Принципи роботи антивіруса

  1. Сигнатурний метод виявлення
  2. Евристичні методи виявлення
  3. Брандмауер або файрвол

Антивірус - програма, яка шукає віруси , трояни , черв'яків , Бекдори та інше небажане ПО на комп'ютері користувача. Як правило антивіруси розробляються для сімейства ОС Windows, що як би натякає на наступні особливості цієї операційки: а) велику поширеність, б) велику вразливість до атак, в) велику перспективність ринку антивірусів через високу комерціалізації (а Windows - в більшості релізів платна ОС) і г) на жаль, малу комп'ютерну грамотність її користувачів.

Антивіруси бувають платні та безкоштовні . Детально про плюси і мінуси обох категорій ми говорити тут не будемо, зауважу тільки, що все не так однозначно, як може здатися на перший погляд.

Якщо подивитися з боку на роботу антивіруса, його самого можна легко прийняти за вірус, але тільки зі знаком плюс. Методи роботи антивіруса - стеження за мережевим трафіком, прослуховування портів, контроль служб, модифікація і видалення файлів, збір статистики і відправка даних розробнику ПО, неабияку споживання обчислювальних потужностей ... Хіба що виведення з ладу обладнання не вистачає! Зрозуміло, все це спрямовано на благо користувача і в ім'я збереження його даних, але загальна картина щонайменше цікава. До речі, саме через цю особливість вкрай не рекомендується встановлювати на одну машину відразу два антивіруса. Мало того, що це без танців з бубном рідко кому вдасться, так і наслідки їх спільної «роботи» можуть бути самими химерними, аж до летальних для ОС.

У масовій свідомості міцно засів міф, що багато вірусів створені самими антивірусними компаніями, крапки над «i» в цьому питанні розставить непогана стаття тут .

Різні антивіруси по-різному борються з шкідливим ПЗ. Всі антивіруси можуть виявляти віруси, але, на жаль, не всі ефективно лікувати. До складу антивіруса можуть входити кілька модулів, в залежності від релізу і того, на що здатна контора-розробник антивірусу. Модулі можуть бути наступні: модуль пошуку небажаного ПЗ, модуль аналізу підозрілої поведінки програм (евристичний модуль), карантинний модуль для ізоляції підозрілих файлів, модуль оновлень - для підтримки актуальності новим загрозам, модуль «зцілення» заражених файлів, брандмауер, він же файрвол, і деякі інші.

Модулі можуть бути наступні: модуль пошуку небажаного ПЗ, модуль аналізу підозрілої поведінки програм (евристичний модуль), карантинний модуль для ізоляції підозрілих файлів,   модуль оновлень   - для підтримки актуальності новим загрозам, модуль «зцілення» заражених файлів, брандмауер, він же файрвол, і деякі інші

Антивірус не є панацеєю! Це один з безлічі «бійців», кинутих в бій із загрозами безпеці в нескінченній війні за інформацію, причому не найсильніший. Ніякої антивірус не дає 100% захисту в силу особливостей його функціонування.

На жаль, велика частина роботи антивіруса спрямована на усунення наслідків «негігієнічною» ризикованою, а іноді, на жаль, просто неписьменна роботи користувача в Інтернеті, з зовнішніми носіями даних і невідомих програм.

Сигнатурний метод виявлення

Напевно ви зустрічалися з повідомленнями антивіруса, наприклад, Антивірус Касперського, про те, що антивірусні бази застаріли і їх необхідно оновити. Про які базах йдеться?

Антивірусна лабораторія - розробник антивірусу - виявляє вірус, аналізує його, і виявляє так звану сигнатуру. Сигнатура вірусу (сигнатура атаки) - особливий цифровий ознака шкідливої програми, за яким її можна «впізнати» і однозначно визначити. Ці сигнатури вносяться в базу даних, чиє оновлення регулярно викачує користувач вручну або за розкладом. Повідомлення від антивіруса про старіння бази вірусів сигналізує про ослаблення захисту і підвищення ймовірності підхопити якийсь «свіжак».

Переваги цього методу:

  1. Відпрацьована надійність. Метод застосовується давно і з успіхом, можна сказати що це основний метод виявлення вірусу.
  2. Висока швидкодія.

недоліки:

  1. Проблема лавиноподібного збільшення сигнатур. Винні і зростання кількості нових вірусів і здатність видозмінюватися у «старих». В результаті бази сигнатур виростають до непристойних розмірів, так що втрачається друга гідність методу. Ситуацію дозволяють шляхом особливих оптимізацій, коли одна сигнатура описує відразу безліч вірусів, однак при цьому виникає проблема помилкових спрацьовувань, що зменшує перша перевага.
  2. Проблема виявлення нових вірусів. Вважається, що самі користувачі вносять занадто маленький внесок у збільшення бази даних вірусів. Тобто виявлення нових вірусів - це нібито проблема розробників антивіруса, що з одного боку здається справедливим, з іншого є порушенням принципу «безпека - справа кожного». У багатьох антивирусах вбудована функція «відправити на перевірку», якій слід безборонно користуватися. Основні методи вирішення проблеми - це взаємний обмін інформацією з іншими антивірусними конторами, евристичний, (тобто інтелектуальний, що використовують особливий алгоритм) пошук вірусів в Інтернеті, швидка реакція під час епідемій і свідомість системних інженерів, які аналізують підозрілу активність в мережі.

Евристичні методи виявлення

Багато антивірусні програми містять в собі модуль так званого евристичного пошуку шкідливих програм . Суть методу в аналізі поведінки всіх програм, що запускаються. Якщо в процесі роботи системи раптом виявляється «підозріле» поведінку додатка, тобто програма раптом починає робити те, що раніше не робила, то спрацьовує тривога і евристичний модуль повідомляє користувачеві про потенційну загрозу.

Переваги методу:

  1. Вельми перспективний напрямок, в майбутньому можливості евристичного модуля зростуть і комп'ютер і інформація будуть краще захищені від несподіваних і новітніх загроз.
  2. Евристичний модуль може реагувати на загрози, інформації про яких немає в базі сигнатур.

Недоліки методу:

  1. Помилкове спрацьовування на безпечні події. В результаті користувач може в роздратуванні відключити евристичний модуль, зменшивши захист.
  2. Через особливості роботи евристичного модуля є проблема надмірного споживання обчислювальних потужностей. Попросту кажучи, антивірус зжирає всю пам'ять і процесор, в результаті не те що в гри не пограєш, в Word`е толком не попрацюєш. Підсумок той же - відключення модуля і зменшення захисту.

Брандмауер або файрвол

Брандмауер призначений для захисту від мережевих погроз - з локальної мережі та Інтернету.

Цей модуль далеко не завжди входить в стандартний набір антивіруса , Часто брандмауер розробляється, поставляється і продається як окрема програма.

Багато програм для з'єднання з віддаленими комп'ютерами або серверами можуть використовувати небезпечні методи, залишаючи «дірки» і уразливості для проникнення ззовні.

Суть роботи брандмауера в контролі як вхідного, так і вихідного трафіку шляхом обмеження можливості встановлювати з'єднання з певними віддаленими ресурсами. Найбільш наочний метод захисту - білі і чорні списки мережевих ресурсів.

«Чорний» список мережевих ресурсів - це список, наприклад, сайтів, куди заходити не можна, а «білий» список - це список ресурсів, куди тільки і можна заходити. Як неважко помітити, метод білого списку значно безпечніший, але і сильно обмежує можливості користувача і програм.

Переваги брандмауера:

  1. Налаштування брандмауера дозволяють забезпечити можливість мережевої взаємодії тільки з перевіреними ресурсами, відсікаючи все потенційно небезпечні і неперевірені.
  2. Може бути встановлений на мережевому шлюзі локальної мережі, тобто на сервері, «роздає» доступ в Інтернет комп'ютерів, наприклад, школи, при цьому не витрачаючи обчислювальні ресурси для користувача машин.

Недоліки брандмауера:

  1. Недолік брандмауера логічно випливає з його гідності: для якісної настройки файрвола потрібні хороші знання мережевих протоколів і особливостей роботи мережевих додатків. Брандмауер, який працює з настройками «за замовчуванням» мало від чого здатний захистити.

Про які базах йдеться?