Курсоваяработа
«Сравнительныйанализ современных антивирусных программ»
ОГЛАВЛЕНИЕ
ВВЕДЕНИЕ
ГЛАВА 1. Общие сведения о компьютерных вирусах
1.1 Понятие компьютерные вирусы
1.2 Разновидности компьютерных вирусов
1.3 Пути проникновения вирусов, признаки появления вкомпьютере
1.4 Антивирусные средства
ГЛАВА 2. Сравнительный анализ антивирусных программ
ЗАКЛЮЧЕНИЕ
Список использованных источников
Введение
Мы живем на стыке двух тысячелетий, когда человечество вступило в эпохуновой научно-технической революции. К концу двадцатого века люди овладелимногими тайнами превращения вещества и энергии и сумели использовать эти знаниядля улучшения своей жизни. Но кроме вещества и энергии в жизни человекаогромную роль играет еще одна составляющая — информация. Это самыеразнообразные сведения, сообщения, известия, знания, умения. В середине нашегостолетия появились специальные устройства — компьютеры, ориентированные нахранение и преобразование информации и произошла компьютерная революция. Всвязи со стремительным развитием информационных технологий и их проникновениемво все сферы человеческой деятельности возросло количество преступлений,направленных против информационной безопасности. Сегодня массовое применениеперсональных компьютеров, к сожалению, оказалось связанным с появлениемсамовоспроизводящихся программ-вирусов, препятствующих нормальной работекомпьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой вкомпьютере информации. Несмотря на принятые во многих странах законы о борьбе скомпьютерными преступлениями и разработку специальных программных средствзащиты от вирусов, количество новых программных вирусов постоянно растет. Этотребует от пользователя персонального компьютера знаний о природе вирусов,способах заражения вирусами и защиты от них.
С каждым днем вирусы становятся все более изощренными, что приводит ксущественному изменению профиля угроз. Но и рынок антивирусного программногообеспечения не стоит на месте, предлагая множество, казалось бы, идентичныхпродуктов. Их пользователи, представляя проблему лишь в общих чертах, нередкоупускают важные нюансы и в итоге получают иллюзию защиты вместо самой защиты.
Для написания курсовойработы были использованы следующие источники: Безруков Н.Н. «Компьютерныевирусы», Мостовой Д.Ю. «Современныетехнологии борьбы с вирусами», Могилев А.В. «Информатика: учебное пособие длястудентов педагогических вузов». В учебномпособии Могилева содержатся обширные сведения по теоретическим основаминформатики, программному обеспечению, языкам и методам программирования,вычислительной технике, информационным системам, компьютерным сетям ителекоммуникациям, компьютерному моделированию. Ясно и доступно рассказано оразличных компьютерных вирусах, их разновидностях и средствах борьбы с ними.
На основеизученнойлитературы попробуем разобраться в том, что же надо защищать, как это сделать ина что следует обратить особое внимание.
ГЛАВА 1. ОБЩИЕСВЕДЕНИЯ О КОМПЬЮТЕРНЫХ ВИРУСАХ
1.1 Понятиекомпьютерные вирусы.
Компьютерным вирусомназывается программа, обычно малая по размеру (от 200 до 5000 байт), котораясамостоятельно запускается, многократно копирует свой код, присоединяя его ккодам других программ («размножается») и мешает корректной работе компьютераи/или разрушает хранимую на магнитных дисках информацию (программы и данные).
Существуют вирусы и менее«злокачественные», вызывающие, например, переустановку даты в компьютере,музыкальные (проигрывающие какую-либо мелодию), приводящие к появлению наэкране дисплея какого-либо изображения или к искажениям в отображении дисплееминформации, «осыпанию букв» и т.д.
Создание компьютерныхвирусов можно квалифицировать с юридической точки зрения как преступление.
Интересны причины,заставляющие квалифицированных программистов создавать компьютерные вирусы,ведь это работа не оплачивается и не может принести известности. По-видимому,для создателей вирусов это способ самоутверждения, способ доказать своюквалификацию и способности. Созданием компьютерных вирусов занимаютсяквалифицированные программисты, по тем или иным причинам не нашедшие себе местов полезной деятельности, в разработке прикладных программ, страдающиеболезненными самомнением или комплексом неполноценности. Становятся создателямивирусов и те молодые программисты, которые испытывают трудности в общении сокружающими людьми, не встречают признания со стороны специалистов, которымчужды понятие морали и этики компьютерной сферы деятельности. Также созданиемвирусов могут заниматься сами производители антивирусных программ в целяхнаживы. Создав новый вирус или модифицировав старый, производителинезамедлительно выпускают антивирусные средства для борьбы с ними, обгоняя темсамым своих конкурентов.
Существуют и такиеспециалисты, которые отдают свои силы и талант делу борьбы с компьютерными вирусами.В России – это известные программисты Д.Лозинский, Д.Мостовой, И.А.Данилов,Н.Безруков и др. Ими исследованы многие компьютерные вирусы, разработаныантивирусные программы, рекомендации по мерам, предотвращающим уничтожениевирусами компьютерной информации и распространение эпидемий компьютерныхвирусов.
Главную опасность, по ихмнению, представляют не сами по себе компьютерные вирусы, а пользователикомпьютеров и компьютерных программ, не подготовленные к встрече с вирусами,ведущие себя неквалифицированно при встрече с симптомами заражения компьютера,легко впадающие в панику, что парализует нормальную работу.
1.2 Разновидностикомпьютерных вирусов
Рассмотрим подробнееосновные особенности компьютерных вирусов, характеристики антивирусных программи меры защиты программ и данных от компьютерных вирусов в наиболеераспространенной системе MS DOS.
По приближенным оценкам всегодняшние дни существует более десяти тысяч различных вирусов. Подсчет ихосложняется тем, что многие вирусы мало отличаются друг от друга, являютсявариантами одного и того же вируса и, наоборот, один и тот же вирус можетменять свой облик, кодировать сам себя. На самом деле основных принципиальныхидей, лежащих в основе вирусов, не очень много (несколько десятков).
Среди всего разнообразиякомпьютерных вирусов следует выделить следующие группы:
— загрузочные (boot) вирусы заражают программу начальнойзагрузки компьютера, хранящуюся в загрузочном секторе дискеты или винчестера, изапускающиеся при загрузке компьютера;
— файловые вирусы в простейшем случае заражаютпополняемые файлы, но могут распространяться и через файлы документов (системы Word for Windows) и даже вообще не модифицировать файлы, а лишь иметьк ним какое-то отношение;
— загрузочно-файловыевирусы имеют признакикак загрузочных, так и файловых вирусов;
-драйверные вирусы заражаютдрайверы устройств компьютера или запускают себя путем включения в файлконфигурации дополнительной строки.
Из вирусов,функционирующих не на персональных компьютерах под операционной системой MS DOS, следует упомянуть сетевые вирусы,распространяющиеся в сетях, объединяющих многие десятки и сотни тысячкомпьютеров.
Рассмотрим принципыфункционирования загрузочных вирусов. На каждой дискете или винчестереимеются служебные сектора, используемые операционной системой для собственныхнужд, в том числе сектор начальной загрузки. В нем помимо информации о дискете(число дорожек, число секторов и пр.) хранится небольшая программа начальнойзагрузки.
Простейшие загрузочныевирусы, резидентно находясь в памяти зараженного компьютера, обнаруживают вдисководе незараженную дискету и производят следующие действия:
— выделяют некоторуюобласть дискеты и делают ее недоступной операционной системе (помечая,например, как сбойную — bad);
— замещают программуначальной загрузки в загрузочном секторе дискеты, копируя корректную программузагрузки, а также свой код, в выделенную область дискеты;
— организуют передачууправления так, чтобы вначале выполнялся бы код вируса и лишь затем – программаначальной загрузки.
Магнитные дискикомпьютеров винчестерского типа обычно бывают разбиты на несколько логическихразделов. Программы начальной загрузки при этом имеются и в MBR (Master Boot Record – главная загрузочная запись) и в загрузочном разделевинчестера, заражение которых может происходить аналогично заражениюзагрузочного сектора дискеты. Однако, программа начальной загрузки в MBR использует при переходе к программезагрузки загрузочного раздела винчестера, так называемую таблицу разбиения (Partition table), содержащую информацию о положении загрузочногораздела на диске. Вирус может исказить информацию Partition table и таким образом передать управление своему коду,записанному на диск, формально не меняя загрузочной программы.
Теперь рассмотримпринципы функционирования файловых вирусов. Файловый вирус необязательно является резидентным, он может, например, внедриться в кодисполняемого файла. При запуске зараженного файла вирус получает управление,выполняет некоторые действия и возвращает управление коду, в который он былвнедрен. Действия, которые выполняет вирус, включает поиск подходящего длязаражения файла, внедрение в него так, чтобы получить управление файла,произведение некоторого эффекта, например, звукового или графического. Еслифайловый вирус резидентный, то он устанавливается в памяти и получаетвозможность заражать файлы и проявляться независимо от первоначальногозараженного файла.
Заражая файл, вирусвсегда изменит его код, но далеко не всегда производит другие изменения. Вчастности, может не изменяться начало файла и его длина (что раньше считалосьпризнаком заражения). Например, вирусы могут искажать информацию о файлах,хранящуюся в служебной области магнитных дисков – таблице размещения файлов (Fat – file allocation table), — делать таким образом невозможным любую работу сфайлами. Так ведут себя вирусы семейства «Dir».
Загрузочно-файловые вирусы используют принципы какзагрузочных, так и файловых вирусов, и являются наиболее опасными.
«Троянские кони»,программные закладки и сетевые черви.
«Троянский конь» — это программа, содержащая в себе некоторуюразрушающую функцию, которая активизируется при наступлении некоторого условиясрабатывания. Обычно такие программы маскируются под какие-нибудь полезныеутилиты. Вирусы могут нести в себе троянских коней или»троянизировать" другие программы — вносить в них разрушающиефункции. «Троянские кони» представляют собой программы, реализующие помимофункций, описанных в документации, и некоторые другие функции, связанные снарушением безопасности и деструктивными действиями. Отмечены случаи созданиятаких программ с целью облегчения распространения вирусов. Списки такихпрограмм широко публикуются в зарубежной печати. Обычно они маскируются подигровые или развлекательные программы. Программные закладки также содержатнекоторую функцию, наносящую ущерб вычислительной системе, но эта функция,наоборот, старается быть как можно незаметнее, т.к. чем дольше программа небудет вызывать подозрений, тем дольше закладка сможет работать. Если вирусы и«Троянские кони» наносят ущерб посредством лавинообразного саморазмножения илиявного разрушения, то основная функция вирусов типа «червь»,действующих в компьютерных сетях, — взлом атакуемой системы, т.е. преодолениезащиты с целью нарушения безопасности и целостности. В более 80% компьютерныхпреступлений, расследуемых ФБР, «взломщики» проникают в атакуемуюсистему через глобальную сеть Internet. Когда такая попытка удается, будущеекомпании, на создание которой ушли годы, может быть поставлено под угрозу закакие-то секунды. Этот процесс может быть автоматизирован с помощью вируса,называемого сетевой червь. Червями называют вирусы, которые распространяются поглобальным сетям, поражая целые системы, а не отдельные программы. Это самыйопасный вид вирусов, так как объектами нападения в этом случае становятсяинформационные системы государственного масштаба. С появлением глобальной сетиInternet этот вид нарушения безопасности представляет наибольшую угрозу, т. к.ему в любой момент может подвергнуться любой из миллионов компьютеров,подключенных к этой сети.1.3 Путипроникновения вируса в компьютер
Основными путямипроникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), атакже компьютерные сети. Заражение жесткого диска вирусами может произойти призагрузке программы с дискеты, содержащей вирус. Такое заражение может быть ислучайным, например, если дискету не вынули из дисковода А и перезагрузиликомпьютер, при этом дискета может быть и не системной. Заразить дискету гораздопроще. На нее вирус может попасть, даже если дискету просто вставили в дисководзараженного компьютера и, например, прочитали ее оглавление. Вирус, какправило, внедряется в рабочую программу таким образом, чтобы при ее запускеуправление сначала передалось ему и только после выполнения всех его командснова вернулось к рабочей программе. Получив доступ к управлению, вирус, преждевсего, переписывает сам себя в другую рабочую программу и заражает ее. Послезапуска программы, содержащей вирус, становится возможным заражение другихфайлов.
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы,имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.После заражения программы вирус может выполнить какую-нибудь диверсию, неслишком серьезную, чтобы не привлечь внимания. И, наконец, не забываетвозвратить управление той программе, из которой был запущен. Каждое выполнениезараженной программы переносит вирус в следующую. Таким образом, заразится всепрограммное обеспечение. 1.4 Признакипоявления вируса
При заражении компьютеравирусом важно его обнаружить. Для этого следует знать об основных признакахпроявления вирусов. К ним можно отнести следующие: прекращение работы илинеправильная работа ранее успешно функционировавших программ
· медленная работакомпьютера
· исчезновениефайлов и каталогов или искажение их содержимого
· изменение даты ивремени модификации файлов
· изменениеразмеров файлов
· неожиданноезначительное увеличение количества файлов на диске
· существенноеуменьшение размера свободной оперативной памяти
· вывод на экраннепредусмотренных сообщений или изображений
· подачанепредусмотренных звуковых сигналов
· частые зависанияи сбои в работе компьютера
Следует отметить, чтовышеперечисленные явления необязательно вызываются присутствием вируса, а могутбыть следствием других причин. Поэтому всегда затруднена правильная диагностикасостояния компьютера.
1.4 Антивирусныесредства
К настоящему временинакоплен значительный опыт борьбы с компьютерными вирусами, разработаныантивирусные программы, известны меры защиты программ и данных. Происходитпостоянное совершенствование, развитие антивирусных средств, которые в короткийсрок с момента обнаружения вируса – от недели до месяца – оказываются способнымисправиться с вновь появляющимися вирусами.
Создание антивирусныхпрограмм начинается с обнаружения вируса по аномалиям в работе компьютера.После этого вирус тщательно изучается, выделяется его сигнатура –последовательность байтов, которая полностью характеризует программу вируса(наиболее важные и характерные участки кода), выясняется механизм работывируса, способы заражения. Полученная информация позволяет разработать способыобнаружения вируса в памяти компьютера и на магнитных дисках, а такжеалгоритмы обезвреживания вируса (если возможно, удаления вирусного кода изфайлов – «лечения»).
Известные нынеантивирусные программы можно разделить на несколько типов:
— Детекторы. Ихназначение – лишь обнаружить вирус. Детекторы вирусов могут сравниватьзагрузочные сектора дискет с известными загрузочными секторами, формируемымиоперационными системами различных версий, и таким образом обнаружитьзагрузочные вирусы или выполнять сканирование файлов на магнитных дисках сцелью обнаружения сигнатур известных вирусов. Такие программы в чистом виде внастоящее время редки.
— Фаги. Фаг – этопрограмма, которая способна не только обнаружить, но и уничтожить вирус, т.е.удалить его код из зараженных программ и восстановить их работоспособность(если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна изпоследних версий обнаруживает более 8000 вирусов. Aidstest для своегонормального функционирования требует, чтобы в памяти не было резидентныхантивирусов, блокирующих запись в программные файлы, поэтому их следуетвыгрузить, либо, указав опцию выгрузки самой резидентной программе, либовоспользоваться соответствующей утилитой.
Очень мощным иэффективным антивирусом является фаг Dr Web (созданныйИ.Даниловым). Детектор этого фага не просто сканирует файлы в поисках одной изизвестных вирусных сигнатур. Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. онмоделирует выполнение остальных файлов с помощью программной моделимикропроцессора I-8086 и тем самымсоздает среду для проявления вирусов и их размножения. Таким образом, программаDr Web может бороться не только с полиморфными вирусами, нои вирусам, которые только еще могут появиться в перспективе.
Основными функциональнымиособенностями Dr Web 4.33 являются:
· защита от червей,вирусов, троянов, полиморфных вирусов, макровирусов, spyware,программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;
· обновлениеантивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;
· проверкасистемной памяти компьютера, позволяющая обнаружить вирусы, не существующие ввиде файлов (например, CodeRed или Slammer);
· эвристическийанализатор, позволяющий обезвредить неизвестные угрозы до выходасоответствующих обновлений вирусных баз.
Установка. Вначале Dr Web честно предупреждает, что не собирается уживаться сдругими антивирусными приложениями и просит убедиться в отсутствии таковых накомпьютере. В противном случае совместная работа может привести к«непредсказуемым последствиям». Далее выбирается«Выборочную» или «Обычную» (рекомендуемую) установку иприступают к изучению представленных основных компонентов:
· сканер дляWindows. Проверкафайлов в ручном режиме;
· консольныйсканер для Windows. Предназначен для запуска из командных файлов;
· SpiDer Guard. Проверка файлов «налету», предотвращение заражений в режиме реального времени;
· SpiDer Mail. Проверка сообщений, поступающихчерез протоколы POP3, SMTP, IMAP и NNTP.
Интерфейс и работа. В глаза бросается отсутствиесогласованности в вопросе интерфейса между модулями антивируса, что создаетдополнительный визуальный дискомфорт при и так не слишком дружелюбном доступе ккомпонентам Dr Web. Большое количество всевозможных настроек явно нерассчитано на начинающего пользователя, однако довольно подробная справка вдоступной форме объяснит назначение тех или иных интересующих вас параметров.Доступ к центральному модулю Dr Web – сканер для Windows – осуществляетсяне через трей, а только через «Пуск».
Обновление доступно какчерез Интернет, так и с помощью прокси-серверов, что при небольших размерахсигнатур представляет Dr Web весьма привлекательным вариантом длясредних и крупных компьютерных сетей.
Задать параметры проверкисистемы, порядок обновления и настройку условий работы каждого модуля Dr Web можно с помощью удобного инструмента «Планировщик»,который позволяет создать слаженную систему защиты из «конструктора»компонентов Dr Web.
В итоге мы получаемнетребовательную к ресурсам компьютера, достаточно несложную (при ближайшемрассмотрении) целостную защиту компьютера от всевозможных угроз, чьивозможности по противодействию вредоносным приложениям однозначно перевешиваютединственный недостаток, выраженный «разношерстным» интерфейсоммодулей Dr Web.
— Ревизоры. Программа-ревизорконтролирует возможные пути распространения программ-вирусов и заражениякомпьютеров. Программы-ревизоры относятся к самым надежным средствам защиты отвирусов и должны входить в арсенал каждого пользователя. Ревизоры являютсяединственным средством, позволяющим следить за целостностью и изменениямифайлов и системных областей магнитных дисков. Наиболее известна в Россиипрограмма-ревизор ADinf,разработанная Д.Мостовым.
— Сторожа. Сторож– это резидентная программа, постоянно находящаяся в памяти компьютера,контролирующая операции компьютера, связанная с изменением информации намагнитных дисках, и предупреждающая пользователя о них. В состав операционнойсистемы MS DOS, начиная с версии 6.0, входит сторож VSAFE. Однако, из-за того, что обычныепрограммы выполняют операции, похожие на те, что делают вирусы, пользователиобычно не используют сторожа, так как постоянные предупреждения мешают работе.
— Сканеры –основной элемент любого антивируса, осуществляет, если можно так выразиться,пассивную защиту. По запросу пользователя или заданному распорядку производитпроверку файлов в выбранной области системы. Вредоносные объекты выявляет путемпоиска и сравнения программного кода вируса. Примеры программных кодовсодержатся в заранее установленных сигнатурах (наборах, характерныхпоследовательностей байтов для известных вирусов). В первую очередь кнедостаткам данных программ относится беззащитность перед вирусами, не имеющимипостоянного программного кода и способными видоизменяться при сохраненииосновных функций. Также сканеры не могут противостоять разновидностям одного итого же вируса, что требует от пользователя постоянного обновления антивирусныхбаз. Однако наиболее уязвимое место этого инструмента – неспособностьобнаруживать новые и неизвестные вирусы, что особенно актуально, когдапосредством e-mail новоявленная угроза способна заразить тысячи компьютеров повсему миру за считаные часы;
— Мониторы – всовокупности со сканерами образуют базовую защиту компьютера. На основеимеющихся сигнатур проводят проверку текущих процессов в режиме реальноговремени. Осуществляют предварительную проверку при попытке просмотра илизапуска файла. Различают файловые мониторы, мониторы для почтовых клиентов (MSOutlook, Lotus Notes, Pegasus, The Bat и другие, использующие протоколы POP3,IMAP, NNTP и SMTP) и специальные мониторы для отдельных приложений. Какправило, последние представлены модулями проверки файлов Microsoft Office.Основное их достоинство – способность обнаруживать вирусы на самой раннейстадии активности;
— Вакцины. Такназываются антивирусные программы, ведущие себя подобно вирусам, но ненаносящие вреда. Вакцины предохраняют файлы от изменений и способны не толькообнаружить факт заражения, но и в некоторых случаях «вылечить» пораженныевирусами файлы. В настоящее время антивирусные программы-вакцины широко неприменяются, так как в прошлые годы некоторыми некорректно работающимивакцинами был нанесен ущерб многим пользователям.
