Aleksandr Frolov, Grigoriy Frolov

alexandre @frolov.pp.ru; http://www.frolov.pp.ru, http://www.datarecovery.ru

Oldingi maqolada antivirus himoyasi haqida biz viruslarning asosiy turlarini va ularning tarqalishini ko'rib chiqdik. Endi ushbu bilimlarga asoslanib, biz viruslar, troyanlar va boshqalardan himoya qilish bilan shug'ullanamiz zararli dastur. Virusli infektsiya xavfini kamaytirish va agar bunday infektsiya allaqachon sodir bo'lgan bo'lsa, zararni kamaytirish uchun zarur bo'lgan dasturiy ta'minot, apparat, ma'muriy va texnologik echimlar va choralar haqida gapiramiz.

Viruslarni aniqlashning dasturiy va apparat usullari

Antivirus dasturlari viruslarga qarshi kurashning asosiy vositasi bo'lib kelgan va shunday bo'lib qoladi. Antivirus dasturlari (antiviruslar) qanday ishlashi haqida hech qanday tasavvurga ega bo'lmasdan foydalanishingiz mumkin. Biroq, antivirus dasturlari tamoyillarini tushunmasdan, viruslarning turlarini, shuningdek, qanday tarqalishini bilmasdan, kompyuterni ishonchli himoya qilishni tashkil qilish mumkin emas. Natijada, kompyuterga antivirus dasturi o'rnatilgan bo'lsa ham virus yuqtirilishi mumkin.

Bugungi kunda viruslarni aniqlash va ulardan himoya qilishning bir nechta asosiy usullari qo'llaniladi:

· skanerlash;

· evristik tahlil;

· virusga qarshi monitorlardan foydalanish;

· o'zgarishlarni aniqlash;

· kompyuterning BIOS-ga o'rnatilgan antiviruslardan foydalanish.

Bundan tashqari, deyarli barcha antivirus dasturlari taqdim etadi avtomatik tiklash zararlangan dasturlar va yuklash sektorlari. Albatta, iloji bo'lsa.

Skanerlash

Viruslarni qidirishning eng oddiy usuli shundaki, antivirus dasturi ma'lum viruslarning imzolarini qidirishda skanerlangan fayllarni ketma-ket skanerlaydi. Imzo - bu virusga tegishli bo'lgan va boshqa dasturlarda uchramaydigan baytlarning noyob ketma-ketligi.

Antivirus skaner dasturlari faqat allaqachon ma'lum bo'lgan va o'rganilgan, imzosi aniqlangan viruslarni topishi mumkin. Oddiy skaner dasturlaridan foydalanish kompyuteringizni yangi viruslarning kirib kelishidan himoya qilmaydi.

Infektsiyalanganda o'z kodini butunlay o'zgartira oladigan shifrlash va polimorf viruslar uchun yangi dastur yoki yuklash sektori, imzoni chiqarib bo'lmaydi. Shuning uchun oddiy antivirus skaner dasturlari polimorf viruslarni aniqlay olmaydi.

Evristik tahlil

Evristik tahlil ilgari noma'lum bo'lgan viruslarni aniqlash imkonini beradi va buning uchun birinchi navbatda fayl tizimi haqida ma'lumot to'plash shart emas, masalan, quyida muhokama qilingan o'zgarishlarni aniqlash usuli bilan.

Evristik tahlil usulini amalga oshiradigan virusga qarshi dasturlar skanerlash dasturlari va yuklash sektorlari disklar va floppi disklar, ulardagi viruslarga xos kodlarni aniqlashga harakat qiladi. Evristik analizator, masalan, tekshirilayotgan dastur rezident modulni xotiraga o'rnatishi yoki dasturning bajariladigan fayliga ma'lumotlarni yozishini aniqlashi mumkin.

Deyarli barcha zamonaviy antivirus dasturlari o'zlarining evristik tahlil usullarini amalga oshiradilar. Shaklda. 1-rasmda biz bunday dasturlardan birini ko'rsatdik - diskni virusga qarshi skanerlash uchun qo'lda ishga tushirilgan McAffee VirusScan skaneri.

Guruch. 1. McAffee VirusScan diskni tekshiradi

Antivirus zararlangan faylni aniqlaganda, u odatda monitor ekranida xabarni ko'rsatadi va o'z yoki tizim jurnaliga yozuv kiritadi. Sozlamalarga qarab, antivirus tarmoq administratoriga aniqlangan virus haqida xabar ham yuborishi mumkin.

Iloji bo'lsa, antivirus faylni dezinfeksiya qiladi, uning tarkibini tiklaydi. Aks holda, taklif qilingan yagona variant - zararlangan faylni o'chirish va keyin uni qayta tiklash zaxira nusxasi(agar, albatta, sizda mavjud bo'lsa).

Antivirus monitorlar

Yana bir butun sinf bor antivirus dasturlari, ular doimiy ravishda kompyuter xotirasida joylashgan va boshqa dasturlar tomonidan amalga oshirilgan barcha shubhali harakatlarni kuzatib boradi. Bunday dasturlar antivirus monitorlari yoki qo'riqchilar deb ataladi.

Monitor avtomatik ravishda barcha ishga tushirilgan dasturlarni, yaratilgan, ochilgan va saqlangan hujjatlarni, dastur fayllari va Internet orqali olingan yoki nusxalangan hujjatlarni tekshiradi. qattiq disk floppy disk va CD dan. Agar biron bir dastur potentsial xavfli harakatni amalga oshirishga harakat qilsa, antivirus monitori foydalanuvchini xabardor qiladi.

Igor Danilov (http://www.drweb.ru) tomonidan ishlab chiqilgan eng ilg'or Doctor Web skanerlaridan birining to'plami (2-rasm) virusga qarshi monitor funktsiyalarini bajaradigan Spider Guard qo'riqchisini o'z ichiga oladi.

Guruch. 2. Doktor veb-skaneri

Aniqlashni o'zgartirish

Virus kompyuterga kirsa, uning tarkibini o'zgartiradi qattiq disk, masalan, dastur yoki hujjat fayliga o'z kodini qo'shadi, AUTOEXEC.BAT fayliga virus dasturiga qo'ng'iroqni qo'shadi, yuklash sektorini o'zgartiradi va sun'iy yo'ldosh faylini yaratadi. Biroq, bunday o'zgarishlar diskda emas, balki OS jarayonlari xotirasida yashovchi "inkorporeal" viruslar tomonidan amalga oshirilmaydi.

Disk auditorlari deb ataladigan antivirus dasturlari viruslarni imzo bilan tekshirmaydi. Ular birinchi navbatda diskning virus tomonidan hujumga uchragan barcha sohalarining xususiyatlarini eslab qolishadi va keyin ularni vaqti-vaqti bilan tekshiradilar (shuning uchun audit dasturining nomi). Tekshiruvchi ma'lum yoki noma'lum virus tomonidan kiritilgan o'zgarishlarni topishi mumkin.

Disk inspektorlariga misol sifatida DialogNauka YoAJda ishlab chiqilgan Advanced Diskinfoscope (ADinf) dasturi (http://www.dials.ru, http://www.adinf.ru) va Kasperskiy Laboratoriyasi YoAJ tomonidan ishlab chiqarilgan AVP Inspektor auditori kiradi "(http). ://www.kaspersky.ru).

ADinf bilan birgalikda ADinf Cure Module (ADinfExt) shifo moduli qo'llaniladi, u noma'lum viruslar tomonidan infektsiyalanganidan keyin ularni qayta tiklash uchun fayllar haqida oldindan to'plangan ma'lumotlardan foydalanadi. AVP Inspector shuningdek, viruslarni olib tashlaydigan shifo modulini o'z ichiga oladi.

Kompyuterning BIOS-ga o'rnatilgan himoya

IN anakartlar Kompyuterlar, shuningdek, ularga o'rnatilgan asosiy virus himoyasiga ega. Ushbu vositalar asosiyga barcha qo'ng'iroqlarni boshqarish imkonini beradi yuklash kirish qattiq disklar, shuningdek, disklar va floppi disklarning yuklash sektorlariga. Agar biron bir dastur yuklash sektorlari tarkibini o'zgartirishga harakat qilsa, himoya ishga tushadi va foydalanuvchi tegishli ogohlantirish oladi.

Biroq, bu himoya juda ishonchli emas. Kompyuterning o'zgarmas xotirasidagi (CMOS xotirasi) ba'zi katakchalarni o'zgartirib, BIOS antivirus nazoratini o'chirishga harakat qiladigan viruslar (masalan, Tchechen.1912 va 1914) mavjud.

Korporativ intranet himoyasining xususiyatlari

Korporativ intranet ish stantsiyalari va serverlar vazifasini bajaradigan yuzlab va minglab kompyuterlardan iborat bo'lishi mumkin. Bu tarmoq odatda Internetga ulanadi va pochta serverlari, Microsoft Exchange va Lotus Notes kabi hujjatlarni avtomatlashtirish tizimi serverlari va nostandart axborot tizimlarini o'z ichiga oladi.

