Соберите алгоритм работы антивирусной программы для обезвреживания подозрительных файлов

Обновлено: 07.07.2024

В наше время, когда бурно развиваются телекоммуникации (в частности Интернет), вирусы появляются как грибы после дождя и очень легко распространяются. Чего только стоят нашумевшие вирусные эпидемии LoveLetter , Klez . Число вирусов на сегодняшний день очень велико. Они могут заразить любой компьютер, уничтожив при этом ценную информацию. Именно поэтому пользователь должен иметь представление о том, как работает антивирусная программа, как она "ищет", "лечит" зараженные вирусом данные, какие методы антивирусной защиты существуют и насколько они эффективны. На сегодняшний день по алгоритмам работы можно выделить 5 основных групп антивирусных программ.

Тернии классификации

Антивирусные сканеры
Пионеры борьбы с компьютерными вирусами. Появились они практически одновременно с первыми вирусами. В основе работы таких программ стоит простой принцип — поиск в файлах, оперативной памяти, загрузочных секторах знакомых участков вирусного кода (так называемых сигнатур ). Под сигнатурой понимают такую запись о вирусе, которая позволяет однозначно идентифицировать сам вирус, его присутствие в файле, памяти. Чаще всего сигнатурой является именно участок вирусного кода, а иногда и его контрольная сумма (или дайджест).
Антивирусный сканер просматривает сначала оперативную память компьютера, ища вирус там. Существуют так называемые stealth-вирусы, которые перехватывают системные функции и в результате могут контролировать поток данных от периферийного устройства к пользователю. А значит, они, перехватив управление, могут заразить любой открываемый файл в системе. Вирус первым узнает об обращении к периферийному устройству.
Представьте, что у вас в памяти присутствует stealh-вирус, а вы начали антивирусное сканирование без проверки оперативной памяти. Тогда зараженными могут оказаться все файлы. Именно поэтому сначала нужно провести поиск вирусов в оперативной памяти и при обнаружении stealth-вируса удалить его из памяти и потом искать тело в файле. Хочется вас успокоить: в наши дни stealth-вирусы надежно обнаруживаются в памяти и не представляют серьезной угрозы (если, конечно, регулярно проводить антивирусные проверки).
Человеческая мысль не стоит на месте. Вирусы также развиваются. Головной болью разработчиков антивирусного ПО стали "копии" известных вирусов. Дело в том, что существует огромное количество вирусных программ, алгоритм работы которых повторяет алгоритм работы других вредоносных программы. Поскольку код изменился, изменилась и сигнатура.
Каждую неделю появляется огромное количество вирусов. И разработчики просто не успевают внести в базу все сигнатуры. К тому же есть еще и малораспространенные вирусы, которые не попадают в базу. Мало того, существуют еще и полиморфные вирусные программы. Такой вирус изменяется от заражения к заражению. Просто, если в теле вирусной программы раскидать случайным образом ничего не делающие команды (для тех, кто знаком с программированием — NOP; MOV AX,AX;), то алгоритм работы не изменится, а вот тело и сигнатура претерпят значительные изменения.
Еще одной проблемой для борцов с вирусами стали программы, создаваемые вирус-генераторами (имея под рукой такой генератор, можно создать очередную "пакость" буквально за 5 минут). Во всех вышеперечисленных случаях помогает оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор . С его помощью антивирус способен находить аналоги известных вирусов, сообщая об этом пользователю. Принцип работы эвристического анализатора примерно такой. Любые данные он представляет в виде машинных кодов: в компьютере одна и та же информация может быть представлена в виде данных и в виде программы. Анализатор просматривает код, и если программа выполняет некоторые подозрительные (странные) действия, то ей добавляется условный балл. При превышении какого-то количества баллов эвристик делает вывод, что программа содержит вирус. Конечно, вероятность как ложного срабатывания, так и пропуска велика. Однако если правильно использовать данные эвристика, то можно прийти к правильному выводу. Если антивирус указывает, что заражен единичный файл, то это, скорее всего, имело место ложное срабатывание. Если же такое повторяется не один раз, то можно говорить о вирусном заражении вашей системы с большой долей уверенности.

