Antivirusprogram ( antivirus, antivirusskyddsverktyg [1] , verktyg för att upptäcka skadlig programvara [1] ) är ett specialiserat program för att upptäcka datavirus , såväl som oönskade (anses skadliga ) program och återställa filer infekterade (modifierade) av sådana program och förebyggande - förhindra infektion (modifieringar) av filer eller operativsystemet med skadlig kod.
De första antivirusen dök upp i slutet av 1980-talet, det är svårt att otvetydigt fastställa tidpunkten för deras utseende. Pionjärerna var AntiVir och Dr. Solomons Anti-Virus Toolkit , skapad 1988, och Symantec antivirus för Macintosh , lanserades ett år senare.
Tre grupper av metoder används för att skydda mot virus [2] :
Signaturskanningsmetoden ( signaturanalys , signaturmetod [1] ) är baserad på att söka filer efter en unik sekvens av bytes — en signatur som är karakteristisk för ett visst virus. För varje nyupptäckt virus analyserar antiviruslaboratoriespecialisterna koden, på grundval av vilken dess signatur bestäms. Det resulterande kodfragmentet placeras i en speciell databas med virussignaturer som antivirusprogrammet arbetar med. Fördelen med den här metoden är en relativt låg andel falska positiva, och den största nackdelen är den grundläggande omöjligheten att upptäcka ett nytt virus i systemet för vilket det inte finns någon signatur i antivirusprogramdatabasen, därför uppdateras i tid av signaturdatabas krävs [2] .
Integritetskontrollmetoden är baserad på det faktum att varje oväntad och orimlig förändring av data på disken är en misstänkt händelse som kräver särskild uppmärksamhet av antivirussystemet. Viruset lämnar med nödvändighet bevis på sin närvaro (ändringar i data för befintliga (särskilt system eller körbara) filer, utseendet på nya körbara filer, etc.). Faktumet med dataändring - integritetsintrång - är lätt att fastställa genom att jämföra kontrollsumman (sammandrag), beräknad i förväg för det initiala tillståndet för koden som testas, och kontrollsumman (sammandraget) för det aktuella tillståndet för koden som testas. Om de inte stämmer överens är integriteten bruten och det finns all anledning att utföra ytterligare verifiering av denna kod, till exempel genom att skanna virussignaturer. Denna metod fungerar snabbare än signaturskanningsmetoden, eftersom beräkningen av kontrollsummor kräver färre beräkningar än operationerna för byte-för-byte-jämförelse av kodfragment, dessutom låter den dig upptäcka spår av aktiviteten hos alla virus, inklusive okända ettor, för vilka det ännu inte finns några signaturer i databasen [2] .
Metoden för att skanna misstänkta kommandon ( heuristisk scanning , heuristisk metod [1] ) är baserad på upptäckten av ett antal misstänkta kommandon och (eller) tecken på misstänkta kodsekvenser i den skannade filen (till exempel ett hårddiskformatkommando eller en funktion att injicera i en pågående process eller körbar kod). Därefter görs ett antagande om filens skadliga natur och ytterligare åtgärder vidtas för att kontrollera den. Denna metod har bra hastighet, men ganska ofta kan den inte upptäcka nya virus [2] .
Metoden för att övervaka programmens beteende skiljer sig fundamentalt från metoderna för att skanna innehållet i filer som nämnts tidigare. Denna metod är baserad på analys av beteendet hos program som körs, jämförbart med gripandet av en brottsling "med handen" på brottsplatsen. Antivirusverktyg av denna typ kräver ofta aktivt deltagande av användaren, som uppmanas att fatta beslut som svar på ett flertal systemvarningar, av vilka en betydande del senare kan visa sig vara falska larm. Frekvensen av falska positiva (misstänker på ett virus för en ofarlig fil eller hoppar över en skadlig fil) när en viss tröskel överskrids gör denna metod ineffektiv, och användaren kan sluta svara på varningar eller välja en optimistisk strategi (tillåt alla åtgärder för alla som körs program eller inaktivera den här funktionen i antivirusverktyget). När man använder antivirussystem som analyserar programs beteende finns det alltid en risk att man kör viruskodkommandon som kan skada den skyddade datorn eller nätverket. För att eliminera denna brist utvecklades senare en emuleringsmetod (imitation) som låter dig köra programmet som testas i en artificiellt skapad (virtuell) miljö, som ofta kallas en sandlåda ( sandlåda ), utan fara att skada informationsmiljön . Användningen av metoder för att analysera programs beteende har visat sin höga effektivitet när det gäller att upptäcka både kända och okända skadliga program [2] .
2009 började den aktiva distributionen av oseriösa antivirus. - programvara som inte är antivirus (det vill säga den har inte verklig funktion för att motverka skadlig programvara), men som utger sig för att vara en sådan. Faktum är att oseriösa antivirus kan vara både program som är utformade för att lura användare och göra vinst i form av betalningar för att "behandla systemet från virus", och vanlig skadlig programvara.
I november 2014 släppte den internationella människorättsorganisationen Amnesty International antivirusprogrammet Detect , utformat för att upptäcka skadlig programvara som distribueras av statliga myndigheter för att spionera på civila aktivister och politiska motståndare. Antiviruset, enligt skaparna, utför en djupare genomsökning av hårddisken än konventionella antivirus [3] [4] .
Analysföretaget Imperva publicerade en studie [5] [6] som en del av projektet Hacker Intelligence Initiative , som visar den låga effektiviteten hos de flesta antivirus under verkliga förhållanden.
Enligt resultaten från olika syntetiska tester visar antivirus en genomsnittlig effektivitet på cirka 97 %, men dessa tester utförs på databaser med hundratusentals prover, varav de allra flesta (kanske cirka 97 %) inte längre används för attacker.
Frågan är hur effektiva antivirus är mot de mest pressande hoten. För att svara på denna fråga fick Imperva och studenter vid Tel Aviv University 82 prover av den senaste skadliga programvaran från ryska underjordiska forum och testade den mot VirusTotal-databasen, det vill säga mot 42 antivirusmotorer. Resultatet var katastrofalt.
Antivirusprogram är indelade efter deras körning (blockeringsverktyg) [1] i:
Tilldela på basis av placering i direktminnet [1] :
Beroende på typen (metoden) av skydd mot virus finns det:
Skadliga program | |
---|---|
Infektiös skadlig programvara | |
Dölja metoder | |
Skadlig programvara för vinst |
|
Genom operativsystem |
|
Skydd |
|
Motåtgärder |
|