Вам бонус- начислено 1 монета за дневную активность. Сейчас у вас 1 монета

Антивирус - 10.5. Компьютерные вирусы и антивирусы Классификация, способы заражения,

Лекция



Это окончание невероятной информации про компьютерные вирусы.

...

более 13 лет. Данный вид антивирусного программного обеспечения не был популярным долгое время, но с появлением новых видов ИТ-угроз о поведенческих блокираторах вновь вспомнили. Основная идея блокиратора — анализ поведения программ и блокировка выполнения любых опасных действий. Теоретически, блокиратор может предотвратить распространение любого, как известного, так и неизвестного (написанного после блокиратора) вируса. Именно в этом направлении и движется сегодня большинство разработчиков антивирусного ПО. Примеров реализации данной технологии довольно много. В последнее время большинство систем предотвращения распространения почтовых червей по механизму являются поведенческими блокираторами.

Как уже говорилось выше, первое поколение поведенческих блокираторов появилось еще в середине 90-х годов (в самый разгар эпохи DOS-вирусов). Принцип их работы был прост — при обнаружении потенциально опасного действия задавался вопрос пользователю — разрешить или запретить действие. Во многих случаях такой подход работал, но «подозрительные» действия производили и легитимные программы (вплоть до операционной системы) и если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание. С проникновением персональных компьютеров все глубже в повседневную жизнь снижался средний уровень квалификации пользователей и первые поведенческие блокираторы перестали быть востребованными рынком.

Второе поколение поведенческих блокираторов отличает то, что они анализируют не отдельные действия, а последовательность действий, и уже на основании этого делается заключение о вредоносности той или иной программы. Это значительно сокращает количество запросов к пользователю и повышает надежность детектирования.

Эволюция поведенческих блокираторов является хорошей иллюстрацией другого фактора, влияющего на эволюцию антивирусов — квалификация пользователя. Если на заре эры персональных компьютеров, большинство пользователей были довольно опытными и худо-бедно разбирались в устройстве ПК (вспомните книги Фигурнова), то с увеличением количества компьютеров их средний уровень снижался. Аналогично менялась сложность и интерфейс антивирусных программ в сторону упрощения. И если поведенческие блокираторы сначала стали жертвой усложнения, а потом восстали из пепла, то вот ревизорам изменения диска не так повезло — суперпопулярные вид антивирусного ПО 90-х сейчас практически никем не используется. Причина та же — сложность и необходимость понимать природу происходящего в компьютере.

Таким образом, к середине 90-х были придуманы и разработаны все основные технологии, которые применяются до сих пор.

Вирусы умерли, да здравствуют вредоносные программы

Windows 95, Office и макро вирусы. 95-й год для многих запомнится выходом Microsoft Windows 95 и появлению первого макро вируса для MS Word. Оба этих события повлияли на антивирусы, но в разной мере.

С появлением Windows 95 программистам пришлось серьезно задуматься о многозадачности, фоновых проверках, синхронизации и других вопросах, которых ранее попросту не возникало.

Развитая многозадачность операционной системы подтолкнула разработчиков к созданию таких антивирусов, которые бы проверяли файлы на лету (при обращении к ним) — On-Access Scanner или мониторов. Конечно же, такие программы были и раньше до Windows 95, но MS DOS налагала существенные ограничения на функционал мониторов. Появление Windows 95 открыла новые горизонты и для вирусописателей, но к счастью для разработчиков антивирусов, они не торопились осваивать новую ОС и у разработчиков появилась небольшая фора.

Второй фактор (появление макро вирусов) также повлиял на индустрию, но в гораздо меньшей степени — разработка движков для работы с файлами MS Word (а в дальнейшем и с другими программами MS Office) показала кто из разработчиков антивирусов на самом деле является технологическим лидером.

Эра интернет наступила как-то не заметно. Еще вчера электронная почта была у единиц, а сегодня уже в каждом втором доме есть ICQ, и подростки часами сидят в чатах. Интернет был самым серьезным фактором, изменившим антивирусную индустрию, да что там антивирусную индустрию, он изменил нашу жизнь. Что же касается вирусов, то интенет их просто убил.

