Смекни!
smekni.com

Віруси та антивірусні програми і їх призначення (стр. 2 из 2)

3) Віруси можуть заразити захисні від запису диски. Віруси не можуть заразити захищені від запису диски. Однак диски можуть бути заражені, коли захист виключений.

4) Деякі віруси абсолютно не шкідливі. Є віруси, котрі не знищюють інформацію, але вони збільшують навантаження на процесор і змінюють програмний код без відома користувача.

5) Тільки в піратських дисках знаходяться віруси. Часто віруси знаходяться в піратських копіях, але відомі випадки, коли комерційне ПЗ мало віруси.

6) Віруси можуть руйнувати комп’ютери. Час від часу з’являються слухи про віруси, котрі руйнують монітор, або руйнують HDD, але ні разу це не підтвердилось.

Засоби захисту від вірусів поділяються на такі групи, як детектори, фаги, ревізори, охоронці, вакцини.

Детектори (сканери). Їх метою є постановка діагнозу, лікуванням буде займатися інша антивірусна програма або професійний програміст – “вірусолог”.

Фаги (поліфаги). Програми спроможні найти і знищити вірус (фаги) або декілька вірусів (поліфаги). Сучасні версії, як правило, проводять евристичний аналіз файлів – вони досліджують файли на предмет коду, характерного для віруса.

Ревізори. Цей тип антивірусів контролює всі (відомі на момент випуску програми) можливі способи зараження комп’ютерів. Таким чином, можливо знайти вірус, створений вже після виходу програми-ревізора.

Охоронці. Резидентні програми, постійно знаходяться в пам’яті комп’ютера і контролюють всі операції.

Вакцини. Використовуються для обробки файлів і завантажувальних секторів з метою попередження зараження відомими вірусами (в останній час цей метод використовується все частіше). Як відомо, ні один з даних типів антивірусів не забезпечує 100% захисту комп’ютера, і їх бажано використовувати в зв’язку з іншими пакетами. Вибір тільки одного, “найкращого” антивіруса вкрай помилковий.

Тепер про деякі характеристики антивірусних пакетів. Перше, на що треба звернути увагу, це кількість розпізнаваючих сигнатур – послідовність символів, гарантовано виявляючих вірус. Треба помітити, що виробники використовують різні системи підрахунку сигнатур : якщо в одних різні версії або близькі по характеристиках версії вірусів рахуються за одну сигнатуру, то другі підраховують всі варіації. Найкращі із пакетів розпізнають біля 10 тисяч вірусів, що декілька менше загального числа існуючих сьогодні шкідливих програм. Другий параметр – наявність евристичного аналізатора невідомих вірусів, його присутність дуже корисна, але суттєво уповільнює час роботи програми.

Попробуємо розібратися з тими антивірусами, котрі зараз можна реально знайти на українському ринку або в INTERNET. Мова піде про комплексні антивірусні пакети, які забезпечують максимальний рівень захисту вашої інформації.

Серед російських розробників найбільш відомими є комплект від “Діалог Науки” і AntiViralToolkitProbyEugeneKasperskyвід НТЦ КАМІ. Почнемо з продуктів “ДіалогНауки”, оскільки ці програми вже стали деяким стандартом, і подавляюча більшість комп’ютерів в нашій країні укомплектовано саме їх антивірусами.

Антивірусній комплект від “ДіалогНаука”.

На початку 90-х достатньо було мати в себе цю програму і думати, що комп’ютер в повній безпеці : питання було лише в постійному її обновленні. Але часи змінюються, і тепер, крімAidstest, не завадило б мати ще якісь програми.

Aidstestявляється поліфагом. Це значить, що він може знаходити і знищювати відомі йому віруси. Програма розпізнає приблизно 2 тисячі вірусів. Поскільки він використовує сигнатурний пошук, то не може справлятися з поліморфними вірусами. Він не може також перевіряти упаковані файли і файли захищені вакциною, не має евристичного аналізу. “Діалог Наука” включає Aidstest в свій антивірусний комплект, як безкоштовний додаток.

Cильний антивірус з сильним алгоритмом знаходження вірусів. Він також, як і Aidstest, є поліфагом, однак, DrWEB може “читати” упаковані файли і архіви, файли даних в форматах Wordі Excel, розброює поліморфні віруси, котрі в останній час, отримують все більше простору. Достатньо сказати, що епідемію дуже небезпечного віруса OneHalfзупинив саме DrWeb. Евристичний аналізатор DrWeb, досліджуючий програми в пошуці участків коду, характерних для вірусів, дозволяє знайти біля 90% невідомих вірусів. При завантаженні програми першим ділом DrWeb перевіряє самого себе на цілістність, після чого тестує ОЗП – в залежності від настройки, 640 Kbабо 1024 Kb (включаючи HMA). Бажано перевіряти всю пам’ять – в цьому випадку процес перевірки триває більше, але справа в тому, що вже давно існують віруси спроможні завантажуватись в верхню пам’ять. Алгоритм роботи цього антивіруса заключається в тому, що він емулює процесор (створює програмну модель комп’ютера). Нові версії з’являються нечасто. По висновку останнього тестування журналом “VirusBulletin” DrWebвперше зайняв 3 місце серед 24 антивірусів.

Програма може працювати у діалоговому режимі, має дуже зручний інтерфейс, який можна настроювати.

Для запуску програми необхідно ввести у командний рядок DOS команду:

Диск :\ Шлях \ drweb.exe.

