Оглавление
Введение
1.Компьютерные вирусы
1.1Что такое компьютерный вирус?
1.2Признаки появления вирусов
1.3Классификация вирусов
1.4Основные меры по защите от вирусов
2.Антивирусные средства
2.1Способы противодействия компьютерным вирусам
2.1.1Антивирусные программы
2.1.1.1Требования к антивирусным программам
2.1.1.2Характеристика антивирусных программ
2.1.1.3Методики антивирусных программ
2.1.1.4Краткий обзор антивирусных программ
AVSP
AVP
2.1.2Восстановление пораженных объектов
2.1.3Антивирусная профилактика
2.1.4Сравнительный анализ антивирусных средств
Заключение
Литература
/>Введение
В данной курсовой работе рассмотрена проблема борьбы с компьютернымивирусами, которой занимаются антивирусные программы. Среди набора программ, используемогобольшинством пользователей персональных компьютеров каждый день, антивирусные программытрадиционно занимают особое место. Эти «лекарства» компьютерного мирадля программ и данных в реальном мире можно сравнить, пожалуй, либо с аспирином,либо с контрацептиком. Причем всё «в одном флаконе». В реальной жизни- невозможная смесь. Но современные антивирусные программы представляют собой многофункциональныепродукты, сочетающие в себе как превентивные, профилактические средства, так и средствалечения вирусов и восстановления данных.
Целью курсовой работы явился сравнительный анализ современныхантивирусных средств. Проблема разработки сравнительного анализа современных антивирусныхсредств является очень актуальной. Это связано с тем, что в настоящее время появилосьочень большое количество новых вирусов, с которыми могут бороться не все антивирусныепрограммы. Причем среди антивирусных программ есть и такие, которые не обнаруживаютдаже простейшие вирусы.
Требования к антивирусным программам достаточно противоречивы.С одной стороны, пользователи хотят иметь надежную, мощную антивирусную защиту.С другой стороны, они хотят, чтобы эта защита не требовала от пользователя многовремени и сил. И это вполне естественные требования.
При этом нельзя ни на мгновение отставать от общего развития компьютерногомира. Каждый год приносит новые технологии, в том числе, и в мире компьютерных вирусов.Все эти «новинки» заставляют постоянно совершенствовать антивирусные программы.В известной степени борьба с компьютерными вирусами очень похожа на извечную борьбуброни и снаряда. И в ближайшем будущем эта борьба вряд ли прекратится. Но ничегострашного в этом нет. Пользователю важно лишь не забывать об угрозе компьютерныхвирусов, и принимать для защиты от них меры, не требующие в принципе больших усилийили специальных знаний. Достаточно проводить регулярное резервное копирование важныхданных и пользоваться современными антивирусными программами.
Сравнительный анализ, поможет нам понять, какие из антивирусныхпрограмм лучше использовать, чтобы уберечь свой компьютер от вирусов.
Данная курсовая работа состоит из двух глав, включающих в себякаждый несколько параграфов и подпунктов.
В первой главе приведена теоретическая часть по тому, что представляетсобой компьютерный вирус, представлена классификация всевозможных вирусов, а такжепризнаки появления вирусов и меры, применяемые для защиты от них.
Во второй главе рассказывается о способах противодействия компьютернымвирусам, а также приводиться сравнительная характеристика современных антивирусныхпрограмм.
В заключении подводятся итоги по результатам проведенного исследованияи делаются выводы по поводу полученных результатов.
/>1. Компьютерныевирусы
С проблемой компьютерных вирусов и их возможностей связано, наверное,наибольшее число легенд и преувеличений. Многие люди, а иногда и целые организациипанически бояться заражения своих машин. На самом деле все не так страшно. Чтобыне заразить свои компьютеры, достаточно соблюдать лишь небольшое число элементарныхправил, но соблюдать их неукоснительно.
/>1.1 Что такое компьютерный вирус?
В общем случае компьютерныйвирус– это небольшая программа, которая приписывает себя в конецисполняемых файлов, «драйверов», или «поселяется» в загрузочном секторе диска. Призапуске зараженных программ и драйверов вначале происходит выполнение вируса, ауже потом управление передается самой программе. Если же вирус «поселился» в загрузочномсекторе, то его активизация происходит в момент загрузки операционной системы стакого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняютсяразличные неприятные для пользователя, но необходимые для продолжения жизни данноговируса действия. Это нахождение и заражение других программ, порча данных и т.д.Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузкикомпьютера. После окончания работы вируса управление передается зараженной программе,которая обычно работает «как ни в чем не бывало», маскируя тем самым наличие в системевируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинствопрограмм уже заражено. В этих случаях потери от зловредных действий вируса могутбыть очень велики.
В последнее время появились так называемые макровирусы.Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд(например, документы текстового редактора Word), отсюда и их название. Макровирусыпредставляют собой макрокоманды, которые предписывают переносить тело вируса в другиедокументы. и, по возможности, совершать различные вредные действия. Наибольшее распространениев настоящее время получили макровирусы, заражающие документы текстового редактораWord6.0/7.0 для Windows и табличного редактора Excel5.0/7.0 для Windows.