Антивирусные мониторы
Антивирусные мониторы по своей сути — это лишь некая разновидность сканеров. Но! Антивирусный монитор постоянно присутствует в оперативной памяти компьютера и в фоновом режиме проверяет все открываемые и загружаемые файлы. Почти каждый современный антивирус имеет в своем составе такой монитор.

Ревизоры изменений
Ревизоры — это антивирусные программы, которые следят за изменениями файлов. Ревизоры сохраняют в своих базах данных контрольные суммы файлов. И потом просто сравнивают сохраненные значения с текущими (ведь вирусы изменяют файлы). Результаты работы сообщаются пользователю, поскольку пользователь также может изменять файлы.
У ревизоров есть свои недостатки. Во-первых, крайне важно, чтобы ревизор первые несколько раз запускался на "чистой" машине. Во-вторых, ревизоры не способны поймать вирус в момент его появления в системе, а находят его уже после распространения. В-третьих, они не могут найти вирус в новых файлах (полученных по e-mail, скачанных с BBS, Internet и прочее), поскольку в базах данных информация по таким файлам отсутствует. Именно этим недостатком пользуются некоторые вирусы, заражая только новые файлы.

Иммунизаторы
Обычно иммунизаторы записываются в файл (совсем как вирус) и при запуске файла проверяют его на изменения. Современные вредоносные программы научились прятаться от такого типа иммунизаторов.
Второй тип иммунизаторов защищает систему от поражения каким-то определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Конечно, нельзя иммунизировать файлы от всех известных вирусов. Из-за этого недостатка данный тип антивирусов не получил широкого распространения и практически не используется.

Поведенческие блокираторы
Такой антивирус постоянно находится в оперативной памяти и перехватывает все происходящие в системе события. В случае обнаружения "подозрительных" действий в системе (то есть тех, которые может производить вирусная программа), блокирует их или спрашивает у пользователя разрешение на их выполнение. Блокиратор не ищет вирус, а просто предотвращает его действия.
В принципе, блокиратор может остановить распространение любого вируса. Но вирусоподобные действия могут производить операционная система и различные программы. Поведенческий блокиратор не в состоянии самостоятельно определить, кто именно выполняет подозрительные действия — вирус, ОС, программа — и вынужден спрашивать у пользователя подтверждение. Именно в этом главный недостаток поведенческого блокиратора — чрезмерная навязчивость.

Сила совмещения
Мы с вами рассмотрели все типы антивирусов, существующих на сегодняшний день. У каждого типа есть свои достоинства и недостатки. В современных антивирусных пакетах сочетаются практически все пять вышеперечисленных типов, так как только их совместное использование позволяет выйти из войны с вирусами победителем.

Часто сталкиваюсь с тем, что дети не верят в то, что могут учиться и научиться, считают, что учиться очень трудно.

Урок 07. Практическая работа №2. Антивирусная защита.

Практическая работа № 2.

Тема: Антивирусная защита.

Цель: Изучить технологию тестирования компьютера на наличие вируса и профилактические меры. Познакомиться со способами лечения зараженных объектов.

Теоретическая часть.

Компьютерный вирус – это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может “ приписывать” себя к другим программам (“заражать” их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.

Программа, внутри которой находится вирус, называется “зараженной” Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (портит файлы или таблицу размещения файлов на диске, “засоряет” оперативную память и т.д.).

Классификация вирусов.

По среде обитания

распространяются по компьютерной сети

внедряются в выполняемые файлы

внедряются в загрузочный сектор диска (Boot-сектор)

внедряются в выполняемые файлы и в загрузочный сектор диска

проникают в системные модули и драйверы периферийных устройств, поражают программы-интерпретаторы

По способу заражения

находятся в памяти, активны до выключения компьютера

не заражают память, являются активными ограниченное время

По деструктивным возможностям (по способам воздействия)

практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения

уменьшают свободную память; создают звуковые, графические и прочие эффекты

могут привести к серьёзным сбоям в работе

могут привести к потере программ или системных данных

По особенностям алгоритма вируса

вирусы, не изменяющие файлы, создают для EXE-файлов файлы-спутники с расширением COM

паразитические программы, которые изменяют содержимое файлов и секторов диска и могут быть легко обнаружены

обычные файловые вирусы, которые пытаются заразить антивирусные программы, уничтожая их, или делая неработоспособными

распространяются по сети, рассылают свои копии, вычисляя сетевые адреса. Это самые распространенные в виртуальной сети вирусы. Они очень быстро «размножаются». Иногда дают своим копиям отдельные имена. Например, «install.exe».

