Alexandru Frolov, Grigori Frolov

alexandre @frolov.pp.ru; http://www.frolov.pp.ru, http://www.datarecovery.ru

În articolul anterior despre protecția antivirus, am analizat principalele tipuri de viruși și modul în care aceștia se răspândesc. Acum, pe baza acestor cunoștințe, ne vom ocupa de protecția împotriva virușilor, troienilor și altele malware. Vom vorbi despre soluții software, hardware, administrative și tehnologice și măsuri necesare pentru a reduce riscul de infecție virală și a reduce daunele dacă o astfel de infecție a avut deja loc.

Metode software și hardware pentru detectarea virușilor

Programele antivirus au fost și rămân principalele mijloace de combatere a virușilor. Puteți utiliza programe antivirus (antivirusuri) fără să aveți idee cum funcționează. Cu toate acestea, fără a înțelege principiile software-ului antivirus, a cunoaște tipurile de viruși, precum și modul în care aceștia se răspândesc, este imposibil să se organizeze o protecție fiabilă a computerului. Ca rezultat, computerul poate fi infectat chiar dacă pe el este instalat un software antivirus.

Astăzi, sunt utilizate mai multe tehnici fundamentale pentru detectarea și protejarea împotriva virușilor:

· scanare;

· analiza euristica;

· utilizarea monitoarelor anti-virus;

· detectarea modificărilor;

· utilizarea antivirusurilor încorporate în BIOS-ul computerului.

În plus, aproape toate programele antivirus oferă recuperare automată programe infectate și sectoare de boot. Desigur, dacă se poate.

Scanare

Cea mai simplă metodă de căutare a virușilor este aceea că programul antivirus scanează secvenţial fișierele scanate în căutarea semnăturilor virușilor cunoscuți. O semnătură este o secvență unică de octeți care aparține unui virus și nu se găsește în alte programe.

Programele de scanare antivirus sunt capabile să găsească doar viruși deja cunoscuți și studiati pentru care a fost definită o semnătură. Utilizarea unor programe simple de scanare nu vă protejează computerul de pătrunderea de noi viruși.

Pentru viruși criptați și polimorfi care își pot schimba complet codul atunci când sunt infectați program nou sau sectorul de boot, este imposibil să extragi semnătura. Prin urmare, programele simple de scanare antivirus nu pot detecta viruși polimorfi.

Analiza euristica

Analiza euristică vă permite să detectați viruși necunoscuți anterior și, pentru aceasta, nu trebuie să colectați mai întâi date despre sistemul de fișiere, așa cum este necesar, de exemplu, prin metoda de detectare a modificărilor discutată mai jos.

Programe antivirus care implementează metoda analizei euristice programe de scanare și sectoare de boot discuri și dischete, încercând să detecteze coduri tipice virușilor din ele. Un analizor euristic poate detecta, de exemplu, că programul testat instalează un modul rezident în memorie sau scrie date în fișierul executabil al programului.

Aproape toate programele antivirus moderne implementează propriile metode de analiză euristică. În fig. 1 am arătat unul dintre astfel de programe - scanerul McAffee VirusScan, lansat manual pentru a scana discul pentru antivirus.

Orez. 1. McAffee VirusScan verifică discul

Când un antivirus detectează un fișier infectat, de obicei afișează un mesaj pe ecranul monitorului și face o intrare în propriul său jurnal sau în jurnalul de sistem. În funcție de setări, antivirusul poate trimite și administratorului de rețea un mesaj despre virusul detectat.

Dacă este posibil, antivirusul dezinfectează fișierul, restabilindu-i conținutul. În caz contrar, singura opțiune oferită este să ștergeți fișierul infectat și apoi să îl restaurați din copie de rezervă(dacă, desigur, îl aveți).

Monitoare antivirus

Există o altă clasă întreagă programe antivirus, care sunt localizate constant în memoria computerului și monitorizează toate acțiunile suspecte efectuate de alte programe. Astfel de programe se numesc monitoare antivirus sau paznici.

Monitorul verifică automat toate programele lansate, documentele create, deschise și salvate, fișierele de program și documentele primite prin Internet sau copiate pe hard disk de pe dischetă și CD. Monitorul antivirus va anunța utilizatorul dacă vreun program încearcă să efectueze o acțiune potențial periculoasă.

Kitul unuia dintre cele mai avansate scanere Doctor Web (Fig. 2), dezvoltat de Igor Danilov (http://www.drweb.ru), include o gardă Spider Guard, care îndeplinește funcțiile unui monitor antivirus.

Orez. 2. Scanner Doctor Web

Detectarea schimbărilor

Când un virus infectează un computer, acesta modifică conținutul hard disk, de exemplu, își adaugă codul la un program sau un fișier document, adaugă un apel la un program de virus la fișierul AUTOEXEC.BAT, schimbă sectorul de pornire și creează un fișier satelit. Astfel de modificări, totuși, nu sunt făcute de viruși „incorporali” care trăiesc nu pe disc, ci în memoria proceselor sistemului de operare.

Programele antivirus, numite auditori de disc, nu scanează viruși prin semnătură. Ei își amintesc mai întâi caracteristicile tuturor zonelor discului care sunt atacate de virus și apoi le verifică periodic (de unde și numele programului de audit). Examinatorul poate găsi modificările făcute de un virus cunoscut sau necunoscut.

Exemple de inspectori de discuri includ programul Advanced Diskinfoscope (ADinf) dezvoltat la DialogNauka CJSC (http://www.dials.ru, http://www.adinf.ru) și auditorul AVP Inspector produs de Kaspersky Lab CJSC "(http://www.dials.ru, http://www.adinf.ru) ://www.kaspersky.ru).

Împreună cu ADinf, este utilizat modulul de vindecare ADinf Cure Module (ADinfExt), care utilizează informații colectate anterior despre fișiere pentru a le restaura după infectarea cu viruși necunoscuți. AVP Inspector include, de asemenea, un modul de vindecare care poate elimina virușii.

Protecție încorporată în BIOS-ul computerului

ÎN plăci de bază Calculatoarele au, de asemenea, protecție de bază împotriva virusului încorporată. Aceste instrumente vă permit să controlați toate apelurile către rețeaua principală intrare de boot hard disk-uri, precum și la sectoarele de pornire ale discurilor și dischetelor. Dacă vreun program încearcă să modifice conținutul sectoarelor de boot, protecția este declanșată și utilizatorul primește un avertisment corespunzător.

Cu toate acestea, această protecție nu este foarte fiabilă. Există viruși (de exemplu, Tchechen.1912 și 1914) care încearcă să dezactiveze controlul anti-virus BIOS prin schimbarea unor celule din memoria nevolatilă (memoria CMOS) a computerului.