/>1.2 Признаки появления вирусов
Для маскировки вируса его действия по заражению других программи нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий.После того как вирус выполнит нужные ему действия, он передает управление той программе,в которой он находится, и ее работа некоторое время не отличается от работы незараженной.Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либосообщений, поэтому пользователь часто и не замечает, что компьютер работает со «странностями».К признакам появления вируса можно отнести:
• замедление работы компьютера;
• невозможность загрузки операционной системы;
• частые «зависания» и сбои в работе компьютера;
• прекращение работы или неправильная работа ранее успешно функционировавшихпрограмм;
• увеличение количества файлов на диске;
• изменение размеров файлов;
• периодическое появление на экране монитора неуместных системныхсообщений;
• уменьшение объема свободной оперативной памяти;
• заметное возрастание времени доступа к жесткому диску;
• изменение даты и времени создания файлов;
• разрушение файловой структуры (исчезновение файлов, искажениекаталогов и др.);
• загорание сигнальной лампочки дисковода, когда к нему
нет обращения.
Надо заметить, что названные симптомы необязательно вызываютсякомпьютерными вирусами, они могут быть следствием других причин, поэтому компьютерследует периодически диагностировать.
/>1.3 Классификация вирусов
Известные программные вирусы можно классифицировать по следующимпризнакам:
¨ средеобитания
¨ способузаражения среды обитания
¨ воздействию
¨ особенностямалгоритма
В зависимости от среды обитания вирусы можно разделитьна:
¨ сетевые
¨ файловые
¨ загрузочные
¨ файлово-загрузочные.
Сетевые вирусы распространяются по различным компьютернымсетям.
Файловые вирусы внедряются главным образом в исполняемые модули,т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и вдругие типы файлов, но, как правило, записанные в таких файлах, они никогда не получаютуправление и, следовательно, теряют способность к размножению.
Загрузочные вирусы внедряются в загрузочныйсектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска(Master Boot Record).
Файлово-загрузочные вирусы заражают как файлы,так и загрузочные сектора дисков.
По способу заражения вирусы делятся на:
¨ резидентные
¨ нерезидентные.
Резидентный вирус при заражении (инфицировании)компьютера оставляет в оперативной памяти свою резидентную часть, которая потомперехватывает обращение операционной системы к объектам заражения (файлам, загрузочнымсекторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памятии являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы не заражают память компьютераи являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
¨ неопасные, не мешающие работе компьютера,но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия такихвирусов проявляются в каких-либо графических или звуковых эффектах
¨ опасные вирусы, которые могут привестик различным нарушениям в работе компьютера
¨ оченьопасные,воздействие которых может привести к потере программ, уничтожению данных, стираниюинформации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-забольшого разнообразия. Простейшие вирусы — паразитические, они изменяют содержимоефайлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Вирусы-репликаторы,называемые червями, которые распространяются по компьютерным сетям, вычисляютадреса сетевых компьютеров и записывают по этим адресам свои копии. Вирусы-невидимки,называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить,так как они перехватывают обращения операционной системы к пораженным файлам и секторамдисков и подставляют вместо своего тела незараженные участки диска. Наиболее труднообнаружить вирусы-мутанты (полиморфные вирусы), содержащие алгоритмы шифровки-расшифровки,благодаря которым копии одного и того же вируса не имеют ни одной повторяющейсяцепочки байтов. Имеются и так называемые квазивирусные или«троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, таккак, маскируясь под полезную программу, разрушают загрузочный сектор и файловуюсистему дисков.
/>1.4 Основные меры по защите от вирусов
Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечитьнадежное хранение информации на дисках, необходимо соблюдать следующие правила:
¨ оснаститькомпьютер современными антивирусными программами, например NOD32, Doctor Web, и постоянно обновлять ихверсии
¨ передсчитыванием с дискет информации, записанной на других компьютерах, всегда проверятьэти дискеты на наличие вирусов, запуская антивирусные программы
¨ при переносена компьютер файлов в архивированном виде проверять их сразу же после разархивациина жестком диске, ограничивая область проверки только вновь записанными файлами
¨ периодическипроверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программыдля тестирования файлов, памяти и системных областей дисков с защищенной от записидискеты, предварительно загрузив операционную систему с защищенной от записи системнойдискеты
¨ всегдазащищать дискеты от записи при работе на других компьютерах, если на них не будетпроизводится запись информации
¨ обязательноделать архивные копии на дискетах ценной информации
¨ не оставлятьв кармане дисковода А дискеты при включении или перезагрузке операционной системы,чтобы исключить заражение компьютера загрузочными вирусами
¨ использоватьантивирусные программы для входного контроля всех исполняемых файлов, получаемыхиз компьютерных сетей.
2. />Антивирусные средства
/>2.1 Способы противодействия компьютерным вирусам
Способы противодействия компьютерным вирусам можно разделить нанесколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущербаот такого заражения; методика использования антивирусных программ, в том числе обезвреживаниеи удаление известного вируса; способы обнаружения и удаления неизвестного вируса.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусныепрограммы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующихстопроцентную защиту от вирусов, и заявления о существовании таких систем можнорасценить как либо недобросовестную рекламу, либо непрофессионализм. Таких системне существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритмвируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любойалгоритм вируса всегда можно создать антивирус).
Следует также обратить внимание на несколько терминов, применяемыхпри обсуждении антивирусных программ:
· «Ложноесрабатывание» (False positive) — детектирование вируса в незараженном объекте (файле,секторе или системной памяти). Обратный термин — «False negative», т.е. недетектированиевируса в зараженном объекте.
