да станат широко разпространени, тъй като техният обхват на компетентност е ясно ограничен до структурата на конкретно приложение. Това означава, че строго ограничен брой действия, които програмите, създадени за това приложение, могат да извършват под зоркото око на блокера.

Най-показателният пример е Microsoft Office и проблемът със защитата от макровируси. Ако разгледаме програмите, написани на най-разпространения макро език VBA (Visual Basic for Application), тогава тук е възможно да се разграничат злонамерени действия от полезни с много висока степен на вероятност.

Благодарение на анализа на макровирусите в процеса на моделиране на тяхното поведение е възможно да се определят най-често срещаните последователности на техните действия. Това дава възможност за внедряване на нова, високоинтелигентна система за филтриране на макро действия в програмата и с висока степен на надеждност точно идентифициране и предотвратяване на тези от тях, които представляват потенциална опасност. Благодарение на това поведенческият блокер за MS Office не е толкова "натрапчив", колкото неговите файлови "колеги". Но като задава по-малко въпроси на потребителя, програмата не е станала по-малко надеждна. Използвайки го, потребителят е почти 100% защитен от макровируси, както известни, така и все още ненаписани.

Блокерът прихваща и блокира изпълнението дори на многоплатформени макровируси, т.е. може да работи в няколко приложения наведнъж. Също така надеждно предотвратява вируси в приложения като Word, Excel, Access, PowerPoint, Project и дори приложения, които използват езика VBA, но не са част от пакета на Microsoft Office - Visio, AutoCAD и т.н. Програмата контролира работата на макроси с външни приложения, вкл. с пощенски програми. Това напълно елиминира възможността за разпространение на макровируси по имейл. Използването на поведенчески блокер за MS Office спестява потребителя от вечното главоболие при изтегляне и свързване на нови актуализации към антивирусната база данни за защита срещу нови макровируси, тъй като всеки нов макровирус по дефиниция ще бъде прихванат от програмата . Това означава, че най-опасният период от време между появата на вируса и антивируса е елиминиран. Веднъж инсталиран, той надеждно защитава вашия компютър от макровируси, докато не бъде пусната нова версия на езика за програмиране VBA, с внедряване на нови функции, които могат да се използват за писане на вируси.

Основната цел на поведенческите блокери е да решат проблема с откриването и предотвратяването на разпространението на макровируси. Въпреки това, по дефиниция, той не е предназначен да ги премахва. Ето защо той трябва да се използва заедно с антивирусен скенер, който ще може успешно да унищожи вируса. Блокерът ще ви позволи безопасно да изчакате периода между откриването на нов вирус и пускането на актуализация на антивирусната база данни за скенера, без да спирате компютърните системи поради страх от трайна загуба на ценни данни или сериозно увреждане на компютъра. хардуер.

Прогнозираме, че с развитието на компютърните технологии, особено при разработването на елементи на изкуствен интелект, стойността, ефективността и лекотата на използване на блокерите (включително файлови блокери) бързо ще нараснат. Именно този тип антивирусни програми скоро ще се превърнат в основно средство за антивирусна защита, осигурявайки най-критичното си върхове - блокиране на проникването и разпространението на нови, непознати досега вируси.

Прегледът на видовете антивирусни програми би бил непълен, ако не споменем най-добрия начин за използването им. Нашите препоръки са изключително прости: най-добрият вариант може да бъде обмислена комбинация от всички описани по-горе методи. Следвайки добре познатата поговорка, че не слагате всичките си яйца в една кошница, ви препоръчваме да не разчитате изцяло на скенери или монитори. Всеки тип антивирусна програма има своите предимства и недостатъци. Заедно те успешно се компенсират взаимно, повишавайки степента на защита както на домашен компютър, така и на хетерогенна мрежа от глобален мащаб.

Изобилието от заплахи („заразени“ флаш памети, интернет, локални мрежи, неправилно конфигурирана ОС) доведе до необходимостта от използване на антивирусни програми. Повечето потребители предпочитат универсално всеобхватно решение, което комбинира пълен набор от процедури за сканиране на потенциални източници на заплахи (поща, уебсайтове, външни медии и т.н.). Но има и специфични решения, пригодени само за определени заплахи.

