Содержание
Введение
1. Теоретическая часть
1.1 Понятие защиты информации
1.2 Виды угроз
1.3 Методы защиты информации
2. Проектная часть
2.1 Классификация компьютерных вирусов
2.2 Понятие антивирусной программы
2.3 Виды антивирусных средств
2.4 Сравнение антивирусных пакетов
Заключение
Список использованной литературы
Приложение
Введение
Развитие новых информационныхтехнологий и всеобщая компьютеризация привели к тому, что информационнаябезопасность не только становится обязательной, она еще и одна из характеристикинформационных систем. Существует довольно обширный класс систем обработкиинформации, при разработке которых фактор безопасности играет первостепеннуюроль.
Массовое применение персональныхкомпьютеров связано с появлением самовоспроизводящихся программ-вирусов,препятствующих нормальной работе компьютера, разрушающих файловую структурудисков и наносящих ущерб хранимой в компьютере информации.
Несмотря напринятые во многих странах законы о борьбе с компьютерными преступлениями иразработку специальных программных средств защиты от вирусов, количество новыхпрограммных вирусов постоянно растет. Это требует от пользователя персональногокомпьютера знаний о природе вирусов, способах заражения вирусами и защиты отних.
С каждымднем вирусы становятся все более изощренными, что приводит к существенномуизменению профиля угроз. Но и рынок антивирусного программного обеспечения нестоит на месте, предлагая множество продуктов. Их пользователи, представляяпроблему лишь в общих чертах, нередко упускают важные нюансы и в итоге получаютиллюзию защиты вместо самой защиты.
Целью данной курсовой работы являетсяпроведение сравнительного анализа антивирусных пакетов.
Для достижения этой цели в работерешаются следующие задачи:
- изучить понятия информационнойбезопасности, компьютерных вирусов и антивирусных средств;
- определить виды угрозбезопасности информации, методы защиты;
- изучить классификациюкомпьютерных вирусов и антивирусных программ;
- провести сравнительный анализантивирусных пакетов;
- создать программу-антивирус.
Практическая значимость работы.
Полученные результаты, материалкурсовой работы можно использовать как основу для самостоятельного сравненияантивирусных программ.
Структура курсовой работы.
Данная курсовая работа состоит изВведения, двух разделов, Заключения, списка используемой литературы.
компьютерный вирус безопасность антивирусный
1. Теоретическая часть
В процессе проведения сравнительногоанализа антивирусных пакетов необходимо определить следующие понятия:
1 Информационная безопасность.
2 Виды угроз.
3 Методы защиты информации.
Перейдем к подробному рассмотрениюэтих понятий:
1.1 Понятие защиты информации
Несмотря на все возрастающие усилияпо созданию технологий защиты данных их уязвимость в современных условиях нетолько не уменьшается, но и постоянно возрастает. Поэтому актуальность проблем,связанных с защитой информации все более усиливается.
Проблема защиты информации являетсямногоплановой и комплексной и охватывает ряд важных задач. Например,конфиденциальность данных, которая обеспечивается применением различных методови средств. Перечень аналогичных задач по защите информации может бытьпродолжен. Интенсивное развитие современных информационных технологий, и вособенности сетевых технологий, создает для этого все предпосылки.
Защита информации – комплексмероприятий, направленных на обеспечение целостности, доступности и, еслинужно, конфиденциальности информации и ресурсов, используемых для ввода,хранения, обработки и передачи данных.
На сегодняшний день сформулированодва базовых принципа по защите информации:
1 целостность данных – защита отсбоев, ведущих к потере информации, а также защита от неавторизованногосоздания или уничтожения данных;
2 конфиденциальность информации.
Защита от сбоев, ведущих к потереинформации, ведется в направлении повышения надежности отдельных элементов исистем, осуществляющих ввод, хранение, обработку и передачу данных,дублирования и резервирования отдельных элементов и систем, использованияразличных, в том числе автономных, источников питания, повышения уровняквалификации пользователей, защиты от непреднамеренных и преднамеренныхдействий, ведущих к выходу из строя аппаратуры, уничтожению или изменению(модификации) программного обеспечения и защищаемой информации.
Защита от неавторизованного созданияили уничтожения данных обеспечивается физической защитой информации,разграничением и ограничением доступа к элементам защищаемой информации,закрытием защищаемой информации в процессе непосредственной ее обработки,разработкой программно-аппаратных комплексов, устройств и специализированногопрограммного обеспечения для предупреждения несанкционированного доступа кзащищаемой информации.
Конфиденциальность информацииобеспечивается идентификацией и проверкой подлинности субъектов доступа привходе в систему по идентификатору и паролю, идентификацией внешних устройств пофизическим адресам, идентификацией программ, томов, каталогов, файлов поименам, шифрованием и дешифрованием информации, разграничением и контролемдоступа к ней.
Среди мер, направленных на защитуинформации основными являются технические, организационные и правовые.
К техническим мерам можно отнестизащиту от несанкционированного доступа к системе, резервирование особо важных компьютерныхподсистем, организацию вычислительных сетей с возможностью перераспределенияресурсов в случае нарушения работоспособности отдельных звеньев, установкурезервных систем электропитания, оснащение помещений замками, установкусигнализации и так далее.
К организационным мерам относятся:охрана вычислительного центра (кабинетов информатики); заключение договора наобслуживание компьютерной техники с солидной, имеющей хорошую репутациюорганизацией; исключение возможности работы на компьютерной техникепосторонних, случайных лиц и так далее.
К правовым мерам относятся разработканорм, устанавливающих ответственность за вывод из строя компьютерной техники иуничтожение (изменение) программного обеспечения, общественный контроль надразработчиками и пользователями компьютерных систем и программ.
Следует подчеркнуть, что никакиеаппаратные, программные и любые другие решения не смогут гарантироватьабсолютную надежность и безопасность данных в компьютерных системах. В то жевремя свести риск потерь к минимуму возможно, но лишь при комплексном подходе кзащите информации.
1.2 Виды угроз
Пассивные угрозы направлены в основном нанесанкционированное использование информационных ресурсов информационнойсистемы, не оказывая при этом влияния на ее функционирование. Например,несанкционированный доступ к базам данных, прослушивание каналов связи и такдалее.
Активные угрозы имеют целью нарушение нормальногофункционирования информационной системы путем целенаправленного воздействия наее компоненты. К активным угрозам относятся, например, вывод из строякомпьютера или его операционной системы, разрушение программного обеспечениякомпьютеров, нарушение работы линий связи и так далее. Источником активныхугроз могут быть действия взломщиков, вредоносные программы и тому подобное.
Умышленные угрозы подразделяютсятакже на внутренние (возникающие внутри управляемой организации) и внешние.
Внутренние угрозы чаще всегоопределяются социальной напряженностью и тяжелым моральным климатом.
Внешние угрозы могут определятьсязлонамеренными действиями конкурентов, экономическими условиями и другимипричинами (например, стихийными бедствиями).
К основным угрозам безопасностиинформации и нормального функционирования информационной системы относятся:
- утечка конфиденциальной информации;
- компрометация информации;
- несанкционированное использование информационныхресурсов;
- ошибочное использование информационных ресурсов;
- несанкционированный обмен информацией междуабонентами;
- отказ от информации;
- нарушение информационного обслуживания;
- незаконное использование привилегий.
Утечка конфиденциальной информации – это бесконтрольный выходконфиденциальной информации за пределы информационной системы или круга лиц,которым она была доверена по службе или стала известна в процессе работы. Этаутечка может быть следствием:
- разглашения конфиденциальной информации;
- ухода информации по различным, главным образомтехническим, каналам;
- несанкционированного доступа к конфиденциальнойинформации различными способами.
