Автор: Пользователь скрыл имя, 01 Декабря 2012 в 00:52, реферат
Комп’ютерний вірус – це спеціально створена програма, або сукупність машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК певні деструктивні дії.
З новими комп'ютерами з'явилися нові проблеми. Однією з них є більша ймовірність зараження новими вірусами. Вони роблять неможливим нормальне функціонування програм і комп'ютера.
І Вступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
ІІ Антивірусні програми:
1. Типи антивірусних програм . . . . . . . . . . . . . . . . . . . . 4
2. Основи роботи антивірусних програм: . . . . . . . . . . . . . 5
2.1. Загальні відомості . . . . . . . . . . . . . . . . . . . . . . 5
2.2. Сигнатурний аналіз . . . . . . . . . . . . . . . . . . . . . 6
2.3. Евристичний аналіз . . . . . . . . . . . . . . . . . . . . . 7
2.4. Пошук вірусів, схожих на відомі . . . . . . . . . . . . . . 8
2.5. Пошук вірусів, що виконують підозрілі дії . . . . . . . . 8
2.6. Модуль оновлення . . . . . . . . . . . . . . . . . . . . . . 9
2.7. Модуль планування . . . . . . . . . . . . . . . . . . . . . 10
2.8. Модуль управління . . . . . . . . . . . . . . . . . . . . . 11
2.9. Карантин . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3. Сучасні антивірусні компанії та програми . . . . . . . . . . . 13
ІІІ Висновки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Список використаної літератури . . . . . . . . . . . . . . . . . . . 17
Зміст
І Вступ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
ІІ Антивірусні програми:
ІІІ Висновки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Список використаної літератури . . . . . . . . . . . . . . . . . . . 17
І Вступ
Комп’ютерний вірус – це спеціально створена програма, або сукупність машинного коду, яка здатна розмножуватись і, як правило, виконує на ПК певні деструктивні дії.
З новими комп'ютерами з'явилися нові проблеми. Однією з них є більша ймовірність зараження новими вірусами. Вони роблять неможливим нормальне функціонування програм і комп'ютера.
Тому, безперечно, для лікування програм, знищення вірусів і профілактики постійно потрібні нові антивірусні програми.
Мета реферату – дослідити антивірусні програми.
Мета реферату зумовлює виконання такого завдання: охарактеризувати основні типи антивірусних програм.
ІІ Антивірусні програми
1. Типи антивірусних програм
Для виявлення та ліквідації вірусів розроблені сотні різних антивірусних програм. Однак ні одна антивірусна програма не може гарантувати 100 % виявлення і усунення віруса. До того ж самі антивірусні програми іноді є джерелами нового віруса. Один вірус вони можуть знищити, а інший, новіший,— внести.
Знайте, що як ліки буває не рятують людину від хвороби, так і антивірус не завжди рятує від комп'ютерного віруса. Як засоби нападу попереджують засоби захисту, так і віруси попереджують антивірусні програми. Спочатку з'являється конкретний тип вірусної програми, а вже потім розробляється під неї відповідна антивірусна програма.
Антивірусна програма (антивірус) — програма для знаходження і, можливо, лікування програм, що заражені комп'ютерним вірусом, а також, можливо, для запобігання зараження файлів та дисків вірусом і запобігання підозрілим діям.
Залежно від виконуваних функцій серед антивірусних програм виділяють такі:
* Програми-детектори. Вони поділяються на детектори, що дозволяють виявляти і видаляти відомі віруси, і детектори, здатні боротися із досі не відомими (тобто новими) вірусами. До першої групи детекторів належить популярна в минулі роки програма Aidstest, розроблена Д.М. Лозинським. Детектори другої групи містять так званий евристичний аналізатор, здатний виявляти віруси, про які ще не знали автори детектора на момент його розробки і які можуть з'явитися згодом. Прикладом евристичного детектора є потужна антивірусна програма DrWeb І.А. Данилова. Ця програма дозволяє також боротися із поліморфними вірусами.
* Програми-ревізори. Ці програми контролюють усі вразливі (для вірусної атаки) компоненти комп'ютера. Принцип їхньої дії полягає у тому, що вони запам'ятовують дані про стан файлів і системних ділянок дисків, а при наступних запусках порівнюють їхній стан із вихідним.
* Програми-охоронці. Подібні програми резидентно розташовуються в пам'яті комп'ютера й автоматично перевіряють на наявність вірусів файли, що запускаються, і дискети, що вставляються до дисковода. При виявленні вірусу програма-охоронець може видавати попереджувальне повідомлення, а також може запобігти тим діям вірусу, які можуть призвести до його розмноження або зашкодити системі.
* Антивірусні комплекси. Сучасні антивірусні програми - це комплекси, що поєднують функції детектора, ревізора й охоронця. До таких комплексів належить широко відома програма Norton Antivirus, а також пакет Anti-Viral Toolkit Pro (скорочено AVP). Останній - найпопулярніший у країнах СНД - створено у Росії в лабораторії Є. Касперського.
2. Основи роботи антивірусних програм
Антивірусні програми - це програми, основним завданням яких є захист від вірусів, або точніше, від шкідливих програм.
Методи і принципи захисту теоретично не мають особливого значення, головне щоб вони були направлені на боротьбу зі шкідливими програмами. Але на практиці справа йде трохи інакше: практично будь-яка антивірусна програма об'єднує в різних пропорціях всі технології і методи захисту від вірусів, створені до сьогоднішнього дня.
З усіх методів антивірусного захисту можна виділити дві основні групи:
Слово сигнатура в даному випадку є калькою на англійське signature, що означає "підпис" або ж у переносному розумінні "характерна межа, щось ідентифікуюча". Власне, цим все сказано. Сигнатурний аналіз полягає у виявленні характерних ідентифікуючих рис кожного вірусу і пошуку вірусів шляхом порівняння файлів з виявленими рисами.
Сигнатурою вірусу вважатиметься сукупність рис, що дозволяють однозначно ідентифікувати наявність вірусу у файлі (включаючи випадки, коли файл цілком є вірусом). Всі разом сигнатури відомих вірусів складають антивірусну базу.
Задачу виділення сигнатур,
як правило, вирішують люди - експерти
в області комп'ютерної
Практично в кожній компанії, що випускає антивіруси, є своя група експертів, що виконує аналіз нових вірусів і поповнює антивірусну базу новими сигнатурами. З цієї причини антивірусні бази в різних антивірусах відрізняються. Проте, між антивірусними компаніями існує домовленість про обмін зразками вірусів, а значить рано чи пізно сигнатура нового вірусу потрапляє в антивірусні бази практично всіх антивірусів. Кращим же антивірусом буде той, для якого сигнатура нового вірусу була випущена раніше всіх.
Одна з поширених помилок щодо сигнатур полягає в тому,що кожна сигнатура відповідає рівно одному вірусу або шкідливій програмі. І як наслідок, антивірусна база з великою кількістю сигнатур дозволяє виявляти більше вірусів. Насправді це не так. Дуже часто для виявлення сімейства схожих вірусів використовується одна сигнатура, і тому вважати, що кількість сигнатур рівна кількості вірусів, що виявляються, вже не можна.
Співвідношення кількості сигнатур і кількості відомих вірусів для кожної антивірусної бази своє і цілком може опинитися, що база з меншою кількістю сигнатур насправді містить інформацію про більшу кількість вірусів. Якщо ж пригадати, що антивірусні компанії обмінюються зразками вірусів, можна з високою часткою упевненості вважати, що антивірусні бази найбільш відомих антивірусів еквівалентні.
Важлива додаткова властивість сигнатур - точне і гарантоване визначення типу вірусу. Ця властивість дозволяє занести в базу не тільки самі сигнатури, але і способи лікування вірусу. Якби сигнатурний аналіз давав тільки відповідь на питання, є вірус чи ні, але не давав би відповіді, що це за вірус, очевидно, лікування було б не можливе - дуже великим був би ризик зробити не ті дії і замість лікування отримати додаткові втрати інформації.
Інша важлива, але вже негативна властивість - для отримання сигнатури необхідно мати зразок вірусу. Отже, сигнатурний метод непридатний для захисту від нових вірусів, оскільки до тих пір, поки вірус не потрапив на аналіз до експертів, створити його сигнатуру неможливо. Саме тому всі найбільш крупні епідемії викликаються новими вірусами. З моменту появи вірусу в мережі Інтернет до випуску перших сигнатур зазвичай проходить декілька годин, і весь цей час вірус здатний заражати комп'ютери майже безперешкодно. Майже - тому що в захисті від нових вірусів допомагають додаткові засоби захисту, розглянуті раніше, а також евристичні методи, використовувані в антивірусних програмах.
Слово "евристика" походить від грецького дієслова "знаходити". Суть евристичних методів полягає в тому, що вирішення проблеми ґрунтується на деяких правдоподібних припущеннях, а не на строгих висновках з наявних фактів і передумов. Оскільки таке визначення звучить достатньо складно і незрозуміло, простіше пояснити на прикладах різних евристичних методів.
Якщо сигнатурний метод заснований на виділенні характерних ознак вірусу і пошуку цих ознак у файлах, що перевіряються, то евристичний аналіз ґрунтується на (вельми правдоподібному) припущенні, що нові віруси часто виявляються схожі на які-небудь з вже відомих. Постфактум таке припущення виправдовується наявністю в антивірусних базах сигнатур для визначення не одного, а відразу декількох вірусів. Заснований на такому припущенні евристичний метод полягає в пошуку файлів, які не повністю, але дуже близько відповідають сигнатурам відомих вірусів.
Позитивним ефектом від використання цього методу є можливість виявити нові віруси ще до того, як для них будуть виділені сигнатури. Негативні сторони:
Інший метод, заснований на евристиці, виходить з припущення, що шкідливі програми так чи інакше прагнуть завдати шкоди комп'ютеру. Метод заснований на виділенні основних шкідливих дій, таких як, наприклад:
Зрозуміло, що виконання кожної такої дії окремо не є приводом рахувати програму шкідливою. Але якщо програма послідовно виконує декілька таких дій, наприклад, записує запуск себе ж в ключ автозапуску системного реєстру, перехоплює дані, що вводяться з клавіатури і з певною частотою пересилає ці дані на якусь адресу в Інтернет, означає, що ця програма щонайменше підозріла. Заснований на цьому принципі евристичний аналізатор повинен постійно стежити за діями, які виконують програми.
Перевагою описаного методу є можливість виявляти невідомі раніше шкідливі програми, навіть якщо вони не дуже схожі на вже відомі. Наприклад, нова шкідлива програма може використовувати для проникнення на комп'ютер нову вразливість, але після цього починає виконувати вже звичні шкідливі дії. Таку програму може пропустити евристичний аналізатор першого типу, але цілком може виявити аналізатор другого типу.
Негативні риси ті ж, що і раніше:
В першу чергу, кожен
антивірус повинен містити
Саме це завдання і
вирішує модуль оновлення. Після
того, як експерти створюють нові сигнатури,
файли з сигнатурами