Hva er antivirusprogrammene. Typer antivirusprogrammer

Brukeren av en moderne personlig datamaskin har fri tilgang til alle ressursene til maskinen. Det var dette som åpnet muligheten for eksistensen av en fare som ble kalt datavirus.

Et datavirus er et spesialskrevet program som spontant kan knytte seg til andre programmer, lage kopier av seg selv og sette dem inn i filer, systemområder på en datamaskin og datanettverk for å forstyrre driften av programmer, skade filer og kataloger, og skape alle typer forstyrrelser med datamaskinen. Avhengig av miljøet kan virus deles inn i nettverk, fil, oppstart, filoppstart, makrovirus og trojanere.

• Nettverksvirus spredt over ulike datanettverk.
• Fil virus er hovedsakelig innebygd i kjørbare moduler. Filvirus kan injisere inn i andre typer filer, men som regel, registrert i slike filer, får de aldri kontroll og mister derfor evnen til å replikere.
• Boot virus er innebygd i oppstartssektoren til disken (oppstartssektoren) eller i sektoren som inneholder systemdiskoppstartsprogrammet (Master Boot Record).
• Filoppstartsvirus infisere både filer og oppstartssektorer på disker.
• Makrovirus er skrevet på høynivåspråk og infiserer dokumentfiler til applikasjoner som har innebygde automatiseringsspråk (makrospråk), for eksempel applikasjoner fra Microsoft Office-familien.
• Trojanere forklædt som nyttige programmer, er de kilden til datamaskininfeksjon med virus.

For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirusprogrammer. Det finnes følgende typer antivirus programvare:

• - detektorprogrammer;
• - programmer-leger, eller fager;
• - revisorprogrammer;
• - filterprogrammer;
• - vaksineprogrammer, eller immunisatorer.

Detektorprogrammer de søker etter en signatur som er karakteristisk for et bestemt virus i RAM-en og i filer og, hvis det oppdages, sender de ut en tilsvarende melding. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

Legeprogrammer, eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "kurere" dem, det vil si at de sletter kroppen til virusprogrammet fra filen, og returnerer filene til sin opprinnelige tilstand. I begynnelsen av arbeidet ser fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter å "kurere" filer. Blant fagene er det polyfager, det vil si legeprogrammer utviklet for å søke etter og ødelegge et stort antall virus. Den mest kjente av dem: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

På grunn av at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige versjonsoppdateringer.

Revisorprogrammer er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med et virus, og sammenligner deretter med jevne mellomrom, eller på brukerens forespørsel, gjeldende tilstand med den opprinnelige. De oppdagede endringene vises på LCD-skjermen. Som regel sammenlignes tilstander umiddelbart etter at operativsystemet er lastet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), endringsdato og -klokkeslett og andre parametere. Revisorprogrammer har ganske avanserte algoritmer, oppdager stealth-virus og kan til og med skille endringer i versjonen av programmet som skannes fra endringer gjort av et virus. Det mye brukte programmet Kaspersky Monitor er et av revisjonsprogrammene.

Filtre eller "watchmen" er små residente programmer designet for å oppdage mistenkelige handlinger under datamaskindrift, typisk for virus. Slike handlinger kan være:

• - forsøker å korrigere filer med COM-utvidelser. EXE;
• - endre attributtene til filen;
• - skrive direkte til disk på en absolutt adresse;
• - skrive til oppstartssektorene på disken;

Når et program prøver å utføre de angitte handlingene, sender "vaktmannen" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er ganske nyttige. siden de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens, før reproduksjon. Imidlertid "kurerer" de ikke filer og disker.

For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med vakthundprogrammer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med annen programvare.

Vaksiner eller immunisatorer Er innbyggerprogrammer. forhindre filinfeksjon. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker arbeidet deres, og viruset vil oppfatte dem som infiserte og vil derfor ikke bli introdusert. Vaksineprogrammer er for tiden av begrenset bruk.

Rettidig oppdagelse av virusinfiserte filer og disker, fullstendig eliminering av oppdagede virus på hver datamaskin bidrar til å unngå spredning av et virusutbrudd til andre datamaskiner.

Ved å bruke Internett er det veldig enkelt å "fange" et virus eller utilsiktet laste ned et spionprogram eller et annet skadelig program til datamaskinen. Du trenger ressurser for å beskytte PC-en din, inkludert antivirusløsninger. Det er både gratis og kommersielle blant dem, og utvalget er ganske bredt. Hva er gode antivirus? Er det noen av disse blant gratisversjonene?

Vi har laget et utvalg programmer basert på deres allsidighet - hver løsning, bedømt etter innholdet i anmeldelser på Internett, er et optimalt antivirus for Windows 7, for XP, for siste versjon 8.1.

Først vil vi vurdere funksjonene til noen kommersielle forslag. La en av dem være russisk og den andre utenlandsk.

Det viktigste med Kaspersky

Blant verdens mest populære betalte antivirusprogrammer er et produkt fra Kaspersky Lab. Distribusjonssettet fra 2014 er i stand til å beskytte ikke bare mot virus og "trojanere", men også mot spionprogrammer og annonseskript. Som de fleste moderne antivirus, kan programmet fra Kaspersky oppdage trusler, informasjon om hvilke er ikke i databasen. Til dette brukes heuristisk analyse.

Hovedfunksjonene til programmet fra Kaspersky:

• spore virusangrep, kurere filer i sanntid;
• sjekke programmer for omdømme;
• analyse og gjenkjenning av ondsinnede koder i Internett-trafikk (lenker);
• overvåke systemet for mistenkelige programvarehandlinger.

Den moderne versjonen av Kaspersky Anti-Virus er kompatibel med de nyeste operativsystemene som Windows 8.1. Den proaktive beskyttelsespolicyen implementert av denne løsningen inkluderer sporing av nettsteder der skadelige moduler er installert og gir tidlig advarsel til brukeren om identifiserte trusler på tidspunktet for et forsøk på å få tilgang til slike nettressurser. Eksperter merker seg tilpasningsevnen til antiviruset til optimal bruk av PC-ressurser.

Kaspersky-programmet: nyansene til aktivering

I mange år krevde Kaspersky spesielle nøkler for antivirusprogramvare for å aktivere distribusjonssettet (dette er vanlig praksis). Men siden august 2013 har metodikken for denne prosessen endret seg. Du kan aktivere Kaspersky Anti-Virus bare med en spesiell kode på nettet, det vil si at Internett-tilgang er nødvendig. En forutsetning for vellykket gjennomføring av denne prosedyren er en korrekt innstilt systemdato.

Kaspersky og en kampanje fra Yandex

Det er en interessant presedens i historien til den russiske IT-industrien. Brukere hadde muligheten til å observere et ganske uvanlig utseende, der det var Kaspersky Anti-Virus - "Yandex" -versjon av produktet. I desember 2011 bestemte to store russiske IT-selskaper - Yandex og Kaspersky Labs - seg for å holde en uvanlig kampanje.

Brukere fra Russland og flere andre naboland fikk muligheten til å bruke et fullverdig produkt fra Kaspersky, utgitt i en co-branded versjon med Yandex, gratis. I dette tilfellet vil det være mer rettferdig å si at i denne formen er Kaspersky Anti-Virus en prøveversjon. Faktum er at gyldighetsperioden for lisensen for programmet innenfor rammen av kampanjen ikke var veldig lang - 6 måneder. Deltakere av aksjonen hadde også muligheten til å kjøpe standard Kaspersky-antivirus med 20 % rabatt.

Kampanjen inkluderte en rekke restriksjoner. Spesielt var det ingen teknisk støtte for versjonen av antiviruset som ble distribuert gjennom Yandex. Hvis brukeren hadde problemer med å mestre applikasjonen, ble han anbefalt å henvise til ressursene til kunnskapsbasen til Kaspersky Lab.

Kampanjen er nå avsluttet. Foreløpig kan du bare bruke Kaspersky Lab-produkter gratis hvis du laster ned en prøveversjon av antivirus som fungerer i 30 dager.

NOD: sterk konkurrent fra Slovakia

En av de mest kjente konkurrentene til antiviruset fra Kaspersky Lab er et produkt produsert av det slovakiske selskapet ESET. Vi snakker om NOD32-programmet (i Russland kalles det ofte bare "NOD"). Hovedfunksjonene er de samme som de fleste analoger: "fange" virus, "trojanere", annonseapplikasjoner, beskyttelse mot phishing osv. Programmet har sin egen heuristiske analysealgoritme kalt ThreatSense.

Brukere og eksperter innen informasjonssikkerhet legger merke til et lavt nivå av forbruk av dataressurser av antiviruset, samt en lav intensitet av Internett-trafikk ved oppdatering av databaser og grunnleggende programvaremoduler. Beskyttelsessystemet fungerer for det meste i bakgrunnen. Noen eksperter mener at dette antiviruset er et av de beste når det gjelder filskanningshastighet.

ESET-programvarepakken inkluderer også Smart Security-applikasjonen. Dens hovedfunksjoner er:

• overvåke e-post, blokkere ondsinnede skript, filtrere spam;
• oppdagelse og fjerning av spyware;
• beskyttelse av datamaskinen fra eksterne forbindelser (applikasjonen fungerer som en brannmur).

