Антивирусы. Выбор. Функциональность. ПредназначениеИсточник: webanet
Каждый у кого есть компьютер, хотя бы раз сталкивался с проблемой выбора защиты, а именно антивируса или фаервола. Иногда это нелегкий выбор, так как продукции очень много и она вся разная. Разная по функциональности, разная по эффективности, разная в плане аппаратных и системных требований и в конце концов разная по цене. Не сложно растеряться или принять неверное решение. Попытаемся разобраться хотя бы в некотором антивирусном ПО для домашних пользователей. Для начала попытаемся разобраться в том функционале, который требуется домашнему пользователю, так как защита домашних компьютеров несколько выгодно отличается от защиты корпоративных сетей или серверов, отличается в сторону более упрощённых требований к антивирусному ПО. Итак давайте немного разберем функциональность и что это такое... У каждого антивируса есть так называемое ядро. У каждого уважающего себя антивируса должен быть монитор. Так же в антивирусах присутствует мониторинг Windows API. Windows API в основном используют клавиатурные шпионы. Мониторинг Windows API основан на перехвате функций кейлогеров. Вызов некоторых функций может послужить причиной тревоги со стороны антивируса, но к сожалению такой мониторинг чаще всего даёт ложные срабатывания, а многие кейлогеры использующие технологию RootKit и вовсе не детектятся, хотя и представляют собой огромную опасность. В общем эффктивность данного модуля, если он присутствует в антивирусе не очень высока, хотя в Касперском нашли оригинальный способ обойти это всё. Они внедрили технологию виртуальной клавиатуры, что является на мой взгляд, если не панацеей, то неплохим решением. Так как вышеперечисленные методы, как мы уже выяснили, не дают 100% полноценной защиты, многие производители антивирусного ПО стали внедрять эвристический метод обнаружения вредоносного кода. Этот метод основан на сравнении и выявлении алгоритмов, присущих вредоносному коду. Данный метод, основанный на распознании структуры и алгоритма исполнения файлов, тоже является хорошим прорывом вперёд, так как такой метод позволяет обнаружить ещё неизвестные вирусы и распознаёт модификации уже известных. Всё хорошо, но данный метод тоже очень сильно "страдает" от ложных срабатываний. Опытный пользователь ещё сможет распознать ложки и принять решение, а вот неопытный...тут все сложнее. Есть ещё один метод обнаружения вирусов. Это поведенческий анализ или проактивка. Данный метод основан на анализе поведения приложений. В основном это мониторинг реестра, анализ активности приложений, контроль целостности (на предмет модификаций и всяческих изменений) и проверка макросов. Данный метод в своём комплексе является достаточно эффективным, но зачастую он понятен опытным пользователям, которые знают системные процессы и так далее. При таком методе обнаружения даже обыкновенное обновление любого приложения до более высшей версии может вызвать тревогу, и вот тут как раз надо принимать решения на счёт пропустить действие или заблокировать, так же надо отличать "здоровые" модификации, как обновление, при котором может происходить перебивка многих файлов в приложении, от вредоносных, которые тоже как правило "следят" в реестре и видоизменяют файлы. Данный метод хорош, но он усложняет работу антивируса. Ещё хочу отметить медот ХИПС, который только внедряется в современные антивирусы. Основан он на сличении цифровых подписей всех приложений и их целостности. Но только этим не ограничивается, так как это целый комплекс мер, в которые входят все вышеперечисленные методы и многое другое. Грубо рассуждая ХИПС расчитан на то, что если вредоносный код и попадёт на компьютер, то он все равно будет уничтожен на одном из уровней защиты, но основная идея ХИПС и состоит в том, чтобы не допустить вредоносный код на компьютер. Метод ХИПС ещё называют технологией эмуляции кода программ. Современные эмуляторы эмулируют не только команды процессора, но и вызовы операционной системы. В общем мы немного разобрались с функционалом. Теперь кратенько пробежимся только по некоторым предствителям антивирусной фауны, ибо говорить о всех подряд мало смысла. Рзаберем самых ярких представителей Не буду оригинальной, так как попытаюсь разобрать самые популярные на сей день антивирусы. Такие как: продукты Касперского, Аваст и Авиру. Перед разбором следует отметить, что есть по крайней мере два вида антивирусов. Это чистый антивирус и антивирус или со встроенным фаерволом или с сетевым монитором, новомодно называемые в народе "комбаины". Итак начнем с Касперского, так как в новой версии 8.0.0.454 реализованны все методы обнаружения, которые мы с вами разбирали. Это хорошо с одной стороны тем, что данный продукт при правильных настройках может претендовать на статус полноценной защиты. Но это все делает его сложным в настройках для простого пользователя. В автоматическом режиме он не сильно выделяется среди всех остальных продуктов своего класса, если честно, но ручные настройки могут превратить данный продукт действительно в достаточно эффективного защитника. Но всегда есть свои но, кроме сложности настроек, хочется отметить, что продукт потяжелел, и на очень слабые машины его не стоит ставить. Есть ещё один неприятный нюанс: это так называемый первый запуск приложения. Если файл достаточно большой, то пользователю стоит запастись терпением, чтобы дождаться запуска данного приложения, есть конечно ещё набор мелочей, но они не сильно портят впечатление от продукта, плюс к нему не надо ставить фаервол, ибо данная версия, являет собой полноценный "комбаин". Аваст. Тоже неплохой антивирус, который более подходит обыкновенному домашнему пользователю, не сильно разбирающемуся в компьютерах. Простой интерфейс, лёгкое управление и такие же лёгкие настройки. Присутствует достаточно неплохой сигнатурный анализ, подобие эвристического, так же есть сетевой монитор. Сетевой монитор у Аваста достаточно слабенький, поэтому его можно дополнить сторонним фаерволом. Так же в авасте присутствует функция, которая по идее должна помогать в лечении системы от вирусов. Эта функция, если грубо рассуждать, делает как бы "слепок" системыи потом с помощью этого "слепка" возможно проводить достаточно эффективное лечение и восстановление повреждённых системных файлов. Очень хорошая идея кстати. В общем Аваст может подойти любому пользователю. Единственный недостаток на мой взгляд - это достаточно жёсткая проверка на сторонние пакеры и не подписанные файлы. Это я к тому, что при очередном скане пользователь может оптом лишиться всех своих кряков, ключей, кейгенов и прочей светотени. Эта особенность может вызвать целую неразбериху у неискушённого пользователя, а именно, при скачивании очередного "кряка" Аваст определит его как вредоносный вне зависимости вшит ли на самом деле вредоносный код в него или не вшит, а это простая реакция на сторонний пакер. Есть бесплатная версия, но грубо говоря, она не радикально отличается от платной, за исключением некоторых расширенных возможностей, в первую очередь в настройке. Авира. Чтож, наверное это самый лучший вариант для всех. Легка, надёжна, быстра и главное способна обеспечить достойную защиту. Присутствует и сигнатурный и проактивный, и эвристический, и веб монитор. Наверное это действительно идеальное решение, на мой взгляд, для всех пользователей. Существует бесплатная версия, если в ней поставить самые высокие уровни защиты по всем направлениям, то она не уступит платным. Единственное что, так это надо ко всем версиям, кроме сюиты, ставить сторонний фаервол. Скажу кратко о недостатках. Ну есть такой недостаток как и в Авасте. Та же самая реакция на сторонние пакеры. Ещё есть небольшая неразбериха с вебгардом. Получается, что вебгард эмулирует прокси соединение, через которое выходит и браузер в сеть и самое главное через которое происходит закачка файлов. С одной стороны из-за этого скорость операций снижается, а вот безопасность сильно повышается, за счёт того, что вебгард и стоит на страже вашего компьютера не допуская локального заражения. В общем мы немного разобрались в данной теме, но только очень немного и поверхностно, так как на самом деле эта тема безгранична, так как все меняется достаточно сильно и довольно часто. Вечный бой добра со злом, бой развития вредоносного кода и бой в способах его обнаружения. |