Автор: Пользователь скрыл имя, 17 Мая 2012 в 09:56, курсовая работа
Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.
2 Методы обнаружения вирусов
2.1 Метод соответствия определению вирусов в словаре
1. Удалить инфицированный файл.
2. Заблокировать доступ к инфицированному файлу.
3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
4. Попытаться восстановить файл, удалив сам вирус из тела файла.
5. В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.
Для того чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в словарь вирусов нужно периодически загружать (обычно, через Интернет) обновленные данные. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а они затем добавят информацию о новых вирусах в свой словарь.
Для многих антивирусных программ со словарем характерна проверка файлов в тот момент, когда операционная система создает, открывает, закрывает или посылает их по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. Заметьте также, что системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жестком диске компьютера. Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с определением в словаре вирусов.
2.2 Метод обнаружения странного поведения программ
Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта. Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.
2.3 Метод обнаружения при помощи эмуляции
Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы, перед тем как передать ей управление. Если программа использует само изменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.
2.4 Метод «Белого списка»
Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».
3 Антивирусные программы
Антивирус - это программа, предназначенная для сканирования и распознавания на компьютере пользователя программ или скриптов, макросов, которые могут причинить вред пользователю или существенно замедлить работу компьютера.
Известные ныне антивирусные программы можно разделить на несколько типов:
1. Детекторы.
Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.
2. Доктора (Фаги. Фаг).
Это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.
3. Ревизоры.
Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf, разработанная Д.Мостовым.
4. Вакцины.
Так называются антивирусные программы, ведущие себя подобно вирусам, но не наносящие вреда. Вакцины предохраняют файлы от изменений и способны не только обнаружить факт заражения, но и в некоторых случаях «вылечить» пораженные вирусами файлы. В настоящее время антивирусные программы-вакцины широко не применяются, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.
Для нахождения вирусов Dr. Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr. Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.
Основными функциональными особенностями Dr. Web 4.33 являются:
защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;
обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;
проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);
эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.
Любой современный антивирусный продукт - это не только набор отдельных технологий детектирования, но и сложная система защиты, построенная на собственном понимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносных программ. При этом принятые многие годы назад архитектурные и технические решения серьезно ограничивают возможности изменять соотношение проактивных и реактивных методов защиты. Например, в антивирусной системе Eset NOD32 используются как эвристические, так и сигнатурные методы борьбы с вредоносным кодом, но роли между этими двумя технологиями распределяются не так, как в других антивирусах: в то время как большинство антивирусов отталкивается от сигнатурных методов, дополняя их эвристиками, у Eset NOD32 все наоборот. Основным способом противостояния вредоносным программам здесь являются так называемые расширенные эвристики (Advanced Heuristics), представляющие собой сочетание эмуляции, эвристик, алгоритмического анализа и сигнатурного метода. В итоге расширенные эвристики Eset NOD32 позволяют проактивно детектировать почти 90% всех угроз, а остальные устраняются сигнатурными методами. Надежность такого под хода подтверждается результатами независимых тестирований.
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, Windows Vista, Windows 7 от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, интернета, дискет, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):
1. Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.
2. Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.
Программа создает надежный барьер на пути проникновения вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах. Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE. В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые вами или программами файлы.
NOD32 - антивирусный пакет, выпускаемый фирмой Eset. Возник в конце 1998 года. Название изначально расшифровывалось как Nemocnica na Okraji Disku ("Больница на краю диска").
NOD32 - это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. Eset NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении Eset NOD32 используется патентованная технология ThreatSense®. Эта технология предназначена для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.
Наравне с базами вирусов NOD32 использует эвристические методы. Считается, что среди других ведущих антивирусных пакетов NOD32 отличается малым использованием системных ресурсов.
Дружественный интерфейс программы лёгок и интуитивно понятен, настройка не вызывает проблем.
Высокая производительность Эффективное обнаружение вредоносных программ не обязательно должно замедлять работу компьютера. NOD32 по большей части написан на языке ассемблера и неоднократно выигрывал награды за высочайшую производительность среди антивирусных приложений. NOD32 в среднем в 2-5 раз быстрее, чем его конкуренты (источник: Virus Bulletin).