Сучасні антивірусні програми та принцип їх роботи

 

Виконав:

студент ФПМ і КІС

спеціальності АУТП

Воєвода Вадим

 

 

Рівне – 2008

Зміст

 

1.Вступ

2.Основи роботи антивірусних програм:

· Загальні відомості.

· Сигнатурний аналіз.

· Евристичний аналіз.

· Пошук вірусів, схожих на відомі

· Пошук вірусів, що виконують підозрілі дії.

· Додаткові засоби

· Модуль оновлення

· Модуль планування

· Модуль управління

· Карантин

3.Деякі сучасні антивірусні програми:

· Avast! 4.8.1227 Professional Edition RUS

· ESET NOD32

· Антивірус Касперського 7.0

· Антивірус Касперського 2009

4.Висновок

5.Список використаних джерел

Вступ

 

Комп’ютерний вірус – це спеціально створена програма, або сукупність машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК певні деструктивні дії.

З новими комп'ютерами з'явилися нові проблеми. Однією з них є більша ймовірність зараження новими вірусами. Вони роблять неможливим нормальне функціонування програм і комп'ютера.

Основною причиною швидкого поширення вірусів є підключення комп'ютерів до мережі Internet. За даними статистики, у 2000 році вірусні атаки призвели до сукупних збитків у розмірі 17 млрд. доларів. Цей показник скоротився до 13,2 млрд. доларів у 2001 році. У 2002 році про збитки, завдані в результаті вірусних атак, заявило 85% користувачів.

Тому, безперечно, для лікування програм, знищення вірусів і профілактики постійно потрібні нові антивірусні програми.

2.Основи роботи антивірусних програм

Загальні відомості

Антивірусні програми - це програми, основним завданням яких є захист від вірусів, або точніше, від шкідливих програм.

Методи і принципи захисту теоретично не мають особливого значення, головне щоб вони були направлені на боротьбу зі шкідливими програмами. Але на практиці справа йде трохи інакше: практично будь-яка антивірусна програма об'єднує в різних пропорціях всі технології і методи захисту від вірусів, створені до сьогоднішнього дня.

З усіх методів антивірусного захисту можна виділити дві основні групи:

· Сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів

· Евристичні методи - приблизні методи виявлення, які дозволяють з певною вірогідністю припустити, що файл заражений

 

Сигнатурний аналіз

Слово сигнатура в даному випадку є калькою на англійське signature, що означає "підпис" або ж у переносному розумінні "характерна межа, щось ідентифікуюча". Власне, цим все сказано. Сигнатурний аналіз полягає у виявленні характерних ідентифікуючих рис кожного вірусу і пошуку вірусів шляхом порівняння файлів з виявленими рисами.

Сигнатурою вірусу вважатиметься сукупність рис, що дозволяють однозначно ідентифікувати наявність вірусу у файлі (включаючи випадки, коли файл цілком є вірусом). Всі разом сигнатури відомих вірусів складають антивірусну базу.

Задачу виділення сигнатур, як правило, вирішують люди - експерти в області комп'ютерної вірусології, здатні виділити код вірусу з коду програми і сформулювати його характерні риси у формі, найбільш зручній для пошуку. Як правило - тому що в найбільш простих випадках можуть застосовуватися спеціальні автоматизовані засоби виділення сигнатур. Наприклад, у разі нескладних по структурі троянів або черв'яків, які не заражають інші програми, а цілком є шкідливими програмами.

Практично в кожній компанії, що випускає антивіруси, є своя група експертів, що виконує аналіз нових вірусів і поповнює антивірусну базу новими сигнатурами. З цієї причини антивірусні бази в різних антивірусах відрізняються. Проте, між антивірусними компаніями існує домовленість про обмін зразками вірусів, а значить рано чи пізно сигнатура нового вірусу потрапляє в антивірусні бази практично всіх антивірусів. Кращим же антивірусом буде той, для якого сигнатура нового вірусу була випущена раніше всіх.

Одна з поширених помилок щодо сигнатур полягає в тому,що кожна сигнатура відповідає рівно одному вірусу або шкідливій програмі. І як наслідок, антивірусна база з великою кількістю сигнатур дозволяє виявляти більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства схожих вірусів використовується одна сигнатура, і тому вважати, що кількість сигнатур рівна кількості вірусів, що виявляються, вже не можна.

Співвідношення кількості сигнатур і кількості відомих вірусів для кожної антивірусної бази своє і цілком може опинитися, що база з меншою кількістю сигнатур насправді містить інформацію про більшу кількість вірусів. Якщо ж пригадати, що антивірусні компанії обмінюються зразками вірусів, можна з високою часткою упевненості вважати, що антивірусні бази найбільш відомих антивірусів еквівалентні.

Важлива додаткова властивість сигнатур - точне і гарантоване визначення типу вірусу. Ця властивість дозволяє занести в базу не тільки самі сигнатури, але і способи лікування вірусу. Якби сигнатурний аналіз давав тільки відповідь на питання, є вірус чи ні, але не давав би відповіді, що це за вірус, очевидно, лікування було б не можливе - дуже великим був би ризик зробити не ті дії і замість лікування отримати додаткові втрати інформації.

Інша важлива, але вже негативна властивість - для отримання сигнатури необхідно мати зразок вірусу. Отже, сигнатурний метод непридатний для захисту від нових вірусів, оскільки до тих пір, поки вірус не потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме тому всі найбільш крупні епідемії викликаються новими вірусами. З моменту появи вірусу в мережі Інтернет до випуску перших сигнатур зазвичай проходить декілька годин, і весь цей час вірус здатний заражати комп'ютери майже безперешкодно. Майже - тому що в захисті від нових вірусів допомагають додаткові засоби захисту, розглянуті раніше, а також евристичні методи, використовувані в антивірусних програмах.

Евристичний аналіз

Слово "евристика" походить від грецького дієслова "знаходити". Суть евристичних методів полягає в тому, що вирішення проблеми ґрунтується на деяких правдоподібних припущеннях, а не на строгих висновках з наявних фактів і передумов. Оскільки таке визначення звучить достатньо складно і незрозуміло, простіше пояснити на прикладах різних евристичних методів