изменяют содержимое дисковых секторов или файлов

примитив, содержат большое количество ошибок

это файловые вирусы, которых антивирусные программы не находят, потому что во время проверки они фальсифицируют ответ. Они перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки

не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано

пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в шаблон Normal.dot

квазивирусные, или «троянские»

это вирусы, не способные к «размножению».

Троянская программа маскируется под полезную или интересную программу, выполняя во время своего функционирования ещё и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере не подлежащую разглашению информацию. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.
Троянская программа маскируется, как правило, под коммерческий продукт. Её другое название «троянский конь».

программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных)

это один из видов вирусов, способных к самовоспроизведению. Однако их копия явно отличается от оригинала.

Основными путями проникновения вирусов в компьютер являются съёмные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заражение дискеты происходит, даже если её просто вставили в дисковод зараженного компьютера или, например, прочитали её оглавление.

Признаки заражения

Есть также косвенные признаки заражения вашего компьютера:

  • частые зависания и сбои в работе компьютера;
  • прекращение работы или неправильная работа ранее успешно работавших программ;
  • медленная работа компьютера при запуске программ;
  • невозможность загрузки операционной системы;
  • исчезновение файлов и каталогов или искажение их содержимого;
  • изменение размеров файлов;
  • неожиданное значительное увеличение количества файлов на диске;
  • существенное уменьшение размеров свободной оперативной памяти;
  • частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
  • Microsoft Internet Explorer "зависает" или ведет себя неожиданным образом.

В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуем вам провести полную проверку вашего компьютера.

Антивирусные программы.

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные антивирусные программы. Различают следующие виды антивирусных программ:

Назначение и основные функции Антивируса Касперского Personal

Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционной системы Windows.

Антивирус Касперского Personal выполняет следующие функции:

  • Защита от вирусов и вредоносных программ - обнаружение и уничтожение вредоносных программ, проникающих через съемные и постоянные файловые носители, электронную почту и протоколы интернета. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
    • Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
    • Проверка компьютерапо требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
    • Карантин - помещение объектов, возможно зараженных вирусами или их модификациями, в специальное безопасное хранилище, где вы можете их лечить, удалять, восстанавливать в исходный каталог, а также отправлять экспертам Лаборатории Касперского на исследование. Файлы на карантине хранятся в специальном формате и не представляют опасности.
    • Формирование отчета - фиксирование всех результатов работы Антивируса Касперского Personal в отчете. Подробный отчет о результатах проверки включает общую статистику по проверенным объектам, хранит настройки, с которыми была выполнена та или иная задача, а также последовательность проверки и обработки каждого объекта в отдельности.

    Как проверить CD-диск или дискету.

    Через дискеты, CD и другие съемные диски легко заразить компьютер вирусом. Если дискета (или загрузочный CD-диск) заражена загрузочным вирусом, и вы оставили ее в дисководе и перезагрузились, результаты могут быть самые печальные.

    Рекомендуем вам проверять все съемные диски перед их использованием.

    Вы можете запустить проверку сменных дисков из главного окна Антивируса Касперского Personal, а также из контекстного меню Windows.

    Для проверки сменных дисков из контекстного меню Windows

    1. Выберите диски (вы можете выбрать сразу и CD-диск и дискету).
    2. Установите курсор мыши на имени выбранного объекта.
    3. Щелчком по правой кнопке мыши откройте контекстное меню Windows и выберите пункт Проверить на вирусы.

    Проверка сменных дисков антивирусом Касперского из контекстного меню Windows

    Чтобы проверить CD-диск или дискету на присутствие вирусов из главного окна Антивируса Касперского Personal

    1. Вставьте CD-диск в CD-ROM-устройство или дискету в дисковод. Обратите внимание, программа сможет проверить и CD-диск и дискету за один прием.
    2. Воспользуйтесь гиперссылкой Проверить съемные диски, расположенной в левой части закладки Защита.