21 век принес, пожалуй, самые большие изменения в индустрию антивирусов — умер термин вирус. На смену пришло понятие вредоносная программа. Разумеется, эти изменения произошли не сразу, этому были явные предпосылки — в конце 90-х интернет из игрушки для профи стал непременным атрибутом нашей жизни. В Сети люди знакомились, женились, влюблялись, делали покупки. В Сети люди просто жили. Постепенно в интенет появились деньги — сначала это были аккаунты для доступа в Сеть, потом виртуальные деньги, а затем реальные (номера счетов, кредитных карточек), а раз где-то есть деньги, значит, найдутся люди, которые захотят эти деньги отобрать.

Постепенно поменялась цель написание вирусов — от простого хулиганства или самоутверждения цель сместилась в область финансов и как следствие классические вирусы, заражающие файлы, практически исчезли. Остались одни троянские программы в своих различных проявлениях. Все это решено было называть «вредоносными программами». Кроме этих программ появились еще и другие, которые при некоторых условиях могут нанести вред (например, открыть доступ к вашему компьютеру и данным злоумышленнику), передать персональные данные пользователя злоумышленнику или показывать непрошенную рекламу. Не смотря на то, что эти программы очень разные по своим действиям, их стали называть Spyware (шпионское программное обеспечение), что не совсем корректно. Более правильный термин (чаще используется специалистами) — потенциально опасные программы или потенциально нежелательные программы (Potentially Unwanted Programs).

Всему этому — вредоносным программам, потенциально опасным программам, утилитам для финансовых махинаций противостоят все те же антивирусные программы, которые пора бы уже переименовать в антивредоносные, но люди привыкли к старому названию и по привычке называют их антивирусами.

Интернет повлиял не только на вирусы, развитие сетей повлияло и на стратегию защиты. Стала доминировать эшелонированная защита с обязательной защитой периметра — интернет-шлюзов и почтовых серверов. Постепенно акцент был смещен с защиты только рабочих станций именно на эти узлы защиты. Причина проста — изменение приоритетов путей проникновения угроз на компьютеры. Сегодня основной источник заразы это протоколы интернета — HTTP, FTP, SMTP и др., различные протоколы для систем мгновенного обмена сообщениями (ICQ, AOL IM, MSN Messenger), протоколы программ P2P и другие. Сменные носители, как средство переноса вредоносных программ отошли на второй план.

Антивирус

Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты , средство обнаружения вредоносных программ ) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления зараженных (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

История антивирусов

Первые антивирусы появились в конце 1980-х годов, однозначно установить время их появления затруднительно. Пионерами были AntiVir и Dr. Solomon’s Anti-Virus Toolkit, созданные в 1988 году, а также Symantec antivirus for Macintosh, запущенный годом позже.

Методы защиты от вирусов

Для защиты от вирусов используют три группы методов :

  1. Методы, основанные на анализе содержимого файлов (как файлов данных, так и файлов с кодами команд). К этой группе относятся сканирование сигнатур вирусов, а также проверка целостности и сканирование подозрительных команд.
  2. Методы, основанные на отслеживании поведения программ при их выполнении. Эти методы заключаются в протоколировании всех событий, угрожающих безопасности системы и происходящих либо при реальном выполнении проверяемого кода, либо при его программной эмуляции.
  3. Методы регламентации порядка работы с файлами и программами. Эти методы относятся к административным мерам обеспечения безопасности.

Метод сканирования сигнатур (сигнатурный анализ, сигнатурный метод ) основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого вновь обнаруженного вируса специалистами антивирусной лаборатории выполняется анализ кода, на основании которого определяется его сигнатура. Полученный кодовый фрагмент помещают в специальную базу данных вирусных сигнатур, с которой работает антивирусная программа. Достоинством данного метода является относительно низкая доля ложных срабатываний, а главным недостатком — принципиальная невозможность обнаружения в системе нового вируса, для которого отсутствует сигнатура в базе данных антивирусной программы, поэтому требуется своевременная актуализация базы данных сигнатур .

