Реферат: Антивирусные программы
РЕФЕРАТ
по дисциплине «Информатика»
по теме: «Антивирусные программы»
Содержание
Компьютерные вирусы ивредоносные программы, программы борьбы с ними
Методы обнаружения вирусов
Метод соответствияопределению вирусов в словаре
Метод обнаружения странногоповедения программ
Другие методы обнаружения вирусов
Проблемы борьбы с вирусами
Антивирусная программа AVP
ИнтерфейсAVP
Тестовые примеры
Литература
Компьютерные вирусы и вредоносныепрограммы, программы борьбы с ними
/>Сувеличением количества людей, пользующихся компьютером, и возможностей обменамежду ними данными по электронной почте и через интернет возросла угрозазаражения компьютера вирусами, а также порчи или хищения информации прочимивредоносными программами.
/>Вцелом вредоносные программы можно разделить на следующие три класса:
/>· Черви – данная категория вредоносных программ для распространенияиспользует сетевые ресурсы. Название этого класса было дано исходя изспособности червей «переползать» с компьютера на компьютер, используя сети,электронную почту и другие информационные каналы. Также благодаря этому червиобладают исключительно высокой скоростью распространения.
/>Черви проникают на компьютер,вычисляют сетевые адреса других компьютеров и рассылают по этим адресам своикопии. Помимо сетевых адресов часто используются данные адресной книги почтовыхклиентов. Представители этого класса вредоносных программ иногда создаютрабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера(за исключением оперативной памяти).
/>· Вирусы – программы, которые заражают другие программы –добавляют в них свой код, чтобы получить управление при запуске зараженныхфайлов. Это простое определение дает возможность выявить основное действие,выполняемое вирусом – заражение. Скорость распространения вирусовнесколько ниже, чем у червей.
/>· Троянские программы – программы, которые выполняют на поражаемыхкомпьютерах несанкционированные пользователем действия, т.е. в зависимости откаких-либо условий уничтожают информацию на дисках, приводят систему к «зависанию»,воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ неявляется вирусом в традиционном понимании этого термина (т.е. не заражаетдругие программы или данные); троянские программы не способны самостоятельнопроникать на компьютеры и распространяются злоумышленниками под видом «полезного»программного обеспечения. При этом вред, наносимый ими, может во много раз превышатьпотери от традиционной вирусной атаки.
/>Впоследнее время наиболее распространенными типами вредоносных программ,портящими компьютерные данные, стали черви. Далее по распространенности следуютвирусы и троянские программы. Некоторые вредоносные программы совмещают в себехарактеристики двух или даже трех из перечисленных выше классов.
/>Основнымиисточниками распространения вредоносных программ является электронная почта иинтернет, хотя заражение может также произойти через дискету или CD-диск.Это обстоятельство предопределяет смещение акцентов антивирусной защиты спростых регулярных проверок компьютера на присутствие вирусов на более сложнуюзадачу постоянной защиты компьютера от возможного заражения. [2]
Антивирусная программа (антивирус) предназначена длязащиты компьютеров от большинства вирусов, червей и «троянскихконей», которые могут удалить файлы, получить доступ к личным данным либоиспользовать зараженную систему как средство атаки на другие компьютеры.Антивирусная программа может быть предустановлена на компьютер,а может быть приобретена и установлена самостоятельно. [1]
Первые, наиболее простые антивирусные программыпоявились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаютсякрупные компании. Как и у создателей вирусов, в этой сфере также сформировалисьоригинальные приёмы — но уже для поиска и борьбы с вирусами. Современныеантивирусные программы могут обнаруживать десятки тысяч вирусов.
К сожалению, конкуренция между антивируснымикомпаниями привела к тому, что развитие идёт в сторону увеличения количестваобнаруживаемых вирусов (прежде всего для рекламы), а не в сторону улучшения ихдетектирования (идеал — 100%-ое детектирование) и алгоритмов лечения заражённыхфайлов.
Антивирусное программное обеспечение состоит изкомпьютерных программ которые пытаются обнаружить, предотвратить размножение иудалить компьютерные вирусы и другие вредоносные программы. [3]
Методы обнаружениявирусов
Антивирусное программное обеспечение обычно используетдва отличных друг от друга метода для выполнения своих задач:
Просмотр (сканирование) файлов для поиска известныхвирусов, соответствующих определению в словаре вирусов
Обнаружение подозрительного поведения любой изпрограмм, похожего на поведение заражённой программы.
Метод соответствияопределению вирусов в словаре
Это метод, когда антивирусная программа, просматриваяфайл, обращается к словарю с известными вирусами, который составлен авторамипрограммы-антивируса. В случае соответствия какого либо участка кодапросматриваемой программы известному коду вируса в словаре, программа антивирусможет заняться выполнением одного из следующих действий:
Удалить инфицированный файл.
Отправить файл в карантин (то есть сделать егонедоступным для выполнения, с целью недопущения дальнейшего распространениявируса).