    Проверка диска на присутствие вирусов из главного окна Антивируса Касперского

    или

    По гиперссылке Проверить объекты перейдите в окно Выбор объектов для проверки, выберите съемные диски и нажмите на кнопку Проверить.

    Проверка диска на присутствие вирусов из главного окна Антивируса Касперского

    Сразу после запуска проверки на экране откроется окно Проверка, где будет отображаться процесс выполнения действия над выбранными объектами списка.

    Процесс выполнения проверки над выбранными объектами антивирусом Касперского

    Если для проверки вы выбрали только один съемный диск (устройство), по окончании проверки Антивирус Касперского Personal предложит вставить следующий диск (устройство).

    Обратите внимание на некоторые особенности работы программы:

    В момент монтирования съемного диска в систему (когда диск определяется операционной системой как новое устройство) Антивирус выполнит проверку такого диска и на присутствие boot-вируса.

    Во время выполнения проверки компьютера, выбранных объектов, обновления антивирусных баз, а также постоянной защиты формируется отчет о проверенных объектах и результатах их обработки, а также общая статистика. Полный список всех выполняемых задач ведется Антивирусом Касперского в окне Отчеты, открыть который можно по гиперссылке Просмотреть отчеты в левой части закладки Защита. Здесь фиксируется статус каждой задачи, а также дата и время ее окончания.

    Полный список выполняемых задач Антивирусом Касперского в окне Отчеты

    Информация по обработке объекта может быть следующих видов:

    Внимание

    Внимание (например: Внимание! Остались необработанные объекты).

    Примечание

    Примечание (например: задача прервана).

    Выделив любой отчет и нажав на кнопку Подробнее можно просмотреть информацию о ходе проверки:

    Информация о ходе проверки объекта антивирусом Касперского

    а на вкладке Отчет информацию о зараженных и вылеченных объектах:

    Информация о зараженных и вылеченных объектах на вкладке Отчет антивируса Касперского

    Профилактика заражения компьютера вирусами.

    Никакие самые надежные и разумные меры не смогут обеспечить стопроцентную защиту от компьютерных вирусов и троянских программ, но, выработав для себя ряд правил, вы существенно снизите вероятность вирусной атаки и степень возможного ущерба.

    Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и потери каких-либо данных.

    Ниже перечислены основные правила безопасности, выполнение которых позволит вам избегать вирусных атак.

    Правило № 1: защитите ваш компьютер с помощью антивирусных программ и программ безопасной работы в интернете. Для этого:

    • Безотлагательно установите антивирусную программу.
    • Ежедневно обновляйте антивирусные базы. Обновление можно проводить несколько раз в день при возникновениях вирусных эпидемий
    • Задайте рекомендуемые настройки для постоянной защиты. Постоянная защита вступает в силу сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.
    • Задайте рекомендуемые настройки для полной проверки компьютера и запланируйте ее выполнение не реже одного раза в неделю.

    Правило № 2: будьте осторожны при записи новых данных на компьютер:

    Правило № 3: внимательно относитесь к информации об эпидемиях компьютерных вирусов..

    В большинстве случаев о начале новой эпидемии сообщается задолго до того, как она достигнет своего пика. Вероятность заражения в этом случае еще невелика, и, скачав обновленные антивирусные базы, вы сможете защитить себя от нового вируса заблаговременно.

    Правило № 4: с недоверием относитесь к вирусным мистификациям - "страшилкам", письмам об угрозах заражения.

    Правило № 5: пользуйтесь сервисом Windows Update и регулярно устанавливайте обновления операционной системы Windows.

    Правило №6: покупайте дистрибутивные копии программного обеспечения у официальных продавцов.

    Правило № 7: ограничьте круг людей, допущенных к работе на вашем компьютере.

    Правило № 8: уменьшите риск неприятных последствий возможного заражения:

    • Своевременно делайте резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий. Дистрибутивные диски, дискеты, флэш-карты и другие носители с программным обеспечением и ценной информацией должны храниться в надежном месте.
    • Обязательно создайте системную аварийную дискету, с которой при необходимости можно будет загрузиться, используя "чистую" операционную систему.

