Program antivirus

Programul antivirus ( antivirus, instrument de protecție antivirus [1] , instrument de detectare a malware [1] ) este un program specializat pentru detectarea virușilor informatici , precum și a programelor nedorite (considerate rău intenționate ) și recuperarea fișierelor infectate (modificate) de astfel de programe și prevenire - prevenirea infectării (modificărilor) fișierelor sau a sistemului de operare prin cod rău intenționat.

Istorie

Primele antivirusuri au apărut la sfârșitul anilor 1980, este dificil de stabilit fără echivoc momentul apariției lor. Pionierii au fost AntiVir și Dr. Solomon's Anti-Virus Toolkit , creat în 1988, și Symantec antivirus pentru Macintosh , lansat un an mai târziu.

Metode de protecție împotriva virusurilor

Sunt utilizate trei grupuri de metode pentru a proteja împotriva virușilor [2] :

1. Metode bazate pe analiza conținutului fișierelor (atât fișiere de date, cât și fișiere cu coduri de comandă). Acest grup include scanarea semnăturii virușilor, precum și verificarea integrității și scanarea comenzilor suspecte.
2. Metode bazate pe urmărirea comportamentului programelor în timpul execuției acestora. Aceste metode constau în înregistrarea tuturor evenimentelor care amenință securitatea sistemului și apar fie în timpul execuției efective a codului care se verifică, fie în timpul emulării software a acestuia.
3. Metode de reglementare a ordinii de lucru cu fișiere și programe. Aceste metode sunt măsuri administrative de securitate.

Metoda de scanare a semnăturii ( analiza semnăturii, metoda semnăturii [1] ) se bazează pe căutarea în fișiere pentru o secvență unică de octeți - o caracteristică de semnătură a unui anumit virus. Pentru fiecare virus nou descoperit, specialiștii laboratorului antivirus analizează codul, pe baza căruia se determină semnătura acestuia. Fragmentul de cod rezultat este plasat într-o bază de date specială de semnături de viruși cu care funcționează programul antivirus. Avantajul acestei metode este o proporție relativ scăzută de fals pozitive, iar principalul dezavantaj este imposibilitatea fundamentală de a detecta un nou virus în sistem pentru care nu există semnătură în baza de date a programului antivirus, prin urmare, actualizarea în timp util a este necesară baza de date de semnături [2] .

Metoda de control al integrității se bazează pe faptul că orice modificare neașteptată și nerezonabilă a datelor de pe disc este un eveniment suspect care necesită o atenție specială a sistemului antivirus. Virusul lasă în mod necesar dovezi ale prezenței sale (modificări ale datelor fișierelor existente (în special de sistem sau executabile), apariția de noi fișiere executabile etc.). Faptul modificării datelor - încălcarea integrității  - este ușor de stabilit prin compararea sumei de control (rezumat), calculată în avans pentru starea inițială a codului testat, și suma de control (rezumat) a stării curente a codului testat. Dacă nu se potrivesc, atunci integritatea este ruptă și există toate motivele pentru a efectua verificări suplimentare pentru acest cod, de exemplu, prin scanarea semnăturilor virușilor. Această metodă funcționează mai rapid decât metoda de scanare a semnăturii, deoarece calcularea sumelor de control necesită mai puține calcule decât operațiunile de comparare octet cu octet a fragmentelor de cod, în plus, vă permite să detectați urme ale activității oricăror viruși, inclusiv necunoscut. cele, pentru care nu există încă semnături în baza de date [2] .

Metoda de scanare a comenzilor suspecte ( scanare euristică , metoda euristică [1] ) se bazează pe detectarea unui număr de comenzi suspecte și (sau) semne de secvențe de cod suspecte în fișierul scanat (de exemplu, o comandă de format de hard disk sau o funcție de injectat într-un proces care rulează sau într-un cod executabil). După aceea, se face o presupunere cu privire la natura rău intenționată a fișierului și se fac pași suplimentari pentru a-l verifica. Această metodă are viteză bună, dar destul de des nu este capabilă să detecteze noi viruși [2] .

Metoda de monitorizare a comportamentului programelor este fundamental diferită de metodele de scanare a conținutului fișierelor menționate mai devreme. Această metodă se bazează pe analiza comportamentului rulării programelor, comparabilă cu capturarea unui infractor „de mână” la locul crimei. Instrumentele antivirus de acest tip necesită adesea participarea activă a utilizatorului, care este chemat să ia decizii ca răspuns la numeroase avertismente ale sistemului, o parte semnificativă din care se poate dovedi ulterior a fi alarme false. Frecvența fals-pozitivelor (suspectarea unui virus pentru un fișier inofensiv sau omiterea unui fișier rău intenționat) atunci când este depășit un anumit prag face ca această metodă să fie ineficientă, iar utilizatorul poate să nu mai răspundă la avertismente sau să aleagă o strategie optimistă (permite tuturor acțiunilor să ruleze programe sau dezactivați această funcție a instrumentului antivirus). Atunci când utilizați sisteme antivirus care analizează comportamentul programelor, există întotdeauna riscul de a executa comenzi de cod de virus care pot deteriora computerul sau rețeaua protejată. Pentru a elimina acest neajuns, a fost dezvoltată ulterior o metodă de emulare (imitare) care vă permite să rulați programul testat într-un mediu (virtual) creat artificial, care este adesea numit sandbox ( sandbox ), fără pericolul de a deteriora mediul informațional. . Utilizarea metodelor de analiză a comportamentului programelor a demonstrat eficiența lor ridicată în detectarea programelor rău intenționate atât cunoscute, cât și necunoscute [2] .

Antivirusuri necinstite

În 2009, a început distribuția activă a antivirusurilor necinstite.  - software care nu este antivirus (adică nu are funcționalitate reală pentru a contracara malware), dar se preface a fi unul. De fapt, anti-virusurile necinstite pot fi atât programe concepute pentru a înșela utilizatorii și pentru a obține un profit sub formă de plăți pentru „tratarea sistemului de viruși”, cât și software rău intenționat obișnuit.

Antivirusuri speciale

În noiembrie 2014, organizația internațională pentru drepturile omului Amnesty International a lansat programul antivirus Detect , conceput pentru a detecta programele malware distribuite de agențiile guvernamentale pentru a spiona activiștii civili și oponenții politici. Antivirusul, potrivit creatorilor, efectuează o scanare mai profundă a hard disk-ului decât antivirusurile convenționale [3] [4] .

Eficacitatea antivirusurilor

Compania de analiză Imperva a publicat un studiu [5] [6] în cadrul proiectului Hacker Intelligence Initiative , care arată eficiența scăzută a majorității antivirusurilor în condiții reale.

Conform rezultatelor diferitelor teste sintetice, antivirusurile arată o eficiență medie de aproximativ 97%, dar aceste teste sunt efectuate pe baze de date de sute de mii de mostre, marea majoritate dintre acestea (poate aproximativ 97%) nu mai sunt folosite pentru atacuri.

Întrebarea este cât de eficace sunt antivirusurile împotriva celor mai presante amenințări. Pentru a răspunde la această întrebare, Imperva și studenții de la Universitatea din Tel Aviv au obținut 82 de mostre din cele mai recente programe malware de pe forumurile subterane rusești și l-au testat pe baza de date VirusTotal, adică împotriva a 42 de motoare antivirus. Rezultatul a fost dezastruos.

1. Eficacitatea antivirusurilor împotriva programelor malware nou compilate s-a dovedit a fi mai mică de 5%. Acesta este un rezultat complet logic, deoarece creatorii de viruși îi testează întotdeauna pe baza de date VirusTotal.
2. De la apariția virusului până la începutul recunoașterii acestuia de către antiviruși, durează până la patru săptămâni. Un astfel de indicator este realizat de antivirusurile „de elită”, iar pentru alte antivirusuri, perioada poate ajunge până la 9-12 luni. De exemplu, la începutul studiului, pe 9 februarie 2012, a fost testat un eșantion nou al unui program de instalare Google Chrome fals. După încheierea studiului pe 17 noiembrie 2012, doar 23 din 42 de antivirusuri l-au detectat.
3. Antivirusurile cu cel mai mare procent de detectare a programelor malware au și un procent ridicat de fals pozitive.
4. Deși studiul nu poate fi numit obiectiv, deoarece eșantionul de malware era prea mic, se poate presupune că antivirusurile sunt complet nepotrivite împotriva noilor amenințări cibernetice.

Clasificarea programelor antivirus

Programele antivirus sunt împărțite în funcție de execuție (instrumente de blocare) [1] în:

• software;
• software și hardware.

Pe baza plasării în memoria cu acces aleatoriu [1], alocați:

• rezidenți (își încep munca la pornirea sistemului de operare, sunt în permanență în memoria computerului și verifică automat fișierele);
• nerezident (lansat la cererea utilizatorului sau în conformitate cu programul stabilit pentru acesta).

În funcție de tipul (metoda) de protecție împotriva virușilor, există:

• Programele detectoare sau scanerele [1] găsesc viruși în RAM, pe medii interne și (sau) externe, afișând un mesaj când este detectat un virus.
• Programele medicale (fagi [1] , polifagi [1] ) găsesc fișiere infectate și le „vindecă”. Printre acest tip de programe, se numără polifagi care sunt capabili să elimine diverse tipuri de viruși, cel mai faimos dintre antivirusurile polifagi Norton AntiVirus , Doctor Web , Kaspersky Antivirus .
• Programele de vaccinare (imunizatoare [1] ) imunizează sistemul (fișiere, directoare) prin blocarea acțiunii virușilor [1] .
• Programele de auditor [1] sunt cele mai de încredere în ceea ce privește protecția împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor, zonelor de sistem ale discului până când computerul a fost infectat (de regulă, pe baza calculului sumelor de control [1] ), apoi compară starea curentă cu cea inițială, afișând modificările găsite. pe display.
• Programele de monitor își încep activitatea când sistemul de operare pornește, sunt constant în memoria computerului și verifică automat fișierele pe principiul „aici și acum”.
• Programele de filtrare (watchdogs) detectează virusul într-un stadiu incipient, înainte ca acesta să înceapă să se înmulțească.
• Watchdog-urile sunt programe mici, rezidente, al căror scop este detectarea acțiunilor care sunt caracteristice virușilor.

Principalele tipuri de programe antivirus

• Programele de detectare oferă căutarea și detectarea virușilor în RAM și pe medii externe, iar la detectare emit un mesaj corespunzător. Există detectoare universale și specializate .
• Programele medicale (fagii) nu numai că găsesc fișiere infectate cu viruși, ci și le „vindecă”, adică îndepărtează corpul programului antivirus din fișier, readucerea fișierelor la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „tratarea” fișierelor. Printre fagi se disting polifagii, adică programele medicale menite să caute și să distrugă un număr mare de viruși. Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor lor.
• Programele de auditor sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, stările sunt comparate imediat după ce sistemul de operare este încărcat. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri.
• Programele de filtrare (watchmen) sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, care sunt caracteristice virușilor.
• Programele de vaccinare (imunizatoare)  sunt programe rezidente care previn infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care „tratează” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu le afecteze activitatea, iar virusul îi va percepe ca fiind infectați și, prin urmare, nu va înrădăcina. Un dezavantaj semnificativ al acestor programe este capacitatea lor limitată de a preveni infectarea cu un număr mare de viruși diferiți.

Note

1. ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovyov S. V. Protecția informațiilor în sistemele informaționale împotriva accesului neautorizat. Beneficiu. - Voronej: Quarta, 2015. - S. 357. - 440 p. - 232 de exemplare.  - ISBN 978-5-93737-107-2 .
2. ↑ 1 2 3 4 5 Olifer V.G., Olifer N.A. Retele de calculatoare. Principii, tehnologii, protocoale: un manual pentru universități. - a 4-a ed. - Sankt Petersburg. : Peter, 2010. - S. 871-875. — 944 p. - 4500 de exemplare.  - ISBN 978-5-49807-389-7 .
3. ↑ AI a dezvoltat un program care va salva jurnaliştii de supravegherea cibernetică . Preluat la 14 mai 2015. Arhivat din original la 18 mai 2015. (nedefinit)
4. ↑ BBC: „Cum să oprești guvernele să te spioneze” . Consultat la 23 noiembrie 2014. Arhivat din original pe 23 noiembrie 2014. (nedefinit)
5. ↑ cercetare . Consultat la 13 iunie 2017. Arhivat din original la 24 noiembrie 2017. (nedefinit)
6. ↑ Imperva: antivirusurile sunt o risipă de bani - „Hacker” . Data accesului: 13 iunie 2017. (nedefinit)