Има следните видове антивирусни програми

— Антишпионски софтуер.Популярен вид заплаха днес. Днес преобладаващото мнозинство от антивирусните пакети не класифицират такъв софтуер като злонамерен, тъй като той е „граничен“. Това доведе до появата на цял клас помощни програми за почистване на системата от шпионски софтуер. В допълнение, някои професионални антивирусни софтуери (например AVZ) съдържат модули за откриване на шпионски софтуер. Примерни пакети за антишпионски софтуер - Search & Destroy, Pestpatrol, Ad-aware.

— Онлайн скенер.Има услуги, които ви позволяват да проверявате компютъра си, свързан с интернет, за вируси. Те работят чрез ActiveX технологии (тогава работи само в Internet Explorer) или Java. Основното им предимство е възможността за търсене (а за най-напредналите - за лечение) на заразени файлове без инсталиране на антивирусен пакет. Основният недостатък на този вид услуги е, че няма средства за предотвратяване на инфекция. Най-известните онлайн скенери са ESET Online Scanner, Trend Micro HouseCall, Comodo AV Scanner.

— Онлайн скенер за един файл.Анализира това, което смятате за злонамерени файлове. Просто качвате избрания обект на файлова система на сървъра на антивирусната лаборатория и отговорът идва почти мигновено. Времето за изчакване също зависи от броя на евристични програми, използвани за проверка, и от натоварването на сървъра. Това решение е идеално за онези компютри, на които антивирусът не е инсталиран, но трябва да проверите файловете, донесени, да речем, от съседна машина. Сред най-известните са Dr.Web онлайн проверка, avast! Онлайн скенер, VirusTotal, Онлайн сканиране за злонамерен софтуер.

— Антивирусни скенери без монитор.Те се занимават със сканиране и почистване на локални и външни медии от зловреден софтуер. За разлика от "комбайните", които съдържат цял ​​набор от защитни стени и евристики, те нямат вграден модул. Това води до добро представяне. Най-популярните са Cure it, Clam AntiVirus, Norton Security Scan, Microworld.

— защитна стена.Програмата може да се класифицира и като вид антивирус, тъй като отблъсква автоматизирани опити за проникване в системата. Механизъм - блокиране на мрежовия трафик и осигуряване на невидимостта на компютрите в мрежата (чрез блокиране на пинг и други услуги). Може да бъде полезен и в случаи на вече настъпила инфекция (блокира опитите за изходяща връзка). Outpost Firewall е най-популярната днес.

Досега е натрупан значителен опит в борбата с компютърните вируси, разработени са антивирусни програми и са известни мерки за защита на програми и данни. Налице е постоянно усъвършенстване, разработване на антивирусни инструменти, които за кратко време от момента на откриване на вируса - от седмица до месец - са в състояние да се справят с новопоявилите се вируси.

Създаването на антивирусни програми започва с откриването на вирус въз основа на аномалии в работата на компютър. След това вирусът се проучва внимателно, подчертава се неговият подпис - последователност от байтове, която напълно характеризира вирусната програма (най-важните и характерни раздели на кода), механизмът на действие на вируса и методите на заразяване се определят. Получената информация позволява разработването на методи за откриване на вирус в паметта на компютъра и на магнитни дискове, както и алгоритми за неутрализиране на вируса (ако е възможно, премахване на вирусния код от файлове - „лек“).

Видове антивирусни програми

Известните в момента антивирусни програми могат да бъдат разделени на няколко типа.

Детектори.Целта им е само да открият вирус. Детекторите на вируси могат да сравняват секторите за стартиране на дискети с известни сектори за стартиране, генерирани от различни операционни системи, и по този начин да откриват вируси за зареждане или да сканират файлове на магнитни дискове за сигнатури на известни вируси. Такива програми в чист вид сега са рядкост.

Фаги. Phage е програма, която е в състояние не само да открие, но и да унищожи вирус, т.е. премахване на кода му от заразените програми и възстановяване на тяхната функционалност (ако е възможно). Най-известният фаг в Русия е Aidstest създаден от Д. Н. Лозински. Една от най-новите версии открива над 8000 вируса. Aidstest за нормалното си функциониране, той изисква да няма резидентни антивирусни програми в паметта, които блокират записването в програмни файлове, така че те трябва да бъдат разтоварени, или чрез посочване на опцията за разтоварване за самата резидентна програма, или чрез използване на подходящата помощна програма.

