Antivirusprogram

Antivirusprogram ( antivirus, antivirusskyddsverktyg [1] , verktyg för att upptäcka skadlig programvara [1] ) är ett specialiserat program för att upptäcka datavirus , såväl som oönskade (anses skadliga ) program och återställa filer infekterade (modifierade) av sådana program och förebyggande - förhindra infektion (modifieringar) av filer eller operativsystemet med skadlig kod.

Historik

De första antivirusen dök upp i slutet av 1980-talet, det är svårt att otvetydigt fastställa tidpunkten för deras utseende. Pionjärerna var AntiVir och Dr. Solomons Anti-Virus Toolkit , skapad 1988, och Symantec antivirus för Macintosh , lanserades ett år senare.

Virusskyddsmetoder

Tre grupper av metoder används för att skydda mot virus [2] :

Metoder baserade på analys av innehållet i filer (både datafiler och filer med kommandokoder). Denna grupp inkluderar genomsökning av virussignaturer, samt integritetskontroll och genomsökning av misstänkta kommandon.
Metoder baserade på spårning av programs beteende under deras körning. Dessa metoder består i att logga alla händelser som hotar systemets säkerhet och som inträffar antingen under själva exekveringen av koden som kontrolleras, eller under dess mjukvaruemulering.
Metoder för reglering av arbetsordningen med filer och program. Dessa metoder är administrativa säkerhetsåtgärder.

Signaturskanningsmetoden ( signaturanalys , signaturmetod [1] ) är baserad på att söka filer efter en unik sekvens av bytes — en signatur som är karakteristisk för ett visst virus. För varje nyupptäckt virus analyserar antiviruslaboratoriespecialisterna koden, på grundval av vilken dess signatur bestäms. Det resulterande kodfragmentet placeras i en speciell databas med virussignaturer som antivirusprogrammet arbetar med. Fördelen med den här metoden är en relativt låg andel falska positiva, och den största nackdelen är den grundläggande omöjligheten att upptäcka ett nytt virus i systemet för vilket det inte finns någon signatur i antivirusprogramdatabasen, därför uppdateras i tid av signaturdatabas krävs [2] .

Integritetskontrollmetoden är baserad på det faktum att varje oväntad och orimlig förändring av data på disken är en misstänkt händelse som kräver särskild uppmärksamhet av antivirussystemet. Viruset lämnar med nödvändighet bevis på sin närvaro (ändringar i data för befintliga (särskilt system eller körbara) filer, utseendet på nya körbara filer, etc.). Faktumet med dataändring - integritetsintrång - är lätt att fastställa genom att jämföra kontrollsumman (sammandrag), beräknad i förväg för det initiala tillståndet för koden som testas, och kontrollsumman (sammandraget) för det aktuella tillståndet för koden som testas. Om de inte stämmer överens är integriteten bruten och det finns all anledning att utföra ytterligare verifiering av denna kod, till exempel genom att skanna virussignaturer. Denna metod fungerar snabbare än signaturskanningsmetoden, eftersom beräkningen av kontrollsummor kräver färre beräkningar än operationerna för byte-för-byte-jämförelse av kodfragment, dessutom låter den dig upptäcka spår av aktiviteten hos alla virus, inklusive okända ettor, för vilka det ännu inte finns några signaturer i databasen [2] .

Metoden för att skanna misstänkta kommandon ( heuristisk scanning , heuristisk metod [1] ) är baserad på upptäckten av ett antal misstänkta kommandon och (eller) tecken på misstänkta kodsekvenser i den skannade filen (till exempel ett hårddiskformatkommando eller en funktion att injicera i en pågående process eller körbar kod). Därefter görs ett antagande om filens skadliga natur och ytterligare åtgärder vidtas för att kontrollera den. Denna metod har bra hastighet, men ganska ofta kan den inte upptäcka nya virus [2] .