· «Сканированиепо запросу» («on-demand») — поиск вирусов по запросу пользователя. В этом режимеантивирусная программа неактивна до тех пор, пока не будет вызвана пользователемиз командной строки, командного файла или программы-расписания (system scheduler).
· «Сканированиена-лету» («real-time», «on-the-fly») — постоянная проверка на вирусы объектов, ккоторым происходит обращение (запуск, открытие, создание и т.п.). В этом режимеантивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объектыбез запроса пользователя.
/>2.1.1 Антивирусные программы
Для обнаружения, удаления и защиты от компьютерных вирусов разработаныспециальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такиепрограммы называются антивирусными. Современные антивирусные программы представляютсобой многофункциональные продукты, сочетающие в себе как превентивные, профилактическиесредства, так и средства лечения вирусов и восстановления данных.
/>2.1.1.1 Требования к антивирусным программам
Количество и разнообразие вирусов велико, и чтобыих быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторымпараметрам.
Стабильность и надежность работы. Этот параметр, без сомнения,является определяющим — даже самый лучший антивирус окажется совершенно бесполезным,если он не сможет нормально функционировать на вашем компьютере, если в результатекакого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца.Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.
Размеры вирусной базы программы (количество вирусов, которыеправильно определяются программой). С учетом постоянного появления новых вирусовбаза данных должна регулярно обновляться — что толку от программы, не видящей половинуновых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера.Сюда же следует отнести и возможность программы определять разнообразные типы вирусов,и умение работать с файлами различных типов (архивы, документы). Немаловажным такжеявляется наличие резидентного монитора, осуществляющего проверку всех новых файлов“на лету” (то есть автоматически, по мере их записи на диск).
Скорость работы программы, наличие дополнительныхвозможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическоесканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы,не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным являетсятакже процент ложных срабатываний программы (ошибочное определение вируса в “чистом”файле).
Многоплатформенность (наличие версий программыпод различные операционные системы). Конечно, если антивирус используется толькодома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирусдля крупной организации просто обязан поддерживать все распространенные операционныесистемы. Кроме того, при работе в сети немаловажным является наличие серверных функций,предназначенных для административной работы, а также возможность работы с различнымивидами серверов.
/>2.1.1.2 Характеристика антивирусных программ
Антивирусные программы делятся на:
· программы-детекторы
· программы-доктора
· программы-ревизоры
· программы-фильтры
· программы-вакцины.
Программы-детекторы обеспечивают поиск и обнаружениевирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующеесообщение. Различают детекторы универсальные и специализированные.
Универсальные детекторы в своей работе используютпроверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы.Недостаток универсальных детекторов связан с невозможностью определения причин искаженияфайлов.
Специализированные детекторы выполняют поиск известныхвирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторовсостоит в том, что они неспособны обнаруживать все известные вирусы.
Детектор, позволяющий обнаруживать несколько вирусов, называютполидетектором.
Недостатком таких антивирусных программ является то, что они могутнаходить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора (фаги), не тольконаходят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файлатело программы вируса, возвращая файлы в исходное состояние. В начале своей работыфаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к«лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора,предназначенные для поиска и уничтожения большого количества вирусов.
Учитывая, что постоянно появляются новые вирусы, программы-детекторыи программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программы-ревизоры относятся к самым надежнымсредствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогови системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодическиили по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженныеизменения выводятся на экран видеомонитора. Как правило, сравнение состояний производятсразу после загрузки операционной системы. При сравнении проверяются длина файла,код циклического контроля (контрольная сумма файла), дата и время модификации, другиепараметры.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживаютстелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений,внесенных вирусом.
Программы-фильтры (сторожа) представляют собойнебольшие резидентные программы, предназначенные для обнаружения подозрительныхдействий при работе компьютера, характерных для вирусов. Такими действиями могутявляться:
· попыткикоррекции файлов с расширениями СОМ и ЕХЕ;
· изменениеатрибутов файлов;
· прямаязапись на диск по абсолютному адресу;
· записьв загрузочные сектора диска.
· загрузкарезидентной программы.
При попытке какой-либо программы произвести указанныедействия «сторож» посылает пользователю сообщение и предлагает запретитьили разрешить соответствующее действие. Программы-фильтры весьма полезны, так какспособны обнаружить вирус на самой ранней стадии его существования до размножения.Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуетсяприменить другие программы, например фаги. К недостаткам программ-сторожей можноотнести их «назойливость» (например, они постоянно выдают предупреждениео любой попытке копирования исполняемого файла), а также возможные конфликты с другимпрограммным обеспечением.
Вакцины (иммунизаторы) — это резидентные программы,предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора,«лечащие» этот вирус. Вакцинация возможна только от известных вирусов.Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось наих работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящеевремя программы-вакцины имеют ограниченное применение.
Существенным недостатком таких программ является их ограниченныевозможности по предотвращению заражения от большого числа разнообразных вирусов.
/>2.1.1.3 Методики антивирусных программ
Существует несколько основополагающих методов поиска вирусов,которые применяются антивирусными программами:
· Сканирование
· Эвристическийанализ
· Обнаружениеизменений
· Резидентныемониторы
Антивирусные программы могут реализовывать все перечисленные вышеметодики, либо только некоторые из них.