Разглашение информации ее владельцем или обладателем естьумышленные или неосторожные действия должностных лиц и пользователей, которымсоответствующие сведения в установленном порядке были доверены по службе или поработе, приведшие к ознакомлению с ним лиц, не допущенных к этим сведениям.
Возможен бесконтрольный уходконфиденциальной информации по визуально-оптическим, акустическим,электромагнитным и другим каналам.
Несанкционированный доступ – это противоправное преднамеренноеовладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемымсведениям.
Наиболее распространенными путяминесанкционированного доступа к информации являются:
- перехват электронных излучений;
- принудительное электромагнитное облучение линий связис целью получения паразитной модуляции несущей;
- применение подслушивающих устройств;
- дистанционное фотографирование;
- перехват акустических излучений и восстановлениетекста принтера;
- копирование носителей информации с преодолением мерзащиты;
- маскировка под зарегистрированногопользователя;
- маскировка под запросысистемы;
- использование программных ловушек;
- использование недостатков языков программирования иоперационных систем;
- незаконное подключение к аппаратуре и линиям связиспециально разработанных аппаратных средств, обеспечивающих доступ информации;
- злоумышленный вывод из строя механизмов защиты;
- расшифровка специальными программами зашифрованнойинформации;
- информационные инфекции.
Перечисленные путинесанкционированного доступа требуют достаточно больших технических знаний исоответствующих аппаратных или программных разработок со стороны взломщика.Например, используются технические каналы утечки – это физические пути отисточника конфиденциальной информации к злоумышленнику, посредством которых возможнополучение охраняемых сведений. Причиной возникновения каналов утечки являютсяконструктивные и технологические несовершенства схемных решений либоэксплуатационный износ элементов. Все это позволяет взломщикам создаватьдействующие на определенных физических принципах преобразователи, образующиеприсущий этим принципам канал передачи информации – канал утечки.
Однако есть и достаточно примитивныепути несанкционированного доступа:
- хищение носителей информации идокументальных отходов;
- инициативное сотрудничество;
- склонение к сотрудничеству состороны взломщика;
- выпытывание;
- подслушивание;
- наблюдение и другие пути.
Любые способы утечки конфиденциальнойинформации могут привести к значительному материальному и моральному ущербу какдля организации, где функционирует информационная система, так и для еепользователей.
Существует и постоянноразрабатывается огромное множество вредоносных программ, цель которых – порчаинформации в базах данных и программном обеспечении компьютеров. Большое числоразновидностей этих программ не позволяет разработать постоянных и надежныхсредств защиты против них.
Вирус – программа, которая может заражать другие программыпутем включения в них модифицированной копии, обладающей способностью кдальнейшему размножению.
Считается, что вирус характеризуетсядвумя основными особенностями:
- способностью ксаморазмножению;
- способностью к вмешательству ввычислительный процесс (к получению возможности управления).
Несанкционированное использованиеинформационных ресурсов, с одной стороны, является последствиями ее утечки и средством еекомпрометации. С другой стороны, оно имеет самостоятельное значение, так какможет нанести большой ущерб управляемой системе или ее абонентам.
Ошибочное использованиеинформационных ресурсов будучисанкционированным тем не менее может привести к разрушению, утечке иликомпрометации указанных ресурсов.
Несанкционированный обмен информациеймежду абонентами можетпривести к получению одним из них сведений, доступ к которым ему запрещен.Последствия – те же, что и при несанкционированном доступе.
1.3 Методы защиты информации
Создание систем информационнойбезопасности основывается на следующих принципах:
1 Системный подход к построению системы защиты,означающий оптимальное сочетание взаимосвязанных организационных, программных,.Аппаратных, физических и других свойств, подтвержденных практикой созданияотечественных и зарубежных систем защиты и применяемых на всех этапахтехнологического цикла обработки информации.
2 Принцип непрерывного развитиясистемы. Этот принцип,являющийся одним из основополагающих для компьютерных информационных систем,еще более актуален для систем информационной безопасности. Способы реализацииугроз информации непрерывно совершенствуются, а потому обеспечение безопасностиинформационных систем не может быть одноразовым актом. Это непрерывный процесс,заключающийся в обосновании и реализации наиболее рациональных методов,способов и путей совершенствования систем информационной безопасности, непрерывномконтроле, выявлении ее узких и слабых мест, потенциальных каналов утечкиинформации и новых способов несанкционированного доступа,
3 Обеспечение надежности системызащиты, то естьневозможность снижения уровня надежности при возникновении в системе сбоев,отказов, преднамеренных действий взломщика или непреднамеренных ошибокпользователей и обслуживающего персонала.
4 Обеспечение контроля зафункционированием системы защиты, то есть создание средств и методов контроля работоспособностимеханизмов защиты.
5 Обеспечение всевозможныхсредств борьбы с вредоносными программами.
6 Обеспечение экономическойцелесообразности использования системы. Защиты, что выражается в превышении возможного ущерба отреализации угроз над стоимостью разработки и эксплуатации систем информационнойбезопасности.
В результате решения проблембезопасности информации современные информационные системы должны обладатьследующими основными признаками:
- наличием информации различнойстепени конфиденциальности;
- обеспечением криптографическойзащиты информации различной степени конфиденциальности при передаче данных;
- обязательным управлениемпотоками информации, как в локальных сетях, так и при передаче по каналам связина далекие расстояния;
- наличием механизма регистрации и учета попытокнесанкционированного доступа, событий в информационной системе и документов,выводимых на печать;
- обязательным обеспечениемцелостности программного обеспечения и информации;
- наличием средств восстановления системы защитыинформации;
- обязательным учетом магнитныхносителей;
- наличием физической охраны средств вычислительнойтехники и магнитных носителей;
- наличием специальной службы информационнойбезопасности системы.
Методы и средства обеспечениябезопасности информации.
Препятствие – метод физического преграждения путизлоумышленнику к защищаемой информации.
Управление доступом – методы защиты информациирегулированием использования всех ресурсов. Эти методы должны противостоятьвсем возможным путям несанкционированного доступа к информации. Управлениедоступом включает следующие функции защиты:
- идентификацию пользователей, персонала и ресурсовсистемы (присвоение каждому объекту персонального идентификатора);
- опознание объекта или субъекта по предъявленному имидентификатору;
- разрешение и создание условий работы в пределахустановленного регламента;
- регистрацию обращений к защищаемым ресурсам;
- реагирование при попытках несанкционированныхдействий.
Механизмы шифрования – криптографическое закрытиеинформации. Эти методы защиты все шире применяются как при обработке, так и прихранении информации на магнитных носителях. При передаче информации по каналамсвязи большой протяженности этот метод является единственно надежным.
Противодействие атакам вредоносныхпрограмм предполагаеткомплекс разнообразных мер организационного характера и использованиеантивирусных программ.
Вся совокупность технических средствподразделяется на аппаратные и физические.
Аппаратные средства – устройства, встраиваемыенепосредственно в вычислительную технику, или устройства, которые сопрягаются сней по стандартному интерфейсу.
Физические средства включают различные инженерныеустройства и сооружения, препятствующие физическому проникновениюзлоумышленников на объекты защиты и осуществляющие защиту персонала (личныесредства безопасности), материальных средств и финансов, информации отпротивоправных действий.
Программные средства – это специальные программы ипрограммные комплексы, предназначенные для защиты информации в информационныхсистемах.
Из средств программного обеспечениясистемы защиты необходимо выделить еще программные средства, реализующиемеханизмы шифрования (криптографии). Криптография – это наука об обеспечениисекретности и/или аутентичности (подлинности) передаваемых сообщений.
Организационные средства осуществляют своим комплексомрегламентацию производственной деятельности в информационных системах ивзаимоотношений исполнителей на нормативно-правовой основе таким образом, чторазглашение, утечка и несанкционированный доступ к конфиденциальной информациистановится невозможным или существенно затрудняется за счет проведенияорганизационных мероприятий.