Попытаться восстановить файл, удалив сам вирус из телафайла.
Для достижения достаточно продолжительного успеха, прииспользовании этого метода необходимо периодически пополнять словарь известныхвирусов новыми определениями (в основном в онлайновом режиме). Обладающиечувством гражданского долга и технически искушённые пользователи, обнаружив«живьём» новый вирус, могут выслать заражённый файл разработчикам антивирусныхпрограмм, которые включат затем новый вирус в словарь.
Антивирусные программы, созданные на основе методасоответствия определению вирусов в словаре, обычно просматривают файлы тогда,когда компьютерная система создаёт, открывает, закрывает или посылает файлы поэлектронной почте. Таким образом, вирусы можно обнаружить сразу же послезанесения их в компьютер и до того, как они смогут причинить какой-либо вред.Надо отметить, что системный администратор может составить график дляантивирусной программы, согласно которому могут просматриваться (сканироваться)все файлы на жёстком диске.
Хотя антивирусные программы, созданные на основе поискасоответствия определению вируса в словаре, при обычных обстоятельствах, могутдостаточно эффективно препятствовать вспышкам заражения компьютеров, авторывирусов стараются держаться на полшага впереди таких программ-антивирусов,создавая «олигоморфические», «полиморфические» и, самые новые,«метаморфические» вирусы, в которых некоторые части шифруются или искажаютсятак, чтобы невозможно было обнаружить совпадение с определением в словаревирусов.
Метод обнаружениястранного поведения программ
Антивирусы, использующие метод обнаруженияподозрительного поведения программ не пытаются идентифицировать известныевирусы, вместо этого они прослеживают поведение всех программ. Если программапытается записать какие-то данные в исполняемый файл (exe-файл),программа-антивирус может пометить этот файл, предупредить пользователя и спроситьчто следует сделать.
В отличие от метода соответствия определению вируса всловаре, метод подозрительного поведения даёт защиту от совершенно новых вирусов,которых ещё нет ни в одном словаре вирусов. Однако, программы, построенные наэтом методе, выдают также большое количество ошибочных предупреждений, чтоделает пользователя мало восприимчивым ко всем предупреждениям. Еслипользователь нажимает мышью на окно «Принять» («Accept») в каждом случаепоявления такого предупреждения, антивирусная программа не приносит никакойпользы. В последнее время эта проблема ещё более ухудшилась, так как сталопоявляться всё больше невредоносных программ, модифицирующих другие exe-файлы,несмотря на существующую проблему ошибочных предупреждений. Таким образом, всовременном антивирусном программном обеспечении этот метод используется всёменьше и меньше.
Другие методыобнаружения вирусов
Некоторые программы-антивирусы пытаются имитироватьначало выполнения кода каждой новой вызываемой на исполнение программы, передтем как передать ей управление. Если программа использует самоизменяющийся кодили проявляет себя как вирус (то есть немедленно начинает искать другиеexe-файлы например), такая программа будет считаться вредоносной, способнойзаразить другие файлы. Однако этот метод тоже изобилует большим количествомошибочных предупреждений.
Ещё один метод определения вирусов включает в себя использование«песочницы». Песочница имитирует операционную систему и запускает исполняемыйфайл в этой имитируемой системе. После исполнения программы, антивирусноепрограммное обеспечение анализирует содержимое песочницы на присутствие какихлибо изменений, которые можно квалифицировать как вирус. Из-за того, чтобыстродействие системы снижается и требуется достаточно продолжительное времядля выполнения программы, антивирусные программы, построенные по этому методу,обычно используются только для сканирования по запросу пользователя. Следуетотметить, что эффективность данных программ намного выше, чем у всех остальных,но и стоимость их тоже выше. Из-за большого времени таких выполнения программ,они не найдут широкого распространения среди рядовых пользователей. Несомненно,эти программы представляют интерес для профессионалов, занимающихся вопросамикомпьютерной безопасности и восстановлением данных после несанкционированногодоступа в компьютер пользователя или атак на сервер.
Проблемы борьбы свирусами
Распространение вирусов по электронной почте (возможнонаиболее многочисленных и вредоносных) можно было бы предотвратить недорогими иэффективными средствами без установки антивирусных программ, если бы былиустранены дефекты программ электронной почты, которые сводятся к выполнению безведома и разрешения пользователя исполняемого кода, содержащегося в письмах.
Обучение пользователей может стать эффективнымдополнением к антивирусному программному обеспечению. Простое обучение пользователейправилам безопасного использования компьютера (например не загружать и незапускать на выполнение неизвестные программы из Интернета) снизило бывероятность распространения вирусов и избавило бы от надобности пользоватьсямногими антивирусными программами.
Пользователи компьютеров не должны всё время работатьс правами администратора. Если бы они пользовались режимом доступа обычногопользователя, то некоторые разновидности вирусов не смогли бы распространяться(или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна изпричин, по которым вирусы в Unix-подобных системах относительно редкое явление.