Сканирование
Сканирование является наиболее традиционным методом поиска вирусов.Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусныепрограммы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.
Недостатком простых сканеров является их неспособность обнаружитьполиморфные вирусы, полностью меняющие свой код. Для этого необходимо использоватьболее сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительноизученные вирусы, для которых была определена сигнатура. Поэтому программы-сканерыне защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляетсяпо несколько штук в день. Как результат, сканеры устаревают уже в момент выходановой версии.
Эвристический анализ
Эвристический анализ зачастую используется совместно со сканированиемдля поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристическийанализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае, скореевсего их лечение будет невозможно.
Если эвристический анализатор сообщает, что файл или загрузочныйсектор, возможно, заражен вирусом, вы должны отнестись к этому с большим вниманием.Необходимо дополнительно проверить такие файлы с помощью самых последних версийантивирусных программ сканеров или передать их для исследования авторам антивирусныхпрограмм.
Обнаружение изменений
Заражая компьютер, вирус делает изменения на жестком диске: дописываетсвой код в заражаемый файл, изменяет системные области диска и т. д. На обнаружениитаких изменений основываются работа антивирусных программ-ревизоров.
Антивирусные программы-ревизоры запоминают характеристики всехобластей диска, которые могут подвергнутся нападению вируса, а затем периодическипроверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможнона компьютер напал вирус.
Следует учитывать, что не все изменения вызваны вторжением вирусов.Так, загрузочная запись может изменится при обновлении версии операционной системы,а некоторые программы записывают внутри своего выполнимого файла данные.
Резидентные мониторы
Антивирусные программы, постоянно находящиеся в оперативной памятикомпьютера и отслеживающие все подозрительные действия, выполняемые другими программами,носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторыимеют очень много недостатков, которые делают этот класс программ малопригоднымидля использования. Они раздражают пользователей большим количеством сообщений, побольшей части не имеющим отношения к вирусному заражению, в результате чего их отключают.
/>2.1.1.4 Краткий обзор антивирусных программ
При выборе антивирусной программы необходимо учитывать не толькопроцент обнаружения вирусов, но и способность обнаруживать новые вирусы, количествовирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.
В настоящее время серьезный антивирус должен уметь распознаватьне менее 25000 вирусов. Это не значит, что все они находятся «на воле».На самом деле большинство из них или уже прекратили свое существование или находятсяв лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, аопасность представляют только несколько десятков из них.
Существует множество антивирусных программ. Рассмотримнаиболее известные из них./>/>/>AVSP
(Anti-Virus Software Protection)
Интересным программным продуктом является антивирус AVSP. Этапрограмма сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторыефункции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирусможет лечить как известные, так и неизвестные вирусы, причем о способе лечения последнихпрограмме может сообщить сам пользователь. К тому же AVSP может лечить самомодифицирующиесяи Stealth-вирусы (невидимки).
При запуске AVSP появляется система окон с меню и информация осостоянии программы. Очень удобна контекстная система подсказок, котораядает пояснения к каждому пункту меню. Она вызывается классически, клавишей F1, именяется при переходе от пункта к пункту. Так же не маловажным достоинством в нашвек Windows-ов и «Полуосей»(OS/2) является поддержка мыши. Существенныйнедостаток интерфейса AVSP — отсутствие возможности выбора пунктов меню нажатиемклавиши с соответствующей буквой, хотя это несколько компенсируется возможностьювыбрать пункт, нажав ALT и цифру, соответствующую номеру этого пункта.
В состав пакета AVSP входит также резидентный драйвер AVSP.SYS,который позволяет обнаруживать большинство невидимых вирусов (кроме вирусов типаGhost-1963 или DIR), дезактивировать вирусы на время своей работы, а также запрещаетизменять READ ONLY файлы.
Ещё одна функция AVSP.SYS — отключение на время работы AVSP.EXEрезидентных вирусов, правда вместе с вирусами драйвер отключает и некоторыедругие резидентные программы. При первом запуске AVSP следует протестировать системуна наличие известных вирусов. При этом проверяется оперативная память, BOOT-сектори файлы. В ряде случаев можно восстанавливать даже файлы, испорченные неизвестнымвирусом. Можно установить проверку размеров файлов, их контрольных сумм, наличиев них вирусов, либо все это вместе. Так же можно указать, что именно проверять (Boot-сектор,память, или файлы). Как и в большинстве антивирусных программ, здесь пользователюпредоставляется возможность выбрать между скоростью и качеством. Суть скоростнойпроверки заключается в том, что просматривается не весь файл, а только его начало;при этом удается обнаружить большинство вирусов. Если же вирус пишется в середину,либо файл заражён несколькими вирусами (при этом «старые» вирусы как быоттесняются в середину «молодым») то программа его и не заметит. Поэтомуследует установить оптимизацию по качеству, тем более что в AVSP качественное тестированиезанимает не намного больше времени, чем скоростное.
При автоматическом определении новых вирусов AVSP может допуститьмножество ошибок. Так что при автоматическом определении шаблона следует не поленитьсяпроверить, действительно ли это вирус и не будет ли этот шаблон встречаться в здоровыхпрограммах.