Smart Security er også karakterisert av mange eksperter som en løsning som bruker et minimum av systemressurser.

I følge mange eksperter er NOD et antivirus som kan rangeres på nivå med verdens ledende produkter når det gjelder nivå.

La oss nå gå videre til gratis antivirusprogramvare.

"Avast" - pålitelig beskyttelse for ingenting

Antivirus "Avast" (i Free Antivirus-versjonen), ifølge noen analytikere, er det mest populære produktet i verden i segmentet for gratisløsninger. Den har alle de grunnleggende funksjonene du trenger for et hjemmeprogram. Å aktivere Avast antivirus er veldig enkelt - bare skriv inn navn og e-post. Etter det kan programmet brukes gratis i ett år.

Operativsystemer for PC-er som gratisversjonen av Avast kan installeres på er Windows, Linux og MacOS. Blant de mobile plattformene som er kompatible med antiviruset er Android, Windows. Det finnes også flere betalte versjoner av programmet: Pro, Internet Security og Premier. Det finnes en rekke bedriftsløsninger.

Mange brukere legger merke til at Avast antivirus har et veldig brukervennlig grensesnitt. Alle nødvendige alternativer vises kompakt og praktisk på skjermen. Brukere liker visning av grensesnitt relatert til databeskyttelse i sanntid. Denne komponenten av programmet analyserer flere kilder til trusler samtidig og viser på skjermen hvor mange prosent av denne eller den kilden som er utarbeidet.

Minimumsmengden av reklame i applikasjonsgrensesnittet er også notert, så vel som dets fullstendige fravær når du bruker noen alternativer i det aktive vinduet. Mange brukere, som selv bestemmer hvilke antivirus som er bra og hvilke som ikke er det, danner sin mening basert på mengden reklame i gratisversjoner av programmer.

Brukere legger merke til den svært raske driften av den manuelle skannemodulen, samt det lave forbruket av datamaskinens RAM.

AVIRA: universelt beskyttelsesformat

En annen populær løsning som du kan bruke gratis er Avira i gratis antivirusversjonen. Dette produktet består av flere applikasjoner: en skjerm (som skanner filer i sanntid), en modul for å sjekke systemet ved behov, og et program for oppdatering av databaser med ondsinnede koder.

Grunnleggende funksjonalitet til antiviruset:

• oppdagelse og fjerning av ondsinnede koder, trojanere og andre ondsinnede applikasjoner;
• identifisering og filtrering av reklame "exploits", spyware.

Det finnes også en kommersiell versjon av produktet - AntiVirus Premium. Sammenlignet med gratis antivirusprogramvare har programmet flere fordeler:

• akselererte oppdateringer via Internett;
• mangel på reklame;
• tilstedeværelsen av funksjonen til å blokkere nettsteder som inneholder ondsinnede koder;
• muligheten til å sjekke e-post når du bruker POP3- og SMTP-protokollene.

I tillegg til grunnleggende plattformer tilbyr Avira brukerne flere spesialiserte pakker som er tilpasset for å fungere på arbeidsstasjoner, i bedriftsnettverk mv.

Lavasoft: enkelhet og pålitelighet

Brukere av dette antiviruset legger merke til brukervennligheten og balansen til grensesnittet. Bare den nødvendige informasjonen vises i vinduet, det er et minimum av unødvendige data. Hvis det er behov for å aktivere en tilleggsfunksjon, kan dette gjøres med ett klikk. Hvis brukeren ønsker å skanne hele systemet samtidig, trykker du bare på den store Skann nå-knappen.

Den eneste vanskeligheten notert av antivirusbrukere er at det som standard ikke er noen måte å velge individuelle disker for skanning. Dette alternativet kan imidlertid aktiveres via programinnstillinger-menyen. Ytterligere funksjoner for antivirusbrukere er tilgjengelige i store mengder i den betalte versjonen. Noen brukere snakker om Lavasoft som ikke den mest produktive løsningen. Selv i bakgrunnen er det et aktivt forbruk av programvare-RAM.

AVG: enkelhet og funksjonalitet

AVG er et annet gratis antivirus. Grensesnittet til programmet, som brukere bemerker, er veldig enkelt. Det er en liste over ikoner som angir en bestemt antivirusbeskyttelsesmodul. Systemskannefunksjoner er plassert på sidefeltet i vinduet. Akkurat som i mange andre antivirus, er det en Skann nå-knapp, når du klikker på den, utføres en omfattende skanning av hele datamaskinen.

AVG-pakken inneholder et stort antall tilleggsmoduler. For eksempel, de som er designet for å beskytte e-post, filtrerer nettrafikk. Noen brukere sier at for å aktivere mange moduler, må du kjøpe en lisens. Noen ganger viser det seg at alternativene ikke er for stasjonære operativsystemer, men for mobile plattformer.

Mange legger merke til den utilstrekkelige ytelsen til antiviruset når de skanner disker, men de er ganske fornøyde med programmets lave RAM-forbruk.

En annen ulempe med AVG antivirus er det ganske komplekse grensesnittet. Du kan bli forvirret. For å skanne en bestemt disk eller annet lagringsmedium, må du utføre flere sekvensielle handlinger. I tillegg, for å bruke noen av alternativene, må du aktivere en spesiell modus kalt "ekspert", mens i mange andre antivirusprogrammer er dette alternativet tilgjengelig i hovedmenyen til programmet. Det er ikke nødvendig å aktivere noen andre moduser, bortsett fra den som er aktivert som standard.

Mange brukere ble imponert over ytelsen til antiviruset og dets lave forbruk av systemressurser.

Microsoft Security Essentials: gratis løsning fra giganten

I motsetning til andre programmer i vår anmeldelse (som gir gratis bruk kun den mest grunnleggende versjonen med begrensninger), er dette produktet helt gratis. Og dette til tross for at den ble utgitt av et av de mest kommersielt engasjerte IT-selskapene i verden.

Mange brukere bemerker at grensesnittet til programmet er veldig brukervennlig, og understreker at det ikke er noen annonser på det. Det er imidlertid noen ulemper: den kan ikke skanne e-post, inneholder ikke anti-phishing-moduler. Mens andre antivirus til og med inkluderer slike funksjoner i gratisversjonen.

Brukere føler at produktet fra Microsoft er preget av et gjennomsnittlig ytelsesnivå.

Fordeler og ulemper med gratis antivirusprogramvare

Uten å late som om de er den ultimate sannheten, la oss prøve å oppsummere fordeler og ulemper med hvert av de gratis antivirusene i vår anmeldelse. Basert selvfølgelig på tilbakemeldinger fra brukere. Vi vil ikke finne ut hvilke antivirus som er gode og hvilke som ikke er det. Vi vil fremheve styrker og svakheter ved hver enkelt.

Hvis brukeren er interessert i arbeidshastigheten, er det fornuftig å ta hensyn til "Avira", selv til tross for ulempene ved plattformen i form av forvirrende grensesnittelementer. Ifølge noen brukere bør skaperne av dette antiviruset definitivt jobbe med utseendet til produktet. Hvis de gjør dette, vil Avira ha en stor sjanse til å komme nærmere markedslederne.

Antivirus "Avast" kan være det beste valget for de brukerne som ikke trekker mot en grundig studie av programinnstillingene. Ytelsen til produktet er ikke dårlig. Grensesnittet er oversiktlig og behagelig. Reklame, hvis du ikke tar hensyn til det, forstyrrer ikke arbeidet med programmet i det hele tatt. Mange brukere vil ønske å få et gratis antivirus i 1 år med funksjonaliteten som Avast har.

Brukerne roser løsninger fra Lavasoft og AVG for god funksjonalitet. For noen brukere er det viktig hvilke antivirus som er gode med tanke på egenskapene som skaperne har gitt dem.

Vi fokuserer på vurderingen

Brukernes meninger om enkelte programvareprodukter er subjektive. Det gjøres nå forsøk på å danne en objektiv vurdering av antivirus. La oss se hvem som gjør det og hva er resultatene av arbeidet deres.

Forskningsmetodene til Safety-Gate-portalen er anerkjent av det russiske IT-samfunnet som en av de mest effektive. Derfor vil vi ta vurderingen av antivirus i henhold til ekspertene i denne organisasjonen. Satefy-Gate gjennomfører tester av løsninger fra ulike globale produsenter hvert kvartal. Testøkter kalles On-Demand (on-demand skanning, det vil si i manuell skanningsmodus). I andre kvartal 2014 testet Safety-Gate-portalen effektiviteten til 26 løsninger, både kommersielle og gratis. La oss ta en titt på de generelle resultatene og hva beregningene er for antivirusene fra vår anmeldelse.

Under testing skulle programmene identifisere så mange av de 3266 filene infisert med ondsinnet kode, som ble utarbeidet av Safety-Gate-spesialistene. Antall påviste virus ble uttrykt i prosent, avrundet til nærmeste hundredeler. Det vil si at hvis programmet for eksempel fant 3000 infiserte filer, ble resultatet registrert som 91,86%.

La oss se fordelingen av plassene i topp ti av vurderingen.

