Antivirus program

Antivirusprogram ( antivirus, antivirusbeskyttelsesværktøj [1] , malwaredetektionsværktøj [1] ) er et specialiseret program til detektering af computervirus såvel som uønskede (som anses for ondsindede ) programmer og gendannelse af filer inficeret (modificeret) af sådanne programmer og forebyggelse - forhindre infektion (modifikationer) af filer eller operativsystemet med ondsindet kode.

Historie

De første antivirus dukkede op i slutningen af 1980'erne, det er vanskeligt entydigt at fastslå tidspunktet for deres udseende. Pionererne var AntiVir og Dr. Solomons Anti-Virus Toolkit , skabt i 1988, og Symantec antivirus til Macintosh , lanceret et år senere.

Virusbeskyttelsesmetoder

Tre grupper af metoder bruges til at beskytte mod vira [2] :

Metoder baseret på analyse af indholdet af filer (både datafiler og filer med kommandokoder). Denne gruppe omfatter virussignaturscanning samt integritetskontrol og scanning af mistænkelige kommandoer.
Metoder baseret på sporing af programmers adfærd under deres udførelse. Disse metoder består i at logge alle hændelser, der truer systemets sikkerhed, og som opstår enten under selve udførelsen af koden, der kontrolleres, eller under dens softwareemulering.
Metoder til regulering af rækkefølgen af arbejdet med filer og programmer. Disse metoder er administrative sikkerhedsforanstaltninger.

Signaturscanningsmetoden ( signaturanalyse , signaturmetode [1] ) er baseret på at søge filer efter en unik sekvens af bytes - en signatur , der er karakteristisk for en bestemt virus. For hver nyopdaget virus analyserer antiviruslaboratoriespecialisterne koden, på grundlag af hvilken dens signatur bestemmes. Det resulterende kodefragment placeres i en speciel database med virussignaturer, som antivirusprogrammet arbejder med. Fordelen ved denne metode er en relativt lav andel af falske positiver, og den største ulempe er den grundlæggende umulighed af at opdage en ny virus i systemet, for hvilken der ikke er nogen signatur i antivirusprogramdatabasen, derfor rettidig opdatering af signaturdatabase er påkrævet [2] .

Integritetskontrolmetoden er baseret på det faktum, at enhver uventet og urimelig ændring af data på disken er en mistænkelig hændelse, der kræver særlig opmærksomhed fra antivirussystemet. Virussen efterlader nødvendigvis beviser på sin tilstedeværelse (ændringer i dataene for eksisterende (især system- eller eksekverbare) filer, udseendet af nye eksekverbare filer osv.). Faktum om dataændring - integritetskrænkelse - er let etableret ved at sammenligne kontrolsummen (digest), beregnet på forhånd for den oprindelige tilstand af koden under test, og kontrolsummen (digest) for den aktuelle tilstand af koden under test. Hvis de ikke matcher, så er integriteten brudt, og der er al mulig grund til at foretage yderligere verifikation af denne kode, for eksempel ved at scanne virussignaturer. Denne metode virker hurtigere end signaturscanningsmetoden, da beregningen af kontrolsummer kræver færre beregninger end operationerne for byte-for-byte-sammenligning af kodefragmenter, derudover giver den dig mulighed for at opdage spor af aktiviteten af enhver virus, inklusive ukendte dem, som der endnu ikke er signaturer for i databasen [2] .

Metoden til scanning af mistænkelige kommandoer ( heuristisk scanning , heuristisk metode [1] ) er baseret på detektering af en række mistænkelige kommandoer og (eller) tegn på mistænkelige kodesekvenser i den scannede fil (f.eks. en harddiskformateringskommando eller en funktion til at injicere i en kørende proces eller eksekverbar kode). Derefter foretages en antagelse om filens ondsindede natur, og der tages yderligere skridt for at kontrollere den. Denne metode har god hastighed, men ret ofte er den ikke i stand til at opdage nye vira [2] .

Metoden til at overvåge programmers adfærd er fundamentalt forskellig fra metoderne til at scanne indholdet af filer nævnt tidligere. Denne metode er baseret på en analyse af opførsel af kørende programmer, sammenlignelig med tilfangetagelse af en kriminel "ved hånden" på gerningsstedet. Antivirusværktøjer af denne type kræver ofte aktiv deltagelse af brugeren, som bliver opfordret til at træffe beslutninger som reaktion på adskillige systemadvarsler, hvoraf en væsentlig del senere kan vise sig at være falske alarmer. Hyppigheden af falske positiver (mistanke om en virus for en harmløs fil eller springe en ondsindet fil over), når en vis tærskel overskrides, gør denne metode ineffektiv, og brugeren kan stoppe med at reagere på advarsler eller vælge en optimistisk strategi (tillad alle handlinger for alle, der kører programmer eller deaktiver denne funktion i antivirusværktøjet). Når du bruger antivirussystemer, der analyserer programmers adfærd, er der altid en risiko for at udføre viruskodekommandoer, der kan beskadige den beskyttede computer eller netværk. For at eliminere denne mangel blev der senere udviklet en emuleringsmetode (imitation), der giver dig mulighed for at køre programmet under test i et kunstigt skabt (virtuelt) miljø, som ofte kaldes en sandkasse ( sandbox ), uden fare for at beskadige informationsmiljøet . Brugen af metoder til at analysere programmers adfærd har vist deres høje effektivitet til at opdage både kendte og ukendte ondsindede programmer [2] .

