ОТЧЕТ
попроизводственной практике
местопрохождения практики:
РВЦ -3 Информационно-вычислительногоцентра
Октябрьскойжелезной дороги
Тема:
ИССЛЕДОВАНИЕСПОСОБОВ ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ ПРОГРАММНЫМИ МЕТОДАМИ И ВЫБОР ОПТИМАЛЬНОГОАНТИВИРУСНОГО КЛИЕНТА
Задача:
Исследованиеспособов защиты от компьютерных вирусов программными методами, и выбороптимального антивирусного клиента
1. Понятие окомпьютерных вирусах
Компьютерный вирус — это программный код, встроенный вдругую программную среду (модуль, исполняемый файл, текстовый документ, загрузочныесектора носителя и пр.), предназначенный для выполнения несанкционированныхдействий на компьютере, зараженном данным вирусом.
Вирусы можноразделить на классы по следующим основным признакам:
– средаобитания;
– операционнаясистема (OC);
– особенностиалгоритма работы;
– деструктивныевозможности.
В своюочередь, по среде обитания вирусы делятся на файловые, загрузочные, макро исетевые.
Файловые вирусы различными «хитрыми»способами внедряются в выполняемые файлы, либо создают файлы-двойники (т.н.компаньон-вирусы), а также могут использовать особенности организации файловойсистемы (link-вирусы).
Загрузочные вирусызаписывают самоё себя либо в загрузочный сектор диска (boot-сектор), либо всектор, содержащий главную загрузочную область (MBR, Master Boot Record). BIOSмногих материнских плат содержит опцию защиты от вирусов, однако же, на делетакой «щит» весьма символичен, так как запрещает изменять загрузочнуюзапись, и не более того.
Макро-вирусы заражают документы и электронныетаблицы нескольких популярных редакторов, в частности файлы Microsoft Word иExcel.
Сетевые вирусы используют для своего распространенияпротоколы или команды компьютерных сетей и электронной почты.
Довольно часто вирусбывает представлен в виде файлово-загрузочного вируса. Такие вирусы имеютсложный алгоритм работы, часто применяют оригинальные методы проникновения всистему, используют стелс- и полиморфик-технологии. Другой пример такогосочетания — сетевой макро-вирус, который не только заражает редактируемыедокументы, но и рассылает свои копии по электронной почте.
Следующий признак — заражаемая операционная система, точнее, ОС, объекты которой подверженызаражению. Каждый файловый или сетевой вирус заражает файлы какой-либо однойили нескольких систем — DOS, Windows 2000, Win95/NT, OS/2 и т.д.
Третий главный признакклассификации — особенности алгоритма работы вирусов. Но и здесь не все просто- приходится выделять следующие дополнительные пункты: резидентность;использование стелс-алгоритмов; самошифрование и полиморфичность, а такжеиспользование нестандартных приемов.
Вирус-резидент при заражении оставляет воперативной памяти свою резидентную часть, которая затем перехватываетобращения операционной системы к объектам заражения и внедряется в них.Резидентные вирусы находятся в памяти и являются активными вплоть до выключениякомпьютера или перезагрузки операционной системы. Некоторые вирусы оставляют воперативной памяти небольшие резидентные программы, которые не распространяютвирус. Такие вирусы считаются нерезидентными.
В многозадачныхоперационных системах (например, Windows 2000/XP) жизнь резидентного DOS-вирусакоротка и ограничена моментом закрытия зараженного DOS-окна, активность жезагрузочных вирусов в некоторых операционных системах ограничивается моментоминсталляции дисковых драйверов OC
Использование стэлс-алгоритмовпозволяет вирусам полностью или частично скрыть себя в системе. Наиболеераспространенным стелс-алгоритмом является перехват запросов OC начтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечатих, либо предлагают вместо себя незараженные участки информации.
Для борьбы смакро-вирусами давно существует простой способ — запрет вызовов меню просмотрамакросов. Второй способ состоит в следующем — изменить расширение DOCпотенциально зараженного документа на RTF, поскольку в таком форматемакро-вирусы не приживаются. Методы полиморфичности и самошифрованияиспользуются практически всеми типами вирусов для того, чтобы максимальноосложнить процесс определения вируса. Полиморфик-вирусы (polymorphic) — этовирусы, вызывающие наиболее сильную «головную боль», так как несодержат ни одного постоянного участка кода. В большинстве случаев два образцаодного и того же полиморфик-вируса не будут иметь ни одного совпадения. Этодостигается шифрованием основного тела вируса и модификациямипрограммы-расшифровщика.