    Задание 1. Тестирование дискеты на наличие компьютерного вируса.

    1. Вставьте дискету в дисковод А:.
    2. Запустите имеющуюся у вас антивирусную программу, например AVP Касперского.
    3. Задайте область проверки —, режим проверки — лечение зараженных файлов и нажмите кнопку Проверить.
    4. Обратите внимание на индикатор процесса сканирования. Если антивирусная программа обнаружила вирусы и произвела лечение файлов (что видно в отчете о сканировании), запустите процесс сканирования дискеты еще раз и убедитесь, что все вирусы удалены.
    5. Составьте отчет о проделанной работе, описав каждый пункт выполнения задания.
    6. Выполните дополнительные задания.
    7. Запишите ответы на контрольные вопросы в тетрадь для лабораторных работ.

    Дополнительные задания

    Задание 2. Антивирусная проверка информации на жестком диске.

    Запустите имеющуюся у вас антивирусную программу и проверьте наличие вирусов на локальном диске С:.

    Задание 3. Проверка дискеты с записанным файлом на наличие вируса.

    Найдите на диске С: файлы с любым расширением, начинающиеся на букву w ( маска для поиска — w*). Скопируйте самый маленький по размеру из найденных файлов на дискету (проведите сортировку по размеру). Проверьте дискету с записанным файлом на наличие вирусов.

    Мало кто задумывается о принципе работы антивирусного ПО. Зачастую его устанавливают, периодически обновляют, но на этом забота о программе заканчивается. Сам антивирус представляет собой средство борьбы с вирусами, троянами, программами-шпионами, червями, бекдорами и прочим мусором, который мы в огромных количествах черпаем из интернета.

    Львиная доля подобных программ нацелена на ОС Windows. Во-первых, эта операционная система самая распространенная в мире. Во-вторых, уязвима к атакам и попыткам взлома из-за своей популярности. В-третьих, аудитория, использующая ОСь, не блещет особыми знаниями компьютерной грамотности. Для Linux и MacOS также есть шпионский софт, но он бесполезный от слова совсем.

    Принцип работы антивирусов

    Если разобраться, то любой продукт, будь то Касперский, Аваст, Нод 32 и не только, работает по тому же принципу, что и вирус:

    • следит за трафиком;
    • просматривает порты;
    • удаляет и модифицирует файлы;
    • правит реестр;
    • сильно нагружает систему «левыми» службами;
    • собирает статистику и отправляет ее разработчику.

    Но система при этом работает довольно стабильно и быстро. Другое дело, что ставить параллельно два антивируса если и можно, то довольно глупо. Машина начнет адски тормозить, файлы двух программ станут воспринимать друг друга чем-то подозрительным, пытаясь «сожрать» один одного, остатки ПО будут качать недостающие фрагменты из сети и процесс повторится заново. Закончится все падением ОС.

    Как антивирус защищает владельца

    Если не вдаваться в подробности работы ПО, которые многим покажутся непонятными, хочется выделить 3 основных принципа действий антивирусов по отношению к шпионским программам:

    • диагностика;
    • профилактика;
    • лечение.

    В первом случае софт проверяет все места на HDD, ОЗУ и съемных носителях. Приоритет отдается тем участкам, которые чаще всего поражаются троянами (загрузочные сектора, исполняемые библиотеки, драйверы и т.д.). Если антивирус что-то находит – он автоматически оповещает пользователя.

    Лечение может быть двух типов:

    • попытка вылечить файл;
    • помещение в карантин;
    • удаление.

    В первом случае ПО будет всячески пытаться восстановить работоспособность одного или нескольких файлов. Если ничего не получится – зараженные объекты удалятся с ПК навсегда. Целостность системы при этом может пострадать и ее придется восстанавливать.

    На карантин файлы помещаются в том случае, если они ценны для вас, или содержат важные данные. В дальнейшем вы можете попытаться вылечить объект самостоятельно, или с помощью специалиста.