Rogue antivirus

I 2009 begyndte den aktive distribution af useriøse antivirus. - software, der ikke er anti-virus (det vil sige, at den ikke har reel funktionalitet til at modvirke malware), men foregiver at være en. Faktisk kan useriøse antivirus både være programmer designet til at bedrage brugere og tjene penge i form af betalinger for at "behandle systemet mod virus" og almindelig ondsindet software.

Særlige antivirus

I november 2014 udgav den internationale menneskerettighedsorganisation Amnesty International antivirusprogrammet Detect , der er designet til at opdage malware distribueret af statslige agenturer for at spionere på civile aktivister og politiske modstandere. Antivirus, ifølge skaberne, udfører en dybere scanning af harddisken end konventionelle antivirus [3] [4] .

Effektiviteten af antivirus

Den analytiske virksomhed Imperva offentliggjorde en undersøgelse [5] [6] som en del af Hacker Intelligence Initiative-projektet , som viser den lave effektivitet af de fleste antivirus under virkelige forhold.

Ifølge resultaterne af forskellige syntetiske test viser antivirus en gennemsnitlig effektivitet på omkring 97 %, men disse tests udføres på databaser med hundredtusindvis af prøver, hvoraf langt størstedelen (måske omkring 97 %) ikke længere bruges til angreb.

Spørgsmålet er, hvor effektive antivirus er mod de mest presserende trusler. For at besvare dette spørgsmål indhentede Imperva og studerende ved Tel Aviv University 82 prøver af den seneste malware fra russiske underjordiske fora og testede den mod VirusTotal-databasen, det vil sige mod 42 antivirusmotorer. Resultatet var katastrofalt.

Effektiviteten af antivirus mod nyligt kompileret malware viste sig at være mindre end 5 %. Dette er et fuldstændig logisk resultat, da virusskabere altid tester dem mod VirusTotal-databasen.
Fra forekomsten af virussen til begyndelsen af dens genkendelse af antivirus, tager det op til fire uger. En sådan indikator opnås af "elite" antivirus, og for andre antivirus kan perioden nå op til 9-12 måneder. For eksempel, i begyndelsen af undersøgelsen den 9. februar 2012, blev en ny prøve af et falsk Google Chrome-installationsprogram testet. Efter afslutningen af undersøgelsen den 17. november 2012 opdagede kun 23 ud af 42 antivirus det.
Antivirus med den højeste procentdel af opdagelse af malware har også en høj procentdel af falske positiver.
Selvom undersøgelsen næppe kan kaldes objektiv, da stikprøven af malware var for lille, kan det antages, at antivirus er fuldstændig uegnede mod nye cybertrusler.

Klassifikationer af antivirusprogrammer

Antivirusprogrammer er opdelt efter deres udførelse (blokeringsværktøjer) [1] i:

software;
software og hardware.

På basis af placering i hukommelsen med direkte adgang [1] tildeles:

resident (de starter deres arbejde, når operativsystemet starter, de er konstant i computerens hukommelse og tjekker automatisk filer);
ikke-resident (lanceret efter anmodning fra brugeren eller i overensstemmelse med den tidsplan, der er fastsat for dem).

Ifølge typen (metoden) til beskyttelse mod vira er der:

Detektorprogrammer eller scannere [1] finder vira i RAM, på interne og (eller) eksterne medier og viser en besked, når en virus opdages.
Lægeprogrammer (fager [1] , polyfager [1] ) finder inficerede filer og "kurerer" dem. Blandt denne type programmer er der polyfager, der er i stand til at fjerne forskellige typer vira, de mest berømte af polyfag-antiviruserne Norton AntiVirus , Doctor Web , Kaspersky Antivirus .
Vaccineprogrammer (immunisatorer [1] ) immuniserer systemet (filer, mapper) ved at blokere viras virkning [1] .
Auditorprogrammer [1] er de mest pålidelige med hensyn til beskyttelse mod virus. Revisorer husker den oprindelige tilstand af programmer, mapper, systemområder på disken, indtil computeren blev inficeret (som regel baseret på beregningen af kontrolsummer [1] ), sammenligner derefter den aktuelle tilstand med den oprindelige, og viser de fundne ændringer på displayet.
Overvågningsprogrammer begynder deres arbejde, når styresystemet starter, de er konstant i computerens hukommelse og tjekker automatisk filer efter "her og nu"-princippet.
Filterprogrammer (vagthunde) opdager virussen på et tidligt tidspunkt, før den begynder at formere sig.
Watchdogs er små, hjemmehørende programmer, hvis formål er at opdage handlinger, der er karakteristiske for virus.