Caracteristici de protecție a intranetului corporativ

Un intranet corporativ poate consta din sute și mii de computere care acționează ca stații de lucru și servere. Această rețea este de obicei conectată la Internet și conține servere de e-mail, servere de sisteme de automatizare a documentelor, cum ar fi Microsoft Exchange și Lotus Notes, și sisteme informatice non-standard.

Pentru a proteja în mod fiabil un intranet corporativ, este necesar să instalați software antivirus pe toate stațiile de lucru și serverele. În acest caz, pe serverele de fișiere, serverele de e-mail și serverele sistemului de gestionare a documentelor ar trebui să fie utilizat un software antivirus special bazat pe server. În ceea ce privește stațiile de lucru, acestea pot fi protejate cu scanere și monitoare antivirus convenționale.

Au fost dezvoltate servere proxy antivirus și firewall-uri speciale care scanează traficul care trece prin ele și elimină componentele software rău intenționate din acesta. Aceste antivirusuri sunt adesea folosite pentru a proteja serverele de e-mail și serverele sistemului de management al documentelor.

Protecția serverului de fișiere

Protecţie servere de fișiere ar trebui să fie efectuată folosind monitoare anti-virus care pot scana automat toate fișierele serverului accesate prin rețea. Antivirusurile concepute pentru a proteja serverele de fișiere sunt produse de toate companiile de antivirus, așa că aveți o gamă largă.

Protecția serverului de e-mail

Monitoarele antivirus sunt ineficiente în detectarea virușilor în mesajele de e-mail. Acest lucru necesită antivirusuri speciale care pot filtra traficul SMTP, POP3 și IMAP, împiedicând mesajele infectate să ajungă la stațiile de lucru ale utilizatorilor.

Pentru a proteja serverele de e-mail, puteți achiziționa antivirusuri special concepute pentru a scana traficul de e-mail sau puteți conecta antivirusuri obișnuite care pot funcționa în modul linie de comandă la serverul dvs. de e-mail.

Daemonul antivirus Doctor Web poate fi integrat cu toate cele mai cunoscute servere de mailși sisteme precum Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail și Zmailer. Instrumente similare sunt furnizate de Kaspersky Lab ca parte a Kaspersky Corporate Suite.

Serverul de mail MERAK Mail Server permite conectarea unor antivirusuri externe de diferite tipuri care au o interfata linie de comandă. Unele servere de e-mail (cum ar fi EServ) vin cu antivirus încorporat.

De asemenea, puteți scana traficul POP 3 pe stațiile de lucru ale utilizatorilor. Acest lucru se poate face, de exemplu, de serverul proxy antivirus SpIDer Mail pentru protocolul POP 3, care poate fi achiziționat împreună cu antivirusul Doctor Web.

Protecția serverelor sistemului de management al documentelor

Serverele sistemului de management al documentelor, cum ar fi Microsoft Exchange și Lotus Notes, stochează documente în baze de date cu propriul format. Prin urmare, utilizarea scanerelor convenționale de fișiere pentru scanarea antivirus a documentelor nu va da niciun rezultat.

Există o serie de programe antivirus concepute special pentru protecția antivirus a unor astfel de sisteme. Acestea sunt Trend Micro ScanMail pentru Lotus Notes, McAfee GroupScan și McAfee GroupShield, Norton Antivirus pentru Lotus Notes, Kaspersky Business Optimal antivirus pentru MS Exchange Server și altele.

Aceste programe scanează fișierele e-mail și atașamente, eliminând toate programele malware în timp real, detectează virușii macro și troieniîn formulare și macrocomenzi, în fișiere script și în obiecte OLE. Verificarea se face în timp real și, de asemenea, la cerere.

Protecția sistemelor informatice nestandardizate

Pentru protecția antivirus a sistemelor informatice nestandard care stochează date în formatele proprii, trebuie fie să integrați nucleul antivirus în sistem, fie să conectați un scanner extern care funcționează în modul linie de comandă.

De exemplu, nucleul antivirus Doctor Web a fost folosit de FSUE NPO Mashinostroeniya pentru a proteja un sistem de gestionare a documentelor creat pe baza tehnologiei proprii Sapiens (http://www.npomit.ru). Toate informațiile stocate de acest sistem în baza de date sunt verificate de motorul antivirus Doctor Web.

În calitate de dezvoltatori de sisteme informatice pentru utilizare responsabilă, NPO Mashinostroyenia a furnizat protecție antivirus pentru dezvoltările sale precum înregistrarea și controlul execuției documentelor Sapiens, monitorizarea resurselor de calcul Sapiens, Arhiva electronică Sapiens de documentație de proiectare.

Centru de control antivirus de rețea

Dacă intranetul are sute și mii de computere, atunci este necesară gestionarea centralizată de la distanță a programelor antivirus și controlul funcționării acestora. Efectuarea de operațiuni „manuale”, cum ar fi monitorizarea actualizărilor la baza de date antivirus și încărcarea modulelor de programe antivirus, monitorizarea eficienței detectării virușilor pe stațiile de lucru și servere etc., este ineficientă dacă există un număr mare de utilizatori pe rețea sau dacă rețeaua este formată din segmente îndepărtate geografic unele de altele.

În cazul în care implementarea la timp și eficientă a operațiunilor de mai sus nu este asigurată, tehnologia de protecție antivirus rețeaua corporativă va fi cu siguranță perturbat, ceea ce va duce mai devreme sau mai târziu la infecție virală. De exemplu, utilizatorii pot configura incorect actualizare automată baza de date antivirus sau pur și simplu opriți computerele în timp ce se realizează o astfel de actualizare. Ca urmare, actualizarea automată nu va fi efectuată și va exista o potențială amenințare de infectare cu viruși noi.

Sistemele antivirus moderne implementează următoarele funcții: telecomanda si controleaza:

· instalarea și actualizarea programelor antivirus, precum și a bazelor de date antivirus;

· instalarea și configurarea de la distanță centralizată a antivirusurilor;

· detectarea automată a noilor stații de lucru conectate la rețeaua corporativă, urmată de instalare automată la aceste stații de software antivirus;

· programarea sarcinilor pentru lansare imediată sau întârziată (cum ar fi actualizarea programelor, baza de date antivirus, scanarea fișierelor etc.) pe orice computer din rețea;

· afișarea în timp real a procesului de operare antivirus pe stațiile de lucru și serverele de rețea.

Toate funcțiile de mai sus sau multe dintre ele sunt implementate în centrele de control al rețelei ale produselor antivirus corporative de top create de Sophos (http://www.sophos.com), Symantec (http://www.symante с.ru) , Network Associates ( http://www.nai.com) și Kaspersky Lab.

Centrele de control al rețelei vă permit să gestionați protecția antivirus a întregii rețele de la o singură stație de lucru de administrator de sistem. În același timp, pentru a accelera procesul de instalare a antivirusurilor în rețelele de la distanță conectate la rețeaua principală prin canale de comunicare lente, aceste rețele își creează propriile directoare locale de distribuție.