Phage е много мощен и ефективен антивирус. д-р уеб (създаден от И. Данилов). Този детектор на фаги не просто сканира файлове, търсейки един от известните вирусни сигнатури. За намиране на вируси д-р уеб използва програма за емулация на процесор, т.е. той симулира изпълнението на останалите файлове, използвайки софтуерния модел на микропроцесора I-8086 и по този начин създава среда за проява и размножаване на вируси. По този начин програмата д-р уеб може да се бори не само с полиморфни вируси, но и с вируси, които може да се появят едва в бъдеще.

д-р Уеб 4.33 са:

• - защита срещу червеи, вируси, троянски коне, полиморфни вируси, макровируси, шпионски софтуер, дайлери, рекламен софтуер, хакерски програми и злонамерени скриптове;
• - обновяване на антивирусни бази данни до няколко пъти на час, като размерът на всяка актуализация е до 15 KB;
• - проверка на системната памет на компютъра за откриване на вируси, които не съществуват под формата на файлове (например CodeRed или Slammer);
• - евристичен анализатор, който ви позволява да неутрализирате неизвестни заплахи преди пускането на съответните актуализации на вирусна база данни.

Инсталация.първоначално д-р уеб честно предупреждава, че няма да се разбира с други антивирусни приложения и моли да се увери, че няма такива на компютъра. В противен случай работата в екип може да доведе до „непредвидими последици“. След това изберете "Персонализирана" или "Типична" (препоръчителна) инсталация и започнете да изучавате основните представени компоненти:

• - скенер за Windows. Проверка на файлове в ръчен режим;
• - конзолен скенер за Windows. Проектиран да работи от пакетни файлове;
• - Паяк пазач. Сканиране на файлове "в движение", предотвратяване на инфекции в реално време;
• - Спайдерска поща. Проверка на съобщения, получени чрез POP3, SMTP, IMAP и NNTP.

Интерфейс и работа.Прави впечатление липсата на последователност в интерфейса между антивирусните модули, което създава допълнителен визуален дискомфорт при вече не особено приятелския достъп до компонентите. д-р уеб ... Голям брой от всички видове настройки очевидно не са предназначени за начинаещ потребител, но доста подробна помощ в достъпна форма ще обясни целта на определени параметри, които ви интересуват. Достъп до централния модул д-р уеб - скенер за Windows - извършва се не през тавата, а само чрез "Старт".

Актуализацията е достъпна както през Интернет, така и чрез прокси сървъри, което, предвид малкия размер на подписите, представлява д-р уеб много атрактивен вариант за средни и големи компютърни мрежи.

Задайте параметрите за проверка на системата, процедурата за актуализиране и настройка на работните условия за всеки модул д-р уеб можете да използвате удобния инструмент "Scheduler", който ви позволява да създадете съгласувана система за защита от "конструктора" на компонентите д-р уеб .

В резултат на това получаваме неизискващ компютърен ресурс, сравнително проста (при по-внимателно разглеждане) интегрална компютърна защита срещу всякакви заплахи, чиито възможности за противодействие на злонамерени приложения явно превъзхождат единствения недостатък, изразен от "пъстрия" интерфейс на модулите д-р уеб .

одитори.Програмата за одитор следи възможните начини за разпространение на вирусни програми и заразяване на компютри. Одиторските програми са сред най-надеждните средства за защита срещу вируси и трябва да бъдат включени в арсенала на всеки потребител. Одиторите са единственият начин за наблюдение на целостта и промените на файловете и системните области на магнитните дискове. Най-известната одиторска програма в Русия ADinf разработено от Д. Мостов.

Страж. Watchman е резидентна програма, постоянно пребиваваща в паметта на компютъра, която следи операциите на компютъра, свързани с промени в информацията на магнитните дискове, и предупреждава потребителя за тях. Започвайки от версия 6.0, операционната система MS DOS включва контролния контролер VSAFE. Въпреки това, поради факта, че обикновените програми изпълняват операции, подобни на тези, които правят вирусите, потребителите обикновено не използват пазач, тъй като постоянните предупреждения пречат на тяхната работа.