    Профилактика – систематическое сканирование антивирусом в фоновом режиме. Вы можете и не подозревать о его работе (если ПК мощный и ресурсов достаточно). В этом режиме антивирус проверяет все открываемые программы, папки, файлы и не только. Если он обнаружит вирус или что-то подозрительное, сразу сообщит владельцу.

    Методы обнаружения

    На сегодняшний день различают 3 ключевых способа поиска различных червей и всего прочего мракобесия, которое портит ОС:

    • сигнатурный метод;
    • эвристический метод;
    • брандмауэр (фаервол).

    Сигнатуры

    Принцип сигнатур следующий: антивирусная лаборатория выявляет новый вирус с последующим анализированием, выявляя сигнатуру – особый цифровой признак вредителя (вроде отпечатка пальца). Сигнатуры вносят в базу, которую скачивает пользователь при обновлении.

    Достоинства в том, что метод надежный и используется очень давно. К тому же относительно быстрый.

    Из недостатков хочется отметить огромное количество подобных троянов, которые имеют схожие сигнатуры. Из-за этого приходится разрабатывать шаблон, который вносится с базу, а затем на его основе разыскивается нежелательное ПО. При этом иногда возникают ложные срабатывания антивирусов, что периодически раздражает.

    Эвристика

    Достоинства в перспективности направления такого метода и способность реагировать на те угрозы, которых нет в базе сигнатур.

    Недостаток заключается в «сырости», потому как нередки ложные срабатывания на безопасное ПО. Нередки случаи отключения модуля эвристики, который «раздражает», из-за чего система подвергает потенциальной угрозе. И данный метод довольно прожорлив к ресурсам ПК.

    Брандмауэр

    Фаерволы защищают сеть, т.е. локальные и глобальные подключения. Данный модуль зачастую является самостоятельным и продается в виде отдельной программы, либо уже встроен в систему (брандмауэр Windows тому пример). ПО контролирует входящий и исходящий трафик, ограничивая возможность соединяться с определенными ресурсами (белые и черные списки).

    Из достоинств отметим возможность создать «свободный» интернет, работая исключительно со списком проверенных сайтов. Также можно установить на один из локальных шлюзов, создавая школьные или институтские сети узкой направленности (без соцсетей, мессенджеров и прочих «черных» сайтов).

    Недостаток в сложности настроек. Чтобы создать действительно защищенную сеть, нужно хорошенько попотеть в сторону матчасти. Использование настроек «по умолчанию» делает брандмауэр огромным дырявым корытом.

    Как работает антивирус: принцип работы антивирусных программ

    Цифровая вакцина

    Как работает антивирусная программа и почему она уже не только антивирусная.

    В последние пару лет людям довелось лишний раз убедиться в своей явной уязвимости перед вирусами. Несмотря на все научно-технические достижения, полностью обезопасить себя от маленьких коварных врагов пока не удаётся. Единственным спасением остаются вакцины. Все эти утверждения справедливы и для цифрового мира. О принципах действия антивирусных программ — в нашей новой статье.

    Что такое современный антивирус?

    Антивирус в традиционном понимании — это программа для обнаружения, идентификации и устранения вирусов с компьютера или другого устройства.

    Эволюция компьютерных вирусов происходила в том же направлении и с теми же темпами, что и развитие технологий обмена информацией. Большая часть вирусов написана под Microsoft Windows — самую популярную операционную систему в мире. Вслед за распространением интернета и мобильных устройств, киберпреступники ринулись в эти сферы и ожидаемо получили массу новых возможностей для атак, слежки и кражи личных данных пользователей. Но, как известно, на любое действие найдётся противодействие. Принцип работы антивирусных программ претерпел значительные изменения с момента их появления в конце 80-х годов. А борьба с вирусописателями вышла на новый уровень.

    Строго говоря, классических вирусов, заражающих исполняемые файлы ОС и создающих свои копии в разных отделах диска, уже нет. Зато есть много других вредоносных программ (malware): трояны, черви, руткиты, эксплойты, шпионы, ботнеты, бэкдоры, рекламные приложения (один из самых распространенных видов) и другие.