Atunci când utilizați o arhitectură client-server, baza centrului de control al rețelei este un server antivirus instalat pe unul dintre serverele din rețeaua corporativă. Este interacționat cu, pe de o parte, de programele agent instalate împreună cu programele antivirus pe stațiile de lucru din rețea, iar pe de altă parte, de consola de control a administratorului de protecție antivirus (Fig. 3).

Orez. 3. Interacțiunea dintre consola de administrator, agenți și serverul antivirus

Serverul antivirus efectuează acțiuni de control și coordonare. Stochează un jurnal general al evenimentelor legate de protecția antivirus și care apar pe toate computerele din rețea, o listă și un program pentru executarea sarcinilor. Serverul antivirus este responsabil de primirea mesajelor de la agenți și transmiterea către administratorul protecției antivirus despre apariția anumitor evenimente în rețea, verificând periodic configurația rețelei pentru a detecta noi stații de lucru sau stații de lucru cu o configurație modificată de antivirus. -instrumente de virus etc.

Pe lângă agenți, pe fiecare stație de lucru și server din rețeaua corporativă este instalat un antivirus, care scanează fișierele și verifică fișierele atunci când sunt deschise (funcții de scaner și monitor antivirus). Rezultatele operațiunii antivirus sunt transmise prin agenți către serverul antivirus, care le analizează și le înregistrează în jurnalul de evenimente.

Consola de control poate fi o aplicație standard Microsoft Windows cu o interfață fereastră sau un applet (snap-in) al consolei de control Panoul de control a sistemului de operare Microsoft Windows. Prima abordare este implementată, de exemplu, în sistemul de management antivirus Sophos, iar a doua - în sistemul de management Norton AntiVirus.

Interfața de utilizator a consolei de management vă permite să vizualizați structura arborescentă a rețelei corporative, obținând acces, dacă este necesar, la computerele individuale ale anumitor grupuri de utilizatori sau domenii.

Sisteme pe mai multe niveluri cu o interfață Web

Arhitectura sistemelor cu mai multe niveluri cu o interfață Web implică utilizarea unui server Web ca nucleu al sistemului. Sarcina acestui nucleu este, pe de o parte, de a organiza interacțiunea interactivă cu utilizatorul și, pe de altă parte, cu modulele software ale unui anumit sistem.

Avantajele acestei abordări sunt unificarea metodelor de management diverse sisteme rețea și, de asemenea, în absența necesității instalării oricăror programe de control sau console pe stația de lucru a administratorului. Administrarea poate fi efectuată de pe orice computer din rețea, iar dacă rețeaua este conectată la Internet, atunci de oriunde din lume unde există Internet și un computer cu browser.

Pentru a proteja informațiile de control atunci când sunt transmise prin Internet sau intranet corporativ, sunt utilizate protocoale SSH sau alte mijloace similare (de exemplu, modificări de proprietate securizate ale protocolului HTTP).

În fig. Am arătat 4-5 schema bloc sisteme de protecție antivirus cu o interfață web Trend Virus Control System. Acest sistem vă permite să gestionați și să controlați pe deplin funcționarea unui sistem de protecție antivirus corporativ de la o stație de lucru prin intermediul unui browser, chiar dacă părți individuale ale rețelei sunt situate în țări diferite sau pe continente diferite.

Orez. 4. Sistem antivirus cu interfata Web

Acest circuit este similar cu circuitul prezentat în Fig. 4-1, însă, administratorul antivirus își gestionează funcționarea printr-un browser, și nu printr-o aplicație de consolă.

Un antivirus este instalat pe stațiile de lucru (PC-cillin, Server Protect, InterScan VirusWall, ScanMail etc.). Acest antivirus este controlat de un server antivirus printr-un agent.

Serverul Web Microsoft IIS este instalat pe computerul care joacă rolul unui server antivirus. O aplicație web specială care rulează pe acest server controlează serverul antivirus. De asemenea, oferă administratorului o interfață cu utilizatorul pentru a gestiona sistemul de protecție antivirus.

Pentru a asigura independența maximă față de platformele informatice, Trend VCS Server și aplicația client sunt scrise în limbajul de programare Java și alte limbaje utilizate pentru dezvoltarea aplicațiilor de Internet.

În ceea ce privește notificările despre apariția unor evenimente în sistemul de protecție antivirus corporativ, acestea sunt transmise prin programe de agent către serverul Trend VCS și trimise prin e-mail, prin rețele de paginare, prin sisteme SMS etc.

Metode administrative și tehnologice de protecție

Pentru ca programele antivirus să-și îndeplinească eficient funcțiile, este necesar să urmați cu strictețe recomandările de utilizare descrise în documentație. O atenție deosebită ar trebui acordată necesității de a actualiza în mod regulat bazele de date cu viruși și componente software antivirusuri. Antivirusurile moderne pot descărca fișiere de actualizare prin Internet sau prin retea locala. Cu toate acestea, pentru a face acest lucru, acestea trebuie configurate în consecință.

Cu toate acestea, chiar și fără a utiliza programe antivirus, puteți încerca să împiedicați virușii să intre în computer și să reduceți daunele pe care le vor provoca dacă sunt infectați. Iată ce ar trebui să faci mai întâi:

· blocați posibilele canale de pătrundere a virușilor: nu conectați computerul la internet și rețeaua locală a companiei decât dacă este necesar, deconectați dispozitivele memorie externă precum unități de dischetă și dispozitive CD-ROM;

Preveniți modificarea software-ului a conținutului memoriei nevolatile BIOS;

· faceți o dischetă de pornire a sistemului, înregistrând antivirusuri și alte programe pe ea utilitare de sistem pentru lucrul cu discul, precum și cu un disc de recuperare de urgență Microsoft Windows;

· scanează toate programele și fișierele document înregistrate pe computer, precum și dischetele folosind cele mai recente versiuni de programe antivirus;

· instalați software numai de pe CD-uri licențiate;

· instalați protecție la scriere pe toate dischetele și eliminați-o numai dacă este necesar;

· limitarea schimbului de programe și dischete;

efectua în mod regulat backup date;

· stabilirea drepturilor de acces minime necesare la directoarele serverului de fișiere, protejarea la scriere a directoarelor kituri de distribuție și fișiere de program;

· întocmește instrucțiuni pentru utilizatori cu privire la protecția antivirus, descriind în el regulile de utilizare a antivirusurilor, regulile de lucru cu fișierele și e-mailul și, de asemenea, descrie acțiunile care ar trebui întreprinse atunci când sunt detectați viruși.

Problema calculatorului de acasă

Adesea, angajații companiei lucrează nu numai la birou, ci și acasă, schimbând fișiere între computerul de acasă și stația de lucru de la birou. Un administrator de sistem al companiei nu este capabil să protejeze computerele de acasă ale tuturor angajaților de viruși. Virușii pot ajunge pe computerul dvs. de acasă de pe Internet, precum și ca rezultat al schimbului programe de jocuri. Acest lucru se întâmplă adesea dacă computer de acasă alți membri ai familiei și copiii au acces.