скенери- основният елемент на всяка антивирусна програма, той осъществява, така да се каже, пасивна защита. По искане на потребителя или по определена поръчка той проверява файловете в избраната област на системата. Той открива злонамерени обекти, като търси и сравнява програмния код на вируса. Примери за програмни кодове се съдържат в предварително дефинирани сигнатури (набори от последователности от байтове, характерни за известни вируси). На първо място, недостатъците на тези програми включват уязвимост към вируси, които нямат постоянен програмен код и могат да се променят, като запазват основните функции. Също така, скенерите не могат да издържат на разновидностите на един и същи вирус, което изисква от потребителя постоянно да актуализира антивирусните бази данни. Въпреки това, най-уязвимата точка на този инструмент е невъзможността му да открива нови и непознати вируси, което е особено важно, когато нова заплаха може да зарази хиляди компютри по света чрез електронна поща за броени часове;

Монитори- заедно със скенерите формират основна компютърна защита. Въз основа на наличните подписи, текущите процеси се проверяват в реално време. Извършва предварителна проверка при опит за преглед или стартиране на файл. Има файлови монитори, монитори за пощенски клиенти (MS Outlook, Lotus Notes, Pegasus, The Bat и други, които използват протоколите POP3, IMAP, NNTP и SMTP) и специални монитори за отделни приложения. Като правило последните са представени от модули за проверка на файлове на Microsoft Office. Основното им предимство е възможността за откриване на вируси в най-ранен стадий на активност;

Ваксини.Това е името на антивирусните програми, които се държат като вируси, но не вредят. Ваксините предпазват файловете от промени и са в състояние не само да открият факта на инфекция, но в някои случаи „излекуват“ заразените файлове. Антивирусните програми за ваксини не се използват широко днес, тъй като много потребители са били ощетени от някои неправилно функциониращи ваксини в миналото.

В допълнение към софтуера за защита от вируси има специални допълнителни устройства, които осигуряват надеждна защита за определени секции на твърдия диск. Пример за такова устройство е платката Sheriff (разработена от Y. Fomin). Въпреки привидното изобилие от софтуерни антивирусни инструменти, дори всички заедно не осигуряват пълна защита на програмите и данните, не осигуряват 100% гаранция срещу въздействието на вирусните програми. Само цялостни превантивни мерки за защита осигуряват надеждна защита срещу възможна загуба на информация. Комплексът от такива мерки включва:

• - редовно архивиране на информация (създаване на резервни копия на важни файлове и системни области на твърдия диск);
• - избягване на използването на случайно получени програми (опитайте се да използвате само законни начини за получаване на програми);
• - входящ контрол на нов софтуер, получени дискети;
• - сегментиране на твърдия диск, т.е. разделянето му на логически дялове с диференциране на достъпа до тях;
• - системно използване на одиторски програми за контрол на целостта на информацията;
• - когато търсите вируси (което трябва да се прави редовно!) опитайте се да използвате известна чиста операционна система, заредена от флопи диск. Защитете флопи дисковете от запис, ако има дори най-малкия шанс за заразяване.

Ако работите неточно с антивирусни програми, можете не само да носите вируси с тях, но вместо да дезинфекцирате файлове, можете безнадеждно да ги развалите. Полезно е да имате поне обща представа за това какво могат и не могат да правят компютърните вируси, техния жизнен цикъл и най-важните методи за защита.

Всеки съвременен антивирусен продукт е не само набор от отделни технологии за откриване, но и сложна система за защита, изградена върху собственото разбиране на антивирусната компания за това как да се гарантира сигурност срещу зловреден софтуер. В същото време архитектурните и технически решения, приети преди много години, сериозно ограничават възможността за промяна на съотношението на проактивните и реактивните методи за защита. Например в антивирусната система Eset NOD32 Използват се както евристични, така и базирани на сигнатури методи за борба със злонамерен код, но ролите между тези две технологии не се разпределят по същия начин, както в другите антивирусни програми: докато повечето антивирусни програми разчитат на базирани на подпис методи, допълвайки ги с евристики, Eset NOD32 обратното е вярно. Основният метод за противодействие на зловреден софтуер тук е т. нар. Advanced Heuristics, които са комбинация от емулация, евристика, алгоритмичен анализ и метод на подпис. В резултат на това разширена евристика Eset NOD32 позволяват проактивно откриване на почти 90% от всички заплахи, а останалите се елиминират чрез методи, базирани на сигнатури. Надеждността на този подход се потвърждава от резултатите от независими тестове.

Основни функционални характеристики Esest NOD32 са:

• - евристичен анализ за откриване на неизвестни заплахи;
• - Технология ThreatSense – анализ на файлове за откриване на вируси, шпионски софтуер (шпионски софтуер), нежелани реклами (рекламен софтуер), фишинг атаки и други заплахи;
• - проверка и премахване на вируси от файлове, блокирани за запис (например DLL, защитени от системата за сигурност на Windows);
• - проверка на HTTP, POP3 и PMTP протоколи.

Инсталациясе предлага в три режима: "Типичен" (за повечето потребители), "Разширен" (частично персонализиране на инсталираните компоненти) и "Експертен" (напълно адаптивна инсталация). Веднага ще бъде подканено да посочите дали използвате прокси сървър и също така ще бъде подканено за някои настройки за бъдещи актуализации. Освен това, NOD32 пита предварително дали искате да използвате „двупосочната система за ранно предупреждение“ – функцията за прехвърляне на подозрителни обекти, открити на компютъра, към лабораторията на Eset. Всички защитни компоненти при желание ще бъдат предложени за монтаж с подробно описание на етапи.

За защита на системата на вниманието на потребителя се предлагат следните модули:

• - Антивирусен MONitor (AMON). Скенер, който автоматично проверява файловете, преди да ги стартира или прегледа;
• - NOD32. Сканира целия компютър или избрани секции. Отличителна черта - програмиране да работи през часовете с най-малко натоварване;
• - Интернет MONitor (IMON). Постоянен скенер, който сканира интернет трафик (HTTP) и входяща поща, получена чрез POP3 протокола;
• - Email MONitor (EMON). Модул за работа с пощенски клиенти, сканира входящи и изходящи имейл съобщения през MAPI интерфейс (използва се в Microsoft Outlook и Microsoft Exchange);
• - Документ MONitor (DMON). Въз основа на използването на собствения API на Microsoft, валидира документи на Microsoft Office.

Интерфейс и работа... Домашните потребители незабавно ще сравнят интерфейса мислено NOD32 с популярен мрежов скенер Netlook - антивирусът използва подобна структура за достъп до компоненти. Интерфейс NOD32 организиран възможно най-ергономично и ефективно. Елементите на главното меню съдържат подзаглавия, които от своя страна отварят вдясно от главния прозорец област за работа с избрания модул или компонент. Всеки поделемент (с изключение на скенера NOD32 ) предлага най-подробната настройка, която е по-подходяща за специалист или администратор, отколкото за обикновен потребител. Въпреки това, ако искате да разберете всички тънкости на модулите NOD32 ще ви бъде предоставена помощ, която ясно демонстрира и обяснява целта на настройките.

Обновяването е една от силните страни NOD32 ... Първоначално имаше до 3 сървъра за избор, с възможност за допълнително добавяне на адреси. Поддържат се и локални актуализации от мрежови ресурси. Има възможност за създаване на флопи дискове или компактдискове с актуализации. Актуализацията се извършва на всеки няколко часа.

Kaspersky Anti-Virus Personal. Kaspersky Anti-Virus Personal е предназначен за антивирусна защита на персонални компютри с операционни системи Windows 98 / ME, 2000 / NT / XP от всички известни видове вируси, включително потенциално опасен софтуер. Програмата постоянно следи всички източници на проникване на вируси – електронна поща, интернет, дискети, компактдискове и др. Уникална система за евристичен анализ на данни ефективно неутрализира неизвестни вируси. Могат да се разграничат следните опции за програмата (те могат да се използват както поотделно, така и в съвкупност):

• - Защита на компютъра в реално време - сканира всички обекти, които се стартират, отварят и записват на компютъра за наличие на вируси;
• - сканиране на компютър при поискване - сканиране и дезинфекция както на целия компютър като цяло, така и на отделни дискове, файлове или директории. Можете сами да изпълните такава проверка или да я конфигурирате да се изпълнява автоматично редовно.

Kaspersky Anti-Virus Personal вече не сканира обекти, които са били анализирани по време на предишно сканиране и не са се променили оттогава, не само по време на защита в реално време, но и по време на сканиране при поискване. Тази организация на работа значително увеличава скоростта на програмата.

Програмата създава надеждна бариера пред проникването на вируси чрез електронна поща. Kaspersky Anti-Virus Personal автоматично сканира и дезинфекцира всички входящи и изходящи съобщения с помощта на протоколите POP3 и SMTP и ефективно открива вируси в пощенските бази данни.