Метод контроля целостности основывается на том, что любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Вирус обязательно оставляет свидетельства своего пребывания (изменение данных существующих (особенно системных или исполняемых) файлов, появление новых исполняемых файлов и т. д.). Факт изменения данных — нарушение целостности — легко устанавливается путем сравнения контрольной суммы (дайджеста), заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы (дайджеста) текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются все основания провести для этого кода дополнительную проверку, например, путем сканирования вирусных сигнатур. Указанный метод работает быстрее метода сканирования сигнатур, поскольку подсчет контрольных сумм требует меньше вычислений, чем операции побайтового сравнения кодовых фрагментов, кроме того он позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур .

Метод сканирования подозрительных команд (эвристическое сканирование, эвристический метод ) основан на выявлении в сканируемом файле некоторого числа подозрительных команд и(или) признаков подозрительных кодовых последовательностей (например, команда форматирования жесткого диска или функция внедрения в выполняющийся процесс или исполняемый код). После этого делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке. Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы .

Метод отслеживания поведения программ принципиально отличается от методов сканирования содержимого файлов, упомянутых ранее. Этот метод основан на анализе поведения запущенных программ, сравнимый с поимкой преступника «за руку» на месте преступления. Антивирусные средства данного типа часто требуют активного участия пользователя, призванного принимать решения в ответ на многочисленные предупреждения системы, значительная часть которых может оказаться впоследствии ложными тревогами. Частота ложных срабатываний (подозрение на вирус для безвредного файла или пропуск вредоносного файла) при превышении определенного порога делает этот метод неэффективным, а пользователь может перестать реагировать на предупреждения или выбрать оптимистическую стратегию (разрешать все действия всем запускаемым программам или отключить данную функцию антивирусного средства). При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск выполнения команд вирусного кода, способных нанести ущерб защищаемому компьютеру или сети. Для устранения подобного недостатка позднее был разработан метод эмуляции (имитации), позволяющий запускать тестируемую программу в искусственно созданной (виртуальной) среде, которую часто называют песочницей (sandbox), без опасности повреждения информационного окружения. Использование методов анализа поведения программ показало их высокую эффективность при обнаружении как известных, так и неизвестных вредоносных программ .

лжеантивирусы

В 2009 году началось активное распространение лжеантивирусов — программного обеспечения, не являющегося антивирусным (то есть не имеющего реальной функциональности для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.

Специальные антивирусы

В ноябре 2014 года международная правозащитная организация Amnesty International выпустила антивирусную программу Detect, предназначенную для выявления вредоносного ПО, распространяемого государственными учреждениями для слежки за гражданскими активистами и политическими оппонентами. Антивирус, по заявлению создателей, выполняет более глубокое сканирование жесткого диска, нежели обычные антивирусы .

Эффективность антивирусов

Аналитическая компания Imperva в рамках проекта Hacker Intelligence Initiative опубликовала интересное исследование , которое показывает малую эффективность большинства антивирусов в реальных условиях.

По итогам различных синтетических тестов антивирусы показывают среднюю эффективность в районе 97 %, но эти тесты проводятся на базах из сотен тысяч образцов, абсолютное большинство которых (может быть, около 97 %) уже не используются для проведения атак.

Вопрос в том, насколько эффективными являются антивирусы против самых актуальных угроз. Чтобы ответить на этот вопрос, компания Imperva и студенты Тель-Авивского университета раздобыли на российских подпольных форумах 82 образца самого свежего вредоносного ПО — и проверили его по базе VirusTotal, то есть против 42 антивирусных движков. Результат оказался плачевным.

  1. Эффективность антивирусов против только что скомпилированных зловредов оказалась менее 5 %. Это вполне логичный результат, поскольку создатели вирусов обязательно тестируют их по базе VirusTotal.
  2. От появления вируса до начала его распознавания антивирусами проходит до четырех недель. Такой показатель достигается «элитными» антивирусами, а у остальных антивирусов срок может доходить до 9-12 месяцев. Например, в начале исследования 9 февраля 2012 года был проверен свежей образец фальшивого инсталлятора Google Chrome. После окончания исследования 17 ноября 2012 года его определяли только 23 из 42 антивирусов.
  3. У антивирусов с самым высоким процентом определения зловредов присутствует также высокий процент ложных срабатываний.
  4. Хотя исследование сложно назвать объективным, ибо выборка зловредов была слишком маленькой, но можно предположить, что антивирусы совершенно непригодны против свежих киберугроз.