Toate fișierele pe care angajații le aduc de acasă la serviciu ar trebui considerate potențial periculoase. În cazuri critice, un astfel de schimb ar trebui să fie complet interzis sau sever limitat. Fișierele „acasă” potențial periculoase trebuie scanate înainte de a fi deschise cu programe antivirus.

Instalarea firewall-urilor personale

O rețea corporativă conectată la Internet trebuie protejată de atacurile hackerilor care folosesc un firewall. Cu toate acestea, pe lângă aceasta, puteți proteja în continuare stațiile de lucru și serverele de rețea instalând firewall-uri personale pe acestea, cum ar fi AtGuard (Fig. 5).

Orez. 5. Configurarea firewall personal AtGuard

Pe lângă filtrarea traficului nedorit, unele firewall-uri personale vă pot proteja computerul de applet-urile troiene Java și controalele ActiveX. Astfel de componente pot fi încorporate în mesajele de e-mail HTML și în paginile site-urilor web troiene.

Firewall-urile personale care se află în ceea ce este cunoscut sub numele de modul de învățare pot ajuta la detectarea traficului de la troieni, bombe logice și alte componente rău intenționate nedorite. Când o astfel de componentă încearcă să comunice cu computerul unui hacker, firewall-ul va afișa un mesaj de avertizare pe ecran.

Trebuie remarcat faptul că în setările browserului dvs. puteți dezactiva și posibilitatea de a utiliza componente active, cum ar fi applet-urile Java și controalele ActiveX. Cu toate acestea, firewall-urile personale sunt mai universale și vă permit să blocați utilizarea unor astfel de componente de către orice program, de exemplu, clienții de e-mail

Protecția antivirus este cea mai comună măsură pentru a asigura securitatea informațiilor infrastructurii IT din sectorul corporativ. Cu toate acestea, doar 74% dintre companiile rusești folosesc soluții antivirus pentru protecție, arată un studiu realizat de Kaspersky Lab împreună cu compania de analiză B2B International (toamna 2013).

Raportul mai precizează că pe fondul creșterii explozive a amenințărilor cibernetice, de care companiile sunt protejate de simple antivirusuri, afacerile rusești încep să folosească din ce în ce mai mult instrumente complexe de protecție. În mare parte din acest motiv, utilizarea instrumentelor de criptare a datelor pe medii amovibile a crescut cu 7% (24%). În plus, companiile au devenit mai dispuse să diferențieze politicile de securitate pentru dispozitivele amovibile. A crescut și diferențierea nivelului de acces la diferite secțiuni ale infrastructurii IT (49%). În același timp, întreprinderile mici și mijlocii acordă mai multă atenție controlului dispozitivelor amovibile (35%) și controlului aplicațiilor (31%).

Cercetătorii au mai descoperit că, în ciuda descoperirii constante de noi vulnerabilități software, companiile rusești încă nu acordă suficientă atenție actualizărilor regulate. software. Mai mult decât atât, numărul organizațiilor implicate în corecție a scăzut față de anul trecut la doar 59%.

Programele antivirus moderne pot detecta în mod eficient obiectele rău intenționate din fișierele și documentele programului. În unele cazuri, un antivirus poate elimina corpul unui obiect rău intenționat dintr-un fișier infectat, restabilind fișierul în sine. În cele mai multe cazuri, un antivirus este capabil să elimine un obiect software rău intenționat nu numai din fişier program, dar și dintr-un dosar de document office, fără a-i încălca integritatea. Utilizarea programelor antivirus nu necesită calificări înalte și este disponibilă pentru aproape orice utilizator de computer.

Majoritatea programelor antivirus combină protecția în timp real (monitor antivirus) și protecția la cerere (scanner antivirus).

Evaluare antivirus

2019: Două treimi din antivirusurile pentru Android s-au dovedit a fi inutile

În martie 2019, laboratorul austriac AV-Comparatives, specializat în testarea software-ului antivirus, a publicat rezultatele unui studiu care a arătat inutilitatea majorității astfel de programe pentru Android.

Doar 23 de antivirusuri aflate în catalogul oficial Google Play Store identifică cu exactitate malware-ul în 100% din cazuri. Restul software-ului fie nu răspunde la amenințări mobile, sau acceptă aplicații absolut sigure pentru ele.

Experții au studiat 250 de antivirusuri și au raportat că doar 80% dintre aceștia pot detecta mai mult de 30% din malware. Astfel, 170 de aplicații au picat testul. Produsele care au trecut testele au inclus în principal soluții marii producatori inclusiv Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro și Trustwave.

Ca parte a experimentului, cercetătorii au instalat fiecare aplicație antivirus pe un dispozitiv separat (fără emulator) și au automatizat dispozitivele pentru a lansa browserul, a descărca și apoi a instala malware. Fiecare dispozitiv a fost testat împotriva a 2 mii dintre cei mai obișnuiți viruși Android în 2018.

Conform calculelor AV-Comparatives, majoritatea soluțiilor antivirus Android sunt false. Zeci de aplicații au o interfață aproape identică, iar creatorii lor sunt în mod clar mai interesați să afișeze reclame decât să scrie un scaner antivirus funcțional.

Unii antivirusi „văd” o amenințare în orice aplicație care nu este inclusă în „ lista albă" Din această cauză, ei, într-o serie de cazuri foarte anecdotice, au tras un semnal de alarmă cu privire la propriile fișiere, deoarece dezvoltatorii au uitat să le menționeze în „lista albă”.

2017: Microsoft Security Essentials este recunoscut drept unul dintre cele mai proaste antivirusuri

În octombrie 2017, laboratorul german de antivirus AV-Test a publicat rezultatele testării antivirus cuprinzătoare. Potrivit studiului, software-ul proprietar al Microsoft, conceput pentru a proteja împotriva activităților rău intenționate, este aproape cel mai prost în a-și face treaba.

Pe baza rezultatelor testelor efectuate în perioada iulie-august 2017, experții AV-Test au numit cel mai bun antivirus pentru Windows 7, soluția Kaspersky Internet Security, care a primit 18 puncte la evaluarea nivelului de protecție, performanță și ușurință în utilizare.

Primele trei au inclus programe Trend Micro Securitate Internetși Bitdefender Internet Security, care a câștigat 17,5 puncte fiecare. Puteți afla despre starea produselor de la alte companii de antivirus care au fost incluse în studiu din ilustrațiile de mai jos:

Multe scanere folosesc, de asemenea, algoritmi de scanare euristică, de exemplu. analizarea secvenței comenzilor din obiectul verificat, colectarea unor statistici și luarea unei decizii pentru fiecare obiect verificat.

Scanerele pot fi, de asemenea, împărțite în două categorii - universale și specializate. Scanerele universale sunt concepute pentru a detecta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza un număr limitat de viruși sau o singură clasă de viruși, de exemplu macrovirusuri.

