Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения других программ, заражённых компьютерными вирусами, а также для профилактики — предотвращения заражения файла вирусом (например, с помощью вакцинации). Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив — программы, создававшиеся как файрволы, также получают функции, роднящие их с антивирусами. Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов. Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы. Содержание 1 Методы обнаружения вирусов 1.1 Метод соответствия определению вирусов в словаре 1.2 Метод обнаружения странного поведения программ 1.3 Метод обнаружения при помощи эмуляции 1.4 Метод «Белого списка» 1.5 Другие методы обнаружения вирусов 2 Важные замечания 3 Классификация антивирусов 4 Антивирусы на SIM, флэш-картах и USB устройствах 5 Антивирусы, мобильные устройства и инновационные решения 6 Антивирусные компании и программы Методы обнаружения вирусов Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач: Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы. Метод соответствия определению вирусов в словаре Основная статья: Обнаружение, основанное на сигнатурах Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий: Удалить инфицированный файл. Заблокировать доступ к инфицированному файлу. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса). Попытаться «вылечить» файл, удалив вирус из тела файла. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы. Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о новых вирусах. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавляют информацию о новых вирусах в свои базы. Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает или посылает файлы по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера. Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с определением в словаре вирусов. Метод обнаружения странного поведения программ Основная статья: Обнаружение аномалий Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта. Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe-n-Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы-файрволы издавна имели в своем составе модуль обнаружения странного поведения программ. Метод обнаружения при помощи эмуляции Основная статья: Обнаружение, основанное на эмуляции Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть, например, немедленно начинает искать другие .EXE-файлы), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений. Метод «Белого списка» Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком». Другие методы обнаружения вирусов Ряд других методов предлагается в исследованиях и используется в антивирусных программах (см. также: эвристическое сканирование). Важные замечания Ядро операционной системы также может время от времени выполнять "собственный код" - ведь пока программный код не станет достоянием широкой общественности, а на данный момент все ОС семейства Windows имеют закрытый код, - сказать, что там все ОК нельзя. Более того, если положение с открытостью не изменится, то "защита от вирусов" средствами сторонних производителей антивирусного ПО останется лишь полумерой, спасающей от полного зависания компьютера, но никак не от сомнительных действий ядра самой операционной системы, в которой ЛЮБОЕ антивирусное ПО является лишь еще одной задачей, которой ядро предоставляет процессорное время, и конечно, защитить от произвола самого ядра ОС не сможет априори. Так что даже ИДЕАЛЬНОЕ антивирусное ПО, распознающее все вирусные сигнатуры и любую вирусную активность не способно полностью закрыть все вопросы утечки информации и даже банального зависания компьютера "по требованию" извне. Похоже на теорию заговора - однако понимающие суть проблемы люди очень серьезно задумываются над описанным вопросом. Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 SE или Windows ME на Windows XP лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей. Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика. Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах. Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами. Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление. Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы. Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы. Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу. Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие. Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре) Классификация антивирусов Евгений Касперский использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность)[1]: Сканеры (устаревший вариант — «полифаги») — определяют наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см.: Эвристическое сканирование). Ревизоры (класс, близкий к IDS) — запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. Сторожа (мониторы) — отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции. Вакцины — изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007 год) условиях, когда количество возможных вирусов измеряется десятками тысяч, этот подход неприменим. Современные антивирусы сочетают все вышесказанные функции. Антивирусы так же можно разделить на: Продукты для домашних пользователей. Собственно антивирусы. Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.) Корпоративные продукты. Серверные антивирусы. антивирусы на рабочих станциях («endpoint»). Антивирусы на SIM, флэш-картах и USB устройствах Выпускаемые сегодня мобильные телефоны обладают широким спектром интерфейсов и возможностями передачи данных. Потребителям следует тщательно изучить методы защиты прежде, чем подсоединять какие-либо небольшие устройства. Такие методы защиты, как аппаратные, возможно, антивирусы на USB устройствах или на SIM, больше подойдут потребителям мобильных телефонов. Техническая оценка и обзор того, как установить антивирусную программу на сотовый мобильный телефон, должны рассматриваться, как процесс сканирования, который может повлиять на другие легальные приложения на этом телефоне. Антивирусные программы на SIM с антивирусом, встроенном в зону памяти небольшой емкости, обеспечивают борьбу с вредоносным ПО/вирусами, защищая PIN и информацию пользователя телефона. Антивирусы на флэш-картах дают пользователю возможность обмениваться информацией и использовать эти продукты с различными аппаратными устройствами, а также отправлять эти данные на другие устройства, используя различные каналы связи. Антивирусы, мобильные устройства и инновационные решения Никого не удивит, когда вирусы, которые заражают персональные и портативные компьютеры, перейдут и на мобильные устройства. Все больше разработчиков этой области предлагают антивирусные программы для борьбы с вирусами и защиты мобильных телефонов. В мобильных устройствах есть следующие виды борьбы с вирусами: ограничения процессора ограничение памяти определение и обновление сигнатур этих мобильных устройств Антивирусные компании и программы AhnLab- Южная Корея Aladdin Knowledge Systems — компания не выпускает антивирусы ALWIL Software (avast! - Чехия (бесплатная и платная версии) AOL Virus Protection в составе AOL Safety and Security Center ArcaVir - Польша Authentium - Великобритания Avira - Германия (есть бесплатная версия Classic) AVZ - Россия (бесплатная) (в полной мере назвать этот продукт антивирусом нельзя — это антивирусная утилита (отсутствует real-time monitor)) BitDefender - Румыния BullGuard - Дания ClamAV — Лицензия GPL — бесплатный с открытым исходными кодами программы ClamWin — ClamAV для Windows Comodo Group - США Computer Associates - США Dr.Web - Россия Eset NOD32 - Словакия Fortinet Frisk Software - Исландия F-Secure - Финляндия (многодвижковый продукт) G-DATA - Германия (многодвижковый продукт) GeCAD - Румыния (Microsoft купил компанию в 2003) GFI Software GriSoft (AVG) - Чехия (бесплатная и платная версии) IKARUS - Австрия H+BEDV - Германия Hauri McAfee - США MicroWorld Technologies - Индия MKS - Польша Norman - Норвегия NuWave Software - Украина Outpost - Россия (Используют ядро программы от VirusBuster) Panda Software - Испания Quick Heal AntiVirus - Индия Rising ROSE SWE Simple Antivirus - Украина Sophos - Великобритания Spyware Doctor — антивирусная утилита Stiller Research Sybari Software (Microsoft купил компанию в начале 2005) Symantec - США Trend Micro - Япония (номинально Тайвань-США) Trojan Hunter — антивирусная утилита UAV (Universal Anti Virus) - Украина(бесплатный) VirusBuster - Венгрия ZoneAlarm AntiVirus - США Антивирус Касперского - Россия ВирусБлокАда (VBA32) - Беларусь Украинский Национальный Антивирус - Украина
|