Виртуальная планета. Творческий форум. |
Привет, Гость! Войдите или зарегистрируйтесь.
Вы здесь » Виртуальная планета. Творческий форум. » Безопасность в сети » Антивирусные программы
Внимание все вопросы и комментарии в этой теме будут удалятся. Прокомментировать тему а так же задать вопрос вы можете в специально отведенной для этого теме!
Здесь я попробую объяснить вам принцип действия основных антивирусных программ и расскажу об их классификации.
Итак начнем: думаю чтобы вам было проще выбрать антивирусную программу, расскажу о классификации данного программного обеспечения (ПО).
Что это вообще такое - антивирусник(антивирус, антивирь, каспер)?
Антивирус — любая программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления (лечения) зараженных такими программами файлов, а также для профилактики — предотвращения заражения файлов или операционной системы (ОС) вредоносным кодом.
На сегодняшний день большинство антивирусных программ разрабатывается для ОС семейства Windows, так как это наиболее распространённое по всему миру ПО. Выпускаются антивирусники и под другие платформы например Linux и MAC, поэтому если кто то имеющий на своем столе десктопы на этих платформах будет утверждать вам что им пофиг всякие вирусяки, можете смело запустить в них тапком) ибо они не правы. Так что-то я отошёл от темы. Продолжу.
Классифицировать антивирусники можно по используемым технологиям антивирусной защиты:
-Классические антивирусы (программы, применяющие только сигнатурный метод детектирования). Что за мат такой "сигнатурный метод детектирования" спросите вы) Объясняю - это метод при котором антивирусник, просматривая файл или пакет(проще говоря сканируя компьютер), обращается к словарю с известными вирусами, составленному авторами программы(антивирусная база). В случае соответствия какого-либо участка кода просматриваемого файла или программы известному коду (сигнатуре) вируса в словаре, антивирус может заняться выполнением одного из следующих действий:
-удалить инфицированный файл;
-отправить файл в «карантин» (то есть сделать его недоступным для открытия или выполнения, с целью недопущения дальнейшего распространения вируса);
-попытаться восстановить файл, удалив сам вирус из тела файла или программы.
Для своевременного обнаружения всякой гадости в вашем компьютере нужно постоянно следить за обновлением антивирусных баз.
Антивирусные программы, созданные на основе этого метода, обычно просматривают файлы тогда, когда они закачиваются на компьютер. Таким образом, вирусы можно обнаружить сразу же после занесения их в компьютер и до того, как они смогут причинить какой-либо вред. Хочу отметить, что в большинстве случаев вы сами можете составить график для антивирусной программы, в какое время могут просматриваться (сканироваться) все файлы на жёстком диске (винчестере) вашего компьютера.
Недостатки данного метода заключаются в:
-неспособность выявить какие-либо новые атаки
-беззащитность перед полиморфными вирусами и изменёнными версиями того же вируса(что это за гадость объясню чуть позже)
-требуют регулярного и крайне оперативного обновления
-требуют кропотливого ручного анализа вирусов, а следовательно каких то знаний от вас.
Программы проактивной антивирусной защиты (антивирусы, применяющие только проактивные технологии антивирусной защиты);
И опять мат), виноват, исправлюсь).
Проактивные технологии – комплекс технологий и методов, используемых в антивирусах, основной целью которых, в отличие от сигнатурных методов, является недопущение заражения компьютера пользователя, а не поиск уже известного вируса в системе. Ну а раз мы с вами видим что это комплекс методов, то давайте попробуем разобраться с каждым методом поподробнее...
Эвристический анализ - позволяет на основе анализа кода выполняемой программы обнаружить участки кода, отвечающие за вредоносную активность. Эффективность данной технологии не является высокой, что обусловлено большим количеством ложных срабатываний при повышении чувствительности анализатора, а также большим набором техник, используемых авторами вредоносного ПО для обхода эвристического компонента антивирусного ПО (редиски, руки бы им поотбивать по самые локти).
Эмуляция кода - позволяет запускать приложение в среде эмуляции, эмулируя поведение ОС или центрального процессора. При выполнении приложения в режиме эмуляции приложение не сможет нанести вреда системе пользователя, а вредоносное действие будет детектировано эмулятором.
Несмотря на кажущуюся эффективность данного метода, он также не лишен недостатков – эмуляция занимает слишком много времени и ресурсов компьютера пользователя, что негативно сказывается на быстродействии при выполнении повседневных операций, также, современные вредоносные программы способны обнаруживать выполнение в эмулированной среде и прекращать свое выполнение в ней.(кто бы мог подумать...почти человеческий интеллект).
Sandboxing – ограничение привилегий выполнения - работает по принципу ограничения активности потенциально вредоносных приложений таким образом, чтобы они не могли нанести вреда системе пользователя.
Ограничение активности достигается за счет выполнения неизвестных приложений в ограниченной среде, откуда приложение не имеет прав доступа к критическим системным файлам, веткам реестра и другой важной информации. Технология ограничения привилегий выполнения является эффективной технологией противодействия современным угрозам, но, следует принимать во внимание, что при этом пользователь должен обладать знаниями, необходимыми для правильной оценки неизвестного приложения.
Виртуализация рабочего окружения - Технология виртуализации рабочего окружения работает с помощью системного драйвера, который перехватает все запросы на запись на жесткий диск и вместо выполнения записи на реальный жесткий диск выполняет запись в специальную дисковую область – буфер. Таким образом, даже в том случае, если пользователь запустит вредоносное программное обеспечение, оно проживет не далее чем до очистки буфера, которая по умолчанию выполняется при выключении компьютера.
Однако, следует понимать, что технология виртуализации рабочего окружения не сможет защитить от вредоносных программ, основной целью которых является кража конфиденциальной информации, т.к. доступ на чтение к жесткому диску не запрещен.
Таким образом мы видим что в принципе какое то сочетание этих методов встаёт серьёзной преградой перед вирусом...
Ну и естественно Комбинированные программы (программы, применяющие как классические, так и проактивные методы защиты)
Продолжение следует....
Пожалуй продолжу развитие этой темы. В прошлый раз мы сумели разбить антивирусные программы по используемым технологиям обнаружения вирусов. Сегодня хочу рассказать по каким признакам еще можно разбить эти программы и выявить их отличия.
Начнем с функционала антивирусов:
-антивирусные программы (программы, обеспечивающие только антивирусную защиту);
-комбинированные программы (программы, обеспечивающие шифрование и резервное копирование данных, фильтрацию спама и другие функции. Кроме того они выполняют все функции обычных антивирусников).
Ну а закончить классификацию можно по целевым платформам:
-антивирусные программы для ОС семейства Windows
-антивирусные программы для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.)
-антивирусные программы для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 и др.)
Вы здесь » Виртуальная планета. Творческий форум. » Безопасность в сети » Антивирусные программы