Hovedtyper af antivirusprogrammer

Detektorprogrammer giver søgning og detektion af vira i RAM og på eksterne medier, og ved detektion afgiver de en tilsvarende besked. Der findes universelle og specialiserede detektorer .
Lægeprogrammer (fager) finder ikke kun virusinficerede filer, men "kurerer" dem også, det vil sige, de fjerner virusprogrammets krop fra filen og returnerer filerne til deres oprindelige tilstand. I begyndelsen af deres arbejde leder fagerne efter vira i RAM, ødelægger dem og fortsætter først derefter med "behandling" af filer. Blandt fager skelnes polyfager, det vil sige lægeprogrammer designet til at søge efter og ødelægge et stort antal vira. Da nye vira konstant dukker op, bliver detektionsprogrammer og lægeprogrammer hurtigt forældede, og der kræves regelmæssige opdateringer af deres versioner.
Auditor-programmer er blandt de mest pålidelige midler til at beskytte mod virus. Revisorer husker den oprindelige tilstand af programmer, mapper og systemområder på disken, når computeren ikke er inficeret med en virus, og sammenligner derefter periodisk eller efter anmodning fra brugeren den aktuelle tilstand med den originale. De registrerede ændringer vises på monitorskærmen. Som regel sammenlignes tilstande umiddelbart efter, at operativsystemet er indlæst. Ved sammenligning kontrolleres fillængden, cyklisk kontrolkode (filkontrolsum), dato og tidspunkt for ændringen og andre parametre.
Filterprogrammer (watchmen) er små residente programmer designet til at opdage mistænkelige handlinger under computerdrift, der er karakteristiske for virus.
Vaccineprogrammer (immunisatorer) er residente programmer, der forhindrer infektion af filer. Vacciner bruges, hvis der ikke er lægeprogrammer, der "behandler" denne virus. Vaccination er kun mulig mod kendte vira. Vaccinen modificerer programmet eller disken på en sådan måde, at det ikke påvirker deres arbejde, og virussen vil opfatte dem som inficerede og vil derfor ikke slå rod. En væsentlig ulempe ved sådanne programmer er deres begrænsede evne til at forhindre infektion fra et stort antal forskellige vira.

Noter

↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovyov S. V. Beskyttelse af information i informationssystemer mod uautoriseret adgang. Fordel. - Voronezh: Quarta, 2015. - S. 357. - 440 s. - 232 eksemplarer. - ISBN 978-5-93737-107-2 .
↑ 1 2 3 4 5 Olifer V.G., Olifer N.A. Computernetværk. Principper, teknologier, protokoller: En lærebog for universiteter. - 4. udg. - Sankt Petersborg. : Peter, 2010. - S. 871-875. — 944 s. - 4500 eksemplarer. - ISBN 978-5-49807-389-7 .
↑ AI har udviklet et program, der skal redde journalister fra cyberovervågning . Hentet 14. maj 2015. Arkiveret fra originalen 18. maj 2015. (ubestemt)
↑ BBC: "Hvordan man stopper regeringer med at spionere på dig" . Hentet 23. november 2014. Arkiveret fra originalen 23. november 2014. (ubestemt)
↑ forskning . Hentet 13. juni 2017. Arkiveret fra originalen 24. november 2017. (ubestemt)
↑ Imperva: antivirus er spild af penge - "Hacker" . Dato for adgang: 13. juni 2017. (ubestemt)

Ondsindet software
Infektiøs malware	Computer virus netværksorm Trojan boot virus Batch virus Historie
Gemme metoder	Bagdør Dropper Bogmærke Kryptor zombie computer Polymorfi rootkit
Malware for profit	Adware Privatlivsinvasiv software Ransomware ( Trojan.Winlock ) Spyware Bot botnet Webtrusler Keylogger Formgrabber Scareware ( Rogue antivirus ) Porno opkalder
Af operativsystemer	Linux malware Virus til Palm OS Makrovirus mobil virus
Beskyttelse	Defensiv databehandling Antivirus program Firewall System til registrering af indtrængen Forebyggelse af informationslækage Tidslinje for antivirus
Modforanstaltninger	Anti Spyware Coalition computer overvågning honningkrukke Betjening: Bot Roast