Помимо программныхсредств защиты от вирусов существуют и специальные дополнительные устройства,обеспечивающие надежную защиту определенных разделов винчестера. Примеромтакого рода устройств является плата Sheriff (разработанная Ю.Фоминым). Несмотря на кажущееся обилиепрограммных антивирусных средств, даже все вместе они не обеспечивают полнойзащиты программ и данных, не дают 100%-ной гарантии от воздействия вирусныхпрограмм. Только комплексные профилактические меры защиты обеспечивают надежнуюзащиту от возможной потери информации. В комплекс таких мер входит:
— регулярноеархивирование информации (создание резервных копий важных файлов и системныхобластей винчестера);
— избегание использованияслучайно полученных программ (старайтесь пользоваться только законными путямиполучения программ);
— входной контроль новогопрограммного обеспечения, поступивших дискет;
— сегментация жесткогодиска, т.е. разбиение его на логические разделы с разграничением доступа к ним;
— систематическоеиспользование программ-ревизоров для контроля целостности информации;
— при поиске вирусов(который должен происходит регулярно!) старайтесь использовать заведомо чистуюоперационную систему, загруженную с дискеты. Защищайте дискеты от записи, еслиесть хоть малая вероятность заражения.
При неаккуратной работе сантивирусными программами можно не только переносить с ними вирусы, но и вместолечения файлов безнадежно их испортить. Полезно иметь хотя бы общеепредставление о том, что могут и чего не могут компьютерные вирусы, об ихжизненном цикле, о важнейших методах защиты.
Любой современныйантивирусный продукт — это не только набор отдельных технологий детектирования,но и сложная система защиты, построенная на собственном понимании антивируснойкомпанией того, как нужно обеспечивать безопасность от вредоносных программ.При этом принятые многие годы назад архитектурные и технические решениясерьезно ограничивают возможности изменять соотношение проактивных и реактивныхметодов защиты. Например, в антивирусной системе Eset NOD32 используются какэвристические, так и сигнатурные методы борьбы с вредоносным кодом, но ролимежду этими двумя технологиями распределяются не так, как в других антивирусах:в то время как большинство антивирусов отталкивается от сигнатурных методов,дополняя их эвристиками, у Eset NOD32 все наоборот. Основным способомпротивостояния вредоносным программам здесь являются так называемые расширенныеэвристики (Advanced Heuristics), представляющие собой сочетание эмуляции,эвристик, алгоритмического анализа и сигнатурного метода. В итоге расширенныеэвристики Eset NOD32 позволяют проактивно детектировать почти 90% всех угроз, аостальные устраняются сигнатурными методами. Надежность такого подходаподтверждается результатами независимых тестирований.
Основными функциональнымиособенностями Esest NOD32 являются:
· эвристическийанализ, позволяющий обнаруживать неизвестные угрозы;
· технологияThreatSense – анализ файлов для выявления вирусов, программ-шпионов (spyware),непрошенной рекламы (adware), phishing-атак и других угроз;
· проверка иудаление вирусов из заблокированных для записей файлов (к примеру, защищенныесистемой безопасности Windows библиотеки DLL);
· поверкапротоколов HTTP, POP3 и PMTP.
Установка предложена в трех режимах:«Типичный» (для большинства пользователей), «Расширенный»(частичная настройка устанавливаемых компонентов) и «Эксперт»(полностью настраиваемая установка). Сразу же предлагается указать, используетели вы прокси-сервер, а также запрашиваются некоторые настройки будущихобновлений. Кроме того, NOD32 заранее интересуется, желаете ли вы использовать«двунаправленную систему своевременного обнаружения» – функцияпередачи лаборатории Eset подозрительных объектов, найденных на компьютере. Всекомпоненты защиты при желании будут предложены к установке с подробным описаниемпоэтапно.
Для защиты системывниманию пользователя предложены следующие модули:
— Antivirus MONitor(AMON). Сканер, автоматически проверяющий файлы перед их запуском илипросмотром;
— NOD32. Сканированиевсего компьютера или выбранных разделов. Отличительная особенность –программирование на запуск в часы с наименьшей загрузкой;
— Internet MONitor (IMON).Резидентный сканер, проверяющий Интернет-трафик (HTTP) и входящую почту,полученную по протоколу POP3;
- Email MONitor (EMON).Модуль для работы с почтовыми клиентами, сканирует входящие и исходящиеэлектронные сообщения через интерфейс MAPI (применяется в Microsoft Outlook иMicrosoft Exchange);
— Document MONitor (DMON).Основан на использовании запатентованного интерфейса Microsoft API, проверяетдокументы Microsoft Office.
Интерфейс и работа. Пользователи домашних сетей сразу же мысленно сравнятинтерфейс NOD32 с популярным сетевым сканером Netlook – антивирус используетсхожую структуру доступа к компонентам. Интерфейс NOD32 организован максимальноэргономично и эффективно. Основные пункты меню содержат подзаголовки, которые всвою очередь открывают справа от основного окна область работы с выбранныммодулем или компонентом. Каждый подпункт (кроме сканера NOD32) предлагаетподробнейшую настройку, которая подойдет скорее специалисту или администратору,нежели рядовому пользователю. Тем не менее, при желании разобраться во всехтонкостях модулей NOD32 вам будет предложена справка, наглядно демонстрирующаяи объясняющая назначение настроек.