Програмата поддържа повече от седемстотин формата на архивирани и компресирани файлове и осигурява автоматично антивирусно сканиране на тяхното съдържание, както и премахване на зловреден код от архивни файлове във формати ZIP, CAB, RAR, ARJ, LHA и ICE.

Лесна за персонализиране на програмата поради възможността за избор на едно от трите предварително зададени нива : Максимална защита, Препоръчителна защита и Максимална скорост.

Антивирусните бази данни се актуализират на всеки час и гарантирано ще бъдат доставени, ако интернет връзката бъде прекъсната или променена.

Kaspersky Anti-Virus включва специален компонент, който защитава файловата система на компютъра от инфекция - File Anti-Virus . Той стартира в началото на операционната система, намира се в RAM на компютъра и проверява всички файлове, които вие или програмите отваряте, запазвате и стартирате.

По подразбиране File Anti-Virus сканира САМО НОВИ или ПРОМЕНЕНИ ФАЙЛОВЕ, тоест файлове, които са добавени или променени от последния път, когато са били достъпни. Това е възможно благодарение на използването на новите технологии iChecker и iSwift. За внедряване на технологии се използва таблица с контролна сума на файла. Процесът на проверка на файла се извършва по следния алгоритъм:

• - всеки файл, достъпен от потребител или програма, се прихваща от компонент;
• - File Anti-Virus проверява за информация за прихванатия файл в базите данни iChecker и iSwift.

• - ако в базата данни няма информация за прихванатия файл, той се подлага на подробно антивирусно сканиране. Контролната сума на проверения файл се записва в базата данни;
• - ако в базата данни има информация за файл, File Anti-Virus сравнява текущото състояние на файла с неговото състояние, записано в базата данни към момента на предишното сканиране. Ако информацията съвпада напълно, файлът се прехвърля на потребителя за работа без проверка. Ако файлът е променен по някакъв начин, той ще бъде проверен подробно и нова информация за него ще бъде записана в базата данни.

Процесът на проверка включва следните стъпки:

• - файлът се анализира за вируси. Злонамерените обекти се разпознават въз основа на сигнатурите за заплаха, използвани в работата. Подписите съдържат описание на всички известни в момента злонамерени програми, заплахи, мрежови атаки и методи за неутрализирането им;
• - в резултат на анализа са възможни следните поведения:
  • а) ако във файл бъде открит злонамерен код, File Anti-Virus блокира файла, поставя негово копие в архивното хранилище и се опитва да неутрализира файла. В резултат на успешна дезинфекция файлът става достъпен за работа, ако дезинфекцията не успее, файлът се изтрива;
  • б) ако във файла се открие код, подобен на злонамерен, но няма стопроцентова гаранция за това, файлът се поставя в специално хранилище - карантина;
  • в) ако във файла не бъде намерен зловреден код, той веднага става достъпен за работа.

Освен че гарантира защитата на вашите данни, програмата има допълнителни услуги, които разширяват възможностите за работа с Kaspersky Anti-Virus.

В процеса програмата поставя някои обекти в специални хранилища. Целта, която се преследва в случая, е да се осигури максимална защита на данните с минимални загуби.

Архивно съхранениесъдържа копия на обекти, които са били променени или изтрити в резултат на работата на Kaspersky Anti-Virus. Ако някой обект съдържа важна за вас информация, която не може да бъде напълно запазена по време на антивирусна обработка, винаги можете да възстановите обекта от неговото резервно копие.

Карантинасъдържа потенциално заразени обекти, които не могат да бъдат обработени с помощта на текущата версия на сигнатурите за заплаха.

Някои от услугите са насочени към подпомагане на работата с програмата, например.

Сервизна техническа поддръжкапредоставя цялостна помощ при работа с Kaspersky Anti-Virus. Експертите от Kaspersky Lab се опитаха да включат всички възможни методи за предоставяне на поддръжка: онлайн поддръжка, форум за въпроси и предложения от потребители на програмата и т.н.

Услуга за уведомяванеза събития помага за конфигуриране на известяване на потребителите за важни точки от работата на Kaspersky Anti-Virus. Това могат да бъдат както информационни събития, така и грешки, които изискват спешно отстраняване, и е изключително важно да се знае за тях.