Законодательные средства защиты определяются законодательнымиактами страны, которыми регламентируются правила пользования, обработки ипередачи информации ограниченного доступа и устанавливаются мерыответственности за нарушение этих правил.
Морально-этические средства защиты включают всевозможные нормыповедения, которые традиционно сложились ранее, складываются по мерераспространения информации в стране и в мире или специально разрабатываются.Морально-этические нормы могут быть неписаные либо оформленные в некий сводправил или предписаний. Эти нормы, как правило, не являются законодательноутвержденными, но поскольку их несоблюдение приводит к падению престижаорганизации, они считаются обязательными для исполнения.
2. Проектнаячасть
В проектной части необходимовыполнить следующие этапы:
1 Определить понятиекомпьютерного вируса и классификации компьютерных вирусов.
2 Определить понятиеантивирусной программы и классификации антивирусных средств.
3 Провести сравнительный анализантивирусных пакетов.
2.1 Классификация компьютерныхвирусов
Вирус – программа, которая может заражать другие программыпутем включения в них модифицированной копии, обладающей способностью кдальнейшему размножению.
Вирусы можно разделить на классы последующим основным признакам:
- деструктивные возможности
- особенности алгоритма работы;
- среда обитания;
По деструктивным возможностям вирусыможно разделить на:
- безвредные, то есть никак невлияющие на работу компьютера (кроме уменьшения свободной памяти на диске врезультате своего распространения);
- неопасные, влияние которыхограничивается уменьшением свободной памяти на диске и графическими, звуковымии прочими эффектами;
- опасные вирусы, которые могутпривести к серьезным сбоям в работе компьютера;
- очень опасные, в алгоритмработы которых заведомо заложены процедуры, которые могут привести к потерепрограмм, уничтожить данные, стереть необходимую для работы компьютераинформацию, записанную в системных областях памяти
Особенности алгоритма работы вирусовможно охарактеризовать следующими свойствами:
- резидентность;
- использованиестелс-алгоритмов;
- полиморфичность;Резидентные вирусы.
Под термином «резидентность» понимаетсяспособность вирусов оставлять свои копии в системной памяти, перехватыватьнекоторые события и вызывать при этом процедуры заражения обнаруженных объектов(файлов и секторов). Таким образом, резидентные вирусы активны не только вмомент работы зараженной программы, но и после того, как программа закончиласвою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть доочередной перезагрузки, даже если на диске уничтожены все зараженные файлы.Часто от таких вирусов невозможно избавиться восстановлением всех копий файловс дистрибутивных дисков или backup-копий. Резидентная копия вируса остаетсяактивной и заражает вновь создаваемые файлы. То же верно и для загрузочныхвирусов – форматирование диска при наличии в памяти резидентного вируса невсегда вылечивает диск, поскольку многие резидентные вирусы заражает дискповторно после того, как он отформатирован.Нерезидентные вирусы. Нерезидентныевирусы, напротив, активны довольно непродолжительное время – только в моментзапуска зараженной программы. Для своего распространения они ищут на дискенезараженные файлы и записываются в них. После того, как код вируса передаетуправление программе-носителю, влияние вируса на работу операционной системысводится к нулю вплоть до очередного запуска какой-либо зараженной программы.Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить сдиска и при этом не позволить вирусу заразить их повторно.Стелс-вирусы. Стелс-вирусы темиили иными способами скрывают факт своего присутствия в системе. Использование стелс-алгоритмовпозволяет вирусам полностью или частично скрыть себя в системе. Наиболеераспространенным стелс-алгоритмом является перехват запросов операционнойсистемы на чтение (запись) зараженных объектов. Стелс-вирусы при этом либовременно лечат их, либо «подставляют» вместо себя незараженные участкиинформации. В случае макро-вирусов наиболее популярный способ – запрет вызововменю просмотра макросов. Известны стелс-вирусы всех типов, за исключениемWindows-вирусов – загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.Появление стелс-вирусов, заражающих файлы Windows, является скорее всего деломвремени.Полиморфик-вирусы. Самошифрованиеи полиморфичность используются практически всеми типами вирусов для того, чтобымаксимально усложнить процедуру детектирования вируса. Полиморфик-вирусы – этодостаточно трудно обнаружимые вирусы, не имеющие сигнатур, то есть несодержащие ни одного постоянного участка кода. В большинстве случаев дваобразца одного и того же полиморфик-вируса не будут иметь ни одного совпадения.Это достигается шифрованием основного тела вируса и модификациямипрограммы-расшифровщика.
К полиморфик-вирусам относятся те изних, детектирование которых невозможно осуществить при помощи так называемыхвирусных масок – участков постоянного кода, специфичных для конкретного вируса.Достигается это двумя основными способами – шифрованием основного кода вируса снепостоянным кличем и случайным набором команд расшифровщика или изменениемсамого выполняемого кода вируса. Полиморфизм различной степени сложностивстречается в вирусах всех типов – от загрузочных и файловых DOS-вирусов доWindows-вирусов.
По среде обитания вирусы можноразделить на:
- файловые;
- загрузочные;
- макровирусы;
- сетевые.Файловые вирусы. Файловыевирусы либо различными способами внедряются в выполняемые файлы, либо создаютфайлы-двойники (компаньон-вирусы), либо используют особенности организациифайловой системы (link-вирусы).
Внедрение файлового вируса возможно практическиво все исполняемые файлы всех популярных операционных систем. На сегодняшнийдень известны вирусы, поражающие все типы выполняемых объектов стандартной DOS:командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлыIO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы,поражающие исполняемые файлы других операционных систем – Windows 3.x,Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвера Windows 3.x иWindows95.
Существуют вирусы, заражающие файлы,которые содержат исходные тексты программ, библиотечные или объектные модули.Возможна запись вируса и в файлы данных, но это случается либо в результатеошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы такжезаписывают свой код в файлы данных – документы или электронные таблицы, однакоэти вирусы настолько специфичны, что вынесены в отдельную группу.Загрузочные вирусы. Загрузочныевирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или MasterBoot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан наалгоритмах запуска операционной системы при включении или перезагрузкекомпьютера – после необходимых тестов установленного оборудования (памяти,дисков и т.д.) программа системной загрузки считывает первый физический секторзагрузочного диска (A:, C: или CD-ROM в зависимости от параметров,установленных в BIOS Setup) и передает на него управление.
В случае дискеты или компакт-дискауправление получает boot-сектор, который анализирует таблицу параметров диска(BPB – BIOS Parameter Block) высчитывает адреса системных файлов операционнойсистемы, считывает их в память и запускает на выполнение. Системными файламиобычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо других взависимости от установленной версии DOS, Windows или других операционныхсистем. Если же на загрузочном диске отсутствуют файлы операционной системы,программа, расположенная в boot-секторе диска выдает сообщение об ошибке ипредлагает заменить загрузочный диск.
В случае винчестера управлениеполучает программа, расположенная в MBR винчестера. Эта программа анализируеттаблицу разбиения диска (Disk Partition Table), вычисляет адрес активногоboot-сектора (обычно этим сектором является boot-сектор диска C, загружает егов память и передает на него управление. Получив управление, активныйboot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.
При заражении дисков загрузочныевирусы «подставляют» свой код вместо какой-либо программы, получающейуправление при загрузке системы. Принцип заражения, таким образом, одинаков вовсех описанных выше способах: вирус «заставляет» систему при ее перезапускесчитать в память и отдать управление не оригинальному коду загрузчика, но кодувируса.