Если в процессе AVSP обнаружит известный вирус, то следует предпринятьте же действия, как и при работе с Dr.Web: скопировать файл на диск, перезагрузитьсяс резервной дискеты и запустить AVSP. Желательно также, чтобы при этом в памятьбыл загружен драйвер AVSP.SYS, так как он помогает основной программе лечить Stealth-вирусы.
Ещё одной полезной функцией является встроенный дизассемблер.С его помощью можно разобраться, есть ли в файле вирус или при проверке диска произошлоложное срабатывание AVSP. Кроме того, можно попытаться выяснить способ заражения,принцип действия вируса, а также место, куда он «спрятал» замещённые байтыфайла (если мы имеем дело с таким типом вируса). Все это позволит написать процедуруудаления вируса и восстановить испорченные файлы. Ещё одна полезная функция — выдачанаглядной карты изменений. Карта изменений позволяет оценить, соответствуютли эти изменения вирусу или нет, а также сузить область поиска тела вируса при дизассемблировании.
В программе AVSP есть два алгоритма нейтрализации стелс-вирусов(«невидимок») и оба они работают только при наличии активного вируса впамяти. Вот, что происходит при реализации этих алгоритмов: все файлы копируютсяв файлы данных, а потом стираются. Спасаются только файлы с атрибутом SYSTEM. ВAdinf процесс удаления Stealth-ов реализован гораздо проще.
Программа AVSP контролирует также и состояние загрузочных секторов.Если заражен BOOT-сектор на дискете и антивирус не может его вылечить, то следуетстереть загрузочный код. Дискета при этом станет несистемной, но данные при этомне потеряются. С винчестером так поступать нельзя. При обнаружении изменений в одномиз BOOT-секторов жесткого диска AVSP предложит его сохранить в некотором файле,а затем попытается удалить вирус.
/>/>/>AVP
(AntiViral Toolkit Pro)
Данная программа была создана ЗАО «Лаборатория Касперского». AVP обладает одним из самых совершенныхмеханизмов обнаружения вирусов. Сегодня AVP практически ни в чем не уступаетзападным аналогам.
AVP предоставляет пользователям максимум сервиса – возможность обновленияантивирусных баз через Интернет, возможность задания параметров автоматическогосканирования и лечения зараженных файлов. Обновления на сайте AVP появляются практически еженедельно,а база данных включает описания уже почти 40 тысяч вирусов.
AVP состоит из нескольких важных модулей:
1)AVPсканер проверяет жесткие диски напредмет заражения вирусами. Можно задать полный поиск, при котором программа будетпроверять все файлы подряд, а также задать режим проверки архивированных файлов.Одно из главных преимуществ AVP – борьба с макровирусами. Пользователь может выбрать специальныйрежим, при котором будут проверяться документы, созданные в формате Microsoft Office. После обнаружения вирусовили зараженных файлов, AVP предлагает на выбор несколько вариантов: удалить вирусы из файлов,удалить сами зараженные файлы или переместить их в специальную папку.
2)AVPMonitor. Эта программа автоматическизагружается при запуске Windows. AVP Monitor автоматически проверяет все запускаемые на компьютерефайлы и открываемые документы и в случае вирусной атаки сигнализирует об этом пользователю.Более того, в большинстве случаев AVP Monitor просто не дает зараженномуфайлу запуститься, блокируя процесс его выполнения. Эта функция программы оченьполезна для тех, кто постоянно имеет дело со множеством новых файлов, например,для активных пользователей Интернет (т.к. каждые пять минут запускать AVP для проверки скачанных файловневозможно, то здесь на помощь приходит AVP Monitor).
3)AVPInspector – последний и очень важныймодуль комплекта AVP, позволяющий отлавливать даже неизвестные вирусы. «Инспектор» используетметод контроля изменения размера файлов. Внедряясь в файл, вирус неизбежно увеличиваетего объем, и «инспектор» легко его обнаруживает.
Кроме всего перечисленного существует так называемый ЦентрУправления AVP– «пульт управления» всемипрограммами комплекса AVP. Самая важная функция этой программы – встроенныйПланировщик Задач, позволяющий осуществлять оперативную проверку (а если понадобится– и лечение системы) в автоматическом режиме, без участия пользователя, но в заданноеим время.
/>2.1.2 Восстановление пораженных объектов
В большинстве случаев заражения вирусом процедура восстановлениязараженных файлов и дисков сводится к запуску подходящего антивируса, способногообезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточноотослать зараженный файл фирмам-производителям антивирусов и через некоторое время(обычно — несколько дней или недель) получить лекарство-«апдейт» против вируса.Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно.
/>/>/>/>/>/>/>/>Восстановление файлов-документов и таблиц
Для обезвреживания Word и Excel достаточно сохранить всю необходимуюинформацию в формате не документов и не таблиц — наиболее подходящим является текстовыйRTF-формат, содержащий практически всю информацию из первоначальных документов ине содержащий макросов. Затем следует выйти из Word/Excel, уничтожить все зараженныеWord-документы, Excel-таблицы, NORMAL.DOT у Word и все документы/таблицы в StartUp-каталогахWord/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицыиз RTF-файлов.
