Антивирусные программы.ppt
- Количество слайдов: 34
АНТИВИРУСНЫЕ ПРОГРАММЫ
Общие сведения Компьютерный вирус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.
Классификация файловых вирусов по способу заражения Перезаписывающие вирусы Вирусы-компаньоны Файловые черви • Вирусы данного типа записывают своё • Компаньон-вирусы, как и перезаписывающие • Файловые черви создают собственные Вирусы-звенья Паразитические вирусы • Как и компаньон-вирусы, не изменяют • Паразитические вирусы — это файловые тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа. код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе. вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе. вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу. копии с привлекательными для пользователя названиями (например, Game. exe, install. exe и др. ) в надежде на то, что пользователь их запустит. Вирусы, поражающие исходный код программ • Вирусы данного типа поражают исходный код программы или её компоненты (. OBJ, . LIB, . DCU), а также VCL и Active. X-компоненты. После компиляции программы оказываются встроенными в неё. В настоящее время широкого распространения не получили.
Помимо стандартной классификации существуют: Ложные антивирусы • Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. Один из способов заражения ПК ложным антивирусом следующий. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее сообщение вроде «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такой программы она производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит и ложный антивирус очищает ПК от несуществующих вирусов.
Технологии обнаружения вирусов Технологии вероятностного анализа Эвристический анализ Поведенческий анализ Технологии сигнатурного анализа Анализ контрольных сумм
Эвристический анализ - технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов. В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам.
Поведенческий анализ - технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций. Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями.
Анализ контрольных сумм - это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений - одновременность, массовость, идентичные изменения длин файлов - можно делать вывод о заражении системы.
Методы обнаружения Странного поведения программ При помощи эмуляции Метод “Белого списка”
Метод обнаружения странного поведения программ Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ.
Метод обнаружения при помощи эмуляции Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
Метод «Белого списка» Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные.
Пять правил при заражении компьютера вирусом. 1. Прежде всего, не надо торопиться и принимать опрометчивых явлений, непродуманные действия могут привести не только к потере части данных, которые можно было бы восстановить, но и к повторному заражению компьютера. 2. Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить компьютер, чтобы вирус не продолжал своих разрушительных действий. 3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только при правильной загрузке компьютера с защищённой от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы ( исполнимые файлы ), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ. 4. Лечение от вируса обычно несложно, но иногда ( при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных коллег. 5. Лечение компьютера от вируса – процесс творческий, поэтому любые рекомендации по этому поводу не надо воспринимать как догму. Тем более писатели вирусов придумают что-то новое, и некоторые рекомендации по борьбе с вирусами из-за этого устареют…
ВЫЯСНЕНИЕ СВЕДЕНИЙ О ВИРУСЕ Если какая-либо из программдетекторов сообщит о том, что она нашла известный ей вирус, то желательно прочесть в её документации или встроенном справочнике сведения о данном типе вируса.
РАННЕЕ ОБНАРУЖЕНИЕ ВИРУСА Если Вы используете резидентную программу-сторожа для защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус ещё не успел активизироваться, заразить другие программы или диски и испортить какие-либо данные.
УДАЛЕНИЕ ВИРУСОВ какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы излечить или удалить заражённые объекты. Чтобы не пропустить вирус в какомлибо файле, желательно задать режим поиска вируса во всех файлах, а вен только в программных файлах, а также режим поиска в архивах.
Классификация антивирусов по режиму работы Проверка в режиме реального времени Проверка по требованию
Проверка в режиме реального времени Проверка в режиме реального времени, или постоянная проверка, обеспечивает непрерывность работы антивирусной защиты. Это реализуется с помощью обязательной проверки всех действий, совершаемых другими программами и самим пользователем, на предмет вредоносности, вне зависимости от их исходного расположения – будь это свой жесткий диск, внешние носители информации, другие сетевые ресурсы или собственная оперативная память. Также проверке подвергаются все косвенные действия через третьи программы.
Проверка по требованию Проверка в режиме реального времени, или постоянная проверка, обеспечивает непрерывность работы антивирусной защиты. Это реализуется с помощью обязательной проверки всех действий, совершаемых другими программами и самим пользователем, на предмет вредоносности, вне зависимости от их исходного расположения – будь это свой жесткий диск, внешние носители информации, другие сетевые ресурсы или собственная оперативная память. Также проверке подвергаются все косвенные действия через третьи программы.
Классификация антивирусов по типу Сканеры Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. CRC-сканеры Принцип работы CRC-сканеров основан на подсчете CRCсумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Блокировщики Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение.
Классификация антивирусов по признаку изменяемости во времени Анализ данных • К анализу данных относятся "ревизоры" и "полифаги". "Ревизоры" анализируют последствия от деятельности компьютерных вирусов и других вредоносных программ. "Полифаги" на основе анализа данных выделяют фрагменты вредоносного кода и на этой основе делают вывод о наличии вредоносных программ. Анализ процессов • Несколько по-иному работают антивирусные средства, основанные на анализе процессов. "Эвристические анализаторы", так же как и вышеописанные, анализируют данные. "Эвристический анализатор" выделяет последовательность операций, каждой из них присваивает некоторую оценку "опасности" и по совокупности "опасности" принимает решение о том, является ли данная последовательность операций частью вредоносного кода. Сам код при этом не выполняется.
Виды антивирусных программ Ревизоры Детекторы Сторожа
Детекторы программы-детекторы позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Некоторые программыдетекторы также выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет обнаруживать новые, не известные программе-детектору, вирусы.
Ревизоры программы-ревизоры запоминают сведения о состоянии файлов и системных областей дисков, а при последующих запусках – сравнивают их состояние исходным.
Сторожа програм 6 ы-сторожа (или фильтры) располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисковод дискеты
Антивирусные комплексы Антивирусный комплекс — набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз. Выделяют следующие типы антивирусных комплексов: Антивирусный комплекс для защиты рабочих станций Антивирусный комплекс для защиты файловых серверов Антивирусный комплекс для защиты почтовых систем Антивирусный комплекс для защиты шлюзов.
Использование антивирусных программ Поступающие из внешних источников данные (файлы, дискеты и т. д. ) проверяются программой-детектором. Если эти данные забыли проверить, и заражённая программа была запущена, её может «поймать» программа-сторож. Правда, в обоих случаях надёжно обнаруживаются лишь вирусы, известные этим антивирусным программам. 2. Сторожа могут обнаруживать даже неизвестные вирусы, если они очень нагло себя ведут, например, пытаются отформатировать жёсткий диск или внести изменения в системные файлы или области диска на жёстком диске. Впрочем, некоторые вирусы умеют обходить такой контроль. Более мелкие пакости вирусов(изменение программных файлов, запись в системные области дискет и т. д. ) обычно не отслеживаются, так как эти действия выполняются не только вирусами, но и многими программами. 3. Если вирус не был обнаружен детектором или сторожем, то результаты его деятельности –обнаружит программа-ревизор. Как правило, программы-сторожа должны работать на компьютере постоянно, детекторы – использоваться для проверки поступающих из внешних источников данных (файлов и дискет), а ревизоры – запускаться раз в день для выявления и анализа изменений на дисках. 1.
Антивирус Касперского • Антивирус Касперского (англ. Kaspersky Antivirus, KAV) — антивирусное программное обеспечение, разрабатываемое Лабораторией Касперского. Предоставляет пользователю защиту от вирусов, троянских программ, шпионских программ, руткитов, adware, а также неизвестных угроз с помощью проактивной защиты, включающей компонент HIPS. Первоначально, в начале 1990 -х, именовался V, затем — Anti. Viral Toolkit Pro. • Функции: • Базовая защита • Предотвращение угроз • Восстановление системы и данных • Защита конфиденциальных данных • Удобство использования
Eset NOD 32 • NOD 32 — антивирусный пакет, выпускаемый словацкой фирмой Eset. Первая версия была выпущена в конце 1987 года. NOD 32 — это комплексное антивирусное решение для защиты в реальном времени. Eset NOD 32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, фишинг-атаки. В Eset NOD 32 используется патентованная технология Threat. Sense, предназначенная для выявления новых возникающих угроз в реальном времени путём анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.
Symantec Norton Anti-Virus • Norton Anti. Virus — одна из самых известных в мире антивирусных программ. Производится американской компанией Symantec. Неоднократно занимал призовые места в крупнейших международных антивирусных тестах. По данным на конец апреля 2009 года Norton определяет свыше 3, 5 млн видов потенциальных угроз. • Основные характеристики • Находит и удаляет вирусы и программы-шпионы. • Автоматически блокирует программы-шпионы. • Не позволяет рассылать зараженные письма. • Автоматически распознает и блокирует вирусы, программы-шпионы и троянские компоненты. • Обнаруживает угрозы типа Rootkit и устраняет угрозы, скрытые в операционной системе. • Функция защиты от интернет-червей блокирует вирусы, программышпионы и «червей» без специальных сигнатур. • Функция осмотра электронной почты и мгновенных сообщений находит, удаляет или блокирует зараженные вложения. • Полный осмотр системы позволяет провести тщательный анализ и удалить найденные вирусы, программы-шпионы и другие угрозы. • Компонент Norton Protection Center обеспечивает централизованное управление параметрами защиты. • Обновления средств защиты и новые компоненты продукта предоставляются в течение продляемого срока обслуживания.
Dr. Web • Dr. Web — антивирусы этого семейства предназначены для защиты от почтовых и сетевых червей, руткитов, файловых вирусов, троянских программ, стелс-вирусов, полиморфных вирусов, бестелесных вирусов, макровирусов, поражающих документы MS Office, скрипт-вирусов, шпионского ПО (spyware), программ-похитителей паролей, клавиатурных шпионов, программ платного дозвона, рекламного ПО (adware), потенциально опасного ПО, хакерских утилит, программ-люков, программ-шуток, вредоносных скриптов и других вредоносных объектов, а также от спама, скаминг-, фарминг-, фишин-сообщений и технического спама. • Функции • Базовая защита • Защита от вирусов, троянских программ и червей • Защита от шпионских и рекламных программ • Проверка файлов в автоматическом режиме и по требованию • Проверка почтовых сообщений (перехват POP 3/SMTP/IMAP) • Проверка интернет-трафика (перехват соединений) • Эвристическая защита от новых и неизвестных вредоносных программ • Предотвращение угроз • Блокирование ссылок на зараженные сайты • Распознавание вирусов, упакованных новым и/или неизвестным упаковщиком, дроппером и/или криптором • Восстановление системы и данных • Возможность установки программы на зараженный компьютер • Функция самозащиты программы от выключения или остановки • Удобство использования • Автоматическая настройка программы в процессе установки • Наглядное отображение результатов работы программы • Информативные диалоговые окна для принятия пользователем обоснованных решений • Возможность выбора между простым автолечением / удалением и интерактивным режимами работы • Круглосуточная техническая поддержка • Автоматическое обновление баз
Avast! Professional Edition • avast! — это антивирусная программа для операционных систем Microsoft Windows и GNU/Linux, а также для КПК на платформе Palm и Windows CE. Выпускается в виде нескольких версий: платной и бесплатной для некоммерческого использования. • Резидентный антивирусный сканер. • Проверка компьютера на вирусы во время показа экранной заставки. • Проверка компьютера на вирус во время запуска, до полной загрузки операционной системы. • Эвристический анализ. • Блокировка вредоносных скриптов (в версии Professional Edition). • Автоматическое обновление антивирусных баз, а также самой программы. • Встроенный в программу облегчённый межсетевой экран (IDS —- Intrusion Detection System (система обнаружения вторжений)). • Модульность резидентной защиты: Web экран; Мгновенные сообщения; Сетевой экран; Стандартный экран; Экран P 2 P; Электронная почта, также модули проверки почтовых баз программ Microsoft Outlook, Outlook Express и плагин для The Bat!. • Сканер SMTP/POP 3/IMAP 4 и плагин для Outlook • Удаление шпионского программного обеспечения (spyware) с компьютера. • Возможность установки пароля на изменение настроек программы. • Многоязычный интерфейс. • Антивирусный сканер командной строки (в версии Professional Edition). • Ведение VRDB — Virus Recover Database — базы восстановления заражённых файлов. • Поддержка тем оформления (в базовую поставку уже включены 3). • Продукт сертифицирован ICSA.
Panda Antivirus • Panda Security SL, прежде Panda Software — это компания, работающая в сфере компьютерной безопасности, основана в 1990 году бывшим руководителем Panda Микелем Уризарбаррена (Mikel Urizarbarren) в городе Бильбао, Испания. Первоначально компания была ориентирована на производство антивирусного программного обеспечения, впоследствии она расширила линейку своих продуктов за счет приложений, включающих в себя файервол, приложений по обнаружению спама и шпионского ПО, технологии по предотвращению кибер-преступлений, а также других систем управления и утилит безопасности для домашних и корпоративных пользователей.
Антивирусные программы.ppt