Заражение дискет производитсяединственным известным способом – вирус записывает свой код вместооригинального кода boot-сектора дискеты. Винчестер заражается тремя возможнымиспособами – вирус записывается либо вместо кода MBR, либо вместо кодаboot-сектора загрузочного диска (обычно диска C, либо модифицирует адресактивного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.Макро-вирусы. Макро-вирусызаражают файлы – документы и электронные таблицы нескольких популярныхредакторов. Макро-вирусы (macro viruses) являются программами на языках(макро-языках), встроенных в некоторые системы обработки данных. Для своегоразмножения такие вирусы используют возможности макро-языков и при их помощипереносят себя из одного зараженного файла в другие. Наибольшее распространениеполучили макро-вирусы для Microsoft Word, Excel и Office97. Существуют такжемакро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.Сетевые вирусы. К сетевымотносятся вирусы, которые для своего распространения активно используютпротоколы и возможности локальных и глобальных сетей. Основным принципом работысетевого вируса является возможность самостоятельно передать свой код наудаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этомобладают еще и возможностью запустить на выполнение свой код на удаленномкомпьютере или, по крайней мере, «подтолкнуть» пользователя к запускузараженного файла. Пример сетевых вирусов – так называемые IRC-черви.
IRC (Internet Relay Chat) – этоспециальный протокол, разработанный для коммуникации пользователей Интернет вреальном времени. Этот протокол предоставляет им возможность Итрернет-«разговора»при помощи специально разработанного программного обеспечения. Помимо посещенияобщих конференций пользователи IRC имеют возможность общаться один на один слюбым другим пользователем. Кроме этого существует довольно большое количествоIRC-команд, при помощи которых пользователь может получить информацию о другихпользователях и каналах, изменять некоторые установки IRC-клиента и прочее.Существует также возможность передавать и принимать файлы – именно на этойвозможности и базируются IRC-черви. Мощная и разветвленная система командIRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы,передающие свой код на компьютеры пользователей сетей IRC, так называемые «IRC-черви».Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд файлсценария работы (скрипт) автоматически посылается с зараженного компьютеракаждому вновь присоединившемуся к каналу пользователю. Присланный файл-сценарийзамещает стандартный и при следующем сеансе работы уже вновь зараженный клиентбудет рассылать червя. Некоторые IRC-черви также содержат троянский компонент:по заданным ключевым словам производят разрушительные действия на пораженныхкомпьютерах. Например, червь «pIRCH.Events» по определенной команде стирает всефайлы на диске пользователя.
Существует большое количествосочетаний – например, файлово-загрузочные вирусы, заражающие как файлы, так изагрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложныйалгоритм работы, часто применяют оригинальные методы проникновения в систему,используют стелс и полиморфик-технологии. Другой пример такого сочетания –сетевой макро-вирус, который не только заражает редактируемые документы, но ирассылает свои копии по электронной почте.
В дополнение к этой классификацииследует сказать несколько слов о других вредоносных программах, которые иногдапутают с вирусами. Эти программы не обладают способностью к самораспространениюкак вирусы, но способны нанести столь же разрушительный урон.Троянские кони (логическиебомбы или временные бомбы).
К троянским коням относятсяпрограммы, наносящие какие-либо разрушительные действия, то есть в зависимостиот каких-либо условий или при каждом запуске уничтожающая информацию на дисках,«завешивающая» систему, и прочее. В качестве примера можно привести и такойслучай – когда такая программа во время сеанса работы в Интернете пересылаласвоему автору идентификаторы и пароли с компьютеров, где она обитала.Большинство известных троянских коней являются программами, которые «подделываются»под какие-либо полезные программы, новые версии популярных утилит илидополнения к ним. Очень часто они рассылаются по BBS-станциям или электроннымконференциям. По сравнению с вирусами «троянские кони» не получают широкогораспространения по следующим причинам – они либо уничтожают себя вместе состальными данными на диске, либо демаскируют свое присутствие и уничтожаютсяпострадавшим пользователем.
2.2 Понятие антивирусной программы
Способы противодействия компьютернымвирусам можно разделить на несколько групп:
- профилактика вирусногозаражения и уменьшение предполагаемого ущерба от такого заражения;
- методика использования антивирусныхпрограмм, в том числе обезвреживание и удаление известного вируса;
- способы обнаружения и удалениянеизвестного вируса.Профилактика заражения компьютера.
Одним из основных методов борьбы свирусами является, как и в медицине, своевременная профилактика. Компьютернаяпрофилактика предполагает соблюдение небольшого числа правил, которое позволяетзначительно снизить вероятность заражения вирусом и потери каких-либо данных.
Для того чтобы определить основныеправила компьютерной «гигиены», необходимо выяснить основные пути проникновениявируса в компьютер и компьютерные сети.
Основным источником вирусов насегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусомпроисходит при обмене письмами в форматах Word/Office97.Пользователь зараженного макро-вирусом редактора, сам того не подозревая,рассылает зараженные письма адресатам, которые в свою очередь отправляют новыезараженные письма и так далее. Следует избегать контактов с подозрительнымиисточниками информации и пользоваться только законными (лицензионными)программными продуктами.Восстановление пораженных объектов.
В большинстве случаев заражениявирусом процедура восстановления зараженных файлов и дисков сводится к запускуподходящего антивируса, способного обезвредить систему. Если же вируснеизвестен ни одному антивирусу, то достаточно отослать зараженный файлфирмам-производителям антивирусов и через некоторое время получитьлекарство-«апдейт» против вируса. Если же время не ждет, то обезвреживаниевируса придется произвести самостоятельно. Для большинства пользователейнеобходимо иметь резервные копии своей информации.
Общие средства защиты информацииполезны не только для защиты от вирусов. Имеются две основные разновидностиэтих средств:
1 Копирование информации –создание копий файлов и системных областей дисков.
2 Разграничение доступапредотвращает несанкционированное использование информации, в частности, защитуот изменений программ и данных вирусами, неправильно работающими программами иошибочными действиями пользователей.
Своевременное обнаружение зараженныхвирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждомкомпьютере позволяют избежать распространения вирусной эпидемии на другиекомпьютеры.
Главным оружием в борьбе с вирусамиявляются антивирусные программы. Они позволяют не только обнаружить вирусы, втом числе вирусы, использующие различные методы маскировки, но и удалить их изкомпьютера.
Существует несколько основополагающихметодов поиска вирусов, которые применяются антивирусными программами. Наиболеетрадиционным методом поиска вирусов является сканирование.
Для обнаружения, удаления и защиты откомпьютерных вирусов разработано несколько видов специальных программ, которыепозволяют обнаруживать и уничтожать вирусы. Такие программы называютсяантивирусными.
2.3 Виды антивирусных средств
Программы-детекторы. Программы-детекторы осуществляютпоиск характерной для конкретного вируса сигнатуры в оперативной памяти и вфайлах и при обнаружении выдают соответствующее сообщение. Недостатком такихантивирусных программ является то, что они могут находить только те вирусы,которые известны разработчикам таких программ.
Программы-доктора. Программы-доктора или фаги, а такжепрограммы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их,то есть удаляют из файла тело программы-вируса, возвращая файлы в исходноесостояние. В начале своей работы фаги ищут вирусы в оперативной памяти,уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяютполифаги, то есть программы-доктора, предназначенные для поиска и уничтожениябольшого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, NortonAntiVirus, Doctor Web.
Учитывая, что постоянно появляютсяновые вирусы, программы-детекторы и программы-доктора быстро устаревают, итребуется регулярное обновление версий.
Программы-ревизоры (инспектора)относятся к самым надежным средствам защиты от вирусов.
Ревизоры (инспектора) проверяютданные на диске на предмет вирусов-невидимок. Причем инспектор может непользоваться средствами операционной системы для обращения к дискам, а значит,активный вирус не сможет перехватить это обращение.