Классификации антивирусных программ

Антивирусные программы подразделяются по исполнению (средствам блокирования) на:

  • программные;
  • программно-аппаратные.

По признаку размещения в оперативной памяти выделяют:

  • резидентные (начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов);
  • нерезидентные (запускаются по требованию пользователя или в соответствии с заданным для них расписанием).

По виду (способу) защиты от вирусов различают:

  • Программы-детекторы, или сканеры , находят вирусы в оперативной памяти, на внутренних и(или) внешних носителях, выводя сообщение при обнаружении вируса.
  • Программы-доктора, (фаги , полифаги ) находят зараженные файлы и «лечат» их. Среди этого вида программ существуют полифаги, которые способны удалять разнообразные виды вирусов, самые известные из антивирусов-полифагов Norton AntiVirus, Doctor Web, Kaspersky Antivirus.
  • Программы-вакцины (иммунизаторы ) выполняют иммунизацию системы (файлов, каталогов) блокируя действие вирусов .
  • Программы-ревизоры являются наиболее надежными в плане защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов, системных областей диска до момента инфицирования компьютера (как правило, на основе подсчета контрольных сумм ), затем сравнивают текущее состояние с первоначальным, выводя найденные изменения на дисплей.
  • Программы-мониторы начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов по принципу «здесь и сейчас».
  • Программы-фильтры (сторожа) обнаруживают вирус на ранней стадии, пока он не начал размножаться. Программы-сторожа — небольшие резидентные программы, целью которых является обнаружение действий, характерных для вирусов.

Основные виды антивирусных программ

  • Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.
  • Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
  • Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
  • Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
  • Программы-вакцины (иммунизаторы) — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Вау!! 😲 Ты еще не читал? Это зря!

Пожалуйста, пиши комментарии, если ты обнаружил что-то неправильное или если ты желаешь поделиться дополнительной информацией про компьютерные вирусы Надеюсь, что теперь ты понял что такое компьютерные вирусы, антивирус, компьютерны вирус, способы заражения, лечение виусов, профилактика, жизненный цикл вируса, лжеантивирусы, полиморфик-генератор и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Информатика

Продолжение:


Часть 1 10.5. Компьютерные вирусы и антивирусы Классификация, способы заражения, лечения и профилактики, жизненный цикл
Часть 2 4 Основные каналы распространения вирусов и других вредоносных программ -
Часть 3 Антивирус - 10.5. Компьютерные вирусы и антивирусы Классификация, способы заражения,

Ответы на вопросы для самопроверки пишите в комментариях, мы проверим, или же задавайте свой вопрос по данной теме.

создано: 2014-09-13
обновлено: 2024-11-14
223

Рейтиг 9 of 10. count vote: 2
Вы довольны ?:
Поделиться:

Найди готовое или заработай

С нашими удобными сервисами без комиссии*

Как это работает? | Узнать цену?

Найти исполнителя
$0 / весь год.
  • У вас есть задание, но нет времени его делать
  • Вы хотите найти профессионала для выплнения задания
  • Возможно примерение функции гаранта на сделку
  • Приорететная поддержка
  • идеально подходит для студентов, у которых нет времени для решения заданий
Создать заявку
Готовое решение
$0 / весь год.
  • Вы можите продать(исполнителем) или купить(заказчиком) готовое решение
  • Вам предоставят готовое решение
  • Будет предоставлено в минимальные сроки т.к. задание уже готовое
  • Вы получите базовую гарантию 8 дней
  • Вы можете заработать на материалах
  • подходит как для студентов так и для преподавателей
Добавить решение
Я исполнитель
$0 / весь год.
  • Вы профессионал своего дела
  • У вас есть опыт и желание зарабатывать
  • Вы хотите помочь в решении задач или написании работ
  • Возможно примерение функции гаранта на сделку
  • подходит для опытных студентов так и для преподавателей
Разместить резюме

Комментарии

Оставить комментарий
Если у вас есть какое-либо предложение, идея, благодарность или комментарий, не стесняйтесь писать. Мы очень ценим отзывы и рады услышать ваше мнение.
To reply

Информатика

Термины: Информатика