Програма за услуга за самозащита и ограничения за достъпза да работите с него, защитава собствените файлове на програмата от модифициране и повреждане от натрапници, забранява външен контрол на услугите на програмата, а също така въвежда диференциране на правата на другите потребители на вашия компютър да извършват определени действия с Kaspersky Anti-Virus. Например промяната на нивото на защита може значително да повлияе на сигурността на информацията на вашия компютър.

Услуга за управление на лицензионни ключовеви позволява да получавате подробна информация за използвания лиценз, да активирате вашето копие на програмата, както и да управлявате файлове с лицензни ключове.

Създаване на спасителен дискще ви позволи да възстановите производителността на компютъра до нивото преди заразяването. Това е особено полезно в ситуация, когато след като злонамерен код е повредил системни файлове, е невъзможно да се зареди операционната система на компютъра.

Също така е предвидено способността за промяна на външния вид Kaspersky Anti-Virus и конфигурирайте настройките за текущия интерфейс на приложението.

Антивирусна програма AVZ.

Антивирусната програма AVZ е инструмент за разследване и възстановяване на системата и е предназначена за автоматично или ръчно търсене и премахване на:

• - SpyWare, AdvWare програми и модули (това е една от основните цели на помощната програма);
• - руткити и зловреден софтуер, които прикриват техните процеси;
• - мрежови и пощенски червеи;
• - Троянски коне (включително всички техни разновидности, по-специално Trojan-PSW, Trojan-Downloader, Trojan-Spy) и Backdoor (програми за тайно дистанционно управление на компютъра);
• - Троянски програми за набиране (Dialer, Trojan.Dialer, Porn-Dialer);
• - кейлогъри и други програми, които могат да се използват за проследяване на потребителя;

Помощната програма е директен аналог на Trojan Hunter и LavaSoft Ad-aware 6. Основната задача на програмата е да премахне AdWare, SpyWare и троянски коне.

Веднага трябва да се отбележи, че програмите от категориите SpyWare и AdWare по дефиниция не са вируси или троянски коне. Те шпионират потребителя и изтеглят информация и програмен код на засегнатия компютър главно по маркетингови причини (т.е. предаваната информация не съдържа критични данни - пароли, номера на кредитни карти и т.н., а изтеглената информация е реклама или актуализации). Много често обаче границата между SpyWare и троянски кон е доста произволна и точната класификация е трудна.

Специална характеристика на програмата AVZ е възможността да персонализирате реакцията на програмата към всяка от категориите злонамерени програми - например можете да зададете режима на унищожаване на открити вируси и троянски коне, но да блокирате премахването на AdWare.

Друга особеност на AVZ са множество евристични проверки на системата, които не се основават на механизма за търсене на подписи - това е търсене на RootKit, кейлогъри, различни бекдори, базирани на типични TCP/UDP портове. Методи за търсене като тези могат да намерят нови видове зловреден софтуер.

В допълнение към типичното търсене на файлове по подписи за програми от този клас, AVZ има вградена база данни с цифрови подписи на десетки хиляди системни файлове. Използването на тази база данни ви позволява да намалите броя на фалшивите положителни резултати на евристики и ви позволява да решавате редица проблеми. По-специално, системата за търсене на файлове има филтър за изключване на известни файлове от резултатите от търсенето, в мениджъра на работещи процеси и настройки на SPI се извършва цветно подчертаване на известни процеси, когато файловете се добавят в карантина, добавянето на известни AVZ безопасните файлове са блокирани.

Както показва практиката, много често програма като SpyWare може да бъде класифицирана като AdWare и обратно (причините са прости - целта на шпионажа в повечето случаи е целенасочена реклама). За такива случаи в класификацията е въведена обобщаваща категория Spy, която грубо може да се интерпретира като AdWare + SpyWare. Терминът шпионин се превежда като "шпионин", "таен агент", "шпионин", "улов". Този термин се вписва достатъчно добре за програми от този клас.

Ограничения на програмата:

• - от Помощната програма е насочена основно към борба с модулите SpyWare и AdWare и в момента не поддържа сканиране на някои видове архиви, PE опаковки и документи. Просто няма нужда да правите това, за да се борите с SpyWare. Въпреки това полезността се подобрява и се планира появата на подобни функции;
• - помощната програма не лекува програми, заразени с компютърни вируси. За висококачествено и правилно лечение на заразена програма са необходими специализирани антивирусни програми (например Kaspersky Anti-Virus, Dr Web и др.).