Scanerele sunt, de asemenea, împărțite în rezidente (monitoare), care scanează din mers și nerezident, care scanează sistemul doar la cerere. De regulă, scanerele rezidente oferă o protecție mai fiabilă a sistemului, deoarece răspund imediat la apariția unui virus, în timp ce un scaner nerezident este capabil să identifice un virus doar la următoarea lansare.

Scanere CRC

Principiul de funcționare al scanerelor CRC se bazează pe calcularea sumelor CRC (sume de control) pentru fișierele/sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date antivirus, precum și alte informații: lungimea fișierelor, datele ultimei modificări etc. Atunci când sunt lansate ulterior, scanerele CRC compară datele conținute în baza de date cu valorile efectiv calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus.

Scanerele CRC nu sunt capabile să prindă un virus în momentul în care acesta apare în sistem, dar face acest lucru doar ceva timp mai târziu, după ce virusul s-a răspândit în computer. Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișiere restaurate dintr-o copie de rezervă sau la despachetarea fișierelor dintr-o arhivă), deoarece bazele lor de date nu conțin informații despre aceste fișiere. Mai mult, apar periodic viruși care profită de această slăbiciune a scanerelor CRC și doar infectează din nou fișiere createși astfel să rămână invizibili pentru ei.

Blocante

Blocanții antivirus sunt programe rezidente care interceptează situațiile periculoase de viruși și informează utilizatorul despre acestea. Cele periculoase pentru viruși includ apeluri de deschidere pentru scriere în fișiere executabile, scriere în sectoare de boot ale discurilor sau MBR-ul unui hard disk, încercări ale programelor de a rămâne rezidente etc., adică apeluri tipice pentru viruși în timpul reproducerii.

Avantajele blocantelor includ capacitatea lor de a detecta și opri un virus în cel mai timpuriu stadiu al reproducerii acestuia. Dezavantajele includ existența unor modalități de a ocoli protecția blocantului și un număr mare de fals pozitive.

Imunizatoare

Imunizatoarele sunt împărțite în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția. Primele sunt de obicei scrise la sfârșitul fișierelor (pe baza principiului unui virus de fișiere) și de fiecare dată când fișierul este lansat, îl verifică pentru modificări. Astfel de imunizatoare au un singur dezavantaj, dar este letal: incapacitatea absolută de a raporta infecția cu un virus stealth. Prin urmare, astfel de imunizatori, cum ar fi blocanții, practic nu sunt utilizați în prezent.

Al doilea tip de imunizare protejează sistemul de infecția cu un anumit tip de virus. Fișierele de pe discuri sunt modificate în așa fel încât virusul să le perceapă ca deja infectate. Pentru a proteja împotriva unui virus rezident, un program care simulează o copie a virusului este introdus în memoria computerului. Când este lansat, virusul îl întâlnește și crede că sistemul este deja infectat.

Acest tip de imunizare nu poate fi universal, deoarece este imposibil să se imunizeze fișierele împotriva tuturor virușilor cunoscuți.

Clasificarea antivirusurilor pe baza variabilității în timp

Potrivit lui Valery Konyavsky, agenții antivirus pot fi împărțiți în două grupuri mari- analiza datelor si analiza proceselor.

Analiza datelor

Analiza datelor include auditori și polifagi. Auditorii analizează consecințele virușilor informatici și ale altor programe rău intenționate. Consecințele au ca rezultat modificări ale datelor care nu ar trebui modificate. Faptul că datele s-au schimbat este un semn al activității malware din punctul de vedere al auditorului. Cu alte cuvinte, auditorii monitorizează integritatea datelor și, la încălcarea integrității, iau o decizie cu privire la prezența mediu informatic malware.

Polifagele acționează diferit. Pe baza analizei datelor, ei identifică fragmente de cod rău intenționat (de exemplu, prin semnătura acestuia) și pe această bază trag o concluzie despre prezența programelor rău intenționate. Eliminarea sau tratarea datelor infectate cu virusuri poate preveni consecințe negative execuția de malware. Astfel, pe baza analizei statice, sunt prevenite consecințele care apar în dinamică.

Schema de lucru atât a auditorilor, cât și a polifagelor este aproape aceeași - comparați datele (sau suma lor de control) cu una sau mai multe mostre de referință. Datele sunt comparate cu datele. Astfel, pentru a găsi un virus în computerul tău, trebuie să fi funcționat deja pentru ca consecințele activității sale să apară. Această metodă poate găsi doar viruși cunoscuți pentru care fragmente de cod sau semnături au fost descrise anterior. O astfel de protecție cu greu poate fi numită fiabilă.

Analiza procesului

Instrumentele antivirus bazate pe analiza proceselor funcționează oarecum diferit. Analizatoarele euristice, ca cele descrise mai sus, analizează datele (pe disc, pe un canal, în memorie etc.). Diferența fundamentală constă în faptul că analiza este efectuată în ipoteza că codul analizat nu este date, ci comenzi (în calculatoarele cu arhitectură von Neumann, datele și comenzile nu se pot distinge și, prin urmare, în timpul analizei este necesar să se facă una sau alta presupunere.)

Analizorul euristic identifică o secvență de operații, atribuie fiecăruia un anumit grad de pericol și, pe baza totalității pericolului, ia o decizie dacă această secvență de operațiuni face parte din codul rău intenționat. Codul în sine nu este executat.

Un alt tip de instrumente antivirus bazate pe analiza procesului sunt blocantele comportamentale. În acest caz, codul suspect este executat pas cu pas până când setul de acțiuni inițiate de cod este evaluat ca fiind un comportament periculos (sau sigur). În acest caz, codul este parțial executat, deoarece completarea codului rău intenționat poate fi detectată ulterior metode simple analiza datelor.

Tehnologii de detectare a virusurilor

Tehnologiile utilizate în antivirusuri pot fi împărțite în două grupe:

• Tehnologii de analiză a semnăturilor
• Tehnologii de analiză probabilistică

Tehnologii de analiză a semnăturilor

Analiza semnăturilor este o metodă de detectare a virușilor care implică verificarea prezenței semnăturilor virușilor în fișiere. Analiza semnăturilor este cea mai cunoscută metodă de detectare a virușilor și este folosită în aproape toate antivirusurile moderne. Pentru a efectua o scanare, antivirusul necesită un set de semnături de viruși, care sunt stocate în baza de date antivirus.

Datorită faptului că analiza semnăturii implică verificarea fișierelor pentru prezența semnăturilor virușilor, baza de date antivirus trebuie actualizată periodic pentru a menține antivirusul la zi. Însuși principiul de funcționare al analizei semnăturilor determină, de asemenea, granițele funcționalității sale - capacitatea de a detecta doar viruși deja cunoscuți - un scaner de semnătură este neputincios împotriva noilor viruși.

Pe de altă parte, prezența semnăturilor de viruși sugerează posibilitatea tratării fișierelor infectate detectate prin analiza semnăturilor. Cu toate acestea, tratamentul nu este posibil pentru toți virușii - troienii și majoritatea viermilor nu pot fi tratați din cauza lor caracteristici de proiectare, deoarece sunt module solide concepute pentru a provoca daune.

Implementarea corectă a semnăturii unui virus vă permite să detectați viruși cunoscuți cu o probabilitate de sută la sută.

Tehnologii de analiză probabilistică

Tehnologiile de analiză probabilistică, la rândul lor, sunt împărțite în trei categorii:

• Analiza euristica
• Analiza comportamentală
• Analiza sumei de control

Analiza euristica

Analiza euristică este o tehnologie bazată pe algoritmi probabilistici, al cărei rezultat este identificarea obiectelor suspecte. În timpul procesului de analiză euristică, structura fișierului și conformitatea acesteia cu tiparele de virus sunt verificate. Cea mai populară tehnologie euristică este verificarea conținutului unui fișier pentru modificări ale semnăturilor de viruși deja cunoscute și combinațiile acestora. Acest lucru ajută la detectarea hibrizilor și a noilor versiuni ale virușilor cunoscuți anterior, fără o actualizare suplimentară a bazei de date antivirus.

Analiza euristică este utilizată pentru a detecta viruși necunoscuți și, ca urmare, nu implică tratament. Această tehnologie nu este capabil să determine 100% dacă un virus se află sau nu în fața lui și, ca orice algoritm probabilistic, suferă de fals pozitive.

Analiza comportamentală

Analiza comportamentală este o tehnologie în care o decizie cu privire la natura obiectului testat este luată pe baza unei analize a operațiunilor pe care le efectuează. Analiza comportamentală este aplicabilă foarte restrâns în practică, deoarece majoritatea acțiunilor caracteristice virușilor pot fi efectuate prin aplicații obișnuite. Cei mai faimoși sunt analizatorii comportamentali de scripturi și macrocomenzi, deoarece virușii corespunzători efectuează aproape întotdeauna o serie de acțiuni similare.

Măsurile de securitate încorporate în BIOS pot fi, de asemenea, clasificate ca analizoare comportamentale. Când încercați să faceți modificări la MBR-ul computerului, analizorul blochează acțiunea și afișează o notificare corespunzătoare utilizatorului.

În plus, analizatorii comportamentali pot monitoriza încercările de a accesa direct fișierele, modificările în înregistrarea de pornire a dischetelor, formatarea hard disk-urilor etc.

Analizatoarele comportamentale nu folosesc obiecte suplimentare asemănătoare bazelor de date cu viruși pentru a funcționa și, ca urmare, nu pot face distincția între viruși cunoscuți și necunoscuți - toate programele suspecte sunt considerate a priori viruși necunoscuți. De asemenea, caracteristicile de operare ale instrumentelor care implementează tehnologii de analiză comportamentală nu implică tratament.

Analiza sumei de control

Analiza sumelor de control este o modalitate de urmărire a modificărilor aduse obiectelor sistemului informatic. Pe baza analizei naturii modificărilor - simultaneitate, apariție în masă, modificări identice ale lungimii fișierelor - putem concluziona că sistemul este infectat. Analizatorii de sumă de control (numiți și auditori de schimbare), precum analizatorii comportamentali, nu folosesc obiecte suplimentare în munca lor și emit un verdict cu privire la prezența unui virus în sistem exclusiv prin metoda evaluării expertului. Tehnologii similare sunt utilizate în scanerele de acces - în timpul primei scanări, suma de controlși este plasat în cache, înainte de următoarea scanare a aceluiași fișier, suma este retrasă din nou, comparată, iar dacă nu există modificări, fișierul este considerat neinfectat.

Complexe antivirus

Complex anti-virus - un set de anti-virusuri care folosesc același nucleu sau nuclee anti-virus, concepute pentru a rezolva probleme practice în asigurarea securității anti-virus sisteme informatice. Complexul antivirus include în mod necesar și instrumente pentru actualizarea bazelor de date antivirus.

În plus, complexul anti-virus poate include în plus analizoare comportamentale și auditori de schimbare care nu folosesc nucleul anti-virus.

Evidențiați următoarele tipuri complexe antivirus:

• Complex antivirus pentru protejarea stațiilor de lucru
• Complex antivirus pentru protejarea serverelor de fișiere
• Complex antivirus pentru protejarea sistemelor de mail
• Complex antivirus pentru protejarea gateway-urilor.

Cloud și antivirus tradițional pentru desktop: ce să alegi?

(Pe baza materialelor de pe Webroot.com)

Piața modernă a produselor antivirus constă în primul rând din soluții tradiționale pentru sisteme desktop, ale căror mecanisme de protecție sunt construite pe baza metodelor de semnătură. Mod alternativ protecție antivirus - utilizarea analizei euristice.

Probleme cu software-ul antivirus tradițional

Recent, tehnologiile antivirus tradiționale au devenit din ce în ce mai puțin eficiente și devin rapid depășite, ceea ce se datorează mai multor factori. Numărul de amenințări virale recunoscute de semnături este deja atât de mare încât asigurarea actualizării 100% la timp a bazelor de date de semnături pe computerele utilizatorilor este adesea o sarcină nerealistă. Hackerii și criminalii cibernetici folosesc din ce în ce mai mult rețele botnet și alte tehnologii care accelerează răspândirea amenințărilor virusurilor zero-day. În plus, atunci când sunt efectuate atacuri direcționate, semnăturile virușilor corespunzători nu sunt create. În cele din urmă, sunt utilizate tehnologii noi pentru a contracara detectarea antivirus: criptarea malware-ului, crearea de viruși polimorfi pe partea de server, testarea preliminară a calității unui atac de virus.

Protecția antivirus tradițională este cel mai adesea construită într-o arhitectură „client gros”. Aceasta înseamnă că un volumetric codul programului. Cu ajutorul acestuia, datele primite sunt scanate și este detectată prezența amenințărilor viruși.

Această abordare are o serie de dezavantaje. În primul rând, scanarea pentru malware și compararea semnăturilor necesită o sarcină de calcul semnificativă, care îndepărtează utilizatorul. Ca urmare, productivitatea computerului scade, iar antivirusul interferează uneori cu sarcinile aplicațiilor paralele. Uneori, încărcarea sistemului utilizatorului este atât de vizibilă încât utilizatorii dezactivează programele antivirus, eliminând astfel bariera în calea unui potențial atac de viruși.

În al doilea rând, fiecare actualizare pe computerul utilizatorului necesită trimiterea a mii de semnături noi. Cantitatea de date transferate este de obicei de aproximativ 5 MB pe zi pe mașină. Transferul de date încetinește rețeaua, consumă resurse suplimentare de sistem și necesită implicarea administratorii de sistem pentru a controla traficul.

În al treilea rând, utilizatorii care se află în roaming sau se află la distanță de un loc fix de muncă sunt lipsiți de apărare împotriva atacurilor zero-day. Pentru a primi o parte actualizată a semnăturilor, aceștia trebuie să se conecteze la o rețea VPN care le este inaccesibilă de la distanță.

Protecție antivirus din cloud

Când treceți la protecția antivirus din cloud, arhitectura soluției se modifică semnificativ. Un client „ușor” este instalat pe computerul utilizatorului, a cărui funcție principală este să caute fișiere noi, să calculeze valori hash și să trimită date server cloud. În cloud, se realizează o comparație la scară completă, efectuată pe o bază de date mare de semnături colectate. Această bază de date este actualizată constant și în timp util folosind datele transmise de companiile antivirus. Clientul primește un raport cu rezultatele inspecției.

Astfel, arhitectura cloud a protecției antivirus are o serie de avantaje:

• cantitatea de calcul pe computerul utilizatorului se dovedește a fi neglijabilă în comparație cu un client gros, prin urmare, productivitatea utilizatorului nu scade;
• nu există niciun impact catastrofal al traficului antivirus asupra debitului rețele: urmează să fie trimisă o bucată de date compactă, care conține doar câteva zeci de valori hash, dimensiunea medie trafic pe timp de zi nu depășește 120 KB;
• stocarea în cloud conține o serie uriașă de semnături, mult mai mari decât cele stocate pe computerele utilizatorilor;
• algoritmii de comparare a semnăturilor utilizați în cloud sunt semnificativ mai inteligenți în comparație cu modelele simplificate care sunt utilizate la nivelul stațiilor locale, iar datorită performanței mai mari, compararea datelor necesită mai puțin timp;
• serviciile antivirus cloud funcționează cu date reale primite de la laboratoare antivirus, dezvoltatori de securitate, utilizatori corporativi și privați; Amenințările zero-day sunt blocate concomitent cu recunoașterea lor, fără întârzierea cauzată de necesitatea de a obține acces la computerele utilizatorilor;
• utilizatorii în roaming sau fără acces la stațiile lor de lucru principale primesc protecție împotriva atacurilor zero-day simultan cu accesul la Internet;
• Volumul de lucru al administratorilor de sistem este redus: aceștia nu trebuie să petreacă timp instalând software antivirus pe computerele utilizatorilor, precum și actualizării bazelor de date de semnături.

De ce eșuează antivirusurile tradiționale

Modern cod rău intenționat Pot fi:

• Ocoliți capcanele antivirus prin crearea unui virus țintă special pentru companie
• Înainte ca antivirusul să creeze o semnătură, acesta va evita utilizarea polimorfismului, transcodării, utilizând DNS dinamic și URL-uri

• Creație țintită pentru o companie
• Polimorfism
• Cod necunoscut încă de nimeni - fără semnătură

Greu de apărat

Antivirusuri rapide din 2011

Centrul de informare și analiză independent rus Anti-Malware.ru a publicat în mai 2011 rezultatele următoarei test comparativ 20 cele mai populare antivirusuri bazate pe performanță și consumul de resurse ale sistemului.

Ţintă acest test- arată care antivirusuri personale au cel mai mic impact asupra operațiunilor tipice ale utilizatorului pe un computer, încetinește funcționarea acestuia mai puțin și consumă o cantitate minimă de resurse de sistem.

Dintre monitoarele antivirus (scanere în timp real), un întreg grup de produse au demonstrat viteză de operare foarte mare, printre care: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro și Dr.Web. Cu acești antivirusuri la bord, încetinirea copierii colecției de testare a fost mai mică de 20% față de standard. Monitoarele antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton și Emsisoft au arătat și ele rezultate de înaltă performanță, încadrându-se în intervalul 30-50%. Monitoarele antivirus BitDefender, PC Tools, Outpost, F-Secure, Norton și Emsisoft au arătat și ele rezultate de înaltă performanță, încadrându-se în intervalul 30-50%.

În același timp, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost și PC Tools în condiții reale pot fi mult mai rapide datorită optimizării verificărilor ulterioare.

Antivirusul Avira a arătat cea mai bună viteză de scanare la cerere. A fost ușor inferior față de Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus și Outpost. În ceea ce privește viteza primei scanări, acești antivirusuri sunt doar puțin inferioare liderului, în același timp, toți au în arsenal tehnologii puternice pentru optimizarea scanărilor repetate.

O altă caracteristică importantă a vitezei unui antivirus este influența acestuia asupra funcționării programelor de aplicație cu care utilizatorul lucrează adesea. Cinci au fost selectați pentru test: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader și Adobe Photoshop. Cea mai mică încetinire a lansării acestora programe de birou a aratat Antivirusuri Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost și G Data.

Monitoare antivirus

Există, de asemenea, o întreagă clasă de programe antivirus care rezidă permanent în memoria computerului și monitorizează toate acțiunile suspecte efectuate de alte programe. Astfel de programe se numesc monitoare antivirus sau paznici.

Monitorul verifică automat toate programele lansate, documentele create, deschise și salvate, fișierele de programe și documente primite prin Internet sau copiate pe hard disk de pe o dischetă sau CD. Monitorul antivirus va anunța utilizatorul dacă vreun program încearcă să efectueze o acțiune potențial periculoasă.

Kitul unuia dintre cele mai avansate scanere Doctor Web dezvoltat de Igor Danilov (http: // www. drweb. ru) include o gardă Spider Guard, care îndeplinește funcțiile unui monitor antivirus.

Detectarea schimbărilor

Când un virus infectează un computer, modifică conținutul hard disk-ului, de exemplu, adaugă codul său într-un program sau într-un fișier document sau adaugă un apel la programul de virus la fișierul AUTOEXEC. BAT, modifică sectorul de boot, creează un fișier satelit. Astfel de modificări, totuși, nu sunt făcute de viruși „incorporali” care trăiesc nu pe disc, ci în memoria proceselor sistemului de operare.

Programele antivirus, numite auditori de disc, nu scanează viruși prin semnătură. Ei își amintesc mai întâi caracteristicile tuturor zonelor discului care sunt atacate de virus și apoi le verifică periodic (de unde și numele programului de audit). Examinatorul poate găsi modificările făcute de un virus cunoscut sau necunoscut.

Exemple de auditori de discuri includ programul Advanced Diskinfoscope (ADinf) dezvoltat la DialogNauka CJSC (http: // www.dials.ru, http: // www.adinf.ru) și auditorul AVP Inspector produs de Kaspersky Lab CJSC „(http: ://www.kaspersky.ru).

Împreună cu ADinf, este utilizat modulul de vindecare ADinf Cure Module (ADinfExt), care utilizează informații colectate anterior despre fișiere pentru a le restaura după infectarea cu viruși necunoscuți. AVP Inspector include, de asemenea, un modul de vindecare care poate elimina virușii.

Protecție încorporată în BIOS-ul computerului

Cele mai simple instrumente de protecție antivirus sunt, de asemenea, încorporate în plăcile de bază ale computerelor. Aceste instrumente vă permit să monitorizați întregul acces la înregistrarea principală de pornire a hard disk-urilor, precum și la sectoarele de pornire ale discurilor și dischetelor. Dacă vreun program încearcă să modifice conținutul sectoarelor de boot, protecția este declanșată și utilizatorul primește un avertisment corespunzător.

Cu toate acestea, această protecție nu este foarte fiabilă. Există viruși (de exemplu, Tchechen. 1912 și 1914) care încearcă să dezactiveze controlul anti-virus BIOS prin schimbarea unor celule din memoria nevolatilă (memoria CMOS) a computerului.

4.3 Monitoare

Monitoarele antivirus sunt programe rezidente care interceptează situațiile periculoase de viruși și informează utilizatorul despre aceasta. Cele periculoase pentru viruși includ apeluri de deschidere pentru scriere în fișiere executabile, scriere pe sectoare de pornire ale discurilor sau MBR-ul unui hard disk, încercările programelor de a rămâne rezidente, de ex. provocări care sunt tipice pentru viruși în timpul reproducerii lor.

Avantajele monitoarelor includ capacitatea lor de a detecta și bloca virusul în stadiul incipient al reproducerii acestuia. Dezavantajele includ existența unor modalități de ocolire a protecției monitorului și a unui număr mare de fals pozitive, ceea ce, aparent, a fost motivul abandonului aproape complet al acestui tip de programe antivirus de către utilizatori.

De asemenea, este necesar să se remarce o astfel de direcție a instrumentelor antivirus precum monitoarele antivirus, realizate sub formă de componente hardware ale computerului. Cu toate acestea, ca și în cazul monitoarelor de program, o astfel de protecție este ușor de ocolit. La dezavantajele de mai sus se adaugă și problemele de compatibilitate cu configurațiile standard ale computerelor și dificultățile de instalare și configurare a acestora. Toate acestea fac ca monitoarele hardware să fie extrem de nepopulare în comparație cu alte tipuri de protecție antivirus.

4.4 Imunizatoare

Imunizatoarele sunt împărțite în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția.

Primele sunt de obicei scrise la sfârșitul fișierelor și de fiecare dată când fișierul este lansat, îl verifică pentru modificări. Astfel de imunizatoare au un singur dezavantaj, dar este letal: incapacitatea absolută de a raporta infecția cu un virus „stealth”. Prin urmare, astfel de imunizatoare, precum monitoarele, practic nu sunt utilizate în prezent.

Al doilea tip de imunizare protejează sistemul de infecția cu un virus de vreun fel. un anumit tip. Fișierele de pe discuri sunt modificate în așa fel încât virusul să le perceapă ca deja infectate.

Pentru a proteja împotriva unui virus rezident, un program care simulează o copie a virusului este inserat în memoria computerului când este lansat, virusul îl întâlnește și crede că sistemul este deja infectat;

Acest tip de imunizare nu poate fi universal, deoarece este imposibil să se imunizeze fișierele împotriva tuturor virușilor cunoscuți. Cu toate acestea, în ciuda acestui fapt, astfel de imunizatoare, ca jumătate de măsură, pot proteja destul de fiabil un computer de un nou virus necunoscut până în momentul în care este detectat de scanerele antivirus.

Analiză sisteme informaticeîntreprinderile OJSC „Uraltransnefteprodukt”

Monitoarele de supraveghere video sunt proiectate să afișeze informații direct de la camerele video sau de la dispozitive de procesare video, cum ar fi înregistratoare video, cuadratoare, multiplexoare, matrice de comutare...

Arhitectura si principalele caracteristici computer personal

Un monitor este un dispozitiv pentru afișarea vizuală a datelor. Cele mai multe PC-uri moderne folosesc monitoare cu tub catodic (CRT). Principiul funcționării lor este că fasciculul de electroni generat de tunul de electroni...

Viruși și antivirusuri

Monitoarele antivirus sunt programe rezidente care interceptează situațiile periculoase de viruși și informează utilizatorul despre aceasta. Apelurile periculoase pentru viruși includ apeluri de deschidere pentru scriere în fișiere executabile...

Configurarea unui computer personal

Calculatoarele personale sunt echipate cu afișaje raster, iar unele stații grafice au afișaje vectoriale mai scumpe. Într-un afișaj raster, imaginea este formată dintr-un fascicul de electroni...

Monitoare: scop, clasificare

S-ar părea, ce altceva se mai poate adăuga la serviciile de management al monitorului enumerate în „clasa de afaceri”? Dar se dovedește că nu există nicio limită pentru perfecțiune. Nivelul profesional cere cea mai înaltă calitate afişa. Aşa...

Asigurarea securității computerelor

Când operează software, un program care ia decizii trebuie să fie responsabil de inițializarea obiectelor, subiectelor și proceselor de transfer de informații...

sala de operatie sistem Windows

Există, de asemenea, o întreagă clasă de programe antivirus care rezidă constant în memoria computerului și monitorizează toate acțiunile suspecte efectuate de alte programe...

Monitorizați parametrii și caracteristicile

Ecranele monitorului LCD sunt realizate dintr-o substanță (cianofenil) care se află în stare lichidă, dar, în același timp, are unele proprietăți inerente solidelor cristaline. De fapt, acestea sunt lichide...

Periferice PC

Sincronizarea accesului la resurse partajate în sisteme și rețele de memorie partajată cu mai multe procesoare

Monitorul este un mecanism de organizare a concurenței nivel înalt, care conține multe variabile de stare, cozi și multe proceduri necesare implementării alocării dinamice și accesului la resursele partajate...

Parametrii monitorului sunt determinați de caracteristicile tubului catodic (CRT) și de calitatea elementelor care controlează traseul video. Mai mult, ponderea principală de responsabilitate aici revine CRT...

Echipamente informatice multimedia moderne

Tehnologia cu cristale lichide este una dintre cele mai promițătoare astăzi. Și de mulți ani, producătorii de monitoare încearcă să lanseze dispozitive bazate pe acesta pe piața monitoarelor desktop. În 1997, cazul...

Tehnologii de replicare a datelor

O tranzacție este înțeleasă ca o succesiune indivizibilă de operațiuni de manipulare a datelor (citire, ștergere, inserare, modificare) din punct de vedere al impactului asupra bazei de date, astfel încât fie rezultatele tuturor operațiunilor incluse în tranzacție...

Dispozitiv computer personal

Monitorul este un dispozitiv necesar de ieșire a informațiilor. Monitorul (sau afișajul) vă permite să afișați alfanumeric sau informatii graficeîntr-o formă convenabilă de citit și controlat de utilizator. În conformitate cu aceasta...