• Den første linjen ble tatt av Ashampoo antivirus, dens indikator er 98,96%, eller omtrent 3232 virus funnet.
• På andreplass (med et veldig lite etterslep) kommer det slovakiske produktet ESED NOD32, som fant 98,71 % av infiserte filer.
• Tredje og fjerde linje deles av løsninger fra TrustPort (henholdsvis Total Protection og Internet Security). Den første fikk et resultat på 98,07%, og den andre ble liggende etter, etter å ha klart å finne bare 95,71% av virusene.
• Emsisoft Anti-Malwre-programmet kom inn i topp 5-rangeringen med en poengsum på 95,34 %.
• På sjetteplass er antiviruset fra vår Avira-anmeldelse. Programmet var i stand til å finne 95,22 % av de infiserte filene.
• Det syvende resultatet ble vist av antivirus 360 Internet Security, som var i stand til å oppdage 94,76 % av programmene med ondsinnet kode.
• Det russiske Dr.Web tok åttendeplassen, og viste resultatet på 94,3 %.
• På niendeplass kommer HitmanPro, som klarte å oppdage 93,63 % av infiserte filer.
• eScan Internet Secutiry-produktet ble rangert som tiende med et resultat på 93,57 %.
• Hvor passer Kaspersky Anti-Virus inn? En av de mest populære russiske løsningene viste et ganske beskjedent resultat, og tok den 12. linjen. Programmet fant 92,92 % av infiserte filer.

Hva er resultatene av de gjenværende antivirusene fra vår vurdering? Enda lavere.

AVG rangerte 14. med 92,22 % av infiserte filer oppdaget. Avast rangerte 16. etter å ha klart å finne 91,64 % av virusene. Microsoft Security Essencials og Lavasoft er ikke eksperttestet.

Dette er vurderingen av antivirus i henhold til Safety-Gate-portalen. Dette er utvilsomt en av dusinvis eller til og med hundrevis av mulige rangeringer, men det lar deg få en grov ide om kvaliteten på løsninger for å beskytte PC-en din mot ondsinnede koder. Hvis du ser på Safety-Gate-vurderingen, er de beste gratis antivirusene i 2014 blant de vi har vurdert Avira og Avast. Den første overgikk løsningen fra Kaspersky. Det best betalte antivirusprogrammet i vår anmeldelse, etter testresultatene, er Satefy-Gate, som er NOD32.

Etter å ha gjennomgått de generelle dataene om de ledende antivirusmerkene og gjennomgått testresultatene, kan vi også trekke oppmerksomhet til noen ekspertråd angående kriteriene for å velge den beste løsningen for å beskytte PC-en din mot ondsinnede koder.

Eksperter anbefaler ikke å bruke "cracked" ("cracked") versjoner av antivirus lastet ned fra gratis torrenter og andre portaler av denne typen. Det hender ofte at installasjonsfilene til disse programmene allerede er infisert med ondsinnet kode. I tillegg har produsenter av moderne antivirus lært hvordan man bygger pålitelige algoritmer for å oppdage piratkopierte versjoner. Mest sannsynlig vil en ulovlig kopi av programmet raskt bli oppdaget og vil slutte å betjenes (nye databaser og programvarekomponenter vil ikke lenger bli lastet ned). Eksperter bemerker at på grunn av innstrammingen av policyen for å filtrere søkeresultater i forhold til piratkopier av programmer fra russiske leverandører, vil det ta veldig lang tid å lete etter ulisensierte versjoner av antivirus eller "nøkler" for dem. Analytikere anbefaler å bruke penger på å kjøpe en lovlig kopi av programvaren og spare tid.

IT-eksperter anbefaler ikke å velge antivirus basert på "lette" kriterier: en liten mengde diskplass okkupert, lavt RAM-forbruk, lav prosessorbelastning, etc. Ifølge eksperter kan et databeskyttelsesprogram av høy kvalitet mot trusler ikke være " lett"... Antivirus utfører mange funksjoner, og dette kan ikke skje uten bruk av systemressurser. Eksperter påpeker at de fleste moderne datamaskiner har nok RAM og harddisker til å overse PC-ytelseskravene anbefalt av programvareprodusenter. Hvis det viser seg at kraften til systemet ikke er nok, er det å foretrekke å oppgradere de enkelte komponentene enn å endre antiviruset til et mindre krevende. Den eneste vanskeligheten er at det som standard ikke er mulig å velge individuelle disker for skanning, men dette alternativet kan aktiveres gjennom programinnstillinger-menyen.

I løpet av den relativt korte historien om eksistensen av datavirus har antivirusindustrien utviklet en rekke ganske effektive tiltak for å bekjempe "datainfeksjon". Over tid ble noen av dem foreldet og ble gradvis fjernet av antivirusselskaper fra det eksisterende arsenalet, som ble erstattet av nye, mer moderne og effektive teknologier. Dette generasjonsskiftet er veldig typisk for antivirusprogrammer, som bestemmes av den konstante motsetningen mellom virus og antivirus. Sistnevnte omstendighet gir opphav til et uopphørlig våpenkappløp: fremveksten av et nytt virus som utnytter en tidligere ukjent sårbarhet i beskyttelsessystemet til et operativsystem eller en applikasjon, innebærer umiddelbart tilstrekkelige handlinger for å nøytralisere trusselen som antivirusprogrammer utgjør. For eksempel rammet en slik skjebne immunisatorene, som var så populære i begynnelsen av epoken med personlige datamaskiner: de sluttet ganske enkelt å oppfylle kravene til antivirusprogrammer. På sin side kan antivirusselskaper heller ikke beskyldes for å være passive når det kommer til sikkerheten til kundene sine. Nesten i hver av dem er det enten spesielle enheter med svært profesjonelle antiviruseksperter som studerer mulige veier for utvikling av virus, eller disse selskapene holder jevnlig møter, idédugnad og forfølger de samme målene. Et illustrativt eksempel er utviklingen av beskyttelsesmekanismer mot ukjente virus: heuristisk analyseteknologi, redundant skanning og atferd.

blokkere

I dag finnes det 5 hovedtyper antivirusprogrammer: skannere, monitorer, endringsrevisorer, immunisatorer og atferdsblokkere. Noen av dem har praktisk talt gått ut av bruk på grunn av lav effektivitet, andre er ennå ikke mye brukt.

Skannere

Antivirusskannere er pionerene innen antivirusbevegelsen som først dukket opp nesten samtidig med datavirus selv. Prinsippet for deres operasjon er å søke etter virusmasker i filer, minne og oppstartssektorer, dvs. unik programkode for viruset. Virusmasker (beskrivelser) av kjente virus finnes i antivirusdatabasen, og hvis skanneren finner en programkode som samsvarer med en av disse beskrivelsene, viser den en melding om påvisning av det tilsvarende viruset.

Det er her det første problemet oppstår, fordi den minste modifikasjon av viruset kan gjøre det usynlig for skanneren: programkoden vil ikke samsvare helt med beskrivelsen i databasen. For eksempel er det mange varianter av Tsjernobyl-viruset, og for nesten alle av dem måtte antiviruskampanjer gi en egen oppdatering til antivirusdatabasen. Et annet aspekt ved dette problemet er den såkalte. polymorfe virus, dvs. virus som ikke har en permanent programkode: ved å infisere en annen fil, endrer de ved hjelp av kryptering utseendet på egen hånd, samtidig som de opprettholder funksjonaliteten.

Vedlegget av skannere til antivirusdatabaser betyr det andre problemet: tiden mellom virusets utseende og utgivelsen av den tilsvarende oppdateringen, forble brukeren praktisk talt ubeskyttet mot angrep fra nye virus. Heldigvis er hastigheten på tilførselen av motgiften nå redusert til et minimum, i noen tilfeller i løpet av minutter. Men virus står ikke stille: ved hjelp av e-post kan de spre seg over hele verden i løpet av sekunder! Dermed kan selv den nåværende hastigheten på utvikling og levering av beskyttelse mot nye virus ikke anses som tilstrekkelig. Det er grunnen til at eksperter på begynnelsen av 90-tallet oppfant og introduserte i skannere en original måte å oppdage ukjente virus på - en heuristisk analysator, dvs. analyse av sekvensen av kommandoer i det skannede objektet, akkumulering av statistikk og ta en beslutning om muligheten for tilstedeværelsen av et ukjent datavirus i det. Imidlertid er denne metoden preget av tilstedeværelsen av falske positiver, et utilstrekkelig høyt nivå av pålitelighet og fravær av en garanti for effektiv fjerning av oppdagede virus. For å bekjempe polymorfe virus ble andre teknikker oppfunnet: algoritmiske språk som beskriver alle mulige versjoner av koden og systemer for automatisk kodedekryptering (emulatorer).

Til slutt, det tredje problemet: antivirusskanneren skanner filer kun når brukeren "ber" ham om å gjøre det, dvs. vil starte programmet. Dette krever konstant oppmerksomhet og konsentrasjon. Svært ofte glemmer brukere å sjekke en tvilsom fil lastet ned, for eksempel fra Internett, og som et resultat infiserer datamaskinen deres med egne hender. Dermed er skanneren i stand til å fastslå infeksjonsfaktumet i ettertid, dvs. etter at viruset dukker opp i systemet.