Metoden för att övervaka programmens beteende skiljer sig fundamentalt från metoderna för att skanna innehållet i filer som nämnts tidigare. Denna metod är baserad på analys av beteendet hos program som körs, jämförbart med gripandet av en brottsling "med handen" på brottsplatsen. Antivirusverktyg av denna typ kräver ofta aktivt deltagande av användaren, som uppmanas att fatta beslut som svar på ett flertal systemvarningar, av vilka en betydande del senare kan visa sig vara falska larm. Frekvensen av falska positiva (misstänker på ett virus för en ofarlig fil eller hoppar över en skadlig fil) när en viss tröskel överskrids gör denna metod ineffektiv, och användaren kan sluta svara på varningar eller välja en optimistisk strategi (tillåt alla åtgärder för alla som körs program eller inaktivera den här funktionen i antivirusverktyget). När man använder antivirussystem som analyserar programs beteende finns det alltid en risk att man kör viruskodkommandon som kan skada den skyddade datorn eller nätverket. För att eliminera denna brist utvecklades senare en emuleringsmetod (imitation) som låter dig köra programmet som testas i en artificiellt skapad (virtuell) miljö, som ofta kallas en sandlåda ( sandlåda ), utan fara att skada informationsmiljön . Användningen av metoder för att analysera programs beteende har visat sin höga effektivitet när det gäller att upptäcka både kända och okända skadliga program [2] .

Rogue antivirus

2009 började den aktiva distributionen av oseriösa antivirus. - programvara som inte är antivirus (det vill säga den har inte verklig funktion för att motverka skadlig programvara), men som utger sig för att vara en sådan. Faktum är att oseriösa antivirus kan vara både program som är utformade för att lura användare och göra vinst i form av betalningar för att "behandla systemet från virus", och vanlig skadlig programvara.

Särskilda antivirus

I november 2014 släppte den internationella människorättsorganisationen Amnesty International antivirusprogrammet Detect , utformat för att upptäcka skadlig programvara som distribueras av statliga myndigheter för att spionera på civila aktivister och politiska motståndare. Antiviruset, enligt skaparna, utför en djupare genomsökning av hårddisken än konventionella antivirus [3] [4] .

Effektiviteten hos antivirus

Analysföretaget Imperva publicerade en studie [5] [6] som en del av projektet Hacker Intelligence Initiative , som visar den låga effektiviteten hos de flesta antivirus under verkliga förhållanden.

Enligt resultaten från olika syntetiska tester visar antivirus en genomsnittlig effektivitet på cirka 97 %, men dessa tester utförs på databaser med hundratusentals prover, varav de allra flesta (kanske cirka 97 %) inte längre används för attacker.

Frågan är hur effektiva antivirus är mot de mest pressande hoten. För att svara på denna fråga fick Imperva och studenter vid Tel Aviv University 82 prover av den senaste skadliga programvaran från ryska underjordiska forum och testade den mot VirusTotal-databasen, det vill säga mot 42 antivirusmotorer. Resultatet var katastrofalt.

Effektiviteten hos antivirus mot nykompilerad skadlig programvara visade sig vara mindre än 5 %. Detta är ett helt logiskt resultat, eftersom virusskapare alltid testar dem mot VirusTotal-databasen.
Från uppkomsten av viruset till början av dess igenkänning av antivirus, tar det upp till fyra veckor. En sådan indikator uppnås av "elit" antivirus, och för andra antivirus kan perioden nå upp till 9-12 månader. Till exempel, i början av studien den 9 februari 2012, testades ett nytt prov av ett falskt Google Chrome-installationsprogram. Efter studiens slut den 17 november 2012 upptäckte endast 23 av 42 antivirus det.
Antivirus med den högsta procentandelen upptäckt av skadlig programvara har också en hög andel falska positiva.
Även om studien knappast kan kallas objektiv, eftersom urvalet av skadlig programvara var för litet, kan man anta att antivirus är helt olämpliga mot nya cyberhot.

Klassificeringar av antivirusprogram

Antivirusprogram är indelade efter deras körning (blockeringsverktyg) [1] i:

programvara;
mjukvara och hårdvara.

Tilldela på basis av placering i direktminnet [1] :

resident (de börjar sitt arbete när operativsystemet startar, de finns ständigt i datorns minne och kontrollerar automatiskt filer);
icke-bosatt (lanseras på begäran av användaren eller i enlighet med det schema som satts upp för dem).

Beroende på typen (metoden) av skydd mot virus finns det:

Detektorprogram, eller skannrar [1] , hittar virus i RAM, på interna och (eller) externa media, och visar ett meddelande när ett virus upptäcks.
Läkarprogram (fager [1] , polyfager [1] ) hittar infekterade filer och "botar" dem. Bland denna typ av program finns polyfager som kan ta bort olika typer av virus, de mest kända av polyfag-antivirusen Norton AntiVirus , Doctor Web , Kaspersky Antivirus .
Vaccinprogram (immunisatorer [1] ) immuniserar systemet (filer, kataloger) genom att blockera verkan av virus [1] .
Auditorprogram [1] är de mest tillförlitliga när det gäller skydd mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger, systemområden på disken tills datorn infekterades (som regel baserat på beräkningen av kontrollsummor [1] ), jämför sedan det nuvarande tillståndet med det initiala och visar de hittade ändringarna på displayen.
Monitorprogram börjar sitt arbete när operativsystemet startar, de finns hela tiden i datorns minne och kontrollerar automatiskt filer enligt "här och nu"-principen.
Filterprogram (vakthundar) upptäcker viruset i ett tidigt skede, innan det börjar föröka sig.
Watchdogs är små, inhemska program vars syfte är att upptäcka åtgärder som är karakteristiska för virus.