В результате этой процедуры вирус будет удален из системы, а практическився информация останется без изменений. Однако этот метод имеет ряд недостатков.Основной из них — трудоемкость конвертирования документов и таблиц в RTF-формат,если их число велико. К тому же в случае Excel необходимо отдельно конвертироватьвсе Листы (Sheets) в каждом Excel-файле. Второй недостаток — потеря невирусных макросов,используемых при работе. Поэтому перед запуском описанной процедуры следует сохранитьих исходный текст, а после обезвреживания вируса — восстановить необходимые макросыв первоначальном виде.
/>/>/>/>/>/>/>/>Восстановление файлов
В подавляющем большинстве случаев восстановление зараженных файловявляется достаточно сложной процедурой, которую невозможно произвести «руками» безнеобходимых знаний — форматов выполняемых файлов, языка ассемблера и т.д. К томуже обычно зараженными на диске оказываются сразу несколько десятков или сотен файлови для их обезвреживания необходимо разработать собственную программу-антивирус (можнотакже воспользоваться возможностями редактора антивирусных баз из комплекта AVP).
При лечении файлов следует учитывать следующие правила:
· необходимопротестировать и вылечить все выполняемые файлы (COM, EXE, SYS, OVL) во всех каталогахвсех дисков вне зависимости от атрибутов файлов (т.е. файлы read-only, системныеи скрытые);
· желательносохранить неизменными атрибуты и дату последней модификации файла;
· необходимоучесть возможность многократного поражения файла вирусом («бутерброд» из вирусов).
Само лечение файла производится в большинстве случаев одним изнескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинствеслучаев это сводится к восстановлению заголовка файла и уменьшению его длины.
/>2.1.3 Антивирусная профилактика
Необходимо всегда иметь диск, записанный на не зараженном компьютере.На этот диск надо записать последние версии антивирусных программ-полифагов, такихкак Doctor Web или Antiviral Toolkit Pro. Кроме антивирусных программ, на диск полезнозаписать драйверы внешних устройств компьютера, например драйвер устройства чтениякомпакт-дисков, программы для форматирования дисков — format и переноса операционнойсистемы — sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.
Диск будет полезен не только в случае нападения вирусов. Им можновоспользоваться для загрузки компьютера в случае повреждения файлов операционнойсистемы.
Необходимо периодически проверять компьютер на заражение вирусами.Выполнять проверку не только выполнимых файлов, имеющих расширение COM, EXE, нотакже пакетных файлов BAT и системных областей дисков.
Если в компьютере записано много файлов, их проверка антивирусами-полифагами,скорее всего, будет отнимать достаточно много времени. Поэтому во многих случаяхпредпочтительней для повседневной проверки использовать программы-ревизоры, а новыеи изменившиеся файлы подвергать проверке полифагами.
Практически все ревизоры в случае изменения системных областейдиска (главной загрузочной записи и загрузочной записи) позволяют восстановить их,даже в том случае если неизвестно, какой именно вирус их заразил. Лечащий модульADinf Cure Module даже позволяет удалять неизвестные файловые вирусы.
Практически все современные антивирусы могут правильно работатьдаже на зараженном компьютере, когда в его оперативной памяти находится активныйвирус. Однако перед удалением вируса все же рекомендуется предварительно загрузитькомпьютер с диска, чтобы вирус не смог препятствовать лечению.
Когда производится загрузка компьютера с диска, следует обратитьвнимание на два важных момента.
Во-первых, для перезагрузки компьютера надо использовать кнопкуReset, расположенную на корпусе системного блока, или даже временно выключить егопитание. Не использовать для перезагрузки комбинацию из трех известных клавиш. Некоторыевирусы могут остаться в памяти даже после этой процедуры.
Во-вторых, перед перезагрузкой компьютера с диска проверить конфигурациюдисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузкиоперационной системы (должна быть установлена приоритетная загрузка с диска), записаннуюв энергонезависимой памяти. Существуют вирусы, ловко меняющие параметры, записанныев энергонезависимой памяти компьютера, в результате чего компьютер загружается сзараженного вирусом жесткого диска, в то время как оператор думает, что загрузкапроисходит с чистого диска.
Обязательно проверять с помощью антивирусных программ все дискии все программы, поступающие на ПК через любые носители или через модем. Если компьютерподключен к локальной сети, необходимо проверять файлы, полученные через сеть отдругих пользователей.
С появлением вирусов, распространяющихся через макрокоманды текстовогопроцессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо особенновнимательно проверять не только выполнимые файлы программ и системные области дисков,но также и файлы документов.
Крайне важно постоянно следить за выходом новых версий применяемыхантивирусных средств и своевременно выполнять их обновления на диске и компьютере;использовать для восстановления зараженных файлов и системных областей диска толькосамые последние версии антивирусов.
/>2.1.4 Сравнительный анализ антивирусных средств.
Существует много различных антивирусных программ как отечественного,так и неотечественного происхождения. И для того, чтобы понять какая из антивирусныхпрограмм лучше, проведем их сравнительный анализ. Для этого возьмем современныеантивирусные программы, а также такие, которые наиболее часто используются пользователямиПК.Panda Antivirus2008 3.01.00
Совместимые системы: Windows 2000/XP/Vista
Установка
Сложнопредставить себе более простую и быструю установку, чем предлагает Panda 2008. Намлишь сообщают, от каких угроз защитит данное приложение и без всякого выбора типаустановки или источника обновлений менее чем через минуту предлагают защиту от вирусов,червей, троянов, spyware и фишинга, предварительно произведя сканирование памятикомпьютера на предмет наличия вирусов. При этом некоторые другие расширенные функциисовременных антивирусов, такие, как блокировка подозрительных веб-страниц или защиталичных данных, он не поддерживает.
Интерфейси работа
Интерфейспрограммы очень яркий. Присутствующие настройки обеспечивают минимальный уровеньизменений, в наличии только самое необходимое. Вообще, самостоятельная настройкав данном случае не является обязательной: параметры по умолчанию соответствуют большинствупользователей, обеспечивая защиту от фишинговых атак, spyware, вирусов, хакерскихприложений и других угроз.
ОбновлятьсяPanda может только через интернет. Причем обновление настоятельно рекомендуетсяустановить сразу же после установки антивируса, в противном случае, Panda небольшим,но достаточно заметным окошком внизу экрана будет регулярно требовать доступ к «родительскому»серверу, указывая на низкий уровень текущей защиты.
Всеугрозы Panda 2008 разделяет на известные и неизвестные. В первом случае мы можемотключить проверку тех или иных видов угроз, во втором случае определяем, подвергатьли файлы, IM-сообщения и электронные письма глубокому сканированию для поиска неизвестныхвредоносных объектов. Если Panda обнаруживает подозрительное поведение какого-либоприложения, то немедленно сообщит вам, обеспечивая таким образом защиту от угроз,не включенных в базу данных антивируса.
Pandaпозволяет производить сканирование всего жесткого диска или отдельных его участков.При этом следует помнить, что по умолчанию проверка архивов отключена. В меню настроекпредставлены расширения файлов, подвергающихся сканированию, в случае надобностиможно добавить собственные расширения. Отдельного упоминания заслуживает статистикаобнаруженных угроз, которая представлена в виде круговой диаграммы, наглядно демонстрирующейдолю каждого вида угрозы в общем количестве вредоносных объектов. Отчет обнаруженныхобъектов можно формировать по выбранному промежутку времени.
Dr.Web4.44
· минимальныесистемные требования: наличие Windows 98/NT/Me/2000/XP.
Аппаратные требования соответствуют заявленным для указанных ОС.
Основныефункциональные особенности:
· защитаот червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков,adware, хакерских утилит и вредоносных скриптов;
· обновлениеантивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;
· проверкасистемной памяти компьютера, позволяющая обнаружить вирусы, не существующие в видефайлов (например, CodeRed или Slammer);
· эвристическийанализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующихобновлений вирусных баз.
Установка
ВначалеDr.Web честно предупреждает, что не собирается уживаться с другими антивируснымиприложениями и просит убедиться в отсутствии таковых на компьютере. В противномслучае совместная работа может привести к «непредсказуемым последствиям».Далее выбираем «Выборочную» или «Обычную» (рекомендуемую) установкуи приступаем к изучению представленных основных компонентов:
· сканердля Windows. Проверка файлов в ручном режиме;
· консольныйсканер для Windows. Предназначен для запуска из командных файлов;
· SpiDerGuard. Проверкафайлов «на лету», предотвращение заражений в режиме реального времени;
· SpiDerMail. Проверкасообщений, поступающих через протоколы POP3, SMTP, IMAP и NNTP.
Интерфейси работа
Вглаза бросается отсутствие согласованности в вопросе интерфейса между модулями антивируса,что создает дополнительный визуальный дискомфорт при и так не слишком дружелюбномдоступе к компонентам Dr.Web. Большое количество всевозможных настроек явно не рассчитанона начинающего пользователя, однако довольно подробная справка в доступной формеобъяснит назначение тех или иных интересующих вас параметров. Доступ к центральномумодулю Dr.Web – сканер для Windows – осуществляется не через трей, как у всех рассмотренныхв обзоре антивирусов, а только через «Пуск» – далеко не лучшее решение,которое в свое время было исправлено в Антивирусе Касперского.
Обновлениедоступно как через Интернет, так и с помощью прокси-серверов, что при небольшихразмерах сигнатур представляет Dr.Web весьма привлекательным вариантом для среднихи крупных компьютерных сетей.
Задатьпараметры проверки системы, порядок обновления и настройку условий работы каждогомодуля Dr.Web можно с помощью удобного инструмента «Планировщик», которыйпозволяет создать слаженную систему защиты из «конструктора» компонентовDr.Web.
Витоге мы получаем нетребовательную к ресурсам компьютера, достаточно несложную (приближайшем рассмотрении) целостную защиту компьютера от всевозможных угроз, чьи возможностипо противодействию вредоносным приложениям однозначно перевешивают единственныйнедостаток, выраженный «разношерстным» интерфейсом модулей Dr.Web.
Рассмотримпроцесс непосредственного сканирования выбранной директории. В качестве «подопытного»использовалась папка, заполненная текстовыми документами, архивами, музыкой, видеои прочими файлами, присущими винчестеру среднестатистического пользователя. Общийобъем информации составил 20 GB. Первоначально предполагалось сканирование разделавинчестера, на котором была установлена система, но Dr.Web вознамерился растянутьпроверку на два-три часа, досконально изучая системные файлы, в итоге под «полигон»была отведена отдельная папка. В каждом антивирусе были использованы все предоставленныевозможности по настройке максимального числа проверяемых файлов.
Первоеместо по отношению к затраченному времени досталось Panda 2008. Невероятно, но факт:сканирование заняло всего пять (!) минут. Dr.Web отказался рационально использоватьвремя пользователя и более полутора часов изучал содержимое папок. Время, показанноеPanda 2008, вызвало некоторые сомнения, требовавшие дополнительной диагностики,казалось бы, незначительного параметра – количества проверенных файлов. Сомненияпоявились не зря, и нашли практическое основание при повторных испытаниях. Следуетотдать должное Dr.Web – антивирус не напрасно потратил столько времени, продемонстрировавлучший результат: чуть больше 130 тысяч файлов. Оговоримся, что, к сожалению, определитьточное количество файлов в тестовой папке не представлялось возможным. Поэтому показательDr.Web был принят как отражающий реальное положение в данном вопросе.
Кпроцессу «крупномасштабного» сканирования пользователи относятся по-разному:одни предпочитают оставлять компьютер и не мешать проверке, другие не желают идтина компромисс с антивирусом и продолжают работать или играть. Последний вариант,как оказалось, без проблем позволяет осуществить Panda Antivirus. Да, эта программа,в которой оказалось невозможным выделить ключевые особенности, при любой конфигурациипричинит единственное беспокойство зеленой табличкой, возвещающей об успешном завершениисканирования. Звание наиболее стабильного потребителя оперативной памяти получилDr.Web, в режиме полной загрузки его функционирование потребовало всего на несколькомегабайт больше, чем при обычной работе.
Теперьрассмотрим более подробно такие антивирусы как:
1. АнтивирусКасперского 2009;
2. Dr. Web;
3. Panda Antivirus 2008;
4. NOD 32.
последующим критериям:
· Оценкаудобства пользовательского интерфейса;
· Оценкаудобства в работе;
· Анализнабора технических возможностей;
· Оценкастоимости.
Извсех рассмотренных антивирусов наиболее дешевым является Panda Antivirus 2008, а самым дорогим NOD 32. Но это не значит, чтоPanda Antivirus 2008 хуже и об этом говорятостальные критерии. Три программы из четырех рассмотренных (Антивирус Касперского,Panda Antivirus, NOD 32) имеют более простой, функциональныйи удобный интерфейс, чем Dr. Web, который имеет множество настроек, непонятных начинающемупользователю. В программе можно воспользоваться подробной справкой, которая объяснитназначение тех, или иных необходимых вам параметров.
Всепрограммы предлагают надежную защиту от червей, традиционных вирусов, почтовых вирусов,шпионских программ, троянских программ и т.д. Проверка файлов в таких программахкак Dr. Web, NOD 32, осуществляется при запуске системы, а вот Антивирус Касперскогопроверяет файлы в момент обращения к ним. Антивирус Касперского, NOD 32 в отличие от всех остальныхобладают продвинутой системой проактивной защиты, базирующейся на алгоритмах эвристическогоанализа; возможностью поставить пороль и, тем самым, защитить программу от вирусов,нацеленных на разрушение антивирусной защиты. Помимо этого Антивирус Касперского2009 обладает поведенческим блокиратором. Panda Antivirus в отличие от всех остальныхне поддерживает блокировку подозрительных веб-страниц или защиту личных данных.Все эти антивирусы имеют автоматическое обновление баз и планировщик задач. Такжеэти антивирусные программы полностью совместимы с Vista. Но все они кроме Panda Antivirus требуют, чтобы помимо нихв системе не было других подобных программ. На основе этих данных составим таблицу.
Таблица.1Характеристика антивирусных программкритерии Антивирус Касперского 2009 NOD 32 Dr. Web Panda Antivirus Оценка стоимости - - - + Оценка удобства пользовательского интерфейса + + -
+
- Оценка удобства в работе + + +- - Анализ набора технических возможностей + + + - Общее впечатление о программе + +
+
- -
Каждыйиз рассмотренных антивирусов по тем или иным показателям заслужил свою популярность,но абсолютно идеального решения для всех категорий пользователей не существует.
Помоему мнению, наиболее полезными являются Антивирус Касперского 2009 и NOD 32. Так как они обладают почтивсеми требованиями, которыми должна обладать антивирусная программа. Это и интерфейси набор технических возможностей. В общем, в них есть то, что необходимо для того,чтобы обезопасить свой компьютер от вирусов.
/>Заключение
В заключение данной курсовой работы хотелось бы сказать о том,что поставленная мною цель — проведение сравнительного анализа современных антивирусныхсредств — была достигнута. В связи с этим были решены следующие задачи:
1. Подобраналитература по данной теме.
2. Изученыразличные антивирусные программы.
3. Проведеносравнение антивирусных программ.
При выполнении курсовой я столкнулась с рядом проблем, связанныхс поиском информации, т. к. во многих источниках она довольно противоречива; а такжесо сравнительным анализом преимуществ и недостатков каждой антивирусной программыи построением сводной таблицы.
Еще раз стоит отметить, что универсальной антивирусной программыне существует. Ни одна из них не может гарантировать нам 100% защиты от вирусов,и во многом выбор антивирусной программы зависит от самого пользователя.
/>Литература
1. Журналдля пользователей персональных компьютеров «Мир ПК»
2. ЛеонтьевВ.П. «Новейшая энциклопедия персонального компьютера»
3. http://www.viruslist.com