Andre ulemper med skannere inkluderer deres store størrelse, som bestemmes av behovet for å "bære" en antivirusdatabase med deg, krevende systemressurser og lav hastighet på virusskanning. Til tross for dette, ikke glem en viktig fordel med skannere: de er i stand til å blokkere spredningen av Internett-ormer, effektivt fjerne virus fra infiserte filer og oppstartssektorer på disken og gjenopprette funksjonaliteten. Selvfølgelig er sistnevnte bare mulig hvis viruset ikke har ødelagt det originale innholdet i det infiserte objektet.

Skjermer

Utviklingen av maskinvarefunksjoner til datamaskiner og fremveksten av mer avanserte operativsystemer gjorde det mulig å utvikle den andre typen antivirusprogrammer - antivirusskjermer. For tiden skilles det mellom tre hovedtyper: filmonitorer, monitorer for e-postprogrammer og monitorer for spesielle applikasjoner.

I kjernen er de alle en slags skannere som hele tiden ligger i datamaskinens minne og automatisk skanner alle filer som brukes i sanntid. Moderne skjermer utfører kontroller ved åpning og lukking av programmet. Dette eliminerer muligheten for å kjøre tidligere infiserte filer og infisere filen med et fast virus.

For å aktivere antivirusbeskyttelse trenger brukeren bare å laste skjermen når operativsystemet eller applikasjonen starter. Som regel gjøres dette av selve antiviruspakken under installasjonen på følgende måter:

Legger til en skjermstartinstruksjon i katalogen over automatisk kjørbare programmer eller til det tilsvarende feltet i systemregisteret
- registrerer monitoren som en systemtjeneste som starter uavhengig av brukernavn
- integrerer monitoren i et e-postprogram eller annen applikasjon.
På grunn av bakgrunnsmodusen lar antivirusmonitorer brukeren ikke belaste seg selv med bekymringen om å skanne hver ny fil manuelt: antivirusskanningen vil bli utført automatisk. Hvis et skadelig program oppdages, vil skjermen, avhengig av innstillingene, kurere filen, blokkere dens kjøring eller isolere den, flytte den til en spesiell karantenekatalog for videre undersøkelse.

Filovervåkere er den vanligste varianten av denne typen antivirusprogramvare. De fungerer som en del av operativsystemet, og sjekker i sanntid alle objektene som brukes, uavhengig av opprinnelse eller tilhørighet til en applikasjon. Driften av filovervåkere er basert på avlytting og antivirusfiltrering av datastrømmen. operativsystemets inngangspunkt. Hvis det ikke oppdages skadelig programvare i objektet som ankommer inngangspunktet, sendes det inn for utførelse. Ellers blir objektet, i henhold til scenariet beskrevet ovenfor, desinfisert, blokkert eller isolert. Filmonitorer er mye brukt på både arbeidsstasjoner og filservere og applikasjonsservere. Hvis de brukes på serveren, må du sørge for at monitoren støtter multithreading av filbehandling, dvs. kan sjekke mange filer samtidig. Ellers kan det påvirke ytelsen til både serveren og nettverket som helhet negativt.

Monitorer for e-postprogrammer er antivirusmoduler som integreres i e-postprogrammer – både server og klient. Faktisk blir de en integrert del av programmet og sjekker det automatisk når et nytt brev kommer. I motsetning til filovervåkere krever de mindre systemressurser og er mye mer stabile, siden muligheten for systemkonflikt på applikasjonsnivå er betydelig mindre enn på operativsystemnivå. I tillegg til dette sjekker «mail»-overvåkere alle innkommende og utgående meldinger så snart de mottas eller sendes. Filovervåkere er bare i stand til å gjenkjenne ondsinnet kode når brukeren prøver å kjøre den. I tillegg er antivirusmodulen i stand til ikke bare å oppdage, men også desinfisere alle deler av infiserte meldinger: vedlegg, andre meldinger på alle neste nivåer, innebygde OLE-objekter og selve meldingsteksten. En slik integrert tilnærming gir ikke virus en sjanse til å "gjemme seg" i noen del av meldingen. Spesielle applikasjonsmonitorer gir også bakgrunnsskanning av objekter, men bare innenfor applikasjonen de er ment for. Et illustrerende eksempel kan være antivirusskjermer for MS Office 2000. I likhet med deres "mail" "kolleger" er de integrert i programmet og lagres i datamaskinens minne mens det kjører. Disse monitorene overvåker også alle filer som er i bruk i sanntid og rapporterer om oppdagede virus. Sammenlignet med virusskannere, gir skjermer brukerne mer bekvemmelighet i arbeid med datamaskiner ved å fullautomatisere prosessen med å sjekke systemressurser. Deres andre fordeler inkluderer muligheten til å oppdage, lokalisere og blokkere et virus på det tidligste stadiet av dets reproduksjon, noe som forresten er veldig nyttig i tilfeller der et velkjent virus konstant "kryper ut av ingensteds". Skjermer krever imidlertid også store antivirusdatabaser. I tillegg er de preget av en lavere grad av stabilitet, noe som gjør at mange systemadministratorer foretrekker regelmessig skanning av serverressurser med skannere, fremfor konstant bruk av skjermer.

Bytt revisor

Den tredje typen antivirus er integritetssjekkere. Denne beskyttelsesteknologien er basert på det faktum at virus er vanlige dataprogrammer som har muligheten til å i hemmelighet lage nye objekter eller injisere i eksisterende objekter (filer, oppstartssektorer). De etterlater med andre ord spor i filsystemet, som deretter kan spores opp og oppdages at skadevare er tilstede.

Prinsippet om endringsrevisorer er basert på fjerning av de originale «fingeravtrykkene» (CRC-summer) fra filer, systemsektorer og systemregisteret. Disse "fingeravtrykkene" lagres i databasen. Ved neste lansering verifiserer revisor "utskriftene" med originalene og informerer brukeren om endringene som har skjedd, og fremhever separat viruslignende og andre ikke mistenkelige endringer.

I 1990 stilte de første stealth-virusene Frodo og Whale nesten spørsmålstegn ved effektiviteten til denne typen antivirus. Teknologien til usynlige virus er basert på å skjule deres tilstedeværelse i systemet ved å erstatte dem i tilfelle et forsøk på å skanne infiserte filer og oppstartssektorer med antivirusprogrammer av deres "rene" varianter. Slike virus avskjærer diskavbrudd og, når de oppdager et forsøk på å kjøre eller lese et infisert objekt, erstatter det dens uinfiserte kopi. Til tross for dette "lærte" revisorene å få tilgang til disker direkte gjennom IOS-diskundersystemdriveren (I/O-veileder), ved å omgå systemavbrudd, noe som gjorde at de kunne oppdage selv usynlige virus.

Fordelene til de mest avanserte revisjonistene inkluderer ekstremt høy driftshastighet, lave krav til maskinvaren, en høy prosentandel av gjenoppretting av filer og oppstartssektorer skadet av virus, inkludert ukjente. Deres tilnærming til å desinfisere infiserte objekter er ikke basert på å vite hvordan et virus ser ut, men på å vite hvordan en "ren" fil eller sektor ser ut: alt som "ødelegger renslighet" anses som en endring som er verdig oppmerksomheten til en revisor som er i stand til å returnere et objekt til sin opprinnelige tilstand. Det er grunnen til at revisorer ikke krever en tungvint antivirusdatabase, bare innhold med beskrivelser av hvordan virus introduseres, som, avhengig av produktet, tar kun 300 til 500 kilobyte. Ved å kjenne til disse metodene kan programmet raskt og effektivt fjerne viruset uavhengig av hvor koden er plassert: i begynnelsen, midten, slutten eller til og med spredt i små biter gjennom det infiserte objektet. Endringsrevisorer har også sine ulemper. For det første er de ikke i stand til å fange viruset i det øyeblikket det dukker opp i systemet, og de gjør det først etter en stund, etter at viruset har spredt seg gjennom datamaskinen. For det andre kan de ikke oppdage viruset i nye filer (i e-post, på disketter, i filer som er gjenopprettet fra en sikkerhetskopi, eller når de pakker ut filer fra et arkiv), siden deres databaser mangler informasjon om disse filene. Dette brukes av noen virus som utnytter denne "svakheten" til revisorer og infiserer kun nyopprettede filer, og forblir dermed usynlige for disse antivirusprogrammene. For det tredje krever revisorer regelmessig lansering - jo oftere dette skjer, jo mer pålitelig vil kontroll over viral aktivitet være.