Huvudtyper av antivirusprogram

Detektorprogram tillhandahåller sökning och upptäckt av virus i RAM och på externa media, och vid upptäckt skickar de ett motsvarande meddelande. Det finns universella och specialiserade detektorer .
Läkarprogram (fager) hittar inte bara virusinfekterade filer utan "botar" dem också, det vill säga de tar bort virusprogrammets kropp från filen och återställer filerna till sitt ursprungliga tillstånd. I början av sitt arbete letar fager efter virus i RAM-minnet, förstör dem och fortsätter först sedan till "behandling" av filer. Bland fager urskiljs polyfager, det vill säga läkarprogram utformade för att söka efter och förstöra ett stort antal virus. Med tanke på att nya virus ständigt dyker upp blir detektionsprogram och läkarprogram snabbt föråldrade och regelbundna uppdateringar av deras versioner krävs.
Revisorprogram är bland de mest pålitliga sätten att skydda mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan med jämna mellanrum eller på begäran av användaren det aktuella tillståndet med det ursprungliga. De upptäckta ändringarna visas på skärmen. Som regel jämförs tillstånd direkt efter att operativsystemet har laddats. Vid jämförelse kontrolleras fillängden, cyklisk kontrollkod (filkontrollsumma), datum och tid för ändringen och andra parametrar.
Filterprogram (watchmen) är små inbyggda program utformade för att upptäcka misstänkta handlingar under datordrift som är karakteristiska för virus.
Vaccinprogram (immunisatorer) är inbyggda program som förhindrar infektion av filer. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus. Vaccinet modifierar programmet eller disken på ett sådant sätt att det inte påverkar deras arbete, och viruset kommer att uppfatta dem som infekterade och därför inte slå rot. En betydande nackdel med sådana program är deras begränsade förmåga att förhindra infektion från ett stort antal olika virus.

Anteckningar

↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovyov S. V. Skydd av information i informationssystem från obehörig åtkomst. Fördel. - Voronezh: Quarta, 2015. - S. 357. - 440 sid. - 232 exemplar. - ISBN 978-5-93737-107-2 .
↑ 1 2 3 4 5 Olifer V.G., Olifer N.A. Dator nätverk. Principer, teknologier, protokoll: En lärobok för universitet. - 4:e uppl. - St Petersburg. : Peter, 2010. - S. 871-875. — 944 sid. - 4500 exemplar. - ISBN 978-5-49807-389-7 .
↑ AI har utvecklat ett program som ska rädda journalister från cyberövervakning . Hämtad 14 maj 2015. Arkiverad från originalet 18 maj 2015. (obestämd)
↑ BBC: "Hur man stoppar regeringar som spionerar på dig" . Hämtad 23 november 2014. Arkiverad från originalet 23 november 2014. (obestämd)
↑ forskning . Hämtad 13 juni 2017. Arkiverad från originalet 24 november 2017. (obestämd)
↑ Imperva: antivirus är ett slöseri med pengar - "Hacker" . Tillträdesdatum: 13 juni 2017. (obestämd)

Skadliga program
Infektiös skadlig programvara	Datorvirus nätverksmask Trojan startvirus Batchvirus Berättelse
Dölja metoder	Bakdörr Dropper Bokmärke Cryptor zombie dator Polymorfism rootkit
Skadlig programvara för vinst	Reklamprogram Integritetskränkande programvara Ransomware ( Trojan.Winlock ) Spionprogram Bot botnät Webbhot Keylogger Formgrabber Scareware ( Rogue antivirus ) Porruppringare
Genom operativsystem	Linux skadlig kod Virus för Palm OS Makrovirus mobilvirus
Skydd	Defensiv datoranvändning Antivirusprogram Brandvägg Intrångsdetekteringssystem Förebyggande av informationsläckor Tidslinje för antivirus
Motåtgärder	Anti Spyware Coalition datorövervakning honungsburk Drift: Bot Roast