Після натискання клавіші ENTERна екрані з’явиться головне вікно. У верхній частині вікна зображується меню: Dr.Web, Тест, Настройки, Дополнения, Помощь.

Призначення меню:

1. Dr.Web – використовується для отримання інформації про програму, тимчасового виходу в DOS та завершення роботи програми.

2. Тест – дозволяє запустити програму в режимі перевірки та лікування файлів.

3. Настройки – використовується для наладки інтерфейса програми та зміни режимів її роботи.

4. Дополнения – забезпечує підмикання зовнішніх файлів – баз даних, які мають інформацію про нові віруси.

5. Помощь – призначена для отримання довідкової інформації.

Режим пошуку вірусів вмикається вибором команди тестування в меню Тест, або натискуванням клавіші F5. При цьому на екрані над головним вікном з’являється діалогова панель Путь для тестирования. У рядку введення цієї панелі потрібно указати диск, каталог (каталоги) або групи файлів, де потрібно шукати віруси.

Тестування починається після натискування кнопки OKдіалогової панелі. Для тестування з лікуванням потрібно натиснути Ctrl+F5.

Антивірус- ревізор диску (AdvancedDiskinfoscope) дозволяє знайти, як звичайні, stealth – і поліморфні віруси, як вже відомі, так і зовсім свіжі. Антивірус має в своєму розпорядженні лікуючий блок ревізору Adinf – AdinfCureModule – може знешкодити до 97% всіх вірусів. Цю цифру приводить “ДіалогНаука”, виходячи з результатів тестування, котре відбувалося на колекціях вірусів двох визнаних авторитетів в цій області – Д.Н. Лозонського і фірми Dr.Solomon’s (Великобританія). Adinfзапускається автоматично з початку робочого дня і контролює завантажувальний сектор і файли на диску (Дата і час створення, довжина, контрольна сума), виводячи повідомлення про їх зміни. Дякуючи тому, що Adinf читає диск, обходячи ОС – напряму звертаючись до функцій BIOS, досягаються не тільки можливості знаходження активних stealth – вірусів на рівні перерви Int13h, але і висока швидкість перевірки диску, Adinfдозволяє робити перевірку під час завантаженні ОС, з HDD, а не тільки з дискет. Якщо вірус знайдений, то є два способи вирішення проблеми. Перший : якщо цей вірус завантажувальний, то Adinf просто відновить попередній завантажувальний сектор, котрий зберігається в його таблиці. Другий спосіб : якщо вірус є файловим, то тут вам на допомогу прийде лікуючий блок AdinfCureModule. Метою його роботи є те, що ревізор Adinf передає модулю звіти про заражені файли, і той, зіставляє маючи в таблиці інформацію про старі характеристики файла з новими, відновлюючи старий стан файла, а не знищює тіло віруса, як це роблять поліфаги.

Цей антивірус по пулярності не набагато поступається комплекту від “ДіалогНаука”. AVPявляється поліфагом і в процесі роботи перевіряє ОЗП, файли, в тому числі упаковані і архівні, а також системні сектори (MasterBootRecord), завантажувальний сектор (Boot – сектор) і PartitionTable. На відміну від DrWeb і Aidstest, AVP розпізнає біля 10000 вірусів, серед них поліморфні, stealth – і макровіруси, а також “Троянські програми”. Така різниця пояснюється тим, що “Діалог Наука” незначні варіації одного вірусу приймає за одну сигнатуру, а КАМІ – різними вірусами. Програма має евристичний сканер, котрий, за затвердженням розробників антивіруса із КАМІ, знаходить біля 80% всіх вірусів. Нові бази антивірусів до AVP з’являються приблизно один раз в тиждень.

Нижче показуємо таблицю з результатами тестування по 14 антивірусних програмах.

Itw Boot Itw File Itw Over-all Standart Polymorphic Macro
Sophos Sweep 100% 100% 100% 99,7% 100% 100%
Dr Solomon’s AVTK 100% 100% 100% 100% 98,4% 98,9%
DialogueScience DrWeb 94,4% 99,2% 97,2% 97,8% 100% 99,5%
EsaSS ThunderBYTE 100% 100% 100% 97,8% 93,5% 97,8%
IBM AntiVirus 100% 100% 100% 99,7% 92,3% 96,2%
McAfee VirusScan 100% 99,6% 99,7% 98,0% 90,1% 99,5%
ALWIL AVAST! 100% 99,3% 99,6% 100% 88,5% 95,8%
KAMI AVP 100% 99,7% 99,8% 94,4% 95,2% 90,3%
Norman Virus Control 100% 100% 100% 92,2% 87,4% 99,1%
EliaShim ViruSafe 95,6% 99,3% 97,9% 100% 88,5% 84,7%
Cybec VET 100% 81,0% 88,2% 88,9% 95,1% 97,3%
Iris AntiVirus 100% 99,7% 99,8% 99,0% 86,4% 82,7%
Cheyenne InnocuLAN 98,9% 98,0% 98,3% 99,3% 86,4% 82,2%
Symantec Norton AntiVirus 100% 99,7% 99,8% 84,4% 83,6% 94,3%

Використана література

1. Курс користувачів персональним комп’ютером.

2. Г.В. Саєнко та Т.Б. Волобуєва. - 1994 рік.

3. Журнал “Компьютерное Обозрение”. - №35(108) за 10 жовтня 1997 рік.

4. В.Д. Руденко; О.М. Макарчук; М.О. Патланжоглу. Практичний курс інформатики.