Korporativ intranetni ishonchli himoya qilish uchun barcha ish stantsiyalari va serverlarida antivirus dasturlarini o'rnatish kerak. Bunday holda, fayl serverlarida, elektron pochta serverlarida va hujjatlarni boshqarish tizimi serverlarida maxsus serverga asoslangan antivirus dasturidan foydalanish kerak. Ish stantsiyalariga kelsak, ular an'anaviy virusga qarshi skanerlar va monitorlar bilan himoyalanishi mumkin.

Maxsus antivirus proksi-serverlari va xavfsizlik devorlari ishlab chiqilgan bo'lib, ular orqali o'tadigan trafikni skanerlaydi va undan zararli dastur komponentlarini olib tashlaydi. Ushbu antiviruslar ko'pincha pochta serverlari va hujjatlarni boshqarish tizimi serverlarini himoya qilish uchun ishlatiladi.

Fayl serverini himoya qilish

Himoya fayl serverlari tarmoq orqali kirilgan barcha server fayllarini avtomatik skanerlashi mumkin bo'lgan antivirus monitorlari yordamida amalga oshirilishi kerak. Fayl serverlarini himoya qilish uchun mo'ljallangan antiviruslar barcha antivirus kompaniyalari tomonidan ishlab chiqariladi, shuning uchun sizda keng tanlov mavjud.

Pochta serverini himoya qilish

Antivirus monitorlari elektron pochta xabarlarida viruslarni aniqlashda samarasiz. Buning uchun SMTP, POP3 va IMAP trafigini filtrlaydigan, zararlangan xabarlarning foydalanuvchi ish stantsiyalariga yetib borishini oldini oladigan maxsus antiviruslar talab qilinadi.

Pochta serverlarini himoya qilish uchun siz pochta trafigini skanerlash uchun maxsus ishlab chiqilgan antiviruslarni xarid qilishingiz yoki pochta serveringizga buyruq qatori rejimida ishlaydigan oddiy antiviruslarni ulashingiz mumkin.

Doctor Web antivirus demoni eng mashhurlari bilan birlashtirilishi mumkin pochta serverlari va Doctor ComminiGatePro, Sendmail, Postfix, Exim, QMail va Zmailer kabi tizimlar. Shunga o'xshash vositalar Kasperskiy laboratoriyasi tomonidan Kasperskiy korporativ to'plamining bir qismi sifatida taqdim etilgan.

MERAK Mail Server pochta serveri interfeysga ega bo'lgan har xil turdagi tashqi antiviruslarni ulash imkonini beradi buyruq qatori. Ba'zi pochta serverlari (masalan, EServ) o'rnatilgan antivirus bilan birga keladi.

Bundan tashqari, foydalanuvchi ish stantsiyalarida POP 3 trafigini qo'shimcha ravishda skanerlashingiz mumkin. Bu, masalan, Doctor Web antivirusi bilan birga sotib olinishi mumkin bo'lgan POP 3 protokoli uchun SpIDer Mail virusga qarshi proksi-server orqali amalga oshirilishi mumkin.

Hujjatlarni boshqarish tizimining serverlarini himoya qilish

Microsoft Exchange va Lotus Notes kabi hujjatlarni boshqarish tizimining serverlari hujjatlarni o'z formatidagi ma'lumotlar bazalarida saqlaydi. Shuning uchun, hujjatlarni virusga qarshi skanerlash uchun an'anaviy fayl skanerlaridan foydalanish hech qanday natija bermaydi.

Bunday tizimlarni virusga qarshi himoya qilish uchun maxsus ishlab chiqilgan bir qator antivirus dasturlari mavjud. Bular Lotus Notes uchun Trend Micro ScanMail, McAfee GroupScan va McAfee GroupShield, Lotus Notes uchun Norton antivirusi, MS Exchange Server uchun Kaspersky Business Optimal antivirusi va boshqalar.

Ushbu dasturlar pochta va qo'shimcha fayllarni skanerlaydi, real vaqtda barcha zararli dasturlarni yo'q qiladi, so'l viruslarni aniqlaydi va Troyanlar shakllar va makroslarda, skript fayllarida va OLE obyektlarida. Tekshirish real vaqt rejimida, shuningdek, talab bo'yicha amalga oshiriladi.

Nostandart axborot tizimlarini himoya qilish

Ma'lumotlarni saqlaydigan nostandart axborot tizimlarini virusga qarshi himoya qilish uchun o'z formatlari, siz antivirus yadrosini tizimga integratsiya qilishingiz yoki buyruq qatori rejimida ishlaydigan tashqi skanerni ulashingiz kerak.

Misol uchun, Doctor Web antivirusining yadrosi FSUE NPO Mashinostroeniya tomonidan Sapiensning o'z texnologiyasi asosida yaratilgan hujjatlarni boshqarish tizimini himoya qilish uchun ishlatilgan (http://www.npomit.ru). Ushbu tizim tomonidan ma'lumotlar bazasida saqlanadigan barcha ma'lumotlar Doctor Web antivirus dvigateli tomonidan tekshiriladi.

Mas'uliyatli foydalanish uchun axborot tizimlarini ishlab chiquvchi sifatida NPO Mashinostroyenia o'zining Sapiens ro'yxatga olish va hujjatlar bajarilishini nazorat qilish, Sapiens hisob-kitob resurslari monitoringi, Sapiens dizayn hujjatlarining elektron arxivi kabi ishlanmalarini virusga qarshi himoya bilan ta'minladi.

Tarmoq antivirus nazorat qilish markazi

Agar intranetda yuzlab va minglab kompyuterlar mavjud bo'lsa, unda antivirus dasturlarini markazlashtirilgan masofadan boshqarish va ularning ishlashini nazorat qilish kerak. "Qo'lda" rejimda operatsiyalarni bajarish, masalan, virusga qarshi ma'lumotlar bazasini yangilash va virusga qarshi dasturlarning modullarini yuklash, ish stantsiyalari va serverlarida viruslarni aniqlash samaradorligini kuzatish va boshqalar, agar ko'p sonli bo'lsa, samarasiz bo'ladi. tarmoqdagi foydalanuvchilar yoki tarmoq bir-biridan geografik jihatdan uzoq bo'lgan segmentlardan iborat bo'lsa.

Yuqoridagi operatsiyalarni o'z vaqtida va samarali amalga oshirish ta'minlanmasa, virusga qarshi himoya qilish texnologiyasi korporativ tarmoq albatta buziladi, bu ertami-kechmi virusli infektsiyaga olib keladi. Masalan, foydalanuvchilar noto'g'ri sozlashlari mumkin avtomatik yangilash virusga qarshi ma'lumotlar bazasi yoki bunday yangilanish amalga oshirilayotganda kompyuterlaringizni o'chirib qo'ying. Natijada, avtomatik yangilash amalga oshirilmaydi va yangi viruslar bilan kasallanish xavfi mavjud.

Zamonaviy antivirus tizimlari quyidagi funktsiyalarni bajaradi: masofaviy boshqarish va nazorat qilish:

· virusga qarshi dasturlarni, shuningdek, virusga qarshi ma'lumotlar bazalarini o'rnatish va yangilash;

· antiviruslarni markazlashtirilgan masofadan o'rnatish va sozlash;

· korporativ tarmoqqa ulangan yangi ish stantsiyalarini avtomatik aniqlash, keyin esa avtomatik o'rnatish ushbu virusga qarshi dastur stantsiyalariga;

· tarmoqdagi istalgan kompyuterlarda zudlik bilan yoki kechiktirilgan ishga tushirish uchun vazifalarni rejalashtirish (dasturlarni yangilash, virusga qarshi ma'lumotlar bazasini, fayllarni skanerlash va h.k.);

· ish stantsiyalari va tarmoq serverlarida virusga qarshi ishlash jarayonini real vaqt rejimida ko'rsatish.

Yuqoridagi barcha funktsiyalar yoki ularning aksariyati Sophos (http://www.sophos.com), Symantec (http://www.symante s.ru) tomonidan yaratilgan etakchi korporativ antivirus mahsulotlarining tarmoq boshqaruv markazlarida amalga oshiriladi. , Network Associates ( http://www.nai.com) va Kasperskiy laboratoriyasi.

Tarmoqni boshqarish markazlari butun tarmoqni virusga qarshi himoya qilishni bitta tizim ma'muri ish stantsiyasidan boshqarishga imkon beradi. Shu bilan birga, antiviruslarni o'rnatish jarayonini tezlashtirish uchun masofaviy tarmoqlar sekin aloqa kanallari orqali asosiy tarmoqqa ulangan bu tarmoqlar o'zlarining mahalliy tarqatish kataloglarini yaratadilar.

Mijoz-server arxitekturasidan foydalanganda tarmoqni boshqarish markazining asosini korporativ tarmoqdagi serverlardan birida o'rnatilgan virusga qarshi server tashkil etadi. U bilan, bir tomondan, tarmoq ish stantsiyalarida antivirus dasturlari bilan birga o'rnatilgan agent dasturlari, ikkinchi tomondan, antivirusni himoya qilish administratorining boshqaruv konsoli (3-rasm) bilan o'zaro ta'sir qiladi.

Guruch. 3. Administrator konsoli, agentlar va virusga qarshi server o'rtasidagi o'zaro aloqa

Antivirus serveri nazorat va muvofiqlashtirish amallarini bajaradi. U virusga qarshi himoya bilan bog'liq va tarmoqdagi barcha kompyuterlarda sodir bo'ladigan voqealarning umumiy jurnalini, vazifalar ro'yxatini va jadvalini saqlaydi. Antivirus serveri agentlardan xabarlarni qabul qilish va tarmoqda ma'lum hodisalar ro'y berganligi to'g'risida virusga qarshi himoya ma'muriga yuborish, yangi ish stansiyalari yoki antivirus konfiguratsiyasi o'zgargan ish stantsiyalarini aniqlash uchun vaqti-vaqti bilan tarmoq konfiguratsiyasini tekshirish uchun javobgardir. -virus vositalari va boshqalar.

Agentlarga qo'shimcha ravishda korporativ tarmoqdagi har bir ish stantsiyasi va serveriga antivirus o'rnatilgan bo'lib, u fayllarni skanerlaydi va fayllar ochilganda tekshiradi (skaner va virusga qarshi monitor funktsiyalari). Antivirus operatsiyasining natijalari agentlar orqali antivirus serveriga uzatiladi, u ularni tahlil qiladi va voqealar jurnalida qayd etadi.

Boshqaruv konsoli oynali interfeysga ega standart Microsoft Windows ilovasi yoki Microsoft Windows operatsion tizimining Boshqaruv paneli boshqaruv konsolining appleti (qo‘shimchasi) bo‘lishi mumkin. Birinchi yondashuv, masalan, Sophos antivirus boshqaruv tizimida, ikkinchisi esa Norton AntiVirus boshqaruv tizimida amalga oshiriladi.

Boshqaruv konsolining foydalanuvchi interfeysi korporativ tarmoqning daraxt tuzilishini ko'rish imkonini beradi, agar kerak bo'lsa, ma'lum foydalanuvchilar guruhlari yoki domenlarining alohida kompyuterlariga kirish huquqiga ega.

Veb-interfeysga ega ko'p darajali tizimlar

Veb-interfeysga ega bo'lgan ko'p darajali tizimlar arxitekturasi tizimning yadrosi sifatida Web-serverdan foydalanishni o'z ichiga oladi. Ushbu yadroning vazifasi, bir tomondan, foydalanuvchi bilan, ikkinchi tomondan, ma'lum bir tizimning dasturiy modullari bilan interaktiv aloqani tashkil qilishdir.

Ushbu yondashuvning afzalliklari boshqaruv usullarini birlashtirishdir turli tizimlar tarmoq, shuningdek, ma'murning ish stantsiyasida biron bir boshqaruv dasturlari yoki konsollarini o'rnatish zarurati bo'lmaganda. Ma'muriyat tarmoqdagi istalgan kompyuterdan va agar tarmoq Internetga ulangan bo'lsa, u holda dunyoning istalgan nuqtasidan Internet va brauzerli kompyuterdan amalga oshirilishi mumkin.

Boshqaruv ma'lumotlarini Internet yoki korporativ intranet orqali uzatishda himoya qilish uchun SSH protokollari yoki boshqa shunga o'xshash vositalar qo'llaniladi (masalan, HTTP protokolining xususiy xavfsiz modifikatsiyalari).

Shaklda. Biz 4-5 ko'rsatdik blok diagrammasi veb-interfeysga ega virusga qarshi himoya tizimlari Trend Viruslarni boshqarish tizimi. Ushbu tizim tarmoqning alohida qismlari turli mamlakatlarda yoki turli qit'alarda joylashgan bo'lsa ham, bitta ish stantsiyasidan brauzer orqali korporativ virusga qarshi himoya tizimining ishlashini to'liq boshqarish va nazorat qilish imkonini beradi.

Guruch. 4. Web interfeysli virusga qarshi tizim

Ushbu sxema rasmda ko'rsatilgan sxemaga o'xshaydi. 4-1, ammo antivirus ma'muri o'z ishini konsol ilovasi orqali emas, balki brauzer orqali boshqaradi.

Ish stantsiyalarida antivirus o'rnatilgan (PC-cillin, Server Protect, InterScan VirusWall, ScanMail va boshqalar). Ushbu antivirus agent orqali antivirus serveri tomonidan boshqariladi.

Microsoft IIS veb-serveri virusga qarshi server rolini o'ynaydigan kompyuterga o'rnatilgan. Ushbu serverda ishlaydigan maxsus veb-ilova antivirus serverini boshqaradi. Shuningdek, u ma'murga antivirusdan himoya qilish tizimini boshqarish uchun foydalanuvchi interfeysini taqdim etadi.

Kompyuter platformalaridan maksimal darajada mustaqillikni ta'minlash uchun Trend VCS Server va mijoz ilovasi Java dasturlash tilida va Internet ilovalarini ishlab chiqishda foydalaniladigan boshqa tillarda yozilgan.

Korporativ virusga qarshi himoya tizimida sodir bo'lgan hodisalar to'g'risidagi bildirishnomalarga kelsak, ular agent dasturlari tomonidan Trend VCS Serverga uzatiladi va orqali yuboriladi. elektron pochta, peyjing tarmoqlari orqali, SMS tizimlari orqali va hokazo.

Himoya qilishning ma'muriy va texnologik usullari

Antivirus dasturlari o'z vazifalarini samarali bajarishlari uchun hujjatlarda tasvirlangan ulardan foydalanish bo'yicha tavsiyalarga qat'iy rioya qilish kerak. Virus ma'lumotlar bazalarini muntazam yangilab turish zarurligiga alohida e'tibor qaratish lozim va dasturiy ta'minot komponentlari antiviruslar. Zamonaviy antiviruslar yangilanish fayllarini Internet orqali yoki orqali yuklab olishlari mumkin mahalliy tarmoq. Biroq, buning uchun ular mos ravishda sozlanishi kerak.

Biroq, antivirus dasturlarini ishlatmasdan ham, siz viruslarning kompyuteringizga kirishiga yo'l qo'ymaslikka urinib ko'rishingiz va ular yuqtirgan taqdirda etkazadigan zararni kamaytirishingiz mumkin. Avval nima qilishingiz kerak:

· virus kirib borishining mumkin bo'lgan kanallarini bloklash: kerak bo'lmasa, kompyuterni Internetga va kompaniyaning mahalliy tarmog'iga ulamang, qurilmalarni uzing. tashqi xotira floppi disklar va CD-ROM qurilmalari kabi;

BIOS o'zgarmas xotirasi tarkibidagi dasturiy ta'minotni o'zgartirishni oldini olish;

· unga antiviruslar va boshqa dasturlarni yozib oladigan tizim yuklash floppi yaratish tizim yordamchi dasturlari disk bilan ishlash uchun, shuningdek, Microsoft Windows favqulodda qutqaruv diski;

· kompyuterda yozib olingan barcha dasturlar va hujjat fayllarini, shuningdek, virusga qarshi dasturlarning oxirgi versiyalaridan foydalangan holda floppi disklarni skanerlash;

· dasturiy ta'minotni faqat litsenziyalangan kompakt disklardan o'rnatish;

· barcha floppi disklarga yozishdan himoya qilishni o'rnatish va faqat kerak bo'lganda uni olib tashlash;

· dasturlar va floppi disklar almashinuvini cheklash;

muntazam ravishda bajaring zaxira ma'lumotlar;

· fayl-server kataloglariga minimal kirish huquqini o'rnatish, tarqatish to'plamlari kataloglarini va dastur fayllarini yozishdan himoya qilish;

· foydalanuvchilar uchun virusga qarshi himoya bo'yicha ko'rsatmalarni tuzing, unda antiviruslardan foydalanish qoidalari, fayllar va elektron pochta bilan ishlash qoidalari, shuningdek, viruslar aniqlanganda bajarilishi kerak bo'lgan harakatlar tavsiflanadi.

Uy kompyuteridagi muammo

Ko'pincha kompaniya xodimlari nafaqat ofisda, balki uyda ham ishlaydi, uy kompyuteri va ofis ish stantsiyasi o'rtasida fayllar almashadi. Kompaniyaning tizim ma'muri barcha xodimlarning uy kompyuterlarini viruslardan himoya qila olmaydi. Viruslar sizning uy kompyuteringizga Internetdan kirishi mumkin, shuningdek almashinuv natijasida o'yin dasturlari. Bu ko'pincha sodir bo'ladi, agar uy kompyuteri boshqa oila a'zolari va bolalari kirish huquqiga ega.

Xodimlar uydan ishga olib keladigan barcha fayllar potentsial xavfli deb hisoblanishi kerak. Muhim holatlarda bunday almashish butunlay taqiqlanishi yoki qattiq cheklanishi kerak. Potentsial xavfli "uy" fayllari antivirus dasturlari bilan ochilishdan oldin tekshirilishi kerak.

Shaxsiy xavfsizlik devorlarini o'rnatish

Internetga ulangan korporativ tarmoq xavfsizlik devori yordamida xakerlar tomonidan hujumlardan himoyalangan bo'lishi kerak. Biroq, bunga qo'shimcha ravishda, siz AtGuard kabi shaxsiy xavfsizlik devorlarini o'rnatish orqali ish stantsiyalari va tarmoq serverlarini qo'shimcha himoya qilishingiz mumkin (5-rasm).

Guruch. 5. AtGuard shaxsiy xavfsizlik devorini o'rnatish

Keraksiz trafikni filtrlashdan tashqari, ba'zi shaxsiy xavfsizlik devorlari kompyuteringizni Java troyan ilovalari va ActiveX boshqaruv vositalaridan himoya qilishi mumkin. Bunday komponentlar HTML elektron pochta xabarlariga va troyan veb-saytlari sahifalariga joylashtirilishi mumkin.

O'rganish rejimi deb nomlanuvchi shaxsiy xavfsizlik devorlari troyanlardan, mantiqiy bombalardan va boshqa kiruvchi zararli komponentlardan trafikni aniqlashga yordam beradi. Bunday komponent xakerning kompyuteri bilan aloqa o'rnatishga harakat qilganda, xavfsizlik devori ekranda ogohlantirish xabarini ko'rsatadi.

Shuni ta'kidlash kerakki, brauzer sozlamalarida siz Java ilovalari va ActiveX boshqaruvlari kabi faol komponentlardan foydalanish imkoniyatini ham o'chirib qo'yishingiz mumkin. Biroq, shaxsiy xavfsizlik devorlari universalroq bo'lib, har qanday dasturlar, masalan, elektron pochta mijozlari tomonidan bunday komponentlardan foydalanishni blokirovka qilishga imkon beradi.

Korporativ sektorda IT infratuzilmasining axborot xavfsizligini ta'minlashning eng keng tarqalgan chorasi virusga qarshi himoya hisoblanadi. Biroq, Kasperskiy laboratoriyasi B2B International tahliliy kompaniyasi bilan birgalikda o'tkazgan tadqiqotga ko'ra, Rossiya kompaniyalarining atigi 74 foizi himoya qilish uchun antivirus yechimlaridan foydalanadi (2013 yil kuzi).

Hisobotda, shuningdek, kompaniyalar oddiy antiviruslar bilan himoyalangan kibertahdidlarning keskin o'sishi fonida Rossiya biznesi murakkab himoya vositalaridan tobora ko'proq foydalana boshlagani ta'kidlangan. Ko'pincha shu sababli, olinadigan tashuvchilarda ma'lumotlarni shifrlash vositalaridan foydalanish 7% ga (24%) oshdi. Bundan tashqari, kompaniyalar olinadigan qurilmalar uchun xavfsizlik siyosatini farqlashga ko'proq tayyor bo'ldi. IT infratuzilmasining turli bo'limlariga kirish darajasining farqlanishi ham oshdi (49%). Shu bilan birga, kichik va o'rta biznes olinadigan qurilmalarni boshqarish (35%) va ilovalarni boshqarish (31%)ga ko'proq e'tibor beradi.

Tadqiqotchilar, shuningdek, doimiy ravishda yangi dasturiy ta'minot zaifliklari aniqlanishiga qaramay, Rossiya kompaniyalari muntazam yangilanishlarga hali ham etarlicha e'tibor bermayapti. dasturiy ta'minot. Bundan tashqari, yamoq bilan shug'ullanadigan tashkilotlar soni o'tgan yilga nisbatan atigi 59% gacha kamaygan.

Zamonaviy antivirus dasturlari dastur fayllari va hujjatlari ichidagi zararli ob'ektlarni samarali aniqlashi mumkin. Ba'zi hollarda antivirus zararli ob'ekt tanasini zararlangan fayldan olib tashlashi mumkin, faylning o'zini tiklaydi. Aksariyat hollarda antivirus nafaqat zararli dastur ob'ektini o'chirishga qodir dastur fayli, balki ofis hujjat faylidan, uning yaxlitligini buzmagan holda. Antivirus dasturlarini ishlatish yuqori malakani talab qilmaydi va deyarli har qanday kompyuter foydalanuvchisi uchun mavjud.

Aksariyat antivirus dasturlari real vaqt rejimida himoya (virusga qarshi monitor) va talab bo'yicha himoyani (virusga qarshi skaner) birlashtiradi.

Antivirus reytingi

2019: Android uchun antiviruslarning uchdan ikki qismi foydasiz bo'lib chiqdi

2019-yil mart oyida Avstriyaning antivirus dasturlarini sinovdan o‘tkazishga ixtisoslashgan AV-Comparatives laboratoriyasi Android uchun bunday dasturlarning aksariyati foydasizligini ko‘rsatgan tadqiqot natijalarini e’lon qildi.

Rasmiy Google Play Store katalogida joylashgan faqat 23 ta antivirus 100% hollarda zararli dasturlarni aniq aniqlaydi. Qolgan dasturiy ta'minot ham javob bermaydi mobil tahdidlar, yoki ular uchun mutlaqo xavfsiz ilovalarni qabul qiladi.

Mutaxassislar 250 ta antivirusni o‘rganishdi va ularning atigi 80 foizi zararli dasturlarning 30 foizdan ortig‘ini aniqlay olishini ma’lum qildi. Shunday qilib, 170 ta ariza testdan o‘ta olmadi. Sinovlardan o'tgan mahsulotlar asosan echimlarni o'z ichiga oladi yirik ishlab chiqaruvchilar, jumladan Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro va Trustwave.

Tajriba doirasida tadqiqotchilar har bir antivirus dasturini alohida qurilmaga (emulatorsiz) o‘rnatdilar va brauzerni ishga tushirish, yuklab olish va keyin zararli dasturlarni o‘rnatish uchun qurilmalarni avtomatlashtirdilar. Har bir qurilma 2018 yilda 2 mingta eng keng tarqalgan Android viruslariga qarshi sinovdan o'tkazildi.

AV-Comparatives kompaniyasining hisob-kitoblariga ko'ra, ko'pchilik Android antivirus yechimlari soxta. O'nlab ilovalar deyarli bir xil interfeysga ega va ularning yaratuvchilari ishlaydigan antivirus skanerini yozishdan ko'ra reklama ko'rsatishdan ko'proq manfaatdor.

Ba'zi antiviruslar o'zlarining "" tarkibiga kirmagan har qanday dasturda tahdidni "ko'radilar". Oq ro'yxat" Shu sababli, ular bir qator juda anekdotli holatlarda o'zlarining fayllari haqida signal berishdi, chunki ishlab chiquvchilar ularni "oq ro'yxat" da eslatishni unutishdi.

2017: Microsoft Security Essentials eng yomon antiviruslardan biri sifatida tan olingan

2017 yil oktyabr oyida nemis antivirus laboratoriyasi AV-Test keng qamrovli antivirus sinovlari natijalarini e'lon qildi. Tadqiqot natijalariga ko'ra, zararli harakatlardan himoya qilish uchun mo'ljallangan Microsoft kompaniyasining xususiy dasturiy ta'minoti o'z ishini bajarishda deyarli eng yomon hisoblanadi.

2017-yilning iyul-avgust oylarida o‘tkazilgan sinovlar natijalariga ko‘ra, AV-Test mutaxassislari eng yaxshi antivirus Windows 7 uchun Kasperskiy Internet Security yechimi, himoya darajasi, ishlash va foydalanish qulayligini baholashda 18 ball oldi.

Kuchli uchlikka har biri 17,5 balldan to‘plagan Trend Micro Internet Security va Bitdefender Internet Security kirdi. Tadqiqotga kiritilgan boshqa antivirus kompaniyalari mahsulotlarining holati haqida quyidagi rasmlardan bilib olishingiz mumkin:

Ko'pgina skanerlar evristik skanerlash algoritmlaridan ham foydalanadi, ya'ni. tekshirilayotgan ob'ektdagi buyruqlar ketma-ketligini tahlil qilish, ayrim statistik ma'lumotlarni yig'ish va har bir tekshirilayotgan ob'ekt bo'yicha qaror qabul qilish.

Skanerlarni ikkita toifaga bo'lish mumkin - universal va ixtisoslashgan. Universal skanerlar skaner qaysi operatsion tizimda ishlashidan qatʼi nazar, barcha turdagi viruslarni aniqlash va zararsizlantirish uchun moʻljallangan. Ixtisoslashgan skanerlar cheklangan miqdordagi viruslarni yoki viruslarning faqat bitta sinfini, masalan, makro viruslarni zararsizlantirish uchun mo'ljallangan.

Skanerlar, shuningdek, rezident (monitorlar) ga bo'linadi, ular o'z vaqtida skanerlanadi va norezident bo'lib, tizimni faqat so'rov bo'yicha skanerlaydi. Qoidaga ko'ra, rezident skanerlar tizimni yanada ishonchli himoya qiladi, chunki ular virus paydo bo'lishiga darhol javob beradi, norezident skaner esa virusni faqat keyingi ishga tushirish vaqtida aniqlay oladi.

CRC skanerlari

CRC skanerlarining ishlash printsipi diskda mavjud bo'lgan fayllar/tizim sektorlari uchun CRC summalarini (nazorat summalarini) hisoblashga asoslanadi. Ushbu CRC summalari keyin antivirus ma'lumotlar bazasida saqlanadi, shuningdek, ba'zi boshqa ma'lumotlar: fayl uzunligi, oxirgi o'zgartirish sanasi va boshqalar. Keyinchalik ishga tushirilganda, CRC skanerlari ma'lumotlar bazasidagi ma'lumotlarni haqiqiy hisoblangan qiymatlar bilan taqqoslaydi. Agar ma'lumotlar bazasida qayd etilgan fayl ma'lumotlari haqiqiy qiymatlarga mos kelmasa, CRC skanerlari fayl o'zgartirilgan yoki virus bilan zararlanganligini bildiradi.

CRC skanerlari virusni tizimda paydo bo'lgan paytda ushlay olmaydi, lekin buni virus kompyuter bo'ylab tarqalib ketganidan keyin biroz vaqt o'tgach amalga oshiring. CRC skanerlari virusni yangi fayllarda (elektron pochtada, floppi disklarda, zaxiradan tiklangan fayllarda yoki arxivdan fayllarni ochishda) aniqlay olmaydi, chunki ularning ma'lumotlar bazalarida bu fayllar haqida ma'lumot mavjud emas. Bundan tashqari, vaqti-vaqti bilan CRC skanerlarining ushbu zaifligidan foydalanadigan va faqat qayta yuqadigan viruslar paydo bo'ladi yaratilgan fayllar va shuning uchun ular uchun ko'rinmas qoladi.

Blokerlar

Antivirus blokerlari - bu virus xavfli vaziyatlarni to'xtatadigan va foydalanuvchini bu haqda xabardor qiladigan rezident dasturlar. Virus xavfli bo'lganlarga bajariladigan fayllarga yozish uchun ochish uchun qo'ng'iroqlar, disklarning yuklash sektorlariga yoki qattiq diskning MBRiga yozish, dasturlarning rezident bo'lib qolishga urinishlari va boshqalar, ya'ni ko'payish paytida viruslar uchun xos bo'lgan qo'ng'iroqlar kiradi.

Blokerlarning afzalliklari virusni ko'paytirishning eng erta bosqichida aniqlash va to'xtatish qobiliyatini o'z ichiga oladi. Kamchiliklari bloker himoyasini chetlab o'tish usullarining mavjudligi va ko'p sonli noto'g'ri pozitivlarni o'z ichiga oladi.

Immunizatorlar

Immunizatorlar ikki turga bo'linadi: infektsiya haqida xabar beruvchi va infektsiyani bloklaydigan immunizatorlar. Birinchilari odatda fayllarning oxiriga yoziladi (fayl virusi printsipi asosida) va har safar fayl ishga tushirilganda ular o'zgarishlarni tekshiradilar. Bunday immunizatorlar faqat bitta kamchilikka ega, ammo bu o'limga olib keladi: yashirin virus bilan infektsiya haqida xabar berishning mutlaqo mumkin emasligi. Shuning uchun, blokerlar kabi immunizatorlar hozirda deyarli qo'llanilmaydi.

Ikkinchi turdagi immunizatsiya tizimni virusning ma'lum bir turi bilan infektsiyadan himoya qiladi. Disklardagi fayllar virus ularni allaqachon zararlangan deb qabul qiladigan tarzda o'zgartiriladi. Rezident virusdan himoya qilish uchun kompyuter xotirasiga virus nusxasini simulyatsiya qiluvchi dastur kiritiladi. Ishga tushganda, virus unga duch keladi va tizim allaqachon yuqtirilgan deb hisoblaydi.

Ushbu turdagi immunizatsiya universal bo'lishi mumkin emas, chunki fayllarni barcha ma'lum viruslarga qarshi immunizatsiya qilish mumkin emas.

Vaqt bo'yicha o'zgaruvchanlikka asoslangan antiviruslarning tasnifi

Valeriy Konyavskiyning so'zlariga ko'ra, antivirus vositalarini ikkita katta guruhga bo'lish mumkin - ma'lumotlarni tahlil qiladiganlar va jarayonlarni tahlil qiladiganlar.

Ma'lumotlarni tahlil qilish

Ma'lumotlarni tahlil qilish auditorlar va polifaglarni o'z ichiga oladi. Auditorlar kompyuter viruslari va boshqa zararli dasturlarning oqibatlarini tahlil qiladilar. Natijalar o'zgartirilmasligi kerak bo'lgan ma'lumotlarning o'zgarishiga olib keladi. Aynan ma'lumotlarning o'zgarishi auditor nuqtai nazaridan zararli dasturlarning faolligi belgisidir. Boshqacha qilib aytganda, auditorlar ma'lumotlarning yaxlitligini nazorat qiladi va yaxlitlikning buzilishi faktiga asoslanib, kompyuter muhitida zararli dasturlarning mavjudligi to'g'risida qaror qabul qiladi.

Polifaglar boshqacha harakat qiladi. Ma'lumotlarni tahlil qilish asosida ular zararli kodning bo'laklarini (masalan, imzosi bo'yicha) aniqlaydilar va shu asosda zararli dasturlarning mavjudligi haqida xulosa chiqaradilar. Virus bilan zararlangan ma'lumotlarni olib tashlash yoki davolash zararli dasturlarni bajarishning salbiy oqibatlarini oldini olishga imkon beradi. Shunday qilib, statik tahlil asosida dinamikada yuzaga keladigan oqibatlarning oldi olinadi.

Auditorlar va polifaglarning ish sxemasi deyarli bir xil - ma'lumotlarni (yoki ularning nazorat summasini) bir yoki bir nechta mos yozuvlar namunalari bilan solishtiring. Ma'lumotlar ma'lumotlar bilan taqqoslanadi. Shunday qilib, kompyuteringizda virusni topish uchun uning faoliyati oqibatlari paydo bo'lishi uchun u allaqachon ishlagan bo'lishi kerak. Bu usul faqat kod bo'laklari yoki imzolari oldindan tasvirlangan ma'lum viruslarni topishi mumkin. Bunday himoyani ishonchli deb atash qiyin.

Jarayon tahlili

Jarayon tahliliga asoslangan antivirus vositalari biroz boshqacha ishlaydi. Evristik analizatorlar, yuqorida tavsiflanganlar kabi ma'lumotlarni tahlil qiladi (diskda, kanalda, xotirada va hokazo). Asosiy farq shundaki, tahlil tahlil qilinayotgan kod ma'lumotlar emas, balki buyruqlar (fon Neyman arxitekturasiga ega kompyuterlarda ma'lumotlar va buyruqlarni ajratib bo'lmaydi, shuning uchun tahlil paytida u yoki boshqasini qilish kerak) degan taxmin ostida amalga oshiriladi. taxmin.)

Evristik analizator operatsiyalar ketma-ketligini aniqlaydi, ularning har biriga ma'lum xavf darajasini belgilaydi va xavfning umumiyligidan kelib chiqib, ushbu operatsiyalar ketma-ketligi zararli kodning bir qismi ekanligi to'g'risida qaror qabul qiladi. Kodning o'zi bajarilmaydi.

Jarayonni tahlil qilishga asoslangan antivirus vositalarining yana bir turi xulq-atvor blokerlaridir. Bunday holda, shubhali kod kod tomonidan boshlangan harakatlar to'plami xavfli (yoki xavfsiz) xatti-harakatlar sifatida baholanmaguncha bosqichma-bosqich bajariladi. Bunday holda, kod qisman bajariladi, chunki zararli kodning tugallanishi keyinroq aniqlanishi mumkin. oddiy usullar ma'lumotlarni tahlil qilish.

Viruslarni aniqlash texnologiyalari

Antiviruslarda qo'llaniladigan texnologiyalarni ikki guruhga bo'lish mumkin:

• Imzolarni tahlil qilish texnologiyalari
• Ehtimoliy tahlil texnologiyalari

Imzolarni tahlil qilish texnologiyalari

Imzolarni tahlil qilish - bu fayllarda virus imzolari mavjudligini tekshirishni o'z ichiga olgan viruslarni aniqlash usuli. Imzo tahlili viruslarni aniqlashning eng mashhur usuli bo'lib, deyarli barcha zamonaviy antiviruslarda qo'llaniladi. Tekshirishni amalga oshirish uchun antivirus virusga qarshi ma'lumotlar bazasida saqlanadigan virus imzolari to'plamini talab qiladi.

Imzolarni tahlil qilish fayllarda virus imzolari mavjudligini tekshirishni o'z ichiga olganligi sababli, antivirusni yangilab turish uchun antivirus ma'lumotlar bazasini vaqti-vaqti bilan yangilab turish kerak. Imzo tahlilining ishlash printsipi uning funksional chegaralarini ham belgilaydi - faqat allaqachon ma'lum bo'lgan viruslarni aniqlash qobiliyati - imzo skaneri yangi viruslarga qarshi kuchsizdir.

Boshqa tomondan, virus imzolarining mavjudligi imzo tahlili yordamida aniqlangan virusli fayllarni davolash imkoniyatini ko'rsatadi. Biroq, barcha viruslarni davolash mumkin emas - troyanlar va ko'pchilik qurtlarni ular tufayli davolash mumkin emas dizayn xususiyatlari, chunki ular zarar etkazish uchun mo'ljallangan mustahkam modullardir.

Virus imzosini to'g'ri amalga oshirish sizga ma'lum viruslarni yuz foizlik ehtimollik bilan aniqlash imkonini beradi.

Ehtimoliy tahlil texnologiyalari

Ehtimoliy tahlil texnologiyalari, o'z navbatida, uch toifaga bo'linadi:

• Evristik tahlil
• Xulq-atvor tahlili
• Tekshirish summasini tahlil qilish

Evristik tahlil

Evristik tahlil - bu ehtimolli algoritmlarga asoslangan texnologiya bo'lib, uning natijasi shubhali ob'ektlarni aniqlashdir. Evristik tahlil jarayonida fayl tuzilishi va uning virus naqshlariga muvofiqligi tekshiriladi. Eng mashhur evristik texnologiya allaqachon ma'lum bo'lgan virus imzolari va ularning kombinatsiyalarini o'zgartirish uchun fayl tarkibini tekshirishdir. Bu antivirus ma'lumotlar bazasini qo'shimcha yangilamasdan oldin ma'lum bo'lgan viruslarning gibridlari va yangi versiyalarini aniqlashga yordam beradi.

Evristik tahlil noma'lum viruslarni aniqlash uchun ishlatiladi va natijada davolanishni o'z ichiga olmaydi. Bu texnologiya virusning oldida yoki yo'qligini 100% aniqlay olmaydi va har qanday ehtimollik algoritmi kabi u noto'g'ri musbatlardan aziyat chekadi.

Xulq-atvor tahlili

Xulq-atvor tahlili - bu texnologiya bo'lib, unda tekshirilayotgan ob'ektning tabiati to'g'risida qaror u bajaradigan operatsiyalar tahlili asosida qabul qilinadi. Xulq-atvor tahlili amalda juda tor doirada qo'llaniladi, chunki viruslarga xos bo'lgan harakatlarning aksariyati oddiy ilovalar tomonidan amalga oshirilishi mumkin. Eng mashhurlari skriptlar va makrolarning xatti-harakatlar analizatorlaridir, chunki tegishli viruslar deyarli har doim bir qator shunga o'xshash harakatlarni amalga oshiradi.

BIOS-ga o'rnatilgan xavfsizlik choralari ham xatti-harakatlar analizatorlari sifatida tasniflanishi mumkin. Kompyuterning MBR-ga o'zgartirishlar kiritmoqchi bo'lganingizda, analizator harakatni bloklaydi va foydalanuvchiga tegishli bildirishnomani ko'rsatadi.

Bundan tashqari, xatti-harakatlar analizatorlari fayllarga to'g'ridan-to'g'ri kirishga urinishlarni, floppi disklarning yuklash yozuvidagi o'zgarishlarni, qattiq disklarni formatlashni va hokazolarni kuzatishi mumkin.

Xulq-atvor analizatorlari ishlash uchun virus ma'lumotlar bazalariga o'xshash qo'shimcha ob'ektlardan foydalanmaydi va natijada ma'lum va noma'lum viruslarni ajrata olmaydi - barcha shubhali dasturlar apriori noma'lum viruslar hisoblanadi. Xuddi shunday, xulq-atvorni tahlil qilish texnologiyalarini amalga oshiradigan vositalarning ishlash xususiyatlari davolashni nazarda tutmaydi.

Tekshirish summasini tahlil qilish

Tekshirish summasini tahlil qilish - bu kompyuter tizimi ob'ektlaridagi o'zgarishlarni kuzatish usuli. O'zgarishlarning tabiatini tahlil qilish - bir vaqtning o'zida, ommaviy paydo bo'lish, fayl uzunligidagi bir xil o'zgarishlar - tizim infektsiyalangan degan xulosaga kelishimiz mumkin. Tekshirish summasi analizatorlari (o'zgarishlar auditorlari deb ham ataladi), xatti-harakatlar analizatorlari kabi, o'z ishlarida qo'shimcha ob'ektlardan foydalanmaydilar va tizimda virus mavjudligi to'g'risida faqat ekspert baholash usuli bilan hukm chiqaradilar. Shunga o'xshash texnologiyalar kirish skanerlarida qo'llaniladi - birinchi skanerlashda nazorat summasi fayldan olib tashlanadi va keshga joylashtiriladi; xuddi shu faylni keyingi skanerlashdan oldin nazorat summasi yana olib tashlanadi, taqqoslanadi va agar mavjud bo'lmasa o'zgartirilsa, fayl zararlanmagan deb hisoblanadi.

Antivirus komplekslari

Antivirus kompleksi - bir xil antivirus yadrosi yoki yadrosidan foydalanadigan, antivirus xavfsizligini ta'minlashda amaliy muammolarni hal qilish uchun mo'ljallangan antiviruslar to'plami. kompyuter tizimlari. Antivirus majmuasi, albatta, antivirus ma'lumotlar bazalarini yangilash vositalarini o'z ichiga oladi.

Bundan tashqari, virusga qarshi kompleks qo'shimcha ravishda xulq-atvor analizatorlarini va antivirus yadrosidan foydalanmaydigan auditorlarni o'zgartirishi mumkin.

Antivirus komplekslarining quyidagi turlari ajratiladi:

• Ish stantsiyalarini himoya qilish uchun antivirus kompleksi
• Fayl serverlarini himoya qilish uchun antivirus kompleksi
• Pochta tizimlarini himoya qilish uchun antivirus kompleksi
• Shlyuzlarni himoya qilish uchun antivirus kompleksi.

Bulutli va an'anaviy ish stoli antivirusi: nimani tanlash kerak?

(Webroot.com materiallari asosida)

Antivirus mahsulotlarining zamonaviy bozori birinchi navbatda ish stoli tizimlari uchun an'anaviy echimlardan iborat bo'lib, ularning himoya mexanizmlari imzo usullari asosida qurilgan. Alternativ usul virusga qarshi himoya - evristik tahlildan foydalanish.

An'anaviy antivirus dasturlari bilan bog'liq muammolar

So'nggi paytlarda an'anaviy antivirus texnologiyalari kamroq va kamroq samarali bo'lib qoldi va tezda eskirib bormoqda, bu bir qator omillar bilan bog'liq. Imzolar tomonidan tan olingan virus tahdidlarining soni shu qadar ko'pki, foydalanuvchi kompyuterlarida imzo ma'lumotlar bazalarini o'z vaqtida 100% yangilashni ta'minlash ko'pincha haqiqiy bo'lmagan vazifadir. Xakerlar va kiberjinoyatchilar botnetlar va nol kunlik virus tahdidlarining tarqalishini tezlashtiradigan boshqa texnologiyalardan tobora ko'proq foydalanmoqda. Bundan tashqari, maqsadli hujumlar amalga oshirilganda, tegishli viruslarning imzolari yaratilmaydi. Va nihoyat, antivirusni aniqlashga qarshi yangi texnologiyalar qo'llaniladi: zararli dasturlarni shifrlash, server tomonida polimorf viruslarni yaratish, virus hujumi sifatini dastlabki sinovdan o'tkazish.

An'anaviy antivirus himoyasi ko'pincha "qalin mijoz" arxitekturasida qurilgan. Bu volumetrik degan ma'noni anglatadi dastur kodi. Uning yordami bilan kiruvchi ma'lumotlar skanerdan o'tkaziladi va virus tahdidlarining mavjudligi aniqlanadi.

Ushbu yondashuv bir qator kamchiliklarga ega. Birinchidan, zararli dasturlarni skanerlash va imzolarni solishtirish katta hisoblash yukini talab qiladi, bu esa foydalanuvchidan uzoqlashadi. Natijada, kompyuter unumdorligi pasayadi va antivirusning ishlashi ba'zan parallel dastur vazifalariga xalaqit beradi. Ba'zida foydalanuvchi tizimidagi yuk shunchalik sezilarli bo'ladiki, foydalanuvchilar antivirus dasturlarini o'chirib qo'yishadi va shu bilan potentsial virus hujumi uchun to'siqni olib tashlashadi.

Ikkinchidan, foydalanuvchi mashinasidagi har bir yangilanish minglab yangi imzolarni yuborishni talab qiladi. O'tkazilgan ma'lumotlar miqdori odatda har bir mashina uchun kuniga 5 MB ni tashkil qiladi. Ma'lumotlarni uzatish tarmoqni sekinlashtiradi, qo'shimcha tizim resurslarini sarflaydi va ularning ishtirokini talab qiladi tizim ma'murlari trafikni nazorat qilish uchun.

Uchinchidan, roumingda yoki belgilangan ish joyidan uzoqda joylashgan foydalanuvchilar nol kunlik hujumlarga qarshi himoyasiz. Imzolarning yangilangan qismini olish uchun ular masofadan kirish imkoni bo'lmagan VPN tarmog'iga ulanishi kerak.

Bulutdan antivirus himoyasi

Bulutdan antivirus himoyasiga o'tishda yechimning arxitekturasi sezilarli darajada o'zgaradi. Foydalanuvchining kompyuteriga "engil" mijoz o'rnatilgan bo'lib, uning asosiy vazifasi yangi fayllarni qidirish, xesh qiymatlarini hisoblash va ma'lumotlarni yuborishdir. bulutli server. Bulutda to'plangan imzolarning katta ma'lumotlar bazasida to'liq miqyosli taqqoslash amalga oshiriladi. Ushbu ma'lumotlar bazasi antivirus kompaniyalari tomonidan uzatiladigan ma'lumotlardan foydalangan holda doimiy va o'z vaqtida yangilanadi. Mijoz tekshiruv natijalari bilan hisobot oladi.

Shunday qilib, antivirus himoyasining bulutli arxitekturasi bir qator afzalliklarga ega:

• foydalanuvchi kompyuteridagi hisoblash miqdori qalin mijozga nisbatan ahamiyatsiz bo'lib chiqadi, shuning uchun foydalanuvchining unumdorligi pasaymaydi;
• virusga qarshi trafikning halokatli ta'siri yo'q o'tkazish qobiliyati tarmoqlar: bir necha o'nlab xesh qiymatlarini o'z ichiga olgan, o'rtacha o'lchamdagi ixcham ma'lumotlar yuborilishi kerak. kunduzgi tirbandlik 120 KB dan oshmaydi;
• bulutli saqlash foydalanuvchi kompyuterlarida saqlanganidan ancha katta imzolarning ulkan massivlarini o'z ichiga oladi;
• bulutda qo'llaniladigan imzolarni taqqoslash algoritmlari mahalliy stansiyalar darajasida qo'llaniladigan soddalashtirilgan modellarga nisbatan sezilarli darajada aqlliroq va yuqori ko'rsatkichlar tufayli ma'lumotlarni taqqoslash kamroq vaqt talab etadi;
• bulutli antivirus xizmatlari antivirus laboratoriyalari, xavfsizlikni ishlab chiquvchilar, korporativ va xususiy foydalanuvchilardan olingan haqiqiy ma'lumotlar bilan ishlaydi; Nolinchi kunlik tahdidlar ularni tanib olish bilan bir vaqtda, foydalanuvchi kompyuterlariga kirish zarurati tufayli kechikishlarsiz bloklanadi;
• roumingda yoki asosiy ish stantsiyalariga kirish imkoni bo'lmagan foydalanuvchilar Internetga kirish bilan bir vaqtda nol kunlik hujumlardan himoyalanishadi;
• Tizim ma'murlarining ish yuki kamayadi: ular foydalanuvchi kompyuterlarida virusga qarshi dasturlarni o'rnatish, shuningdek, imzo ma'lumotlar bazalarini yangilash uchun vaqt sarflashlari shart emas.

Nima uchun an'anaviy antiviruslar muvaffaqiyatsizlikka uchraydi

Zamonaviy zararli kod Balki:

• Kompaniya uchun maxsus maqsadli virus yaratish orqali antivirus tuzoqlarini chetlab o'ting
• Antivirus imzo yaratishdan oldin, u polimorfizm, transkodlash, dinamik DNS va URL manzillaridan foydalanishdan qochadi.

• Kompaniya uchun maqsadli yaratish
• Polimorfizm
• Kod hali hech kimga noma'lum - imzo yo'q

Himoya qilish qiyin

Tez antiviruslar 2011

Rossiyaning Anti-Malware.ru mustaqil axborot-tahlil markazi 2011 yil may oyida navbatdagi natijalarini e'lon qildi. qiyosiy test Ishlash va tizim resurslarini sarflashga asoslangan 20 ta eng mashhur antiviruslar.

Maqsad bu test- qaysi shaxsiy antiviruslar foydalanuvchining kompyuterdagi odatiy operatsiyalariga eng kam ta'sir qilishini ko'rsating, uning ishlashini kamroq sekinlashtiradi va tizim resurslarini minimal miqdorda iste'mol qiladi.

Antivirus monitorlari (real vaqtda skanerlar) orasida mahsulotlarning butun guruhi juda yuqori ish tezligini namoyish etdi, jumladan: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro va Dr.Web. Bortda ushbu antiviruslar bilan testlar to'plamini nusxalashning sekinlashishi standartga nisbatan 20% dan kamroq edi. BitDefender, PC Tools, Outpost, F-Secure, Norton va Emsisoft antivirus monitorlari ham 30-50% oralig'ida tushib, yuqori ishlash natijalarini ko'rsatdi. BitDefender, PC Tools, Outpost, F-Secure, Norton va Emsisoft antivirus monitorlari ham 30-50% oralig'ida tushib, yuqori ishlash natijalarini ko'rsatdi.

Shu bilan birga, Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost va PC Tools real sharoitlarda keyingi tekshiruvlarni optimallashtirish tufayli ancha tezroq bo'lishi mumkin.

Avira antivirusi talab bo'yicha eng yaxshi skanerlash tezligini ko'rsatdi. U Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus va Outpost-dan biroz pastroq edi. Birinchi skanerlash tezligi bo'yicha ushbu antiviruslar etakchidan bir oz pastroq, shu bilan birga ularning barchasi o'zlarining arsenalida takroriy skanerlashni optimallashtirish uchun kuchli texnologiyalarga ega.

Antivirus tezligining yana bir muhim xususiyati uning foydalanuvchi tez-tez ishlaydigan amaliy dasturlarning ishlashiga ta'siridir. Sinov uchun besh kishi tanlab olindi: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader va Adobe Photoshop. Bularni ishga tushirishda eng kam sekinlashuv ofis dasturlari ko'rsatdi Eset antiviruslari, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost va G Data.

Antivirus monitorlar

Bundan tashqari, kompyuter xotirasida doimiy ravishda joylashgan va boshqa dasturlar tomonidan amalga oshirilgan barcha shubhali harakatlarni kuzatuvchi virusga qarshi dasturlarning butun sinfi mavjud. Bunday dasturlar antivirus monitorlari yoki qo'riqchilar deb ataladi.

Monitor avtomatik ravishda barcha ishga tushirilgan dasturlarni, yaratilgan, ochilgan va saqlangan hujjatlarni, Internet orqali qabul qilingan yoki floppi yoki kompakt diskdan qattiq diskka ko'chirilgan dastur va hujjat fayllarini tekshiradi. Agar biron bir dastur potentsial xavfli harakatni amalga oshirishga harakat qilsa, antivirus monitori foydalanuvchini xabardor qiladi.

Igor Danilov (http: // www.drweb.ru) tomonidan ishlab chiqilgan eng ilg'or Doctor Web skanerlaridan birining to'plami antivirus monitori funktsiyalarini bajaradigan Spider Guard qo'riqchisini o'z ichiga oladi.

Aniqlashni o'zgartirish

Virus kompyuterga zarar etkazganda, u qattiq disk tarkibini o'zgartiradi, masalan, dastur yoki hujjat fayliga o'z kodini qo'shadi yoki AUTOEXEC fayliga virus dasturiga qo'ng'iroqni qo'shadi. BAT, yuklash sektorini o'zgartiradi, sun'iy yo'ldosh faylini yaratadi. Biroq, bunday o'zgarishlar diskda emas, balki OS jarayonlari xotirasida yashovchi "inkorporeal" viruslar tomonidan amalga oshirilmaydi.

Disk auditorlari deb ataladigan antivirus dasturlari viruslarni imzo bilan tekshirmaydi. Ular birinchi navbatda diskning virus tomonidan hujumga uchragan barcha sohalarining xususiyatlarini eslab qolishadi va keyin ularni vaqti-vaqti bilan tekshiradilar (shuning uchun audit dasturining nomi). Tekshiruvchi ma'lum yoki noma'lum virus tomonidan kiritilgan o'zgarishlarni topishi mumkin.

Disk inspektorlariga misol sifatida DialogNauka YoAJda ishlab chiqilgan Advanced Diskinfoscope (ADinf) dasturi (http: // www. dials.ru, http: // www. adinf. ru) va Kasperskiy laboratoriyasi YoAJ tomonidan ishlab chiqarilgan AVP inspektor auditori (http). ://www.kaspersky.ru).

ADinf bilan birgalikda ADinf Cure Module (ADinfExt) shifo moduli qo'llaniladi, u noma'lum viruslar tomonidan infektsiyalanganidan keyin ularni qayta tiklash uchun fayllar haqida oldindan to'plangan ma'lumotlardan foydalanadi. AVP Inspector shuningdek, viruslarni olib tashlaydigan shifo modulini o'z ichiga oladi.

Kompyuterning BIOS-ga o'rnatilgan himoya

Eng oddiy antivirus himoya vositalari ham kompyuterning anakartlariga o'rnatilgan. Ushbu vositalar qattiq disklarning asosiy yuklash yozuviga, shuningdek, disklar va floppi disklarning yuklash sektorlariga barcha kirishni kuzatish imkonini beradi. Agar biron bir dastur yuklash sektorlari tarkibini o'zgartirishga harakat qilsa, himoya ishga tushadi va foydalanuvchi tegishli ogohlantirish oladi.

Biroq, bu himoya juda ishonchli emas. Kompyuterning doimiy xotirasidagi (CMOS xotirasi) ba'zi katakchalarni o'zgartirib, BIOS antivirus nazoratini o'chirishga harakat qiladigan viruslar (masalan, Tchechen. 1912 va 1914) mavjud.

4.3 Monitorlar

Antivirus monitorlari - bu virusli xavfli vaziyatlarni ushlab turadigan va foydalanuvchini bu haqda xabardor qiladigan rezident dasturlar. Virus xavfli bo'lganlarga bajariladigan fayllarga yozish uchun ochish uchun qo'ng'iroqlar, disklarning yuklash sektorlariga yoki qattiq diskning MBRiga yozish, dasturlarning rezident bo'lib qolishga urinishlari, ya'ni. ularning ko'payishi paytida viruslar uchun xos bo'lgan qiyinchiliklar.

Monitorlarning afzalliklari virusni ko'paytirishning dastlabki bosqichida aniqlash va blokirovka qilish qobiliyatini o'z ichiga oladi. Kamchiliklar orasida monitor himoyasini chetlab o'tish yo'llari va ko'p sonli noto'g'ri pozitivlar mavjud bo'lib, bu, aftidan, foydalanuvchilar tomonidan ushbu turdagi virusga qarshi dasturlardan deyarli butunlay voz kechishiga sabab bo'lgan.

Bundan tashqari, virusga qarshi vositalarning kompyuter apparat komponentlari ko'rinishida yaratilgan antivirus monitorlari kabi yo'nalishini ham ta'kidlash kerak. Biroq, dastur monitorlarida bo'lgani kabi, bunday himoyani chetlab o'tish oson. Bundan tashqari, yuqoridagi kamchiliklarga standart kompyuter konfiguratsiyasi bilan moslik muammolari va ularni o'rnatish va sozlashdagi qiyinchiliklar qo'shiladi. Bularning barchasi boshqa antivirus himoyasi turlariga nisbatan apparat monitorlarini juda mashhur qilmaydi.

4.4 Immunizatorlar

Immunizatorlar ikki turga bo'linadi: infektsiya haqida xabar beruvchi va infektsiyani bloklaydigan immunizatorlar.

Birinchilari odatda fayllarning oxiriga yoziladi va har safar fayl ishga tushirilganda ular o'zgarishlarni tekshiradilar. Bunday immunizatorlar faqat bitta kamchilikka ega, ammo bu o'limga olib keladi: "yashirin" virus bilan infektsiya haqida xabar berishning mutlaqo mumkin emasligi. Shu sababli, monitorlar kabi immunizatorlar hozirda deyarli qo'llanilmaydi.

Ikkinchi turdagi immunizatsiya tizimni qandaydir virus infektsiyasidan himoya qiladi. ma'lum bir tur. Disklardagi fayllar virus ularni allaqachon zararlangan deb qabul qiladigan tarzda o'zgartiriladi.

Rezident virusdan himoya qilish uchun kompyuter xotirasiga virus nusxasini taqlid qiluvchi dastur kiritiladi; ishga tushirilganda virus unga duch keladi va tizim allaqachon zararlangan deb hisoblaydi.

Ushbu turdagi immunizatsiya universal bo'lishi mumkin emas, chunki fayllarni barcha ma'lum viruslarga qarshi immunizatsiya qilish mumkin emas. Biroq, shunga qaramay, bunday immunizatorlar, yarim chora sifatida, kompyuterni antivirus skanerlari tomonidan aniqlanmaguncha, yangi noma'lum virusdan ishonchli tarzda himoya qilishi mumkin.

Tahlil axborot tizimlari"Uraltransnefteprodukt" OAJ korxonalari

Videokuzatuv monitorlari to'g'ridan-to'g'ri videokameralardan yoki videoni qayta ishlash qurilmalaridan olingan ma'lumotlarni ko'rsatish uchun mo'ljallangan, masalan, videoregistratorlar, kvadratlar, multipleksorlar, matritsa almashtirgichlar...

Arxitektura va asosiy xususiyatlari shaxsiy kompyuter

Monitor - bu ma'lumotlarni vizual ko'rsatish uchun mo'ljallangan qurilma. Ko'pgina zamonaviy shaxsiy kompyuterlarda katod nurlari trubkasi (CRT) monitorlari ishlatiladi. Ularning ishlash printsipi shundan iboratki, elektron tabancadan hosil bo'lgan elektron nur ...

Viruslar va antiviruslar

Antivirus monitorlari - bu virusli xavfli vaziyatlarni ushlab turadigan va foydalanuvchini bu haqda xabardor qiladigan rezident dasturlar. Virus xavfli qo'ng'iroqlar bajariladigan fayllarga yozish uchun ochish qo'ng'iroqlarini o'z ichiga oladi...

Shaxsiy kompyuterni sozlash

Shaxsiy kompyuterlar rastrli displeylar bilan jihozlangan, ayrim grafik stansiyalarda esa qimmatroq vektorli displeylar mavjud. Rastrli displeyda tasvir elektron nur orqali hosil bo'ladi...

Monitorlar: maqsadi, tasnifi

Ko'rinishidan, "biznes-klass" da keltirilgan monitorni boshqarish xizmatlariga yana nima qo'shilishi mumkin? Ammo komillik chegarasi yo'q ekan. Professional daraja talab qiladi eng yuqori sifat ko'rsatish. Shunday qilib...

Kompyuter xavfsizligini ta'minlash

Dasturiy ta'minot bilan ishlashda qaror qabul qiluvchi dastur ob'ektlar, sub'ektlar va axborot uzatish jarayonlarini ishga tushirish uchun javobgar bo'lishi kerak...

operatsiya xonasi Windows tizimi

Bundan tashqari, doimiy ravishda kompyuter xotirasida joylashgan va boshqa dasturlar tomonidan amalga oshirilgan barcha shubhali harakatlarni kuzatib boradigan virusga qarshi dasturlarning butun sinfi mavjud ...

Parametrlar va xususiyatlarni kuzatib boring

LCD monitor ekranlari suyuq holatda bo'lgan moddadan (siyanofenil) iborat, lekin ayni paytda kristalli qattiq moddalarga xos bo'lgan ba'zi xususiyatlarga ega. Aslida, bu suyuqliklar ...

Periferik qurilmalar Kompyuter

Ko'p protsessorli umumiy xotira tizimlari va tarmoqlarida umumiy resurslarga kirishni sinxronlashtirish

Monitor - bu ko'plab holat o'zgaruvchilari, navbatlar va dinamik taqsimlashni amalga oshirish va umumiy resurslarga kirishni amalga oshirish uchun zarur bo'lgan ko'plab protseduralarni o'z ichiga olgan yuqori darajadagi parallellik mexanizmi...

Monitor parametrlari katod nurlari trubasining (CRT) xususiyatlari va video yo'lini boshqaruvchi elementlarning sifati bilan belgilanadi. Bundan tashqari, bu erda mas'uliyatning asosiy ulushi CRT zimmasiga tushadi...

Zamonaviy multimedia kompyuter uskunalari

Suyuq kristall texnologiyasi bugungi kunda eng istiqbollilaridan biridir. Ko'p yillar davomida monitor ishlab chiqaruvchilari unga asoslangan qurilmalarni ish stoli monitor bozoriga chiqarishga harakat qilmoqdalar. 1997 yilda voqea...

Ma'lumotlarni takrorlash texnologiyalari

Tranzaksiya deganda ma'lumotlar bazasiga ta'sir qilish nuqtai nazaridan ma'lumotlarni manipulyatsiya qilish operatsiyalarining (o'qish, o'chirish, kiritish, o'zgartirish) bo'linmas ketma-ketligi tushuniladi, shunda yoki tranzaktsiyaga kiritilgan barcha operatsiyalar natijalari ...

Shaxsiy kompyuter qurilmasi

Monitor kerakli axborotni chiqarish qurilmasi hisoblanadi. Monitor (yoki displey) alfanumerik yoki ko'rsatish imkonini beradi grafik ma'lumotlar foydalanuvchi o'qish va boshqarish uchun qulay shaklda. Bunga ko'ra...