Дело в том, что ряд вирусов,внедряясь в файлы (то есть дописываясь в конец или в начало файла), подменяютзаписи об этом файле в таблицах размещения файлов нашей операционной системы.
Ревизоры (инспектора) запоминаютисходное состояние программ, каталогов и системных областей диска тогда, когдакомпьютер не заражен вирусом, а затем периодически или по желанию пользователя сравниваюттекущее состояние с исходным. Обнаруженные изменения выводятся на экранмонитора. Как правило, сравнение состояний производят сразу после загрузкиоперационной системы. При сравнении проверяются длина файла, код циклическогоконтроля (контрольная сумма файла), дата и время модификации, другие параметры.Программы-ревизоры (инспектора) имеют достаточно развитые алгоритмы,обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемойпрограммы от изменений, внесенных вирусом.
Запускать ревизора (инспектора) надотогда, когда компьютер еще не заражен, чтобы он мог создать в корневойдиректории каждого диска по таблице, со всей необходимой информацией о файлах,которые имеются на этом диске, а также о его загрузочной области. На созданиекаждой таблицы будет запрошено разрешение. При следующих запусках ревизор(инспектор) будет просматривать диски, сравнивая данные о каждом файле сосвоими записями.
В случае обнаружения зараженийревизор (инспектор) сможет использовать свой собственный лечащий модуль,который восстановит испорченный вирусом файл. Для восстановления файловинспектору не нужно ничего знать о конкретном типе вируса, достаточновоспользоваться данными о файлах, сохраненными в таблицах.
Кроме того, в случае необходимостиможет быть вызван антивирусный сканер.
Программы-фильтры (мониторы). Программы-фильтры (мониторы) или«сторожа» представляют собой небольшие резидентные программы, предназначенныедля обнаружения подозрительных действий при работе компьютера, характерных длявирусов. Такими действиями могут являться:
- попытки коррекции файлов срасширениями COM, EXE;
- изменение атрибутов файла;
- прямая запись на диск поабсолютному адресу;
- запись в загрузочные секторадиска;
- загрузка резидентнойпрограммы.
При попытке какой-либо программыпроизвести указанные действия «сторож» посылает пользователю сообщение ипредлагает запретить или разрешить соответствующее действие. Программы-фильтрывесьма полезны, так как способны обнаружить вирус на самой ранней стадии егосуществования до размножения. Однако, они не «лечат» файлы и диски. Дляуничтожения вирусов требуется применить другие программы, например фаги.
Вакцины или иммунизаторы. Вакцины – это резидентные программы,предотвращающие заражение файлов. Вакцины применяют, если отсутствуютпрограммы-доктора, «лечащие» этот вирус. Вакцинация возможна только отизвестных вирусов. Вакцина модифицирует программу или диск таким образом, чтобыэто не отражалось на их работе, а вирус будет воспринимать их зараженными ипоэтому не внедрится. В настоящее время программы-вакцины имеют ограниченноеприменение.
Сканер. Принцип работы антивирусных сканеровоснован на проверке файлов, секторов и системной памяти и поиске в нихизвестных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусовиспользуются так называемые «маски». Маской вируса является некотораяпостоянная последовательность кода, специфичная для этого конкретного вируса.Если вирус не содержит постоянной маски, или длина этой маски недостаточновелика, то используются другие методы. Примером такого метода являетcя алгоритмический язык, описывающийвсе возможные варианты кода, которые могут встретиться при заражении подобноготипа вирусом. Такой подход используется некоторыми антивирусами длядетектирования полиморфик-вирусов. Сканеры также можно разделить на двекатегории – «универсальные» и «специализированные». Универсальные сканерырассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости отоперационной системы, на работу в которой рассчитан сканер. Специализированныесканеры предназначены для обезвреживания ограниченного числа вирусов или толькоодного их класса, например макро-вирусов. Специализированные сканеры,рассчитанные только на макро-вирусы, часто оказываются наиболее удобным инадежным решением для защиты систем документооборота в средах MS Word и MS Excel.
Сканеры также делятся на«резидентные» (мониторы, сторожа), производящие сканирование «налету», и«нерезидентные», обеспечивающие проверку системы только по запросу. Какправило, «резидентные» сканеры обеспечивают более надежную защиту системы,поскольку они немедленно реагируют на появление вируса, в то время как«нерезидентный» сканер способен опознать вирус только во время своегоочередного запуска. С другой стороны резидентный сканер может несколькозамедлить работу компьютера в том числе и из-за возможных ложных срабатываний.
К достоинствам сканеров всех типовотносится их универсальность, к недостаткам – относительно небольшую скоростьпоиска вирусов.CRC-сканеры.Принцип работы CRC-сканеровоснован на подсчете CRC-сумм (контрольных сумм) для присутствующих на дискефайлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса,как, впрочем, и некоторая другая информация: длины файлов, даты их последнеймодификации и так далее. При последующем запуске CRC-сканерысверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями.Если информация о файле, записанная в базе данных, не совпадает с реальнымизначениями, то CRC-сканеры сигнализируют о том, что файл был измененили заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы,являются довольно сильным оружием против вирусов: практически 100% вирусовоказываются обнаруженными почти сразу после их появления на компьютере. Однакоу этого типа антивирусов есть врожденный недостаток, который заметно снижает ихэффективность. Этот недостаток состоит в том, что CRC-сканерыне способны поймать вирус в момент его появления в системе, а делают это лишьчерез некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканерыне могут определить вирус в новых файлах (в электронной почте, на дискетах, вфайлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку вих базах данных отсутствует информация об этих файлах. Более того, периодическипоявляются вирусы, которые используют эту «слабость» CRC-сканеров,заражают только вновь создаваемые файлы и остаются, таким образом, невидимымидля них.
Блокировщики. Блокировщики – эторезидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающиеоб этом пользователю. К «вирусо-опасным» относятся вызовы на открытие длязаписи в выполняемые файлы, запись в boot-сектора дисков или MBRвинчестера, попытки программ остаться резидентно и так далее, то есть вызовы,которые характерны для вирусов в моменты из размножения. Иногда некоторыефункции блокировщиков реализованы в резидентных сканерах.
К достоинствам блокировщиковотносится их способность обнаруживать и останавливать вирус на самой раннейстадии его размножения. К недостаткам относятся существование путей обходазащиты блокировщиков и большое количество ложных срабатываний.
Необходимо также отметить такоенаправление антивирусных средств, как антивирусные блокировщики, выполненные ввиде аппаратных компонентов компьютера. Наиболее распространенной являетсявстроенная в BIOS защита от записи в MBR винчестера. Однако, как и в случае спрограммными блокировщиками, такую защиту легко обойти прямой записью в портыконтроллера диска, а запуск DOS-утилитыFDISK немедленно вызывает «ложноесрабатывание» защиты.
Существует несколько болееуниверсальных аппаратных блокировщиков, но к перечисленным выше недостаткамдобавляются также проблемы совместимости со стандартными конфигурациямикомпьютеров и сложности при их установке и настройке. Все это делает аппаратныеблокировщики крайне непопулярными на фоне остальных типов антивирусной защиты.
2.4 Сравнение антивирусных пакетов
Вне зависимости оттого, какую информационную систему нужно защищать, наиболее важный параметр присравнении антивирусов – способность обнаруживать вирусы и другие вредоносныепрограммы.
Однако этот параметрхотя и важный, но далеко не единственный.
Дело в том, чтоэффективность системы антивирусной защиты зависит не только от ее способностиобнаруживать и нейтрализовать вирусы, но и от множества других факторов.
Антивирус долженбыть удобным в работе, не отвлекая пользователя компьютера от выполнения егопрямых обязанностей. Если антивирус будет раздражать пользователя настойчивымипросьбами и сообщениями, рано или поздно он будет отключен. Интерфейсантивируса должен быть дружественным и понятным, так как далеко не всепользователи обладают большим опытом работы с компьютерными программами. Неразобравшись со смыслом появившегося на экране сообщения, можно невольнодопустить вирусное заражение даже при установленном антивирусе.
Наиболее удобенрежим антивирусной защиты, когда проверке подвергаются все открываемые файлы.Если антивирус не способен работать в таком режиме, пользователю придется дляобнаружения вновь появившихся вирусов каждый день запускать сканирование всехдисков. На эту процедуру могут уйти десятки минут или даже часы, если речь идето дисках большого объема, установленных, например, на сервере.
Так как новые вирусыпоявляются каждый день, необходимо периодически обновлять базу данныхантивируса. В противном случае эффективность антивирусной защиты будет оченьнизкой. Современные антивирусы после соответствующей настройки могутавтоматически обновлять антивирусные базы данных через Интернет, не отвлекаяпользователей и администраторов на выполнение этой рутинной работы.
При защите крупнойкорпоративной сети на передний план выдвигается такой параметр сравненияантивирусов, как наличие сетевого центра управления. Если корпоративная сетьобъединяет сотни и тысячи рабочих станций, десятки и сотни серверов, то безсетевого центра управления эффективную антивирусную защиту организоватьпрактически невозможно. Один или несколько системных администраторов не смогутобойти все рабочие станции и серверы, установив на них и настроив антивирусныепрограммы. Здесь необходимы технологии, допускающие централизованную установкуи настройку антивирусов на все компьютеры корпоративной сети.
Защита узловИнтернета, таких как почтовые серверы, и серверов служб обмена сообщениями требуетприменения специализированных антивирусных средств. Обычные антивирусы,предназначенные для проверки файлов, не смогут найти вредоносный программныйкод в базах данных серверов обмена сообщениями или в потоке данных, проходящихчерез почтовые серверы.
Обычно при сравненииантивирусных средств учитывают и другие факторы. Государственные учреждениямогут при прочих равных условиях предпочесть антивирусы отечественногопроизводства, имеющие все необходимые сертификаты. Немалую роль играет ирепутация, полученная тем или иным антивирусным средством среди пользователейкомпьютеров и системных администраторов. Немалую роль при выборе могут играть иличные предпочтения.
Для доказательства преимуществ своихпродуктов разработчики антивирусов часто используют результаты независимыхтестов. При этом пользователи зачастую не понимают, что конкретно и какимобразом проверялось в данном тесте.
В данной работе сравнительномуанализу подверглись наиболее популярные на данный момент антивирусные программы,а именно: Антивирус Касперского, Symantec/Norton, Доктор Веб, Eset Nod32, TrendMicro, McAfee, Panda, Sophos, BitDefender, F-Secure, Avira, Avast!, AVG,Microsoft.
Одним из первых тестироватьантивирусные продукты начал британский журнал Virus Bulletin. Первые тесты,опубликованные на их сайте, относятся к 1998 году. Основу теста составляетколлекция вредоносных программ WildList. Для успешного прохождения тестанеобходимо выявить все вирусы этой коллекции и продемонстрировать нулевойуровень ложных срабатываний на коллекции «чистых» файлов журнала. Тестированиепроводится несколько раз в год на различных операционных системах; успешнопрошедшие тест продукты получают награду VB100%. На рисунке 1 отражено, скольконаград VB100% было получено продуктами различных антивирусных компаний.
Безусловно, журнал Virus Bulletinможно назвать старейшим антивирусным тестером, но статус патриарха не избавляетего от критики антивирусного сообщества. Во-первых, WildList включает в себятолько вирусы и черви и только для платформы Windows. Во-вторых, коллекцияWildList содержит небольшое число вредоносных программ и очень медленнопополняется: за месяц в коллекции появляется всего несколько десятков новыхвирусов, тогда как, например, коллекция AV-Test за это время пополняетсянесколькими десятками или даже сотнями тысяч экземпляров вредоносногопрограммного обеспечения.
Все это говорит о том, что внастоящем своем виде коллекция WildList морально устарела и не отражаетреальной ситуации с вирусами в сети Интернет. В результате тесты, основанные наколлекции WildList, становятся все более бессмысленными. Они хороши для рекламыпродуктов, которые их прошли, но реально качество антивирусной защиты они неотражают.
/>
Рисунок 1 – Количество успешнопройденных тестов VB 100%
Независимые исследовательскиелаборатории, такие как AV-Comparatives, AV-Tests, дважды в год проводяттестирование антивирусных продуктов на уровень обнаружения вредоносных программпо требованию. При этом коллекции, на которых проводится тестирование, содержатдо миллиона вредоносных программ и регулярно обновляются. Результаты тестовпубликуются на сайтах этих организаций (www.AV-Comparatives.org, www.AV-Test.org)и в известных компьютерных журналах PC World, PC Welt. Итоги очередных тестовпредставлены ниже:
/>
Рисунок 2 – Общий уровень обнаружениявредоносного программного обеспечения по мнению AV-Test
Если говорить о наиболеераспространенных продуктах, то по результатам этих тестов в тройку лидероввходят только решения Лаборатории Касперского и Symantec. Отдельного вниманиязаслуживает лидирующая в тестах Avira.
Тесты исследовательских лабораторийAV-Comparatives и AV-Test, так же как и любые тесты, имеют свои плюсы и своиминусы. Плюсы заключаются в том, что тестирование проводится на большихколлекциях вредоносного программного обеспечения, и в том, что в этихколлекциях представлены самые разнообразные типы вредоносных программ. Минусыже в том, что в этих коллекциях содержатся не только «свежие» образцывредоносных программ, но и относительно старые. Как правило, используютсяобразцы, собранные за последние полгода. Кроме того, в ходе этих тестованализируются результаты проверки жесткого диска по требованию, тогда как вреальной жизни пользователь скачивает заражённые файлы из Интернета илиполучает их в виде вложений по электронной почте. Важно обнаруживать такиефайлы именно в момент появления их на компьютере пользователя.
Попытку выработать методикутестирования, не страдающую от этой проблемы, предпринял один из старейшихбританских компьютерных журналов – PC Pro. В их тесте использовалась коллекциявредоносных программ, обнаруженных за две недели до проведения теста в трафике,проходящем через серверы компании MessageLabs. MessageLabs предлагает своимклиентам сервисы по фильтрации различных видов трафика, и ее коллекциявредоносных программ реально отражает ситуацию с распространением компьютерных вирусовв Сети.
Команда журнала PC Pro не простосканировала зараженные файлы, а моделировала действия пользователя: зараженныефайлы прикреплялись к письмам в виде вложений и эти письма скачивались накомпьютер с установленным антивирусом. Кроме того, при помощи специальнонаписанных скриптов зараженные файлы скачивались с Web-сервера, то есть моделировался серфинг пользователя вИнтернете. Условия, в которых проводятся подобные тесты, максимально приближенык реальным, что не могло не отразится на результатах: уровень обнаружения убольшинства антивирусов оказался существенно ниже, чем при простой проверке потребованию в тестах AV-Comparatives и AV-Test. В таких тестах немаловажную рольиграет то, насколько быстро разработчики антивируса реагируют на появлениеновых вредоносных программ, а также какие проактивные механизмы используютсяпри обнаружении вредоносных программ.
Скорость выпуска обновленийантивируса с сигнатурами новых вредоносных программ – это одна из самых важныхсоставляющих эффективной антивирусной защиты. Чем быстрее будет выпущенообновление баз сигнатур, тем меньшее время пользователь останется незащищенным.