Immunisatorer

Det er også nødvendig å nevne en rekke antivirusprogrammer som immunisatorer. De er delt inn i to typer: immunisatorer, som rapporterer en infeksjon, og immunisatorer, som blokkerer infeksjon med alle typer virus. Førstnevnte skrives vanligvis til slutten av filene (som et filvirus), og hver gang filen kjøres, sjekkes den for endringer. Det er bare en ulempe med slike immunisatorer, men den er grunnleggende: den absolutte manglende evnen til å oppdage infeksjon med usynlige virus, prinsippet om maskering som er beskrevet ovenfor. Den andre typen immunisatorer beskytter systemet mot å bli påvirket av et bestemt virus. Filene er modifisert på en slik måte at viruset tar dem som allerede infiserte. For å forhindre at Jerusalem-viruset for eksempel infiserer en COM-fil, er det nok å legge til MSDos-linjen til slutten. For å beskytte mot et fast virus legges et program som imiterer en kopi av viruset inn i datamaskinens minne. Når det lanseres, snubler viruset over det og tror at systemet allerede er infisert. Den andre typen immunisering kan ikke gjenkjennes som universell, siden filer ikke kan immuniseres mot alle kjente virus: hver av dem har sine egne metoder for å bestemme infeksjonen av filer. I tillegg skanner ikke mange virus filer for tilstedeværelsen av en kopi av seg selv. Til tross for dette kan slike immunisatorer, som et halvt tiltak, ganske pålitelig beskytte en datamaskin mot et nytt ukjent virus til det øyeblikket det oppdages av antivirusskannere. På grunn av ulempene beskrevet ovenfor, har ikke immunisatorer blitt utbredt og brukes for tiden praktisk talt ikke. Atferdsblokkere

Alle de ovennevnte typene antivirus løser ikke hovedproblemet - beskyttelse mot ukjente virus. Dermed er datasystemer forsvarsløse mot dem inntil antivirusselskaper utvikler en motgift. Noen ganger tar det opptil flere uker. Hele denne tiden har selskaper rundt om i verden en reell "mulighet" til å miste kritiske data som fremtiden til deres virksomhet eller resultatene av mange års arbeid avhenger av. Svar utvetydig på spørsmålet "hva skal jeg gjøre med ukjente virus?" vi står bare foran det nye årtusenet. Imidlertid er det allerede mulig å gi en spådom om de mest lovende måtene å utvikle antivirusprogramvare på. Etter vår mening vil denne retningen være den såkalte. atferdsblokkere. Det er de som har en reell mulighet til å motstå angrep av nye virus med 100 % garanti. Hva er en atferdsblokker? Dette er et minnebasert program som fanger opp ulike hendelser og, i tilfelle "mistenkelige" handlinger (handlinger som et virus eller annet skadelig program kan utføre), forbyr denne handlingen eller ber om tillatelse fra brukeren. Med andre ord, blokkeren søker ikke etter den unike programkoden til viruset (som skannere og monitorer gjør), sammenligner ikke filer med originalene deres (som endre auditorer), men sporer og nøytraliserer ondsinnede programmer ved deres karakteristiske handlinger. Ideen om blokkere er ikke ny. De dukket opp for lenge siden, men disse antivirusprogrammene har ikke blitt utbredt på grunn av kompleksiteten i konfigurasjonen, som krever dyp kunnskap om datamaskiner fra brukerne. Til tross for dette har teknologien slått godt rot på andre områder innen informasjonsbeskyttelse. For eksempel ga den velkjente Java-standarden, utviklet av Sun, hvert kjørbare Java-program med et strengt begrenset virtuelt rom (et sett med tillatte handlinger) som utgjør en trussel mot sikkerheten til dataene hans.

La oss se nærmere på fordelene og ulempene med atferdsblokkere. I teorien kan en blokker forhindre spredning av kjente eller ukjente virus ved å varsle brukeren før viruset infiserer andre filer eller skader datamaskinen. Men selve operativsystemet eller nyttige verktøy kan utføre viruslignende handlinger. Her er det verdt å skille mellom to typer blokkere: filblokkere og programblokkere.

Filadferdsblokkeringen kan ikke uavhengig avgjøre hvem som utfører den mistenkelige handlingen - et virus, et operativsystem eller et annet verktøy og er tvunget til å be brukeren om bekreftelse. De. til syvende og sist tas avgjørelsen ofte av brukeren, som må ha tilstrekkelig kunnskap og erfaring til å gi riktig svar. Ellers vil ikke operativsystemet eller verktøyet kunne utføre den nødvendige handlingen, eller et virus vil komme inn i systemet. Det er av denne grunn at blokkere ikke ble populære: fordelene deres ble ofte deres ulemper, de virket for påtrengende med forespørslene sine, og brukere fjernet ganske enkelt disse programmene. Dessverre kan situasjonen bare korrigeres ved oppfinnelsen av kunstig intelligens, som uavhengig kan finne ut årsakene til en bestemt mistenkelig handling.

Blokkere for spesialiserte applikasjoner er mye mer sannsynlig å bli utbredt, siden deres kompetansespekter er klart begrenset til strukturen til en bestemt applikasjon. Dette betyr at et strengt begrenset antall handlinger som programmer som er opprettet for denne applikasjonen kan utføre under blokkeringens våkent øye.

Det mest talende eksemplet er Microsoft Office og problemet med å beskytte mot makrovirus. Hvis vi vurderer programmer skrevet på det vanligste makrospråket VBA (Visual Basic for Application), så er det her mulig å skille ondsinnede handlinger fra nyttige med en veldig høy grad av sannsynlighet.

Takket være analysen av makrovirus i prosessen med å modellere deres oppførsel, er det mulig å bestemme de vanligste sekvensene av deres handlinger. Dette gjør det mulig å introdusere et nytt, svært intelligent filtreringssystem for makrohandlinger i programmet og, med høy grad av pålitelighet, nøyaktig identifisere og forhindre de av dem som utgjør en potensiell fare. Det er takket være dette at atferdsblokkeringen for MS Office ikke er like "påtrengende" som fil-"kollegene". Men ved å stille færre spørsmål til brukeren har ikke programmet blitt mindre pålitelig. Ved å bruke den er brukeren nesten 100 % beskyttet mot makrovirus, både kjente og ennå ikke skrevet.

Blokkeren avskjærer og blokkerer kjøringen av selv multi-plattform makrovirus, dvs. i stand til å jobbe i flere applikasjoner samtidig. Det forhindrer like pålitelig virus i applikasjoner som Word, Excel, Access, PowerPoint, Project og til og med applikasjoner som bruker VBA-språket, men som ikke er en del av Microsoft Office-pakken - Visio, AutoCAD osv. Programmet kontrollerer driften av makroer med eksterne applikasjoner, inkl. med e-postprogrammer. Dette eliminerer fullstendig muligheten for å spre makrovirus via e-post. Å bruke en atferdsblokkering for MS Office sparer brukeren for den evige hodepine ved å laste ned og koble nye oppdateringer til antivirusdatabasen for å beskytte mot nye makrovirus, fordi ethvert nytt makrovirus per definisjon vil bli fanget opp av programmet . Dette betyr at den farligste perioden mellom viruset dukker opp og antiviruset er eliminert. Når den er installert, vil den pålitelig beskytte datamaskinen din mot makrovirus inntil en ny versjon av VBA-programmeringsspråket er utgitt med implementering av nye funksjoner som kan brukes til å skrive virus.

Hovedmålet med atferdsblokkere er å løse problemet med å oppdage og forhindre spredning av makrovirus. Imidlertid er den per definisjon ikke designet for å fjerne dem. Det er derfor det må brukes sammen med en antivirusskanner, som vil kunne ødelegge viruset. Blokkeren lar deg trygt vente ut perioden mellom oppdagelsen av et nytt virus og utgivelsen av en oppdatering for antivirusdatabasen for skanneren, uten å ty til å slå av datasystemer i frykt for permanent å miste verdifulle data eller alvorlig skade datamaskinens maskinvare.

Vi spår at med utviklingen av datateknologi, spesielt innen utvikling av elementer av kunstig intelligens, vil verdien, effektiviteten og brukervennligheten til blokkere (inkludert filblokkere) raskt øke. Det er denne typen antivirusprogrammer som snart vil bli det viktigste middelet for antivirusbeskyttelse, som gir dens mest kritiske forkant - blokkerer penetrasjon og spredning av nye, tidligere ukjente virus.

En oversikt over typene antivirusprogrammer ville være ufullstendig hvis vi ikke nevnte den beste måten å bruke dem på. Våre anbefalinger er ekstremt enkle: en gjennomtenkt kombinasjon av alle metodene beskrevet ovenfor kan være det beste alternativet. Etter det velkjente ordtaket om at du ikke legger alle eggene dine i én kurv, anbefaler vi at du ikke stoler helt på skannere eller skjermer. Hver type antivirusprogram har sine egne fordeler og ulemper. Sammen kompenserer de for hverandre, og øker beskyttelsesgraden til både en hjemmedatamaskin og et heterogent nettverk av global skala.

Overfloden av trusler ("infiserte" flash-stasjoner, Internett, lokale nettverk, feilkonfigurert OS) førte til behovet for å bruke antivirusprogrammer. De fleste brukere foretrekker en universell altomfattende løsning som kombinerer et komplett spekter av rutiner for å skanne potensielle kilder til trusler (e-post, nettsteder, eksterne medier og så videre). Men det finnes også spesifikke løsninger skreddersydd kun for visse trusler.

Det finnes følgende typer antivirusprogrammer

— Antispionvare. En populær type trussel i dag. I dag klassifiserer ikke det overveldende flertallet av antiviruspakkene slik programvare som skadelig, siden den er "borderline". Dette førte til fremveksten av en hel klasse med verktøy for å rense systemet fra spionprogrammer. I tillegg inneholder noen profesjonelle antivirusprogramvare (f.eks. AVZ) spionvaredeteksjonsmoduler. Eksempel på anti-spyware-pakker – Søk og ødelegge, skadedyrpatrulje, annonsebevisst.