Обновление – одна из сильныхсторон NOD32. Первоначально на выбор предложены целых 3 сервера с возможностьюпоследующего добавления адресов. Также поддерживаются локальные обновления ссетевых ресурсов. Присутствует возможность создания дискет или CD собновлениями. Обновление происходит каждые несколько часов.
Антивирус Касперского Personal.
/>Антивирус Касперского Personal предназначен для антивирусной защитыперсональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, от всех известных видов вирусов,включая потенциально опасное программное обеспечение. Программа осуществляетпостоянный контроль всех источников проникновения вирусов — электронной почты,интернета, дискет, компакт-дисков и т.д. Уникальная система эвристическогоанализа данных эффективно нейтрализует неизвестные вирусы. Можно выделитьследующие варианты работы программы (они могут использоваться как отдельно, таки в совокупности):
/>· Постоянная защитакомпьютера — проверкавсех запускаемых, открываемых и сохраняемых на компьютере объектов наприсутствие вирусов.
/>· Проверкакомпьютера по требованию- проверка и лечение как всего компьютера в целом, так и отдельных дисков,файлов или каталогов. Такую проверку вы можете запускать самостоятельно илинастроить ее регулярный автоматический запуск.
/>Антивирус Касперского Personal теперь не проверяет повторно те объекты, которые былипроанализированы во время предыдущей проверки и с тех пор не изменились, не толькопри постоянной защите, но и при проверке по требованию. Такая организацияработы заметно повышает скорость работы программы. />
Программа создает надежный барьер на пути проникновения вирусов черезэлектронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящейи исходящей почтовые корреспонденции по протоколам POP3 и SMTP иэффективно обнаруживает вирусы в почтовых базах.
/>Программа поддерживает более семисотформатов архивированных и сжатых файлов и обеспечивает автоматическуюантивирусную проверку их содержимого, а также удаление вредоносного кода изархивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE.
/>Простота настройки программыосуществляется за счет возможности выбора одного из трех предопределенныхуровней: Максимальная защита, Рекомендуемая защита и Максимальнаяскорость.
/>Обновления антивирусных базосуществляется каждый час, при этом обеспечивается их гарантированная доставкапри разрыве или смене соединений с интернетом.
В состав АнтивирусаКасперского включен специальный компонент, обеспечивающий защиту файловойсистемы компьютера от заражения, — Файловый Антивирус. Он запускаетсяпри старте операционной системы, постоянно находится в оперативной памятикомпьютера и проверяет все открываемые, сохраняемые и запускаемые вами илипрограммами файлы. />
/>Поумолчанию Файловый Антивирус проверяет ТОЛЬКО НОВЫЕ или ИЗМЕНЕННЫЕ ФАЙЛЫ, тоесть файлы, которые добавились или изменились со времени последнего обращения кним. Это возможно благодаря применению новых технологий iChecker и iSwift. Дляреализации технологий используется таблица контрольных сумм файлов. Процесспроверки файла выполняется по следующему алгоритму:
/>1. Каждый файл, ккоторому происходит обращение пользователя или некоторой программы,перехватывается компонентом. />
2. ФайловыйАнтивирус проверяет наличие информации о перехваченном файле в базе iChecker иiSwift. Далее возможны следующие действия:
/>· Если информации оперехваченном файле в базе нет, он подвергается детальной антивируснойпроверке. Контрольная сумма проверенного файла фиксируется в базе.
/>· Если информация офайле присутствует в базе, Файловый Антивирус сравнивает текущее состояниефайла с его состоянием, зафиксированным в базе на момент предыдущей проверки.При полном совпадении информации файл передается пользователю для работы безпроверки. Если файл каким-то образом изменился, он будет детально проверен, иновая информация о нем будет записана в базу.
/>Процесспроверки включает следующие действия:
/>1. Файланализируется на присутствие вирусов. Распознавание вредоносных объектовпроисходит на основании сигнатур угроз, используемых в работе. Сигнатурысодержат описание всех известных на настоящий момент вредоносных программ,угроз, сетевых атак и способов их обезвреживания. />
2. В результатеанализа возможны следующие варианты поведения:
/>a. Если в файлеобнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает егокопию в резервное хранилище и пытается обезвредить файл. В результате успешноголечения файл становится доступным для работы, если же лечение произвести неудалось, файл удаляется.
/>b. Если в файлеобнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет,файл помещается в специальное хранилище — карантин.
/>c. Если в файле необнаружено вредоносного кода, он сразу же становится доступным для работы.
Помимо обеспечения защитываших данных программа обладает дополнительными сервисами, расширяющимивозможности работы с Антивирусом Касперского.
/>Впроцессе работы программа помещает некоторые объекты в специальные хранилища.Цель, которая при этом преследуется, — обеспечить максимальную защиту данных сминимальными потерями.
/>· Резервноехранилище содержиткопии объектов, которые были изменены или удалены в результате работыАнтивируса Касперского. Если какой-либо объект содержал важную для васинформацию, которую не удалось полностью сохранить в процессе антивируснойобработки, вы всегда сможете восстановить объект из его резервной копии.
/>· Карантин содержит возможно зараженныеобъекты, которые не удалось обработать с помощью текущей версии сигнатур угроз.
/>Рекомендуетсяпериодически просматривать списки объектов, возможно некоторые из них уженеактуальны, а некоторые можно восстановить.
/>Частьсервисов направлена на помощь в работе с программой, например:
/>· Сервис Службатехнической поддержкиобеспечивает всестороннюю помощь в работе с Антивирусом Касперского. ЭкспертыЛаборатории Касперского постарались включить все возможные способы обеспеченияподдержки: on-line поддержка, форум вопросов и предложений отпользователей программы и т.д.
/>· Сервисуведомлений о событиях помогает настраивать оповещение пользователей о важныхмоментах в работе Антивируса Касперского. Это могут быть как событияинформационного характера, так и ошибки, которые требуют безотлагательногоустранения, и знать о них крайне важно.
/>· Сервис самозащитыпрограммы и ограничения доступа к работе с ней обеспечивает защиту собственныхфайлов программы от изменения и повреждения со стороны злоумышленников,запрещает внешнее управление сервисами программы, а также вводит разграничениеправ других пользователей вашего компьютера на выполнение некоторых действий сАнтивирусом Касперского. Например, изменение уровня защиты может значительноповлиять на безопасность информации на вашем компьютере.
/>· Сервис управлениялицензионными ключами позволяет получать подробную информацию об используемойлицензии, производить активацию вашей копии программы, а также осуществлятьуправление файлами лицензионных ключей.
/>/>Создание диска аварийного восстановления позволит восстановитьработоспособность компьютера на уровне, предшествующем заражению. Это особеннополезно в ситуации, когда после повреждения вредоносным кодом системных файловневозможно произвести загрузку операционной системы компьютера./>
Также предоставляется возможностьизменять внешний вид Антивируса Касперского и настраивать параметры текущегоинтерфейса программы.
Антивирусная утилита AVZ.
Антивирусная утилита AVZявляется инструментом для исследования и восстановления системы, ипредназначена для автоматического или ручного поиска и удаления:
· SpyWare, AdvWareпрограмм и модулей (это одно из основных назначений утилиты);
· Руткитов ивредоносных программ, маскирующих свои процессы
· Сетевых ипочтовых червей;
· Троянскихпрограмм (включая все их разновидности, в частности Trojan-PSW,Trojan-Downloader, Trojan-Spy) и Backdoor (программ для скрытного удаленногоуправления компьютером);
· Троянскихпрограмм-звонилок (Dialer, Trojan.Dialer, Porn-Dialer);
· Клавиатурныхшпионов и прочих программ, которые могут применяться для слежения запользователем;
Утилита является прямыманалогом программ Trojan Hunter и LavaSoft Ad-aware 6. Первичной задачейпрограммы является удаление AdWare, SpyWare и троянских программ.
Сразу следует отметить,что программы категорий SpyWare, AdWare по определению не являются вирусами илитроянскими программами. Они шпионят за пользователем и загружают информацию ипрограммный код на пораженный компьютер в основном из маркетинговых соображений(т.е. передаваемая информация не содержит критических данных – паролей, номеровкредитных карт и т.п., а загружаемая информация является рекламой илиобновлениями). Однако очень часто грань между SpyWare и троянской программойдостаточно условна и точная классификация затруднительна.
Особенностью программыAVZ является возможность настройки реакции программы на каждую из категорийвредоносных программы – например, можно задать режим уничтожения найденныхвирусов и троянских программ, но заблокировать удаление AdWare.
Другой особенностью AVZявляются многочисленные эвристические проверки системы, не основанные намеханизме поиска по сигнатурам – это поиск RootKit, клавиатурных шпионов,различных Backdoor по базе типовых портов TCP/UDP. Подобные методы поискапозволяют находить новые разновидности вредоносных программ.
Кроме типового дляпрограмм данного класса поиска файлов по сигнатурам в AVZ встроена база сцифровыми подписями десятков тысяч системных файлов. Применение данной базыпозволяет уменьшить количество ложных срабатываний эвристики и позволяет решатьряд задач. В частности, в системе поиска файлов есть фильтр для исключенияизвестных файлов из результатов поиска, в диспетчере запущенных процессов инастроек SPI производится цветовое выделение известных процессов, придобавлении файлов в карантин производится блокировка добавления известных AVZбезопасных файлов.
Как показывает практика,очень часто программа типа SpyWare может быть классифицирована как AdWare инаоборот (причины просты – целью шпионажа в большинстве случаев являетсяцелевая реклама). Для таких случаев в классификации введена обобщающая категорияSpy, которая грубо может трактоваться как AdWare+SpyWare. Термин Spyпереводится как «шпион», «тайный агент», «следить», «подглядывать». Этот терминдостаточно хорошо подходит к программам подобного класса.
Ограничения программы:
1. Т.к. утилитанаправлена в первую очередь на борьбу с SpyWare и AdWare модулями, и внастоящий момент она не поддерживает проверку архивов некоторых типов, PEупаковщиков и документов. Для борьбы со SpyWare в этом просто нет надобности.Тем не менее, утилита совершенствуется и появление подобных функцийпланируется;
2. Утилита не лечитпрограммы, зараженные компьютерными вирусами. Для качественного и корректноголечения зараженной программы необходимы специализированные антивирусы(например, антивирус Касперского, Dr Web и т.п.).
ГЛАВА 2. СРАВНИТЕЛЬНЫЙАНАЛИЗ АНТИВИРУСНЫХ ПРОГРАММ
Для доказательствапреимуществ своих продуктов разработчики антивирусов часто используютрезультаты независимых тестов. Одним из первых тестировать антивирусныепродукты начал британский журнал Virus Bulletin, первые тесты, опубликованныена их сайте, относятся к далекому 1998 году. Основу теста составляет коллекциявредоносных программ WildList. Для успешного прохождения теста необходимовыявить все вирусы этой коллекции и продемонстрировать нулевой уровень ложныхсрабатываний на коллекции «чистых» файлов журнала. Тестированиепроводится несколько раз в год на различных операционных системах; успешнопрошедшие тест продукты получают награду VB100%. Результаты проведения тестапредставлены в таблице 1.