/>
Рисунок 3 – Среднее время реакции нановые угрозы
В последнее время новые вредоносныепрограммы появляются так часто, что антивирусные лаборатории едва успеваютреагировать на появление новых образцов. В подобной ситуации встает вопрос отом, как антивирус может противостоять не только уже известным вирусам, но иновым угрозам, для обнаружения которых еще не выпущена сигнатура.
Для обнаружения неизвестных угрозиспользуются так называемые проактивные технологии. Можно разделить этитехнологии на два вида: эвристики (обнаруживают вредоносные программы на основеанализа их кода) и поведенческие блокираторы (блокируют действия вредоносныхпрограмм при их запуске на компьютере, основываясь на их поведении).
Если говорить об эвристиках, то ихэффективность уже давно изучает AV-Comparatives – исследовательская лабораторияпод руководством Андреаса Клименти. Команда AV-Comparatives применяет особуюметодику: антивирусы проверяются на актуальной вирусной коллекции, но при этомиспользуется антивирус с сигнатурами трехмесячной давности. Таким образом,антивирусу приходится противостоять вредоносным программам, о которых он ничегоне знает. Антивирусы проверяются путем сканирования коллекции вредоносного программногообеспечения на жестком диске, поэтому проверяется только эффективностьэвристика. Другая проактивная технология – поведенческий блокиратор – в этихтестах не задействуется. Даже самые лучшие эвристики на данный моментпоказывают уровень обнаружения только около 70%, а многие из них еще и болеютложными срабатываниями на чистых файлах. Все это говорит о том, что пока этотпроактивный метод обнаружения может использоваться только одновременно ссигнатурным методом.
Что же касается другой проактивнойтехнологии – поведенческого блокиратора, то в этой области серьезныхсравнительных тестов не проводилось. Во-первых, во многих антивирусныхпродуктах («Доктор Веб», NOD32, Avira и других) отсутствует поведенческийблокиратор. Во-вторых, проведение таких тестов сопряжено с некоторымитрудностями. Дело в том, что для проверки эффективности поведенческогоблокиратора необходимо не сканировать диск с коллекцией вредоносных программ, азапускать эти программы на компьютере и наблюдать, насколько успешно антивирусблокирует их действия. Этот процесс очень трудоемкий, и лишь немногиеисследователи способны взяться за проведение таких тестов. Все, что покадоступно широкой общественности, это результаты тестирования отдельныхпродуктов, проведенного командой AV-Comparatives. Если в ходе тестированияантивирусы успешно блокировали действия неизвестных им вредоносных программ вовремя их запуска на компьютере, то продукт получал награду Proactive ProtectionAward. В настоящий момент такие награды получили F-Secure c поведенческойтехнологией DeepGuard и «Антивирус Касперского» с модулем «Проактивная защита».
Технологии предупреждения заражения,основанные на анализе поведения вредоносных программ, получают все большеераспространение, и отсутствие комплексных сравнительных тестов в этой областине может не тревожить. Недавно специалисты исследовательской лабораторииAV-Test провели широкое обсуждение этого вопроса, в котором участвовали иразработчики антивирусных продуктов. Итогом этого обсуждения явилась новаяметодика тестирования способности антивирусных продуктов противостоятьнеизвестным угрозам.
Высокий уровень обнаружениявредоносных программ при помощи различных технологий является одной изважнейших характеристик антивируса. Однако не менее важной характеристикойявляется отсутствие ложных срабатываний. Ложные срабатывания могут нанести неменьший вред пользователю, чем вирусное заражение: заблокировать работу нужныхпрограмм, перекрыть доступ к сайтам и так далее.
В ходе своих исследованийAV-Comparatives, наряду с изучением возможностей антивирусов по обнаружениювредоносного ПО, проводит и тесты на ложные срабатывания на коллекциях чистыхфайлов. Согласно тесту наибольшее количество ложных срабатываний обнаружено уантивирусов «Доктор Веб» и Avira.
Стопроцентной защиты от вирусов несуществует. Пользователи время от времени сталкиваются с ситуацией, когдавредоносная программа проникла на компьютер и компьютер оказался заражен. Это происходитлибо потому, что на компьютере вообще не было антивируса, либо потому, чтоантивирус не обнаружил вредоносную программу ни сигнатурными, ни проактивнымиметодами. В такой ситуации важно, чтобы при установке антивируса со свежимибазами сигнатур на компьютере антивирус смог не только обнаружить вредоноснуюпрограмму, но и успешно ликвидировать все последствия ее деятельности, вылечитьактивное заражение. При этом важно понимать, что создатели вирусов постоянносовершенствуют свое «мастерство», и некоторые их творения достаточно трудноудалить с компьютера – вредоносные программы могут разными способамимаскировать свое присутствие в системе (в том числе при помощи руткитов) и дажепротиводействовать работе антивирусных программ. Кроме того, не достаточнопросто удалить или вылечить зараженный файл, нужно ликвидировать все изменения,произведенные вредоносным процессом в системе и полностью восстановитьработоспособность системы. Команда российского портала Anti-Malware.ru провелиподобный тест, его результаты представлены на рисунке 4.
/>
Рисунок 4 – Лечение активногозаражения
Выше были рассмотрены различныеподходы к тестированию антивирусов, показано, какие параметры работыантивирусов рассматриваются при тестировании. Можно сделать вывод, что у однихантивирусов выигрышным оказывается один показатель, у других – другой. При этоместественно, что в своих рекламных материалах разработчики антивирусов делаютупор только на те тесты, где их продукты занимают лидирующие позиции. Так,например, «Лаборатория Касперского» делает акцент на скорости реакции напоявление новых угроз, Еset – на силе своих эвристических технологий, «ДокторВеб» описывает свои преимущества в лечении активного заражения.
Таким образом, следует провестисинтез результатов различных тестов. Так сведены позиции, которые антивирусызаняли в рассмотренных тестах, а также выведена интегрированная оценка – какоеместо в среднем по всем тестам занимает тот или иной продукт. В итоге в тройкепризеров: «Касперский», Avira, Symantec.
/>
Рисунок 5 – Усредненный рейтингантивирусных программ
На основе проанализированныхантивирусных пакетов был создан программный продукт, предназначенный для поискаи лечения файлов, зараженных вирусом SVC 5.0. Данный вирус на приводит кнесанкционированному удалению или копированию файлов, однако значительно мешаетполноценной работе с программным обеспечением компьютера.
Зараженные программы имеют длинубольшую, чем исходный код. Однако при просмотре каталогов на зараженной машинеэтого видно не будет, так как вирус проверяет, заражен найденный файл или нет.Если файл заражен, то в DTA записывается длина незараженного файла.
Обнаружить данный вирус можноследующим образом. В области данных вируса есть символьная строка "(c)1990 by SVC,Ver. 5.0", по которой вирус, если он есть на диске, можнообнаружить.
При написании антивирусной программы выполняетсяследующая последовательность действий:
1 Для каждого проверяемого файлаопределяется время его создания.
2 Если число секунд равно шестидесяти,то проверяются три байта по смещению, равному «длина файла минус8АН». Если они равны соответственно 35Н, 2ЕН, 30Н, то файл заражен.
3 Выполняется декодированиепервых 24 байт оригинального кода, которые расположены по смещению «длинафайла минус 01CFН плюс 0BAAН». Ключи для декодирования расположены посмещению «длина файла минус 01CFН плюс 0С1AН» и «длина файламинус 01CFН плюс 0С1BН».
4 Раскодированные байтыпереписываются в начало программы.
5 Файл «усекается» до величины«длина файла минус 0С1F».
Программа создана в средепрограммирования Turbo Pascal. Текст программы изложен вПриложении А.
Заключение
В данной курсовой работе был проведенсравнительный анализ антивирусных пакетов.
В процессе проведения анализа былиуспешно решены задачи, поставленные в начале работы. Так были изучены понятия информационнойбезопасности, компьютерных вирусов и антивирусных средств, определены видыугроз безопасности информации, методы защиты, рассмотрена классификация компьютерныхвирусов и антивирусных программ и проведен сравнительный анализ антивирусныхпакетов, написана программа, производящая поиск зараженных файлов.
Результаты, полученные в процессеработы могут быть применены при выборе антивирусного средства.
Все полученные результаты отражены вработе с помощью диаграмм, поэтому пользователь может самостоятельно проверитьвыводы, сделанные в итоговой диаграмме, отражающей синтез выявленныхрезультатов различных тестов антивирусных средств.
Результаты, полученные в процессеработы могут быть применены как основа для самостоятельного сравненияантивирусных программ.
В свете широкого использования IT-технологий, представленная курсоваяработа является актуальной и отвечает предъявленным к ней требованиям. Впроцессе работы были рассмотрены наиболее популярные антивирусные средства.
Список использованной литературы
1 Анин Б. Защита компьютерной информации. – СПб.: БХВ –Санкт – Петербург, 2000. – 368 с.
2 Артюнов В. В. Защита информации: учеб. – метод. пособие. М.: Либерия – Бибинформ, 2008. – 55 с. – (Библиотекарь и время. 21 век; вып. №99).
3 Корнеев И. К., Е. А. Степанов Защита информации в офисе:учебник. – М.: Проспект, 2008. – 333 с.
5 Куприянов А. И. Основы защиты информации: учеб. пособие. –2-е изд. стер. – М.: Академия, 2007. – 254 с. – (Высшее профессиональноеобразование).
6 Семененко В. А., Н. В. Федоров Программно – аппаратнаязащита информации: учеб. пособие для студ. вузов. – М.: МГИУ, 2007. – 340 с.
7 Цирлов В. Л. Основы информационной безопасности: краткийкурс. – Ростов н/Д: Феникс, 2008. – 254 с. (Профессиональное образование).
Приложение
Листинг программы
Program ANTIVIRUS;
Uses dos,crt,printer;
Type St80 = String[80];
Var
R:Registers;
FileInfection:File OfByte;
SearchFile:SearchRec;
Mas:Array[0..80] of St80;
MasByte:Array[1..3] ofByte;
Position,I,J,K:Byte;
Num,NumberOfFile,NumberOfInfFile:Word;
St:St80;
Flag,NextDisk,Error:Boolean;
Dt:DateTime;
Key1,Key2,Key3,NumError:Byte;
MasScreen:Array[0..24,0..159]Of Byte Absolute $B800:0000;
Ch,Disk:Char;
Procedure Cure(St: St80);
Var
I: Byte; MasCure:Array[1..24] Of Byte;
Begin
Assign(FileInfection,St);Reset(FileInfection);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Seek(FileInfection,FileSize(FileInfection)- ($0C1F — $0C1A));
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Read(FileInfection,Key1);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Read(FileInfection,Key2);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Seek(FileInfection,FileSize(FileInfection)- ($0C1F — $0BAA));
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
For I:=1 to 24 do
Begin
Read(FileInfection,MasCure[i]);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Key3:=MasCure[i];
InLine($50/
$8A/$26/KEY1/
$30/$26/KEY3/
$A0/KEY2/
$00/$C4/
$88/$26/KEY1/
$58);
MasCure[i]:=Key3;
End;
Seek(FileInfection,0);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
For I:=1 to 24 doWrite(FileInfection,MasCure[i]);
Seek(FileInfection,FileSize(FileInfection)- $0C1F);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Truncate(FileInfection);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Close(FileInfection);NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Num:=Num+1;
End;
Procedure F1(St: St80);
Begin
FindFirst(St + '*.*', $3F,SearchFile);
While (SearchFile.Attr =$10) And (DosError = 0) And
((SearchFile.Name = '.')Or (SearchFile.Name = '..')) Do
Begin
FindNext(SearchFile);
End;
While (DosError = 0) Do
Begin
If KeyPressed Then
If (Ord(ReadKey) = 27)Then Halt;
If (SearchFile.Attr = $10)Then
Begin
Mas[k]:=St +SearchFile.Name + '\';
K:=K+1;
End;
If (SearchFile.Attr $10) Then
Begin
NumberOfFile:=NumberOfFile+ 1;
UnpackTime(SearchFile.Time,DT);
For I:=18 to 70 doMasScreen[6,2*i]:=$20;
GoToXY(18,7);
Write(St +SearchFile.Name,' ');
If (Dt.Sec = 60) Then
Begin
Assign(FileInfection,St +SearchFile.Name);
Reset(FileInfection);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
Seek(FileInfection,FileSize(FileInfection)- $8A);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
For I:=1 to 3 doRead(FileInfection,MasByte[i]);
Close(FileInfection);
NumError:=IOResult;
If (NumError 0)Then Begin Error:=True; Exit; End;
If (MasByte[1] = $35) And(MasByte[2] = $2E) And
(MasByte[3] = $30) Then
Begin
NumberOfInfFile:=NumberOfInfFile+ 1;
GoToXY(1,8);
Write( St +SearchFile.Name,' inficirovan. ',
'Udalit? [Y/N] ');
Repeat
Ch:=ReadKey;
If (Ord(Ch) = 27) ThenExit;
Until (Ch = 'Y') Or (Ch ='y') Or (Ch = 'N')
Or (Ch = 'n');
If (Ch = 'Y') Or (Ch ='y') Then
Begin
Cure(St +SearchFile.Name);
If (NumError 0)Then Exit;
End;
For I:=0 to 79 doMasScreen[7,2*i]:=$20;
End; End; End;
FindNext(SearchFile);
End;
End;
Begin
Repeat
Flag:=True;
TextAttr:=$1F;
Repeat
ClrScr;
GoToXY(29,1);TextAttr:=$1E; GoToXY(20,2); TextAttr:=$17;
Writeln('Programma dlyapoiska i lecheniya fajlov,');
GoToXY(28,3);
Writeln('zaragennihSVC50.');
TextAttr:=$4F;GoToXY(1,25);
Write(' ESC — exit ');
TextAttr:=$1F;GoToXY(1,6);
Write('Kakoj disk proverit?');
Disk:=ReadKey;
If (Ord(Disk) = 27) ThenExit;
R.Ah:=$0E;R.Dl:=Ord(UpCase(Disk))-65;
Intr($21,R); R.Ah:=$19;Intr($21,R);
Flag:=(R.Al =(Ord(UpCase(Disk))-65));
Until Flag;
NextDisk:=True;
Error:=False;
Num:=0;
K:=0;
St:=UpCase(Disk) + ':\';
GoToXY(1,6);
Writeln('Testiruetsya disk',St,' ');
Writeln('Testiruetsya fajl');
NumberOfFile:=0;
NumberOfInfFile:=0;
F1(St);
If (k = 0) Or Error ThenFlag:=False;
If (k > 0) Then K:=K-1;
While Flag Do
Begin
If (k=0) Then Flag:=False;
F1(Mas[k]);
If (k > 0) Then K:=K-1;
End;
GoToXY(1,10);
Writeln('Provereno fajlov- ',NumberOfFile);
Writeln('Zarageno fajlov — ',NumberOfInfFile);
Writeln('Izlecheno fajlov- ',Num);
Write('Proverit drugojdisk? [Y/N]');
Repeat
Ch:=ReadKey;
If (Ord(Ch) = 27) ThenExit;
Until (Ch = 'Y') Or (Ch ='y') Or (Ch = 'N') Or (Ch = 'n');
If (Ch = 'N') Or (Ch ='n') Then NextDisk:=False;
Until Not(NextDisk);
End.