— Online skanner. Det finnes tjenester som lar deg sjekke datamaskinen som er koblet til Internett for virus. De fungerer gjennom ActiveX-teknologier (da fungerer det bare i Internet Explorer) eller Java. Deres største fordel er muligheten til å søke (og for de mest avanserte - å kurere) infiserte filer uten å installere en antiviruspakke. Den største ulempen med denne typen tjenester er at det ikke finnes noen midler for å forhindre smitte. De mest kjente nettskannerne er ESET Online Scanner, Trend Micro HouseCall, Comodo AV Scanner.

— Online "single file" skanner. Analyserer det du tror er skadelige filer. Du laster ganske enkelt opp det valgte filsystemobjektet til serveren til antiviruslaboratoriet og svaret kommer nesten umiddelbart. Ventetiden avhenger også av antall heuristiske programmer som brukes til å sjekke og belastningen på serveren. Denne løsningen er ideell for de PC-ene der antiviruset ikke er installert, men du må sjekke filene som er hentet inn, for eksempel fra en nabomaskin. Blant de mest kjente er Dr.Web online check, avast! Online skanner, VirusTotal, skanning av skadelig programvare på nettet.

— Antivirusskannere uten skjerm. De er engasjert i å skanne og rense lokale og eksterne medier fra skadelig programvare. I motsetning til "combines", som inneholder et helt sett med brannmurer og heuristikk, har de ikke en innebygd modul. Dette resulterer i god ytelse. De mest populære er Cure it, Clam AntiVirus, Norton Security Scan, Microworld.

— Brannmur. Programmet kan også klassifiseres som en type antivirus, da det gjenspeiler automatiserte forsøk på å trenge inn i systemet. Mekanisme - blokkering av nettverkstrafikk og sikring av usynlighet av PC-er på nettverket (ved å blokkere ping og andre tjenester). Det kan også være nyttig i tilfeller av en infeksjon som allerede har oppstått (blokkerer utgående tilkoblingsforsøk). Outpost Firewall er den mest populære i dag.

Det er nå samlet betydelig erfaring med å bekjempe datavirus, antivirusprogrammer er utviklet og tiltak for å beskytte programmer og data er kjent. Det er en konstant forbedring, utvikling av antivirusverktøy, som på kort tid fra det øyeblikket et virus oppdages - fra en uke til en måned - er i stand til å takle nye virus.

Opprettelsen av antivirusprogrammer begynner med oppdagelsen av et virus basert på uregelmessigheter i driften av en datamaskin. Etter det blir viruset nøye studert, signaturen er uthevet - en sekvens av byte som fullt ut karakteriserer virusprogrammet (de viktigste og mest karakteristiske delene av koden), mekanismen for virusoperasjonen og infeksjonsmetodene er funnet ute. Informasjonen som innhentes gjør det mulig å utvikle metoder for å oppdage et virus i datamaskinens minne og på magnetiske disker, samt algoritmer for å nøytralisere viruset (hvis mulig, fjerning av viruskoden fra filer - "kur").

Typer antivirusprogrammer

For tiden kjente antivirusprogrammer kan deles inn i flere typer.

Detektorer. Deres formål er bare å oppdage viruset. Virusdetektorer kan sammenligne oppstartssektorene til disketter med kjente oppstartssektorer generert av forskjellige operativsystemer, og dermed oppdage oppstartsvirus eller skanne filer på magnetiske disker for signaturer av kjente virus. Slike programmer i sin rene form er nå sjeldne.

Fager. Phage er et program som er i stand til ikke bare å oppdage, men også ødelegge et virus, dvs. fjern koden fra infiserte programmer og gjenopprett funksjonaliteten deres (hvis mulig). Den mest kjente fagen i Russland er Aidstest laget av D.N. Lozinsky. En av de nyeste versjonene oppdager over 8000 virus. Aidstest for normal funksjon, krever det at det ikke finnes innbyggede antivirus i minnet som blokkerer skriving til programfiler, så de bør avlastes, enten ved å spesifisere avlastingsalternativet for selve programmet, eller ved å bruke passende verktøy.

Phage er et veldig kraftig og effektivt antivirus. Dr Web (laget av I. Danilov). Denne fagdetektoren skanner ikke bare filer på jakt etter en av de kjente virussignaturene. For å finne virus Dr Web bruker et prosessoremuleringsprogram, dvs. den simulerer kjøringen av de gjenværende filene ved å bruke programvaremodellen til I-8086-mikroprosessoren og skaper dermed et miljø for virus å manifestere og formere seg. Dermed programmet Dr Web kan bekjempe ikke bare polymorfe virus, men også virus som kanskje bare dukker opp i fremtiden.

Dr Web 4.33 er:

• - beskyttelse mot ormer, virus, trojanere, polymorfe virus, makrovirus, spionprogrammer, oppringer, adware, hackerverktøy og ondsinnede skript;
• - oppdatering av antivirusdatabaser opptil flere ganger i timen, størrelsen på hver oppdatering er opptil 15 KB;
• - sjekke datamaskinens systemminne for å oppdage virus som ikke eksisterer i form av filer (for eksempel CodeRed eller Slammer);
• - en heuristisk analysator som lar deg nøytralisere ukjente trusler før utgivelsen av de tilsvarende virusdatabaseoppdateringene.

Installasjon. i utgangspunktet Dr Web advarer ærlig om at han ikke kommer til å komme overens med andre antivirusprogrammer og ber om å forsikre seg om at det ikke er noen på datamaskinen. Ellers kan teamarbeid føre til «uforutsigbare konsekvenser». Deretter velger du "Egendefinert" eller "Typisk" (anbefalt) installasjon og begynner å studere hovedkomponentene som presenteres:

• - skanner for Windows. Sjekke filer i manuell modus;
• - konsollskanner for Windows. Designet for å kjøre fra batch-filer;
• - SpiDer Guard. Skanning av filer "on the fly", forhindrer infeksjoner i sanntid;
• - SpiDer Mail. Sjekker meldinger mottatt via POP3-, SMTP-, IMAP- og NNTP-protokoller.

Grensesnitt og arbeid. Mangelen på konsistens i grensesnittet mellom antivirusmodulene er slående, noe som skaper ekstra visuelt ubehag med den allerede ikke veldig vennlige tilgangen til komponentene. Dr Web ... Et stort antall av alle slags innstillinger er tydeligvis ikke designet for en nybegynner, men en ganske detaljert hjelp i en tilgjengelig form vil forklare formålet med visse parametere av interesse for deg. Tilgang til sentralmodulen Dr Web - Scanner for Windows - utføres ikke gjennom skuffen, men bare gjennom "Start".

Oppdateringen er tilgjengelig både via Internett og ved bruk av proxy-servere, som gitt den lille størrelsen på signaturene representerer Dr Web et veldig attraktivt alternativ for mellomstore og store datanettverk.

Still inn parametrene for kontroll av systemet, prosedyren for oppdatering og innstilling av driftsbetingelsene for hver modul Dr Web du kan bruke det praktiske verktøyet "Scheduler", som lar deg lage et sammenhengende system for beskyttelse fra "konstruktøren" av komponenter Dr Web .

Som et resultat blir vi lite krevende for dataressurser, ganske enkel (ved nærmere undersøkelse) integrert databeskyttelse mot alle slags trusler, hvis evner til å motvirke ondsinnede applikasjoner klart oppveier den eneste ulempen som uttrykkes av det "brokete" grensesnittet til modulene Dr Web .

Revisorer. Revisorprogrammet overvåker mulige måter å spre virusprogrammer og infisere datamaskiner på. Revisorprogrammer er blant de mest pålitelige metodene for beskyttelse mot virus og bør inkluderes i arsenalet til hver bruker. Revisorer er den eneste måten å overvåke integriteten og endringene til filer og systemområder på magnetiske disker. Det mest kjente revisorprogrammet i Russland ADinf utviklet av D. Mostov.

Vaktmann. En vaktmann er et innbygget program som permanent ligger i datamaskinens minne, som overvåker datamaskinens operasjoner knyttet til endringer i informasjon på magnetiske disker, og advarer brukeren om dem. Fra og med versjon 6.0 inkluderer MS DOS-operativsystemet VSAFE-vakthunden. Men på grunn av det faktum at vanlige programmer utfører operasjoner som ligner på de som virus gjør, bruker brukere vanligvis ikke en vakthund, da konstante advarsler forstyrrer arbeidet deres.

Skannere- Hovedelementet i ethvert antivirus, det utfører så å si passiv beskyttelse. På forespørsel fra brukeren eller en spesifisert bestilling, sjekker den filene i det valgte området av systemet. Den oppdager skadelige objekter ved å søke og sammenligne programkoden til viruset. Eksempler på programkoder finnes i forhåndsdefinerte signaturer (sett med bytesekvenser som er karakteristiske for kjente virus). For det første inkluderer ulempene med disse programmene sårbarhet for virus som ikke har en permanent programkode og kan endres samtidig som hovedfunksjonene opprettholdes. Skannere tåler heller ikke variantene av det samme viruset, noe som krever at brukeren hele tiden oppdaterer antivirusdatabasene. Det mest sårbare punktet med dette verktøyet er imidlertid dets manglende evne til å oppdage nye og ukjente virus, noe som er spesielt viktig når en nylig oppstått trussel kan infisere tusenvis av datamaskiner over hele verden via e-post i løpet av få timer;

Skjermer– sammen med skannere utgjør de grunnleggende databeskyttelse. Basert på de tilgjengelige signaturene, sjekkes gjeldende prosesser i sanntid. Utfører en foreløpig sjekk når du prøver å vise eller kjøre en fil. Skille mellom filmonitorer, monitorer for e-postklienter (MS Outlook, Lotus Notes, Pegasus, The Bat og andre som bruker POP3-, IMAP-, NNTP- og SMTP-protokollene) og spesielle monitorer for individuelle applikasjoner. Som regel er sistnevnte representert av moduler for å sjekke Microsoft Office-filer. Deres viktigste fordel er muligheten til å oppdage virus på det tidligste stadiet av aktivitet;

Vaksiner. Dette er navnet på antivirusprogrammer som oppfører seg som virus, men som ikke skader. Vaksiner beskytter filer mot endringer og er ikke bare i stand til å oppdage infeksjon, men også i noen tilfeller "kurere" filer infisert med virus. Antivirusvaksineprogrammer er foreløpig ikke mye brukt fordi mange brukere har blitt skadet av noen vaksiner som ikke fungerer.

I tillegg til antivirusprogramvare er det spesielle tilleggsenheter som gir pålitelig beskyttelse for visse deler av harddisken. Et eksempel på denne typen enhet er Sheriff-styret (utviklet av Y. Fomin). Til tross for den tilsynelatende overfloden av programvare-antivirusverktøy, gir de ikke alle sammen fullstendig beskyttelse av programmer og data, og gir ingen 100 % garanti mot effekten av virusprogrammer. Kun omfattende forebyggende beskyttelsestiltak gir pålitelig beskyttelse mot mulig tap av informasjon. Komplekset av slike tiltak inkluderer:

• - regelmessig arkivering av informasjon (opprette sikkerhetskopier av viktige filer og systemområder på harddisken);
• - unngå bruk av utilsiktet innhentede programmer (prøv kun å bruke lovlige måter å skaffe programmer på);
• - innkommende kontroll av ny programvare, mottatte disketter;
• - harddisksegmentering, dvs. dele det inn i logiske partisjoner med differensiering av tilgang til dem;
• - systematisk bruk av revisorprogrammer for å kontrollere integriteten til informasjon;
• - når du søker etter virus (som bør gjøres regelmessig!) prøv å bruke et kjent rent operativsystem lastet fra en diskett. Beskytt disketter fra å skrive hvis det er den minste sjanse for infeksjon.

Hvis du jobber unøyaktig med antivirusprogrammer, kan du ikke bare bære virus med dem, men i stedet for å desinfisere filer, kan du håpløst ødelegge dem. Det er nyttig å ha i det minste en generell ide om hva datavirus kan og ikke kan gjøre, deres livssyklus og de viktigste metodene for beskyttelse.

Ethvert moderne antivirusprodukt er ikke bare et sett med separate deteksjonsteknologier, men også et komplekst beskyttelsessystem bygget på antivirusselskapets egen forståelse av hvordan man sikrer sikkerhet mot skadelig programvare. Samtidig begrenser arkitektoniske og tekniske løsninger som ble tatt i bruk for mange år siden alvorlig muligheten til å endre forholdet mellom proaktive og reaktive beskyttelsesmetoder. For eksempel i antivirussystemet Eset NOD32 både heuristiske og signaturbaserte metoder for å bekjempe ondsinnet kode brukes, men rollene mellom disse to teknologiene er ikke fordelt på samme måte som i andre antivirus: mens de fleste antivirus er avhengige av signaturbaserte metoder, og supplerer dem med heuristikk, Eset NOD32 det motsatte er sant. Hovedmetoden for å motvirke skadelig programvare her er den såkalte Advanced Heuristics, som er en kombinasjon av emulering, heuristikk, algoritmisk analyse og signaturmetode. Som et resultat utvidet heuristikk Eset NOD32 tillate å oppdage nesten 90 % av alle trusler proaktivt, og resten elimineres med signaturbaserte metoder. Påliteligheten til denne tilnærmingen bekreftes av resultatene av uavhengig testing.

Hovedfunksjonelle funksjoner Estest NOD32 er:

• - heuristisk analyse for å oppdage ukjente trusler;
• - ThreatSense-teknologi - filanalyse for å oppdage virus, spyware (spyware), uønskede annonser (adware), phishing-angrep og andre trusler;
• - sjekke og fjerne virus fra filer som er blokkert for opptak (for eksempel DLL-er beskyttet av Windows-sikkerhetssystemet);
• - verifisering av HTTP-, POP3- og PMTP-protokoller.

Installasjon tilbys i tre moduser: Typisk (for de fleste brukere), Avansert (delvis tilpasning av installerte komponenter) og Expert (fullstendig tilpassbar installasjon). Det blir umiddelbart bedt om å indikere om du bruker en proxy-server, og også bedt om noen innstillinger for fremtidige oppdateringer. I tillegg, NOD32 spør på forhånd om du vil bruke det "toveis tidlige varslingssystemet" - funksjonen for å overføre mistenkelige gjenstander funnet på datamaskinen til Eset-laboratoriet. Alle beskyttelseskomponenter vil om ønskelig tilbys for montering med detaljert beskrivelse i etapper.

For å beskytte systemet tilbys følgende moduler til brukerens oppmerksomhet:

• - Antivirus MONitor (AMON). En skanner som automatisk sjekker filer før du starter eller viser dem;
• - NOD32. Skanner hele datamaskinen eller utvalgte deler. Karakteristisk - programmering for å kjøre i timene med minst belastning;
• - Internett-MONitor (IMON). Resident skanner som skanner Internett-trafikk (HTTP) og innkommende e-post mottatt ved hjelp av POP3-protokollen;
• - Send e-post til MONitor (EMON). Modul for arbeid med e-postklienter, skanner innkommende og utgående e-postmeldinger gjennom MAPI-grensesnittet (brukes i Microsoft Outlook og Microsoft Exchange);
• - Document MONitor (DMON). Basert på bruken av den proprietære Microsoft API, validerer Microsoft Office-dokumenter.

Grensesnitt og drift... Hjemmebrukere vil umiddelbart mentalt sammenligne grensesnittet NOD32 med populær nettverksskanner Netlook - Antiviruset bruker en lignende struktur for å få tilgang til komponenter. Grensesnitt NOD32 organisert så ergonomisk og effektivt som mulig. Hovedmenyelementene inneholder underoverskrifter, som igjen åpner et område for arbeid med valgt modul eller komponent til høyre for hovedvinduet. Hvert underelement (bortsett fra skanneren NOD32 ) tilbyr den mest detaljerte innstillingen, som er mer egnet for en spesialist eller administrator enn for en vanlig bruker. Likevel, hvis du ønsker å forstå alle detaljene i modulene NOD32 du vil bli presentert med hjelp som tydelig demonstrerer og forklarer hensikten med innstillingene.

Fornyelse er en av styrkene NOD32 ... I utgangspunktet ble så mange som 3 servere tilbudt å velge mellom med mulighet for ytterligere å legge til adresser. Lokale oppdateringer fra nettverksressurser støttes også. Det er muligheten til å lage disketter eller CDer med oppdateringer. Oppdateringen finner sted med noen timers mellomrom.

Kaspersky Anti-Virus Personal. Kaspersky Anti-Virus Personal er utviklet for antivirusbeskyttelse av personlige datamaskiner som kjører Windows 98 / ME, 2000 / NT / XP operativsystemer fra alle kjente typer virus, inkludert potensielt farlig programvare. Programmet overvåker konstant alle kilder til viruspenetrasjon - e-post, Internett, disketter, CDer, etc. Et unikt system for heuristisk dataanalyse nøytraliserer effektivt ukjente virus. Følgende alternativer for programmet kan skilles fra hverandre (de kan brukes både separat og i kombinasjon):

• - Databeskyttelse i sanntid - skanner alle objekter som startes, åpnes og lagres på datamaskinen for virus;
• - on-demand datamaskinskanning - skann og desinfiser både hele datamaskinen som helhet og individuelle disker, filer eller kataloger. Du kan kjøre en slik sjekk selv eller konfigurere den til å kjøre automatisk med jevne mellomrom.

Kaspersky Anti-Virus Personal skanner ikke lenger objekter som ble analysert under forrige skanning og som ikke har endret seg siden da, ikke bare under sanntidsbeskyttelse, men også under skanning på forespørsel. Denne organiseringen av arbeidet øker hastigheten på programmet betydelig.

Programmet skaper en pålitelig barriere mot penetrasjon av virus via e-post. Kaspersky Anti-Virus Personal skanner og desinfiserer automatisk alle innkommende og utgående e-postmeldinger ved hjelp av POP3- og SMTP-protokollene og oppdager effektivt virus i e-postdatabaser.

Programmet støtter mer enn syv hundre formater av arkiverte og komprimerte filer og gir automatisk antivirusskanning av innholdet deres, samt fjerning av ondsinnet kode fra arkivfiler i formatene ZIP, CAB, RAR, ARJ, LHA og ICE.

Enkelt å tilpasse programmet på grunn av muligheten til å velge ett av tre forhåndsdefinerte nivåer : Maksimal beskyttelse, Anbefalt beskyttelse og Maksimal hastighet.

Antivirusdatabasene oppdateres hver time, og de blir garantert levert dersom internettforbindelsen blir avbrutt eller endret.

Kaspersky Anti-Virus inkluderer en spesiell komponent som beskytter datamaskinens filsystem mot infeksjon - File Anti-Virus . Den starter ved starten av operativsystemet, ligger i datamaskinens RAM og sjekker alle filer du eller programmer åpner, lagrer og kjører.

Som standard skanner File Anti-Virus KUN NYE eller ENDREDE FILER, det vil si filer som er lagt til eller endret siden forrige gang de ble åpnet. Dette er mulig takket være bruken av nye teknologier iChecker og iSwift. For å implementere teknologier brukes en filsjekksumtabell. Filbekreftelsesprosessen utføres i henhold til følgende algoritme:

• - hver fil som en bruker eller et program får tilgang til, blir fanget opp av en komponent;
• - File Anti-Virus ser etter informasjon om den avlyttede filen i iChecker- og iSwift-databasene.

• - hvis det ikke er informasjon om den avlyttede filen i databasen, blir den utsatt for en detaljert antivirusskanning. Kontrollsummen til den sjekkede filen registreres i databasen;
• - hvis det finnes informasjon om en fil i databasen, sammenligner File Anti-Virus den nåværende tilstanden til filen med dens tilstand registrert i databasen på tidspunktet for forrige skanning. Ved fullstendig sammenfall av informasjon, overføres filen til brukeren for arbeid uten verifisering. Hvis filen har endret seg på en eller annen måte, vil den bli sjekket i detalj, og ny informasjon om den vil bli skrevet til databasen.

Verifiseringsprosessen inkluderer følgende trinn:

• - Filen er analysert for virus. Skadelige objekter gjenkjennes basert på trusselsignaturer som brukes i arbeidet. Signaturene inneholder en beskrivelse av alle kjente ondsinnede programmer, trusler, nettverksangrep og metoder for å nøytralisere dem;
• - Som et resultat av analysen er følgende atferd mulig:
  • a) hvis ondsinnet kode oppdages i en fil, blokkerer File Anti-Virus filen, plasserer en kopi av den i sikkerhetskopilagringen og prøver å nøytralisere filen. Som et resultat av vellykket desinfeksjon blir filen tilgjengelig for arbeid, hvis desinfeksjon mislykkes, slettes filen;
  • b) hvis en kode som ligner på ondsinnet blir funnet i filen, men det er ingen 100% garanti for dette, blir filen plassert i en spesiell lagring - karantene;
  • c) hvis ingen skadelig kode blir funnet i filen, blir den umiddelbart tilgjengelig for arbeid.

I tillegg til å sikre beskyttelsen av dataene dine, har programmet tilleggstjenester som utvider mulighetene for å jobbe med Kaspersky Anti-Virus.

I prosessen plasserer programmet noen objekter i spesielle lagre. Målet, som etterstrebes i dette tilfellet, er å gi maksimal databeskyttelse med minimale tap.

Sikkerhetskopier lagring inneholder kopier av objekter som har blitt endret eller slettet som et resultat av bruken av Kaspersky Anti-Virus. Hvis et objekt inneholdt viktig informasjon for deg som ikke kunne lagres fullstendig under antivirusbehandling, kan du alltid gjenopprette objektet fra sikkerhetskopien.

Karantene inneholder potensielt infiserte objekter som ikke kunne behandles med gjeldende versjon av trusselsignaturer.

Noen av tjenestene er rettet mot å hjelpe til med programmet, for eksempel.

Service teknisk støtte gir omfattende hjelp til å jobbe med Kaspersky Anti-Virus. Kaspersky Lab-eksperter prøvde å inkludere alle mulige metoder for å gi støtte: online-støtte, et forum for spørsmål og forslag fra programbrukere, etc.

Varslingstjeneste om hendelser hjelper deg med å konfigurere brukervarsling om viktige punkter i driften av Kaspersky Anti-Virus. Dette kan være både informasjonshendelser og feil som krever akutt eliminering, og det er ekstremt viktig å vite om dem.

Programmer selvforsvarstjeneste og tilgangsbegrensningerå jobbe med det beskytter programmets egne filer fra å bli modifisert og skadet av inntrengere, forbyr ekstern kontroll av programmets tjenester, og introduserer også differensiering av rettighetene til andre brukere av datamaskinen din til å utføre visse handlinger med Kaspersky Anti-Virus. For eksempel kan endring av beskyttelsesnivået påvirke sikkerheten til informasjonen på datamaskinen din betydelig.

Lisensnøkkeladministrasjonstjeneste lar deg motta detaljert informasjon om lisensen som brukes, aktivere din kopi av programmet og også administrere lisensnøkkelfiler.

Opprette en redningsdisk vil tillate deg å gjenopprette datamaskinens ytelse til nivået før infeksjonen. Dette er spesielt nyttig i en situasjon der, etter at ondsinnet kode har skadet systemfiler, er det umulig å starte datamaskinens operativsystem.

Også gitt muligheten til å endre utseendet Kaspersky Anti-Virus og konfigurer innstillingene for gjeldende programgrensesnitt.

Antivirusverktøy AVZ.

Antivirusverktøy AVZ er et verktøy for å undersøke og gjenopprette systemet, og er designet for å automatisk eller manuelt søke og fjerne:

• - SpyWare, AdvWare programmer og moduler (dette er en av hovedformålene med verktøyet);
• - rootkits og skadelig programvare som skjuler prosessene deres;
• - nettverks- og postormer;
• - Trojanske hester (inkludert alle deres varianter, spesielt Trojan-PSW, Trojan-Downloader, Trojan-Spy) og Backdoor (programmer for hemmelig fjernkontroll av datamaskin);
• - Trojanske oppringingsprogrammer (Dialer, Trojan.Dialer, Porn-Dialer);
• - keyloggere og andre programmer som kan brukes til å spore brukeren;

Verktøyet er en direkte analog av Trojan Hunter og LavaSoft Ad-aware 6. Hovedoppgaven til programmet er å fjerne AdWare, SpyWare og trojanere.

Det bør bemerkes med en gang at programmer i SpyWare- og AdWare-kategoriene, per definisjon, ikke er virus eller trojanere. De spionerer på brukeren og laster ned informasjon og programmerer kode til den berørte datamaskinen hovedsakelig av markedsføringsmessige årsaker (dvs. den overførte informasjonen inneholder ikke kritiske data - passord, kredittkortnumre osv., og den nedlastede informasjonen er reklame eller oppdateringer). Men veldig ofte er grensen mellom SpyWare og en trojansk hest ganske vilkårlig og en nøyaktig klassifisering er vanskelig.

En spesiell funksjon i AVZ-programmet er muligheten til å tilpasse programmets reaksjon til hver av kategoriene av ondsinnede programmer - for eksempel kan du angi modusen for ødeleggelse av oppdagede virus og trojanere, men blokkere fjerning av AdWare.

En annen funksjon ved AVZ er mange heuristiske systemsjekker som ikke er basert på signatursøkemekanismen - dette er et søk etter RootKit, keyloggere, forskjellige bakdører basert på typiske TCP / UDP-porter. Søkemetoder som disse kan finne nye typer skadelig programvare.

I tillegg til det typiske filsøket etter signaturer for programmer av denne klassen, har AVZ en innebygd database med digitale signaturer på titusenvis av systemfiler. Bruken av denne databasen lar deg redusere antall falske positive av heuristikk og lar deg løse en rekke problemer. Spesielt har filsøkesystemet et filter for å ekskludere kjente filer fra søkeresultatene, i lederen for kjørende prosesser og SPI-innstillinger utføres fargeutheving av kjente prosesser, når filer legges til karantene, tillegg av kjent AVZ safe filene er blokkert.

Som praksis viser, kan et program som SpyWare ofte klassifiseres som AdWare og omvendt (årsakene er enkle - formålet med spionasje er i de fleste tilfeller målrettet reklame). For slike tilfeller er det introdusert en generaliserende spionkategori i klassifiseringen, som grovt sett kan tolkes som AdWare + SpyWare. Begrepet Spion er oversatt som "spion", "hemmelig agent", "spion", "lirke". Dette begrepet passer godt nok til programmer i denne klassen.

Begrensninger for programmet:

• - siden Verktøyet er først og fremst rettet mot å bekjempe SpyWare- og AdWare-moduler, og for øyeblikket støtter det ikke skanning av enkelte typer arkiver, PE-pakkere og dokumenter. Det er rett og slett ikke nødvendig å gjøre dette for å bekjempe spyware. Ikke desto mindre blir verktøyet forbedret og utseendet til lignende funksjoner er planlagt;
• - verktøyet kurerer ikke programmer infisert med datavirus. For høykvalitets og korrekt behandling av et infisert program kreves spesialiserte antivirus (for eksempel Kaspersky Anti-Virus, Dr Web, etc.).