(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Антивирусы. Выбор. Функциональность. Предназначение

Источник: webanet

Каждый у кого есть компьютер, хотя бы раз сталкивался с проблемой выбора защиты, а именно антивируса или фаервола. Иногда это нелегкий выбор, так как продукции очень много и она вся разная. Разная по функциональности, разная по эффективности, разная в плане аппаратных и системных требований и в конце концов разная по цене. Не сложно растеряться или принять неверное решение. Попытаемся разобраться хотя бы в некотором антивирусном ПО для домашних пользователей.

Для начала попытаемся разобраться в том функционале, который требуется домашнему пользователю, так как защита домашних компьютеров несколько выгодно отличается от защиты корпоративных сетей или серверов, отличается в сторону более упрощённых требований к антивирусному ПО.

Итак давайте немного разберем функциональность и что это такое...

У каждого антивируса есть так называемое ядро.
Именно от того, какие методы детекта и перехвата заложены в него и зависит в конечном итоге общая функциональность и результат эффективности. Файловый анализ в основном осуществляется за счет сигнатурного метода, то есть выявление вредоносного кода по его " подписи". Каждый антивирус может иметь разные названия и подписи у одинаковых вирусов. Как это происходит? Выявляется вирус, обрабатывается, в итоге обработки ему присваивают "имя" и в последствии это имя и добавляется в базу сигнатур, и уже сверяясь с базами антивирус производит поиск. Грубое конечно определение, но нам и не нужно сильно вдаваться именно в это. Сигнатурный метод хорош при обнаружении уже известных вирусов, но к сожалению малоэффективен при обнаружении новейших вирусов, а так же модификаций уже имеющихся, так же сигнатурный метод не лишён ложных срабатываний.

У каждого уважающего себя антивируса должен быть монитор.
Антивирусный монитор в режиме реального времени наблюдает за поведением программ в памяти компьютера. При любом всплеске или аномальном поведении процесс будет анализирован ядром на предмет выявления вредоносности. Монитор антивируса постоянно присутствует в памяти, и от того, насколько он сильно расходует её в основном и зависит по нашим словам "тяжесть" того или иного антивируса.

Так же в антивирусах присутствует мониторинг Windows API. Windows API в основном используют клавиатурные шпионы. Мониторинг Windows API основан на перехвате функций кейлогеров. Вызов некоторых функций может послужить причиной тревоги со стороны антивируса, но к сожалению такой мониторинг чаще всего даёт ложные срабатывания, а многие кейлогеры использующие технологию RootKit и вовсе не детектятся, хотя и представляют собой огромную опасность. В общем эффктивность данного модуля, если он присутствует в антивирусе не очень высока, хотя в Касперском нашли оригинальный способ обойти это всё. Они внедрили технологию виртуальной клавиатуры, что является на мой взгляд, если не панацеей, то неплохим решением.

Так как вышеперечисленные методы, как мы уже выяснили, не дают 100% полноценной защиты, многие производители антивирусного ПО стали внедрять эвристический метод обнаружения вредоносного кода. Этот метод основан на сравнении и выявлении алгоритмов, присущих вредоносному коду. Данный метод, основанный на распознании структуры и алгоритма исполнения файлов, тоже является хорошим прорывом вперёд, так как такой метод позволяет обнаружить ещё неизвестные вирусы и распознаёт модификации уже известных. Всё хорошо, но данный метод тоже очень сильно "страдает" от ложных срабатываний. Опытный пользователь ещё сможет распознать ложки и принять решение, а вот неопытный...тут все сложнее.

Есть ещё один метод обнаружения вирусов. Это поведенческий анализ или проактивка. Данный метод основан на анализе поведения приложений. В основном это мониторинг реестра, анализ активности приложений, контроль целостности (на предмет модификаций и всяческих изменений) и проверка макросов. Данный метод в своём комплексе является достаточно эффективным, но зачастую он понятен опытным пользователям, которые знают системные процессы и так далее. При таком методе обнаружения даже обыкновенное обновление любого приложения до более высшей версии может вызвать тревогу, и вот тут как раз надо принимать решения на счёт пропустить действие или заблокировать, так же надо отличать "здоровые" модификации, как обновление, при котором может происходить перебивка многих файлов в приложении, от вредоносных, которые тоже как правило "следят" в реестре и видоизменяют файлы. Данный метод хорош, но он усложняет работу антивируса.

Ещё хочу отметить медот ХИПС, который только внедряется в современные антивирусы. Основан он на сличении цифровых подписей всех приложений и их целостности. Но только этим не ограничивается, так как это целый комплекс мер, в которые входят все вышеперечисленные методы и многое другое. Грубо рассуждая ХИПС расчитан на то, что если вредоносный код и попадёт на компьютер, то он все равно будет уничтожен на одном из уровней защиты, но основная идея ХИПС и состоит в том, чтобы не допустить вредоносный код на компьютер. Метод ХИПС ещё называют технологией эмуляции кода программ.
Технология эмуляции кода программ Sandboxing призвана на борьбу с огромным числом полиморфных вирусов.  Эмулируется исполнение программы (как зараженной вирусом, так и "чистой") в специальном "окружении", называемым также буфером эмуляции или "песочницей". Если в эмулятор попадает зараженный полиморфным вирусом файл, то после эмуляции в буфере оказывается расшифрованное тело вируса, готовое к детектированию стандартными методами (сигнатурный или CRC поиск).

Современные эмуляторы эмулируют не только команды процессора, но и вызовы операционной системы.
Таким методом  приходится именно эмулировать работу инструкций вируса, а не трассировать их, поскольку при трассировке вируса слишком велика вероятность вызова деструктивных инструкций или кодов, отвечающих за распространение вируса.
Данный метод является пока достаточно молодым, но очень высокоэффективным. Единственным недостатком данного метода пока является то, что такие сложные процессы не могут не влиять на скорость действий...и конечно же ещё сильнее усложняют сам антивирус.

В общем мы немного разобрались с функционалом. Теперь кратенько пробежимся только по некоторым предствителям антивирусной фауны, ибо говорить о всех подряд мало смысла. Рзаберем самых ярких представителей

Не буду оригинальной, так как попытаюсь разобрать самые популярные на сей день антивирусы. Такие как: продукты Касперского, Аваст и Авиру. Перед разбором следует отметить, что есть по крайней мере два вида антивирусов. Это чистый антивирус и антивирус или со встроенным фаерволом или с сетевым монитором, новомодно называемые в народе "комбаины".

Итак начнем с Касперского, так как в новой версии 8.0.0.454 реализованны все методы обнаружения, которые мы с вами разбирали. Это хорошо с одной стороны тем, что данный продукт при правильных настройках может претендовать на статус полноценной защиты. Но это все делает его сложным в настройках для простого пользователя. В автоматическом режиме он не сильно выделяется среди всех остальных продуктов своего класса, если честно, но ручные настройки могут превратить данный продукт действительно в достаточно эффективного защитника. Но всегда есть свои но, кроме сложности настроек, хочется отметить, что продукт потяжелел, и на очень слабые машины его не стоит ставить. Есть ещё один неприятный нюанс: это так называемый первый запуск приложения. Если файл достаточно большой, то пользователю стоит запастись терпением, чтобы дождаться запуска данного приложения, есть конечно ещё набор мелочей, но они не сильно портят впечатление от продукта, плюс к нему не надо ставить фаервол, ибо данная версия, являет собой полноценный "комбаин".

Аваст. Тоже неплохой антивирус, который более подходит обыкновенному домашнему пользователю, не сильно разбирающемуся в компьютерах. Простой интерфейс, лёгкое управление и такие же лёгкие настройки. Присутствует достаточно неплохой сигнатурный анализ, подобие эвристического, так же есть сетевой монитор. Сетевой монитор у Аваста достаточно слабенький, поэтому его можно дополнить сторонним фаерволом. Так же в авасте присутствует функция, которая по идее должна помогать в лечении системы от вирусов. Эта функция, если грубо рассуждать, делает как бы "слепок" системыи потом с помощью этого "слепка" возможно проводить достаточно эффективное лечение и восстановление повреждённых системных файлов. Очень хорошая идея кстати. В общем Аваст может подойти любому пользователю. Единственный недостаток на мой взгляд - это достаточно жёсткая проверка на сторонние пакеры и не подписанные файлы. Это я к тому, что при очередном скане пользователь может оптом лишиться всех своих кряков, ключей, кейгенов и прочей светотени. Эта особенность может вызвать целую неразбериху у неискушённого пользователя, а именно, при скачивании очередного "кряка" Аваст определит его как вредоносный вне зависимости вшит ли на самом деле вредоносный код в него или не вшит, а это простая реакция на сторонний пакер. Есть бесплатная версия, но грубо говоря, она не радикально отличается от платной, за исключением некоторых расширенных возможностей, в первую очередь в настройке.

Авира. Чтож, наверное это самый лучший вариант для всех. Легка, надёжна, быстра и главное способна обеспечить достойную защиту. Присутствует и сигнатурный и проактивный, и эвристический, и веб монитор. Наверное это действительно идеальное решение, на мой взгляд, для всех пользователей. Существует бесплатная версия, если в ней поставить самые высокие уровни защиты по всем направлениям, то она не уступит платным. Единственное что, так это надо ко всем версиям, кроме сюиты, ставить сторонний фаервол. Скажу кратко о недостатках. Ну есть такой недостаток как и в Авасте. Та же самая реакция на сторонние пакеры. Ещё есть небольшая неразбериха с вебгардом. Получается, что вебгард эмулирует прокси соединение, через которое выходит и браузер в сеть и самое главное через которое происходит закачка файлов. С одной стороны из-за этого скорость операций снижается, а вот безопасность сильно повышается, за счёт того, что вебгард и стоит на страже вашего компьютера не допуская локального заражения.

В общем мы немного разобрались в данной теме, но только очень немного и поверхностно, так как на самом деле эта тема безгранична, так как все меняется достаточно сильно и довольно часто. Вечный бой добра со злом, бой развития вредоносного кода и бой в способах его обнаружения.

Ссылки по теме


 Распечатать »
 Правила публикации »
  Написать редактору 
 Рекомендовать » Дата публикации: 15.04.2009 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
erwin Data Modeler Navigator Edition r9.7 - Product plus 1 Year Enterprise Maintenance Commercial
Symantec Endpoint Encryption, License, 1-24 Devices
erwin Data Modeler Workgroup Edition r9.7 - Product plus 1 Year Enterprise Maintenance Commercial
erwin Data Modeler Standard Edition r9.7 - Product plus 1 Year Enterprise Maintenance Commercial
Symantec Endpoint Protection Small Business Edition, Initial Hybrid Subscription License with Support, 1-24 Devices 1 YR
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Безопасность компьютерных сетей и защита информации
Новости ITShop.ru - ПО, книги, документация, курсы обучения
CASE-технологии
OS Linux для начинающих. Новости + статьи + обзоры + ссылки
Программирование в AutoCAD
Компьютерный дизайн - Все графические редакторы
 
Статьи по теме
 
Новинки каталога Download
 
Исходники
 
Документация
 
 



    
rambler's top100 Rambler's Top100