По деструктивнымвозможностям (четвертая часть основной классификации) вирусы часто разделяютна:
Безвредные, т.е. никак не влияющие на работукомпьютера (кроме уменьшения свободной памяти на диске в результате своегораспространения).
Неопасные — влияние ограничивается уменьшениемсвободной памяти на диске и графическими, звуковыми и пр. эффектами. Типичнымипредставителями являются вирусы семейства Jokes — после запуска Java-скрипта, которыйсодержится внутри html-документа, у пользователя начинает произвольно передвигатьсяпо экрану окно Internet Explorer.
Опасные вирусы, которые могут привести к серьезнымсбоям в работе компьютера. К этому классу можно отнести вирусы, именуемые«Интернет-червями» (всевозможные I-Worm.Hybris и I-Worm.Tanatos).
Очень опасные, в алгоритм работы которых заведомозаложены процедуры, которые могут привести к потере программ, уничтожитьданные, стереть необходимую для работы компьютера информацию, записанную в системныхобластях памяти, и выводу из строя микросхемы BIOS. Типичный враг — вирусWIN95.CIH («Чернобыль»). Сейчас чрезвычайно активны вирусыI-Worm.Klez (по 13-м числам чётных месяцев червь ищет на всех дискахзаражённого компьютера все файлы и заполняет их случайным содержимым. Такиефайлы не подлежат восстановлению и должны быть заменены с резервных копий.Отдельной группой следует выделить вредоносные программы, которые в просторечииименуются «троянскими программами» или просто «троянами».
/>2. Основныеметоды определения вирусов
Антивирусные программыразвивались параллельно с эволюцией вирусов. По мере того как появлялись новыетехнологии создания вирусов, усложнялся и математический аппарат, которыйиспользовался в разработке антивирусов.
Первые антивирусныеалгоритмы строились на основе сравнения с эталоном. Речь идет о программах, вкоторых вирус определяется классическим ядром по некоторой маске. Смыслалгоритма заключается в использовании статистических методов. Маска должнабыть, с одной стороны, маленькой, чтобы объем файла был приемлемых размеров, ас другой — достаточно большой, чтобы избежать ложных срабатываний (когда «свой»воспринимается как «чужой», и наоборот).
Первые антивирусныепрограммы, построенные по этому принципу (так называемые сканеры-полифаги),знали некоторое количество вирусов и умели их лечить. Создавались эти программыследующим образом: разработчик, получив код вируса (код вируса поначалу былстатичен), составлял по этому коду уникальную маску (последовательность 10-15 байт)и вносил ее в базу данных антивирусной программы. Антивирусная программа сканировалафайлы и, если находила данную последовательность байтов, делала заключение отом, что файл инфицирован. Данная последовательность (сигнатура) выбираласьтаким образом, чтобы она была уникальной и не встречалась в обычном наборе данных.
Описанные подходыиспользовались большинством антивирусных программ вплоть до середины 90-хгодов, когда появились первые полиморфные вирусы, которые изменяли свое тело понепредсказуемым заранее алгоритмам. Тогда сигнатурный метод был дополнен такназываемым эмулятором процессора, позволяющим находить шифрующиеся иполиморфные вирусы, не имеющие в явном виде постоянной сигнатуры.
Принцип эмуляциипроцессора демонстрируется рисунке 1 (см. след. страницу). Если обычно условнаяцепочка состоит из трех основных элементов: ЦПУ, ОС, Программа, то при эмуляциипроцессора в такую цепочку добавляется эмулятор. Эмулятор как бы воспроизводитработу программы в некотором виртуальном пространстве и реконструирует ееоригинальное содержимое. Эмулятор всегда способен прервать выполнениепрограммы, контролирует ее действия, не давая ничего испортить, и вызываетантивирусное сканирующее ядро.
/>
Рис.1. схема работыэмулятора процесса
Второй механизм,появившийся в середине 90-х годов и использующийся всеми антивирусами, – этоэвристический анализ. Дело в том, что аппарат эмуляции процессора, которыйпозволяет получить выжимку действий, совершаемых анализируемой программой, невсегда дает возможность осуществлять поиск по этим действиям, но позволяетпроизвести некоторый анализ и выдвинуть гипотезу типа «вирус или не вирус?».
В данном случае принятиерешения основывается на статистических подходах. А соответствующая программаназывается эвристическим анализатором.
Для того чтобыразмножаться, вирус должен совершать какие-либо конкретные действия:копирование в память, запись в сектора и т.д. Эвристический анализатор (онявляется частью антивирусного ядра) содержит список таких действий,просматривает выполняемый код программы, определяет, что она делает, и на основеэтого принимает решение, является данная программа вирусом или нет.
При этом процент пропускавируса, даже неизвестного антивирусной программе, очень мал. Данная технологиясейчас широко используется во всех антивирусных программах.
/>3. Классификацияантивирусных программ
Классифицируютсяантивирусные программы на чистые антивирусы и антивирусы двойного назначения.
Чистые антивирусыотличаются наличием антивирусного ядра, которое выполняет функцию сканированияпо образцам. Принципиальным в этом случае является то, что возможно лечение,если известен вирус. Чистые антивирусы, в свою очередь, по типу доступа кфайлам подразделяются на две категории: осуществляющие контроль по доступу (onaccess) или по требованию пользователя (on demand). Обычно on access-продуктыназывают мониторами, а on demand-продукты — сканерами.
Оn demand-продуктработает по следующей схеме: пользователь хочет что-либо проверить и выдаетзапрос (demand), после чего осуществляется проверка. On access-продукт — эторезидентная программа, которая отслеживает доступ и в момент доступаосуществляет проверку.
/>
Рис.2.Схема классификацииантивирусных программ
Кроме того, антивирусныепрограммы, так же как и вирусы, можно разделить в зависимости от платформы,внутри которой данный антивирус работает. В этом смысле наряду с Windows илиLinux к платформам могут быть отнесены Microsoft Exchange Server, MicrosoftOffice, Lotus Notes.
Программы двойногоназначения — это программы, используемые как в антивирусах, так и в ПО, котороеантивирусом не является. Например, CRC-checker — ревизор изменений на основеконтрольных сумм — может использоваться не только для ловли вирусов.Разновидностью программ двойного назначения являются поведенческие блокираторы,которые анализируют поведение других программ и при обнаружении подозрительныхдействий блокируют их. От классического антивируса с антивирусным ядром,распознающего и лечащего от вирусов, которые анализировались в лаборатории икоторым был прописан алгоритм лечения, поведенческие блокираторы отличаютсятем, что лечить от вирусов они не умеют, поскольку ничего о них не знают.Данное свойство блокираторов позволяет им работать с любыми вирусами, в томчисле и с неизвестными. Это сегодня приобретает особую актуальность, посколькураспространители вирусов и антивирусов используют одни и те же каналы передачиданных, то есть Интернет. При этом антивирусной компании всегда нужно время нато, чтобы получить сам вирус, проанализировать его и написать соответствующиелечебные модули. Программы из группы двойного назначения как раз и позволяютблокировать распространение вируса до того момента, пока компания не напишетлечебный модуль.
/>4.Обзор основных антивирусных средств
4.1 АнтивирусКасперского
/>PersonalPro v. 4.0
Разработчик:«Лаборатория Касперского»
Web-сайт: www.kaspersky.ru/
Размер дистрибутива 13Мб
Программа работает подуправлением Windows 98/Me/NT4.0/2000 Pro/XP
Антивирус КасперскогоPersonal Pro функционально состоит из нескольких модулей.
Модуль Office Guardдержит под контролем выполнение макросов, пресекая все подозрительные действия.Наличие модуля Office Guard дает стопроцентную защиту от макровирусов.
Ревизор Inspectorотслеживает все изменения в вашем компьютере и при обнаружениинесанкционированных изменений в файлах или в системном реестре позволяетвосстановить содержимое диска и удалить вредоносные коды. Inspector не требуетобновлений антивирусной базы: контроль целостности осуществляется на основеснятия оригинальных отпечатков файлов и их последующего сравнения с измененнымифайлами. В отличие от других ревизоров, Inspector поддерживает все наиболеепопулярные форматы исполняемых файлов.
/>
Рис.3. АнтивирусКасперского
В АVP интегрированауникальная технология поиска неизвестных вирусов, основанная на принципахэвристического анализа второго поколения, благодаря чему программа способназащитить компьютер даже от неизвестных вирусов.
Фоновый перехватчиквирусов Monitor, постоянно присутствующий в памяти компьютера, проводитантивирусную проверку всех файлов непосредственно в момент их запуска, созданияили копирования, что позволяет контролировать все файловые операции ипредотвращать заражение даже самыми технологически совершенными вирусами.
Антивирусная фильтрацияэлектронной почты предотвращает возможность проникновения вирусов на компьютер.Встраиваемый модуль Mail Checker не только удаляет вирусы из письма, но иполностью восстанавливает оригинальное содержимое электронных писем.Комплексная проверка почты не позволяет вирусу укрыться ни в одном из элементовэлектронного письма за счет проверки всех участков входящих и исходящихсообщений, включая прикрепленные файлы (в том числе архивированные иупакованные) и другие сообщения любого уровня вложенности.
Антивирусный сканерScanner дает возможность проводить полномасштабную проверку всего содержимоголокальных и сетевых дисков по требованию.
Перехватчикскрипт-вирусов Script Checker обеспечивает антивирусную проверку всехзапускаемых скриптов до того, как они будут выполнены.
Поддержка архивированныхи компрессированных файлов обеспечивает возможность удаления вредоносного кодаиз зараженного компрессированного файла.
Изоляция инфицированныхобъектов обеспечивает изоляцию зараженных и подозрительных объектов с последующимих перемещением в специально организованную директорию для дальнейшего анализаи восстановления.
Автоматизацияантивирусной защиты позволяет создавать расписание и порядок работы компонентовпрограммы; автоматически загружать и подключать новые обновления антивируснойбазы через Интернет; рассылать предупреждения об обнаруженных вирусных атакахпо электронной почте и т.д.
Недостатки: при работе в фоновом режиме мониторсущественно влияет на быстродействие системы.
/>4.2 Doctor Web дляWindows 95-XP
Dr.Web 4.29
Разработчик: «ЛабораторияДанилова» и «ДиалогНаука»
Web-сайт: www.dialognauka.ru/,www.Dr.Web.ru/
Размер дистрибутива 3,5Мб
Программа работает подуправлением Windows 98/Me/NT4.0/2000 Pro/XP
Антивирус представляетсобой комбинацию антивирусного сканера Doctor Web и резидентного сторожа SpIDerGuard, интегрированного в операционную систему компьютера. Один из самыхсовершенных в мире эвристических анализаторов Doctor Web в сочетании сежедневно обновляющимися вирусными базами представляет собой надежную защиту отвирусов, троянских коней, почтовых червей и иных видов вредоносного программногокода.
/>
Рис.4. Dr.Web 4.29c
Программа построена помодульному принципу, то есть разделена на оболочку, ориентированную на работу вконкретной среде, и ядро, не зависимое от среды. Подобная организация позволяетиспользовать одни и те же файлы вирусной базы Dr.Web для разных платформ,подключать ядро к различным оболочкам и приложениям, реализовывать механизмавтоматического пополнения вирусных баз и обновления версий оболочки и ядрачерез сеть Интернет.
Программа предлагаетнаглядные средства выбора объектов тестирования путем просмотра дереваподкаталогов. Обновление антивирусной базы производится автоматически черезИнтернет.
Сторож SpIDerосуществляет анализ всех опасных действий работающих программ и блокируетвирусную активность практически всех известных и еще неизвестных вирусов.Благодаря технологии SpIDer-Netting программа сводит к нулю процент ложныхсрабатываний и пресекает все виды вирусной активности. Данная технологияпозволяет не допустить заражения компьютера вирусом, даже если этот вирус не сможетбыть определен сканером Doctor Web с включенным эвристическим анализатором. Вотличие от ряда других существующих резидентных сторожей, реагирующих на каждоепроявление вирусоподобной активности и тем самым быстро утомляющих пользователясвоей назойливой подозрительностью, SpIDer проводит эвристический анализ по совокупностивирусоподобных действий, что позволяет избежать большинства случаев ложныхреакций на вирус.
Недостатки: сканирование системы на этапеустановки, что ощутимо затягивает процесс инсталляции.
Достоинства: малый размер дистрибутива ипрактически неощутимое влияние на работу системы в целом.
/>
4.3 NortonAntiVirus Professional Edition
Разработчик: КомпанияSymantec
Web-сайт: www.symantec.ru/
Размер дистрибутива 22Мб
Программа работает подуправлением Windows 98/Me/NT4.0/2000 Pro/XP
/>
Рис.5. Symantec Norton antivirus v.9.0
Norton AntiVirus 2004компании Symantec’s является одним из наиболее надежных и продаваемых решений вмире. В последнее время это приложение входит в состав пакета Norton InternetSecurity 2003, содержащем, помимо всего прочего, и брандамауэр Norton PersonalFirewall. Программа имеет ряд новых возможностей: защиту от вирусов вприложениях Instant messenger; блокировку червей (Worm Blocking), котораяпозволяет защитить исходящую почту и предотвратить инфицирование компьютеровтретьих лиц, а также парольную защиту настройки опций в Norton AntiVirus. ТехнологияWorm Blocking фиксирует присутствие червей в исходящей почте и предотвращает ихдальнейшее распространение на другие компьютеры. Сканирует и исправляет каквходящие, так и исходящие электронные письма. Автоматически загружает новыеантивирусные базы, защищая систему от самых последних из известных вирусов.Технология Script Blocking обеспечивает защиту от быстро распространяющихсявирусов на основе скриптов. Функции Worm Blocking и Script Blocking позволяютобнаружить новые угрозы даже в том случае, когда для них еще не существуетописаний в антивирусных базах.
Norton AntiVirus 2004сканирует входящие вложения сообщений Instant Message. Сканер сообщений Instant Messaging scanning поддерживает Yahoo! Instant Messenger, AOL Instant Messenger, MSNMessenger и Windows Messenger. Norton Antivirus обеспечиваетнадежную защиту входящей и исходящей почты, не требуя от пользователя дополнительныхдействий.
Эксклюзивнаяэвристическая модель блокировки червей (Heuristics-based Worm Blockingtechnology) дает программе возможность детектировать почтовых червей, недопуская их попадания в рассылку. В дополнение к функциям автоматическогоудаления вирусов Norton AntiVirus 2004 позволяет также удалять троянских конейи червей в фоновом режиме, не прерывая работы.
Недостатки: чересчур большой размер дистрибутиваи большая цена.
Достоинства: обеспечивает одну из лучших насегодняшний день защит.
4.4 PandaTitanium Antivirus 2004
Разработчик: Panda Software
Web-сайт: www.pandasoftware.com/
Размер дистрибутива19,7 Мб
Программа работает подуправлением Windows 98/Me/NT4.0/2000 Pro/XP
/>
Рис.6. Panda Titanium antivirus
Panda Antivirus Titanium надежнозащищает от вирусов, троянских коней, червей, вредоносных ActiveX- иJava-аплетов, а также имеет эвристическую технологию, способную защитить отнеизвестных вирусов, которые могут появиться в будущем. Антивирус способеннайти и обезвредить более 89000 известных вирусов любых типов (полиморфные,загрузочные, файловые, макро- и др.), а также другие вредоносные коды, будь то«троянские кони», «черви», вредоносные элементы ActiveX иJava-скрипты. Panda Antivirus Titanium прост в использовании, после установкион начинает работать автоматически, проверяя при этом всю входящую и исходящуюинформацию вашего компьютера на вирусы. Программа имеет автоматизированнуюсистему обновлений и специальную технологию для защиты от вирусов, проникающихна ваш компьютер посредством электронной почты. Panda Antivirus Titaniumпроизводит обновления в фоновом режиме без запроса к пользователю. Каждый раз,когда вы подключаетесь к Интернету, программа автоматически производитобновление антивирусных баз данных.
В Panda AntivirusTitanium реализован интуитивно-понятный и удобный в использовании интерфейсвместе с отчетами о проведенных проверках.
Технология постоянной защитыявляется частью антивируса. Она наблюдает за всеми операциями, выполняемымикомпьютером, и постоянно загружена в память, поэтому иногда приводит кзамедлению других операций. Основная причина этого состоит в том, что антивируспроверяет одни и те же файлы тысячи раз в день (неважно, что большинство из нихчистые от вирусов). Однако технология постоянной защиты Panda TitaniumAntivirus 2004 отнимает у системы немного ресурсов памяти, поскольку онасосредотачивается на проверке только тех файлов, которые могут быть каким-тообразом изменены. Это стало возможно благодаря кэш системе, которая запоминаетуже проверенные файлы.
Программа даетвозможность избежать неприятных сюрпризов при работе с почтой или прискачивании Интернет-файлов. Технология Panda Antivirus Titanium позволяетобнаружить и удалить вирус в почтовом послании до того, как вы его откроете,так что вирус не сможет проникнуть на ваш компьютер. Panda Antivirus Titaniumработает с большинством наиболее распространенных почтовых клиентов, доступныхсегодня на рынке: Microsoft Outlook, Outlook Express, Eudora, Pegasus, MSNMail, Netscape Mail.
Многие современные вирусыне только инфицируют файлы, но и изменяют параметры операционной системы. PandaAntivirus Titanium обладает собственной технологией SmartClean technology,позволяющей исправлять даже серьезные повреждения, нанесенные вирусом, в сложныхслучаях.
Одной из особенностейPanda Antivirus Titanium является похвальная нетребовательность ксистемно-аппаратным ресурсам. Приложение с радостью установится на компьютер,оснащенный процессором с таковой частотой не менее 90 МГц, имеющем 32 Мбоперативной памяти и кусочек свободного дискового пространства объемом 20мегабайт. Panda Antivirus Titanium более чем демократична к операционнымсистемам: Windows 95 (!)/98/ME/NT 4 Workstation/2000/XP.
Для защиты сетей и целыхкомпаний существует версия «Platinum» — более продвинутая(в даннойверсии есть встроенный фаерволл) и более дорогая. Panda Antivirus Platinumболее падок на ресурсы: понадобится процессор не слабее Pentium 300 Мгц,оперативной памяти потребно не менее 128 Мб, а на диске придется изыскать уже50 Мб свободного места. Пользователям Windows NT4 крайне желательно установитьобновление не ниже Service Pack 5 и браузер Internet Explorer версии не ниже5.01. Консерваторам, предпочитающим Windows 95, есть смысл озаботитьсяустановкой Dun 1.3 (в случае диал-ап коннекта) и Winsock 2 (WS_32.DLL).
Недостатки: значительный размер дистрибутива,долгое время установки и вдобавок ко всему Panda ловит далеко не все вирусы.
Достоинства: нетребовательность системныхресурсов, малое время сканирования системы и простой интерфейс Лицензионныйкомпакт-диск с дистрибутивом Panda Antivirus обеих версий является загрузочным,и базируется на движке Linux (рис.7), позволяя проводитьаварийно-восстановительные работы безотносительно типа файловой системы.
/>
Рис.7. аварийно–загрузочныйCD Panda
4.5 NOD 32 AntivirusSystem
Разработчик: Eset
Web-сайт: www.nod32.com/
Размер дистрибутива 6Мб
Программа работает подуправлением Windows 95/98/Me/NT4.0/2000 Pro/XP, Linux
/>
Рис.8. Антивирус NOD32
В антивирусный пакетNOD32 Antivirus System входят монитор AMON, сканер NOD32, мониторИнтернет-активности IMON (возможность проверки входящей/исходящей почтовойкорреспонденции и Интернет-трафика.), утилита обновления антивирусных баз черезИнтернет NOD32 Update, планировщик Scheduler/Planer. Разумеется, не забытразработчиками и эвристический анализ. Управление отдельными частямиантивирусного комплекса осуществляется при помощи NOD32 Control Center. Напроверку монитор запускается автоматически при загрузке компьютера, однакообнаружив вирус, ничего не предпринимает, а только сообщает об этоммалоприятном событии. Контролем входящего/исходящего трафика занимается IMON.
Во всех письмах(отправляемых и получаемых) антивирус может ставить пометку «This message waschecked by NOD32 Antivirus System». Поскольку существует множество почтовыхклиентов, обеспечить максимально высокий уровень безопасности удается не всемантивирусам. В IMON’е можно выбрать баланс между совместимостью с вашим любимыммэйлером и эффективностью антивируса. Лучше всего NOD32 работает с Outlook.
Начиная с версии 2.12.1 впрограмму добавлен модуль DMON, который производит мониторинг офисных документов.
5. Сравнительныйанализ антивирусных средств
Для выбора оптимальногоантивирусного средства из перечисленных сформируем базовый переченьхарактеристик и параметров, которые являются наиболее значимыми с точки зренияэффективности антивирусной защиты. Одновременно учтем экономность дисковогопространства, занимаемого антивирусным средством в упакованном виде(дистрибутив).
Основнымихарактеристиками, отражающими эффективность работы антивирусной программы каксредства защиты от вирусов, является, прежде всего, приспособленность этихпрограммных продуктов к максимально широкому анализу программных модулей –исполняемых файлов, модулей библиотек, текстовых файлов, скриптов, встроенных впрограммы микромодулей – макросов. Также важно, насколько полно антивирусноесредство использует известные механизмы поиска вирусов (эвристический иэмуляционный). Кроме того, следует учитывать количество семейств операционныхсистем, поддерживаемых антивирусами.
Таким образом,сравнительная таблица для решения задач оптимального выбора будет иметь следующийвид:№ Наименование показателя Антивирусные программные продукты Kaspersky Antivirus Dr. Web Symantec Norton Antivirus Panda Titanium Antivirus Nod 32 1 Алгоритм нахождения вируса Эврист.
Эмуляц.
Эврист. Эврист.
Эмуляц.
Эврист
Эмуляц.
Эврист 2 Анализ поведения программ есть нет есть есть есть 3 Проверка макросов есть нет есть нет нет 4 Проверка скрипов есть нет есть есть есть 5 Структура программной системы модульная модульная монолитная монолитная модульная 6 Число поддерживаемых семейств ОС 1 2 1 1 3 7 Объем дистрибутива (Мб) 13 3,5 22 19,7 6
Для решения задачиоптимизации преобразуем эту таблицу в числовую форму с одновременнойнормализацией данных:№ Наименование показателя Антивирусные программные продукты Kaspersky Antivirus Dr. Web Symantec Norton Antivirus Panda Titanium Antivirus Nod 32 1 Алгоритм нахождения вируса 0,5 1 0,5 1 1 2 Анализ поведения программ 1 1 1 1 3 Проверка макросов 1 1 4 Проверка скрипов 1 1 1 1 5 Структура программной системы 1 1 0,5 0,5 1 6 Число поддерживаемых семейств ОС 0,33 0,67 0,33 0,33 1 7 Объем дистрибутива (Мб) 0,27 1 0,16 0,18 0,6
Задачи оптимизации будемрешать как поиск такого средства, для которого взвешенная сумма из 7 основныххарактеристик будет максимальной:
/>
Где ai–весовой коэффициент, причем />, pi–числовое значение параметра.№ Наименование показателя ai Антивирусные программные продукты Kaspersky Antivirus Dr. Web Symantec Norton Antivirus Panda Titanium Antivirus Nod 32 1 Алгоритм нахождения вируса 0,25 0,5 1 0,5 1 1 2 Анализ поведения программ 0,2 1 1 1 1 3 Проверка макросов 0,17 1 1 4 Проверка скрипов 0,13 1 1 1 1 5 Структура программной системы 0,08 1 1 0,5 0,5 1 6 Число поддерживаемых семейств ОС 0,12 0,33 0,67 0,33 0,33 1 7 Объем дистрибутива (Мб) 0,05 0,27 1 0,16 0,18 0,6 8 Критерий J 1 0,7581 0,4604 0,7126 0,6686 0,81
Из таблицы видно, чтооптимальным антивирусным средством по указанному критерию является NOD 32 Antivirus System. Следующим по значимости идет Антивирус Касперского,чуть хуже — Symantec Norton Antivirus, следом — Panda Titanium Antivirus. Наихудшим показал себя Dr. Web.