    Получается, что слово «антивирус» тоже не совсем корректное. Сегодня антивирусные программы работают не просто как сканеры, ищущие вирусы на диске. Теперь это многофункциональное комплексное решения для защиты от киберугроз на всех уровнях.

    На чём основано действие антивирусной программы?

    Для эффективной защиты от различных типов вредоносного ПО, антивирус использует несколько методов их обнаружения.

    Сигнатурный метод или реактивная защита. Базовый и проверенный временем механизм. В его основе лежит сигнатура — набор уникальных характеристик вируса или семейства однотипных вирусов. Сигнатуры создаются вирусными аналитиками на основе анализа уже известных вредоносных программ и формируются в постоянно обновляемую антивирусную базу. Антивирусное ПО автоматически загружает свежие базы и сравнивает содержимое локальных и внешних файлов с данными из сигнатур. Принцип работы антивируса с сигнатурами позволят точно определить тип угрозы и понять как с ней бороться. Недостаток сигнатурного метода в том, что он бессилен против неизвестных и модифицированных вирусов, а также не способен анализировать подозрительную активность приложений.

    Эвристический анализ или проактивная защита. Используется для предупреждения потенциальных угроз и решения задач, с которыми сигнатурный метод не справляется. Возможностей много:

    • анализ работы программ на предмет подозрительных действий. Например, программе для скачивания видео с видеохостингов явно не нужно без вашего согласия прописываться в ветке автозагрузки системного реестра, произвольно открывать порты и обмениваться данными с неизвестными серверами. Если таких подозрительных активностей становится слишком много, антивирус сигнализирует об этом. Конечно то, как работают антивирусы с эвристическим анализом пока нельзя назвать совершенством. Случаются ложные срабатывания на доверенные программы. Впрочем, это решается настройкой;
    • безопасный запуск и поведенческий анализ подозрительных программ в «песочнице» — эмуляторе ОС;
    • обнаружение (но не лечение) незнакомого вредоносного ПО, на основе похожих сигнатур и по косвенным признакам.

    Из чего состоит антивирусное ПО?

    Принцип работы современных антивирусов заключается в комплексном подходе к вопросам кибербезопасности. У всех компаний разный состав модулей антивирусного ПО. Вот несколько основных:

    Сканер. Ищет вредоносное ПО в оперативной памяти, загрузочных записях при включении, на локальных и внешних дисках, а также в системных файлах ОС. Может выполняться по расписанию, по запросу пользователя или при обращении к данным. Что делает антивирус, если находит угрозу в каком-то файле? Предоставляет пользователю несколько вариантов на выбор:

    попытаться вылечить, удалив вредоносный код;

    поместить в карантин, чтобы вылечить позже или удалить;

    удалить, если вылечить не удалось;

    получить отчёт, но больше ничего не делать;

    Монитор. Отслеживает все манипуляции с файлами в режиме реального времени. Находит и обезвреживает вредоносное ПО до того, как оно успевает инфицировать систему.

    Проактивная защита или HIPS. Анализирует в реальном времени поведение всех запущенных программ и файлов в системе. Выявляет нежелательную активность и вредоносные программы, включая эксплойты.

    Файервол. Контролирует входящий трафик для защиты устройства от несанкционированного вторжения из локальной сети или интернета. Фильтрует подозрительный исходящий трафик. Этот модуль может выпускаться как отдельное ПО. Помните, что автоматический режим работы файервола не является оптимальным, поэтому лучше настраивать правила для программ и серверов.

    Интернет. Мониторит весь веб-трафик пользователя, блокирует опасные и фишинговые страницы. Фильтрует спам, а также проверяет вложения и ссылки в электронной почте на наличие вредоносных программ и фишинга. Использует отдельный зашифрованный браузер с защитой от клавиатурных шпионов для безопасных онлайн-платежей. Позволяет настроить ограничения доступа к нежелательным категориям сайтов.

    Принцип действия современной антивирусной программы подразумевает использование машинного обучения. Алгоритмы обнаружения вредоносного ПО быстро совершенствуются. С каждым годом появляется всё больше дополнительных инструментов кибербезопасности, которые оставляют всё меньше лазеек злоумышленникам.

    Читайте также: