Антивирус – Термин -Энциклопедический Фонд

Антивирус - Термин -Энциклопедический Фонд


Термин в Энциклопедическом Фонде

В Энциклопедическом Фонде опубликованы:
Антивирус (антивирусная программа) – программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предотвращения заражения (модификации) файлов  операционной системы вредоносным кодом. 
Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.
Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.
Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.
Метод соответствия определению вирусов в словаре – это метод, при котором антивирусная программа, анализируя файл, обращается к антивирусным базам, составленным производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:
1. Удалить инфицированный файл.
2. Заблокировать доступ к инфицированному файлу.
3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
4. Попытаться “вылечить” файл, удалив тело вируса из файла.
5. В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы. 
Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще.
Некоторые из продуктов для лучшего обнаружения используют несколько ядер для поиска и удаления вирусов и программ-шпионов.
Для многих антивирусных программ с базой сигнатур характерна проверка файлов в момент, когда операционная система обращается к файлам. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.
Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать заражению компьютеров, авторы вирусов стараются обойти такие антивирусы, создавая “олигоморфические”, “полиморфические” и “метаморфические” вирусы, отдельные части которых шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с записью в сигнатуре.
Антивирусы, использующие метод обнаружения подозрительного поведения программ, не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.
В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Но вместе с тем, такой метод даёт большое количество ложных срабатываний, выявляя подозрительную активность среди не вредоносных программ. Некоторые программы или модули, построенные на этом методе, могут выдавать слишком большое количество предупреждений, что может запутать пользователя.
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Используемые источники
1. pcmag.ru.
2. ru.wikipedia.org.

Антивирус (антивирусная программа) – программа или комплекс программных средств обеспечивающая защиту устройств и программных продуктов от вирусов и вредоносных программ, а также обнаружение и лечение заражённых объектов без потери функциональности программы или устройства.
В 1971 г. появился на свет первый компьютерный вирус Creeper. Он является самым первым компьютерным вирусом в мире, и в этом году (2012) ему исполняется 41 год. Данный червь был написан сотрудником компании в 1971 г., эта компания начинала заниматься обслуживанием ARPANET – сети, которая была создана в 1969 г. Агентством министерства обороны США по перспективным исследованием и она предшествовала Интернету. Creeper не являлся полноценным вирусом, так как вреда системе не было нанесено никакого. Всё что он делал, это занимался поиском по сети компьютеров, затем мог самостоятельно скопировать на них и вывести на терминале сообщение: “I’m the creeper, catch me if you can!”. В том случае, если Creeper уже обнаружил на машине существующую копию самого себя, то перепрыгивална другую машину. В 1982 г. появился другой опасный вирус – Elk Cloner. Данного червя“, который проникал на машины через дискеты, смог разработать 15-летний подросток. Вирус Jerusalem был создан в 1987 г., он удалял любые программы на системе, которая была заражена вирусом, каждую пятницу 13 числа.
Первые антивирусные программы появились еще зимой 1984 г. под названиями CHK4BOMB и BOMBSQAD. Их написал американский программист Энди Хопкинс (Andy Hopkins). CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявить все текстовые сообщения и ”подозрительныеучастки кода. Программа BOMBSQAD перехватывала операции записи и форматирования, выполняемые через BIOS. При выявлении запрещённой операции можно было разрешить или запретить её выполнение. Первый антивирус в современном понимании этого термина, то есть резидентный, защищающийот вирусных атак, появился в 1985 г. Программа DRPROTECT созданная усилиями Джи Вонг (Gee Wong). Разработка блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.

В 1989 г. старший лейтенант Евгений Касперский, работавший в одном из институтов Генштаба ВС СССР, написал свою первую программу, восстановившую работоспособность его компьютера после того, как на немзавелсявирус. Как говорит сам Евгений, у него не было даже мыслей заниматься этим более-менее серьезно. Но стали появляться новые вирусы, коллекционирование которых и разработка противодействующих им алгоритмов постепенно превратилось в хобби. В 1990 г., после нескольких малозначимых контрактов, удалось заключить весьма выгодное соглашение, согласно которому на партию поставляемых в нашу страну компьютеров была предустановленна антивирусная защита, разработанная Касперским. Начавшееся как хобби, дело борьбы с компьютерными вирусами отнимало все больше времени и сил. В 1991 г. Касперский увольняется из армии и начинает работу в фирме Ками“, где было организовано антивирусное подразделение, которое он и возглавил, правда, оставаясь при этом единственным сотрудником этого отдела. Наверное, теперь уже можно сказать, что хобби стало работой. Постепенно в отдел приходили новые сотрудники. Упорная работа наконец-то принесла плоды: в 1994 г. университет Гамбурга проводил тестирование, по результатам которого продукт Касперского стал лучшим.

В мае 1989 г. американская компания Symantec выпустила первый антивирусный пакет для компьютеров Macintosh (SAM), а в марте 1990-го вышла уже вторая версия этого антивируса. В том же году была приобретена компания Peter Norton Computing, занимавшаяся разработкой разнообразных приложений для DOS, включая известный пакет Norton Utilities. Symantec продолжила выпуск этих продуктов под именем Norton, которое было уже широко известным, сделав приписку “from Symantec”. В 1991 г. количество и разнообразие появляющихся вирусов, и многочисленные случаи заражения ими компьютеров стали серьезной проблемой, поэтому был выпущен первый антивирусный пакет Norton AntiVirus 1.0 (NAV) для PC-совместимых компьютеров. Выпускаемая параллельно антивирусная программа для компьютеров Macintosh (SAM) в 1998 г. была переименована в Norton AntiVirus (NAV) for Macintosh.

Питер Пашко и Мирослав Трнка, два молодых программиста из Братиславы, написали в 1987 г. небольшую программу для обезвреживания одного из первых найденных ими компьютерных вирусов, который они назвали

Вена“. За первым вирусом последовали новые, что подтолкнуло к мысли создать универсальную программу для обнаружения и обезвреживания появляющихся угроз. В 1992 г. Питер, Мирослав и примкнувший к ним Рудольф Грубый официально зарегистрировали компанию “ESET”, штаб-квартира которой была открыта в Братиславе (ЧССР, ныне Словакия). Позже, в 1999 г. было открыто подразделение компании в Сан-Диего, США. Название ESET (Essential Security against Evolving Threats) отражает использование проактивных методов выявления неизвестных сетевых угроз. ESET стала первой компанией, начавшей применять данную технологию, назвав ее ThreatSense™, основа которой – блок расширенной эвристики.

 

Механизм работы антивирусных программ

Одной из основных частей любого антивируса является движок, или ядро, - модуль, который отвечает за обнаружение вредоносных программ. Именно от его эффективности и используемых методов поиска зависит качество работы антивируса и возможности обнаружения вирусов и других зловредных программ. Для детектирования вирусов в каждом движке реализовано несколько технологий. Самые известные из них – поиск по сигнатурам и эвристический анализатор.

Сигнатура представляет собой уникальную для каждого вируса строку, которая однозначно указывает на определенную вредоносную программу. При появлении нового вируса его код анализируется специалистами, и сигнатура заносится в антивирусную базу. Этот способ – самый эффективный, так как позволяет почти со стопроцентной вероятностью определить наличие известного вируса.

Неизвестный вирус пройдет через такой детектор незамеченным. На анализ и выработку сигнатуры нового вируса уходит некоторое время, в течение которого любой компьютер беззащитен. Ошибка при выборе сигнатуры может привести к тому, что подозрение может пасть на незараженный файл. Еще одно неудобство сигнатурного метода связано с тем, что пользователь вынужден постоянно обновлять антивирусные базы, размер которых иногда велик. Если этого не делать, компьютер может оказаться незащищенным. Сначала для определения эффективности антивируса кроме других показателей руководствовались количеством записей в антивирусной базе. Однако время показало, что иногда разработчики антивирусного программного обеспечения заносят в базу приложения, не относящиеся к вирусам, в том числе безвредные. Когда новые вирусы начали появляться почти ежедневно, эксперты задумались, как это остановить. В результате были созданы две технологии: эвристический анализатор и поведенческие блокираторы. В настоящее время появился термин проактивная защита, который объединяет эти понятия. В процессе работы эвристический анализатор проверяет код приложений, макросов и сценариев и пытается найти в них подозрительные команды или действия. Если количество последних превысит некий барьер, можно сделать вывод об их вирусном происхождении. Наиболее эффективны динамические анализаторы, запускающие приложение посредством эмуляции. Подобным образом действуют поведенческие блокираторы, только вместо эмуляции запуска программ они работают в реальной среде, анализируя последовательность операций приложения.

С помощью блокиратора можно обнаружить:

• некоторые полиморфные вирусы;

• руткиты;

• попытки внедрения одной программы в другую.

Блокиратор также контролирует целостность системных файлов и реестра Windows и при необходимости производит откат. При обнаружении подозрительных моментов пользователю часто выдается запрос о дальнейших действиях. Если пользователь недостаточно подготовлен, чтобы разобраться в проблеме, он может принять неправильное решение, что обесценит защиту. Идеально работающего эвристического анализатора еще не существует. Эта технология часто ошибается, пропуская вирус или, наоборот, подозревая безобидную программу. Разработчики поведенческих блокираторов и эвристических анализаторов составляют набор правил на основе изучения вредоносных программ и также могут ошибаться. У злоумышленников всегда есть возможность изучить реакцию системы защиты и выработать алгоритм заражения, при котором защита не сработает. Стоит также отметить, что часто разработчики связаны слабыми возможностями движка, которому приходится поддерживать антивирусные базы, поэтому эвристику и поведенческие блокираторы в антивирусах следует рассматривать не как основные, а как дополнительные средства обнаружения, часто усеченные по возможностям.

 

Компоненты современного антивируса

Сегодняшний антивирус состоит из нескольких компонентов, каждый из которых отвечает за обнаружение вирусов на определенном участке работы. В процессе развития состав этих компонентов изменялся, добавлялись новые и удалялись не отвечающие требованиям времени.

Первый и основной антивирусный компонент – сканер (On-Demand Scanner). Задачей сканера является проверка по требованию пользователя файлов, памяти и загрузочных секторов на наличие вирусов. Сканер необходимо периодически запускать для проверки имеющихся файлов и при получении новых. До недавнего времени практически все тесты антивирусов включали время, за которое антивирусный сканер проверял жесткий диск компьютера, и количество выявленных вирусов. Компании – разработчики антивирусов шли на различные хитрости. Например, в антивирусе Dr. Solomon был специальный режим для работы с тестовыми коллекциями, позволявший ему побеждать. Сейчас скорость работы не является основным показателем, главное – это качество выявления вирусов. Чтобы несколько раз не проверять файлы, которые не изменялись со времени предыдущей проверки, сканеры ведут специальную базу данных.

Пользователи часто забывают проверять принесенные дискеты, флэшки и диски. Именно по этой причине был разработан страховочный компонент антивируса – монитор(On-Access Scanner).В отличие от сканера, монитор постоянно находится в оперативной памяти и автоматически проверяет файлы в реальном времени. Когда пользователь пытается запустить программу, монитор перехватывает запрос, проверяет файл на наличие вирусов и, если он чист, разрешает дальнейшее выполнение. Одни мониторы контролируют файлы только в процессе запуска, другие проверяют все, с чем работает пользователь, а также изменяемые и закрываемые файлы. Первое время в составе антивирусов были только файловые мониторы, но так как для распространения вирусов часто используется электронная почта, появились почтовые мониторы, которые автоматически активизируются, когда пользователь принимает и отправляет почту. В составе антивирусов могут быть также другие мониторы, контролирующие отдельные приложения (например, Microsoft Office) или сервисы. Монитор предоставляет пользователю большую безопасность и очень удобен, так как предупреждает пользователя только когда сталкивается с проблемой, а все проверки происходят незаметно. Однако именно монитор нагружает систему, часто вызывая раздражение пользователя, и становится причиной отключения антивируса, чтобы он не мешал работе. Работа монитора часто является определяющей при выборе антивируса, так как в различных решениях он по-разному нагружает систему.

Еще один компонент антивируса – ревизор изменений. Его задача – отслеживать изменения в важных системных файлах. Если охраняемый файл изменился, это может означать, что в системе не все в порядке, о чем антивирус предупреждает пользователя. Если монитор загружен, а пользователь не изменял системные файлы, такая ситуация может означать, что компьютер заражен неизвестным вирусом, и первое, что необходимо сделать, 

это обновить антивирусные базы и проверить систему.

Используемые источники

1. wd-x.ru

2. nnre.ru

3. delfi.lv

4. supsys.ru

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *