Классификация антивирусных программ

Введение

Актуальность работы. К сожалению, в современных условиях практически невозможно предотвратить заражение компьютерными вирусами: не стоит использовать компьютерные сети, флешки с других компьютеров, пиратское программное обеспечение и тому подобное. По статистике, из-за заражения вирусами проходит каждый компьютер. Поэтому надежной и основной превентивной мерой является резервное копирование данных. Рекомендуется хранить резервные копии всех ценных данных на компакт-дисках. Хранение копии на флешке или на том же жестком диске не гарантирует безопасность.
Конечно, антивирусные программы состоят из программы сканер для проверки дисков, уничтожения вирусов и дезинфекции зараженных данных и программ; программа-защитник, которая автоматически загружается в оперативную память при включении компьютера и выполняет проверку на вирусы всех файлов, которые находятся в эксплуатации; программа также отслеживает все обращения к жесткому диску. Регулярное появление новых компьютерных вирусов вызывает постоянную модификацию антивирусных программ.
Объект исследования: антивирусные программы.
Предмет исследования: особенности классификации антивирусных программ.
Цель работы: рассмотреть классификацию антивирусных программ.
Для осуществления поставленной цели необходимо решить задачи:
- описать назначение, классификацию антивирусных программ;
- дать характеристику основных антивирусных программ;
- сделать анализ и оценку проверки антивирусных программ.


1.Назначение, классификация антивирусных программ
Для обнаружения и уничтожения компьютерных вирусов используют антивирусные программы.
Виды антивирусных программ:
1) Программы-детекторы позволяют выявить файлы, зараженные одним из известных им вирусов;
Антивирусные сканеры по требованию пользователя или по определенному расписанию проверяют компьютер, ища признаки заражения вирусом. Детекторы (сканеры) проверяют оперативную или внешнюю память на наличие вируса с помощью рассчитанной контрольной суммы или сигнатуры и составляют список поврежденных программ. Если детектор - резидентный, то программа проверяется и только в случае отсутствия вирусов она активируется. Детекторами, например, программа MS AntiVirus.
2) Программы-врачи, или фаги, обезвреживают вирусы в зараженных файлах и на дисках («отделяя» тело вируса из зараженных объектов) и восстанавливают файлы; Антивирусные программы-врачи - могут находить и лечить зараженные файлы, уничтожая в них вирусы. К этому классу антивирусных программ относятся Norton AntiVirus, Doctor Web, Антивирус Касперского. Фаги (полифаги) обнаруживают и обезвреживают вирус (фаг) или несколько вирусов. Современные версии полифаг, как правило, могут проводить эвристический анализ файла, исследуя его на наличие кода, характерного для вируса (придание части одной программы в другую, шифрование кода и т.д.). Фагами, например, программы Aidstest, DrWeb.
3) Программы-ревизоры запоминают сведения о файлах (контрольные суммы, атрибуты, размеры, даты последней модификации и т.д.) и системные области дисков (часто системные области полностью), а затем сравнивают их с реальным содержанием винчестером, каждая найденная несоответствие служит сигналом о появление вируса или «троянской» программы (которая беспощадно разрушает информацию на дисках но которую по совокупности признаков нельзя отнести к компьютерным вирусам).
Ревизоры - программы, контролирующие возможные средства заражения компьютера, то есть они могут обнаружить вирус, неизвестный программе. Эти программы проверяют состояние BOOT-сектора, FAT-таблице, атрибуты файлов. При создании любых изменений пользователю выдается сообщение (даже при отсутствии вирусов, но наличии изменений). Ревизором, например, программа Adinf. Антивирусные ревизоры запоминают исходное состояние системных областей, файлов и папок. Сразу после загрузки операционной системы они сравнивают зафиксированную ситуацию, с тем, что на данный момент на компьютере.
4) Программы - мониторы, или фильтры, резидентно располагаются в оперативной памяти компьютера и реагируют на обращения, которые делают вирусы для своего размножения или выполнения разрушительных действий, операционной системы; при этом пользователь может разрешить или запретить выполнение соответствующих операций;
5) Программы-вакцины, или иммунизаторы, модифицируют файлы и диски таким образом, что вирус, анализируя вакцинированную программу или диск, считает, что они уже заражены, и повторное заражение не осуществляет.
Вакцины - это программы, которые используются для обработки файлов и загрузочных секторов с целью преждевременного выявления вирусов.
Антивирусные стражи - это небольшие программы, которые постоянно находятся в оперативной памяти компьютера и подают определенный сигнал, когда наталкиваются на компьютерный вирус, а в случае необходимости лечат зараженный файл.
Сторожа - резидентные программы, которые постоянно хранятся в памяти компьютерах в определенный пользователем время проверяют оперативную память компьютера, файлы, BOOT-сектор, FAT-таблицу. Сторожем, например, программа AVP, что может обнаружить более 47000 вирусов.
2. Характеристика основных антивирусных программ
Антивирусные программы используют принцип работы сканеров, который заключается в поиске этих кодовых последовательностей в файлах, загрузочных секторах и оперативной памяти. Если сканер находит такую последовательность, он сообщает о заражении. Такая проверка позволяет выявлять только известные вирусы и не помогает против неизвестных. Поэтому, если сканер сообщает об отсутствии вирусов, это не значит, что их на самом деле нет. Это вызывает необходимость постоянного обновления программ-сканеров (новые версии некоторых сканеров появляются почти каждую неделю).
В сканерах используется также алгоритмы "эвристического сканирования", которые проявляют фрагменты программ, поведение которых может быть подобной поведения вирусов. Очень часто это позволяет сделать вывод о заражении новыми вирусами. Во многих случаях антивирусные программы способны "ликвидировать" зараженные файлы, изымая из них вирусный код.
Среди наиболее известных антивирусных программ-сканеров можно назвать DrWeb, AVP, Aidstest, McAfee Virus Scan, Norton Antivirus, IBM Anti-Virus и др.
Достаточно эффективны также антивирусные программы-ревизоры, в том числе так называемые CRC-сканеры. Заражение файла вирусом приводит к изменению этого файла. Программа-ревизор контролирует любые изменения файлов в случае их обнаружения сообщает о возможности вирусного заражения. Известной программой-ревизором является ADINF.
Антивирус avast! Free
Быстрый и эффективный антивирус Аваст: облачные технологии, защита в режиме реального времени от вирусов, программ-шпионов и других угроз, веб-защита WebRep для браузеров.
Kaspersky Internet Security
Основные компоненты: Файловый антивирус; Почтовый антивирус; Веб-антивирус; Облачная сеть Kaspersky Security Network; Контроль активности программ; Мониторинг активности; Сетевой экран; Защита от сетевых атак; Анти-Спам; Анти-Баннер; Защита ввода с клавиатуры; Родительский контроль.
Avira Free Antivirus
Эффективная защита в режиме реального времени и по запросу от вредоносных программ: вирусов, троянов, интернет-червей, программ-шпионов и рекламного ПО, защищает от сложных в обнаружении угроз - руткитов, фильтрует данные и файлы, передаваемые через Интернет по протоколу HTTP, защищая от вредоносных веб-сайтов и загрузок, предотвращает онлайн-отслеживание вашей деятельности в Интернете, оценивает безопасность всех сайтов в результатах поиска.
Dr.Web
Антивирус Dr.Web определяет и удаляет почтовые и сетевые черви, файловые вирусы, троянские программы, стелс-вирусы, полиморфные, бестелесные и макровирусы, вирусы, поражающие документы MS Office, скрипт-вирусы, шпионское ПО (Spyware), программы- похитители паролей, программы -дозвонщикы, рекламное ПО (Adware), хакерские утилиты, потенциально опасное ПО и любые другие нежелательные коды.
Антивирус ESET NOD32 6
Устранение всех типов угроз, включая вирусы, руткиты и шпионское ПО. Возможности "облачного" сканирования для быстрой проверки компьютера, высокий уровень защиты и проверка USB-флешек, CD и DVD-дисков при подключении.
Panda ActiveScan
Усовершенствованный онлайн-сканер, основанный на принципе Коллективного разума (сканирование "в облаках") и способен обнаруживать вредоносные программы.
Онлайн-антивирус от Panda Security сканирует и определяет вирусы, интернет-черви и троянские программы во всех системных устройствах, на жестких дисках, в сжатых файлах, в электронной почте. ActiveScan также выявляет программы-шпионы (Spyware) и следующие типы вредоносных программ: дозвонщики, хакерские утилиты, руткиты, шутливое ПО.

3

. Анализ и оценка проверки антивирусных программ
Рейтинговые оценки антивирусных программ мировых брендов и рост их возможностей в последнее время достаточно весомы. Но одних рейтинговых оценок антивирусных программ уже недостаточно.
Для администратора безопасности всегда важно знать - во-первых, какой комплект антивирусных программ наиболее приоритетной для повышения антивирусной безопасности оцениваемой компьютерной системы или локальной сети, особенно Интернет. И во-вторых, при использовании которого комплекта антивирусных программ будет наименьший риск антивирусной безопасности?
Предлагаются практические рекомендации по выбору таких комплектов антивирусов и новый метод прогнозирования антивирусной безопасности.
Дело в том, что каждая антивирусная программа может обнаруживать и распознавать не все, а только определенные виды вирусов, например, сетевые, полиморфные, вирусы-черви, DoS-вирусы, скрипт-вирусов, email-вирусы, мобильные вирусы, наконец, последние новинки в виде вирусов-шпионов и проактивных вирусов и т. д.
Универсального антивирусного средства просто не существует, его даже практически создавать нецелесообразно, хотя теоретически и возможно.
Целесообразно применять несколько антивирусов (комплект 2 - 3 антивирусов по критерию "эффективность-стоимость"), чтобы их возможностями совокупно и надежно перекрыть весь возможный диапазон вирусных атак любого вида с риском, не выше заданного.
Всех администраторов безопасности, пользователей и владельцев компьютерных систем всегда волнует вопрос их антивирусной безопасности. Ведь количество компьютерных вирусов растет уже не ежегодно, а ежемесячно и эта тенденция угрожающе стабильна.
Так, с 2001г. по 2005г. количество компьютерных вирусов увеличилось с 40000 до 140000, а статистика вирусных атак по данным лаборатории Касперского угрожающе постоянна. Так, за период с 2002 по 2005 годы зафиксировано от 5 до 20 вирусных эпидемий ежеквартально [1].
Кроме того, среди всех видов атак и угроз на компьютерные системы судьба компьютерных вирусов по той же статистике с 1999 по 2006 составляла 65 - 90%!
Также убедительные данные об общих объемах потерь мировой экономики от вирусных атак, которые приведены в Computer Economics, 2005 Malware Report. Так, отмечаются два пика потерь в 17 млрд. долларов в 2004 и 2005 годах, а ежегодные потери мировой экономики с 1999 г. держатся на отметке более 10 млрд. долларов.
Таким образом, приведенные данные еще раз подтверждают растущую актуальность антивирусной безопасности, а также необходимость ее совершенствования как разработкой и использованием новых программ и пакетов антивирусной защиты, так и методов прогнозирования эффективности их защиты.
Политика антивирусной безопасности всегда было решающим компонентом в системах защиты информации в компьютерных системах и сетях (далее КС). Она предусматривает обеспечение надежного и эффективного защиты против любых вирусных атак (потенциально угрожающих, реальных, перспективных).
Так, появление в антивирусах эвристического обнаружения в новых вирусах с неизвестными их сигнатурам и алгоритмами деструктивных действий дало возможность использовать этот режим для возможной количественной оценки состояния антивирусной безопасности. Такая попытка впервые была предложена в 1999г. В [2, 3]. С тех пор регулярно предоставляются обзоры брендов антивирусной защиты со справочными таблицами их тестов (табл. 1).
Таблица 1 - Возможности мировых брендов антивирусных программ
Наименование
антивирусной
программы
Фирма-провайдер, ее адрес
Процент распознанных вирусов (Рп)
Срок
сканирования
(Мин.)
AVP
Procon Software, 07745 Jena
99.3% (0.99)
5.1
AVScan
H+BEDV, 88069 Tettnag
91.2% (0.91)
4.9
CPAV
Symantec, 40237 Duesseldorf
72.6% (0.73)
12.8
Dr. Solomon’s AVTK
S&S International, 20537 Hamburg
96.5% (0.96)
4.3
F-Prot Proffesional
Percom-Verlag, 22041 Hamburg
89.1% (0.89)
7.1
Iris Antivirus
Hoffman Datenshutz, 40239 Dusseldorf
89.6% (0.9)
15.1
McAffee Scan
McAffee Network Security&Menagement, 81677 Munchen
91.3% (0.91)
9
Microsoft
Antivirus
Microsoft, 85713 Unterschleissheim
34% (0.34)
6.2
Norton Virus Control
Norman Data Defense Systems, 42697 Solingen
97.1% (0.97)
6.2
Norton Antivirus
Symantec, 40237 Dusseldorf
87.1% (0.87)
2.3
Sophos Sweep
Noviz Data, 23569 Luebeck
97.6% (0.98)
7.4
Thunderbyte
Promus Conception, 45468 Muenchen
88.5% (0.88)
0.6

Метод прогнозирования антивирусной безопасности КС требованиям предложенных AVS-правил (anti-virus safety) заключается в последовательности осуществления следующих этапов [4].
1. Осуществляется прогнозирование. Прогнозирование начинается с формирования основных положений политики антивирусной безопасности КС определенного назначения и конфигурации в зависимости от множества факторов безопасности, предложенных в модели политики антивирусной безопасности КС. Это, прежде всего, определение угроз и видов компьютерных вирусов (потенциально угрожающих, реальных, перспективных), определение объектов антивирусной защиты и комплектов антивирусов для каждого из них.
Реально угрожающими (реальными) вирусами определяются те, которые являются реальной угрозой для объекта КС. Ими могут быть один / все с потенциально угрожающих вирусов, старые вирусы с архивных файлов, специальные и новые вирусы и др.
Специальными вирусами определяются различные вредоносные программы - конструкторы вирусов, генераторы вирусных атак, вирусные утилиты и тому подобное.
Перспективными определяются New-вирусы, Win32-вирусы, DOS-вирусы, Mobil-вирусы, Spiware-вирусы, вирусы проактивных деструктивных действий и тому подобное.
По определению Лаборатории Касперского [1] spy ware-вирусы - это подмножество троянских программ, рекламных модулей и потенциально угрожающих программ, это просто маркетинговый термин для выделения нового класса Security-программ, spyware вирусов не существует вообще.
Проактивная защита специально создана для выявления еще неизвестного деструктивного программного обеспечения. Он считается как достаточно перспективный. Основные подходы проактивной защиты заключаются в использовании следующих механизмов и услуг безопасности: эвристический анализатор, безопасность на основе политик, Intrusion Protection System (IPS), защита от переполнения буфера (Buffer Overrun protection), блокираторы поведения, статистические методы.
Проактивная защита уже более двух лет реализовано испанским антивирусом Panda (по данным международной выставки EnterEX 2007).
Определяются объекты антивирусной защиты КС, например, ПЭВМ, рабочие станции, серверы, конечные терминалы, КС класса 1, 2, 3 и т. Политика антивирусной безопасности каждого объекта КС должна обеспечиваться на уровне не менее заданного по критерию «риск антивирусной безопасности - стоимость» [4].
Она реализуется, прежде всего, выбором антивирусов по их возможностям по данным так называемых "справочных таблиц" специалистов - энтузиастов антивирусной защиты КС, фирменных тестовых рейтингов и баллов и т.д., которых должно быть как можно больше, а также прогнозированием антивирусной безопасности методом предложенных "AVS-правил ", то есть использованием определенного аналитического метода и математических соотношений.
Метод AVS-правил является дальнейшим развитием известных моделей и правил защиты Biba (1977 г.), Gougen- Meseguer (1982 г.), Sutherland (1986 г.), Clark-Wilson (1989 г.), При этом модель Кларка-Вильсона считается одной из лучших по поддержке целостности информационных систем. Предложенный метод AVS-правил обеспечивает априори прогнозирования антивирусной безопасности КС по данным значений показателя Рп в табл. 2 - 6, постоянно и регулярно дополняются и обновляются AVS-специалистами.
Определяется аналитический метод (математические соотношения) количественной оценки риска антивирусной безопасности для каждого из видов вирусов согласно модели политики антивирусной безопасности.
Осуществляется прогнозирование антивирусной безопасности КС и ее количественное экспертная оценка методом AVS-правил по следующим математическими соотношениями для основных видов вирусов согласно модели политики антивирусной безопасности. Модель политики антивирусной безопасности должна, по нашему мнению, постоянно дополняться и совершенствоваться.
Так, для рабочей станции / ПЭВМ риск антивирусной безопасности от атак Win-вирусов Rwin оценивается по соотношению:
(1)
где Pn - вероятность обнаружения и обезвреживания известных и неизвестных вирусов n-й антивирусной программой по результатам ее тестовых испытаний согласно данным табл