Таблица 1. «Результатытестирования».
Dr Web
4.33
Лаборатория
Касперского Eset NOD32
Количество успешно проведенных тестов VB100% за 2006-2007г
4
10
11
Общий уровень обнаружения вредоносного программного обеспечения
92.40%
98.88%
94.38%
Среднее время реакции на новые угроз, часы
6-8
0-2
4-6
Лечение активного заражения
82%
71%
18%
Занимаемая оперативная память в обычном режиме работы, кВ
8338
4500
29124
Время сканирования данных, мин.
79
28
23
Количество отсканированных данных
133848
124914
123724
Усредненная по всем тестам рейтинг антивирусов (чем меньше, тем лучше)
7,83
2,25
4,75
По данным таблицы видно,что у одних антивирусов выигрышным оказывается один показатель, у других — другой. При этом естественно, что в своих рекламных материалах разработчикиантивирусов делают упор только на те тесты, где их продукты занимают лидирующиепозиции. Так, например, Лаборатория Касперского делает акцент на скорости реакциина появление новых угроз, EsetNOD32 — на силе своих эвристических технологий, Dr Web 4.33 описывает свои преимущества в лечении активногозаражения.
Но что же делатьпользователю, как сделать правильный выбор? Выбирая антивирус для своейсистемы, нужно убедиться, что он периодически завоевывает награду VB100%. Этогарантирует, что разработчики антивируса постоянно контролируют появление новыхопасных вирусов, своевременно обновляют антивирусную базу данных исовершенствуют алгоритмы обнаружения вирусов. Понятно, что решение, котороевыберет пользователь, должно быть сбалансированным и по большинству параметровдолжно входить в число лидеров по результатам
ЗАКЛЮЧЕНИЕ
В настоящее времякомпьютерные вирусы знакомы всем пользователям компьютерных систем.Актуальность проблемы антивирусной защиты объясняется следующими причинами:
лавинообразный рост числакомпьютерных вирусов. В настоящее время число известных вирусов превысило за256 000 (данные за 21 февраля 2007 г.) и продолжает интенсивно расти.
неудовлетворительноесостояние антивирусной защиты в существующих корпоративных компьютерных сетях.Сегодня сети российских компаний находятся в постоянном развитии. Однако вместес этим развитием постоянно растет и число точек проникновения вирусов вкорпоративные сети. Как правило, такими точками являются шлюзы и серверыИнтернета, серверы файл-приложений, серверы групповой работы и электроннойпочты, рабочие станции;
в последнее времяполучили распространение вирусы для мобильных устройств, включая телефоны, идля unix-подобных систем, на которых строятся корпоративные информационныесети.
Хорошая антивируснаяпрограмма должна:
Обеспечивать эффективнуюзащиту в режиме реального времени. Резидентная часть (монитор) программы должнапостоянно находиться в оперативной памяти вашего компьютера и производитьпроверку всех файловых операций (при создании, редактировании, копированиифайлов, запуске их на исполнение), сообщений электронной почты, данных ипрограмм, получаемых из интернета.
Позволять проверять всесодержимое локальных дисков «по требованию», запуская проверкувручную или автоматически по расписанию.
Защищать ваш компьютердаже от неизвестных вирусов: программа должна включать в себя технологии поисканеизвестных вирусов, основанные на принципах эвристического анализа.
Уметь проверять и лечитьархивированные файлы.
Давать возможностьрегулярно (ежедневно!) обновлять антивирусные базы (через Интернет, с дискетили CD — как вам удобнее).
И все-таки остаетсявопрос: «Какой антивирус выбрать?»
Вскоре после появленияперсональных компьютеров и начала массового распространения вирусов появилосьогромное количество антивирусных программ. Сейчас в России используются главнымобразом две очень хорошие, проверенные, качественные антивирусные программы: DrWeb и Антивирус Касперского. Каждая изних имеет несколько разновидностей, ориентированных на разные сферы применения:для использования на домашних компьютерах, для малого и среднего бизнеса, длякрупных корпоративных клиентов, для защиты локальных сетей, для почтовых,файловых серверов, серверов приложений. Обе эти программы, безусловно, отвечаютвсем вышеперечисленным требованиям. Замечены за ними обеими и некоторыенедостатки, в частности, частенько конфликтуют с некоторыми запускаемыми из-подWindows MSDOS-приложениями.
СПИСОК ИСПОЛЬЗОВАННЫХИСТОЧНИКОВ
1. Безруков Н.Н.Классификация компьютерных вирусов MS-DOS и методы защиты от них/ Н.Н.Безруков. – М.: СП «ICE», 1990
2. Безруков Н.Н.Компьютерные вирусы/ Н.Н. Безруков. - М.: Наука, 1991.
3. Денисов Т.В.Антивирусная защита//Мой Компьютер-№4-1999г.
4. Могилев А.В.Информатика: учебное пособие для студ. пед. вузов / А.В.Могилев Н.И.Пак,Е.К.Хеннер; Под ред. Е.К.Хеннера. – М.: Изд. Центр «Академия», 2000.-816с.