Метод обнаружения вирусов по поиску соответствия всловаре не всегда достаточен из-за продолжающегося создания всё новых вирусов,метод подозрительного поведения не работает достаточно хорошо из-за большогочисла ошибочных решений о принадлежности к вирусам незаражённых программ.Следовательно, антивирусное программное обеспечение в его современном виденикогда не победит компьютерные вирусы.
Различные методы шифрования и упаковки вредоносныхпрограмм делают даже известные вирусы необнаруживаемыми антивирусным программнымобеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощныймеханизм распаковки, который может дешифровать файлы перед их проверкой. Кнесчастью, во многих антивирусных программах эта возможность отсутствует и, всвязи с этим, часто невозможно обнаружить зашифрованные вирусы.
Постоянное появление новых вирусов даёт разработчикамантивирусного программного обеспечения хорошую финансовую перспективу.
Некоторые антивирусные программы могут значительнопонизить быстродействие. Пользователи могут запретить антивирусную защиту,чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая рискзаражения вирусами. Для максимальной защищённости антивирусное программноеобеспечение должно быть подключено всегда, несмотря на потерю быстродействия.Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияютна быстродействие.
Иногда приходиться отключить антивирусную защиту приустановке обновлений программ, таких, например, как Windows Service Packs.Антивирусная программа, работающая во время установки обновлений, может статьпричиной неправильной установки модификаций или полной отмене установкимодификаций. Перед обновлением Windows 98, Windows 98 Second Edition илиWindows ME на Windows XP (Home или Professional), лучше отключить защиту отвирусов, в противном случае процесс обновления может завершиться неудачей. [3]
Антивирусная программа AVP
Антивирус Касперского Personalпредназначен для антивирусной защиты персональных компьютеров, работающих подуправлением операционной системы Windows.
/>АнтивирусКасперского Personal выполняет следующие функции:
/>· Защита от вирусов и вредоносных программ – обнаружение и уничтожение вредоносных программ,проникающих через съемные и постоянные файловые носители, электронную почту ипротоколы интернета. Можно выделить следующие варианты работы программы (онимогут использоваться как отдельно, так и в совокупности).
/>· Постоянная защита компьютера – проверка всех запускаемых, открываемых исохраняемых на компьютере объектов на присутствие вирусов.
/>· Проверка компьютера по требованию – проверка и лечение как всего компьютера в целом,так и отдельных дисков, файлов или каталогов. Такую проверку можно запускатьсамостоятельно или настроить ее регулярный автоматический запуск.
/>· Восстановление работоспособности после вирусной атаки. Полная проверка и лечение с рекомендуемымиэкспертами Лаборатории Касперского настройками позволяет удалить все вирусы,поразившие данные при вирусной атаке.
/>· Проверка и лечение входящей/исходящей почты – анализ на присутствие вирусов и лечение входящейпочты до ее поступления в почтовый ящик и исходящей почты в режиме реальноговремени. Кроме того, программа позволяет проверять и лечить почтовые базыразличных почтовых клиентов по требованию.
/>· Обновление антивирусных баз и программных модулей – пополнение антивирусных баз информацией о новыхвирусах и способах лечения зараженных ими объектов, а также обновлениесобственных модулей программы. Обновление выполняется с серверов обновленийЛаборатории Касперского или из локального каталога.
/>· Рекомендации по настройке программы и работе с ней – советы от экспертов Лаборатории Касперского,сопровождающие вас в процессе работы с Антивирусом Касперского Personal,и рекомендуемые настройки, соответствующие оптимальной антивирусной защите.
/>Вслучае обнаружения зараженных или возможно зараженных файлов, когдаантивирусные базы не обновляются критически долгий срок, или когда давно непроводилась полная проверка компьютера, в главном окне Антивируса Касперскоговсегда присутствуют рекомендации по выполнению тех или иных действий иобоснования для их совершения. Сразу после установки продукта и его запускавступают в силу рекомендуемые экспертами настройки антивирусной защиты.
/>· Карантин –помещение объектов, возможно зараженных вирусами или их модификациями, вспециальное безопасное хранилище, где вы можете их лечить, удалять,восстанавливать в исходный каталог, а также отправлять экспертам ЛабораторииКасперского на исследование. Файлы на карантине хранятся в специальном форматеи не представляют опасности.
/>· Формирование отчета – фиксирование всех результатов работы Антивируса Касперского Personalв отчете. Подробный отчет о результатах проверки включает общую статистику попроверенным объектам, хранит настройки, с которыми была выполнена та или инаязадача, а также последовательность проверки и обработки каждого объекта вотдельности. Отчет формируется ипо результатам обновлений. [2]
/>/>Интерфейс AVP
/>
Антивирус Касперского Personalобладает достаточно простым и удобным в работе интерфейсом. Рассмотрим основныеего элементы/>:
/>/>1. Значок в Системной панели
После запуска продукта вСистемной панели появляется значок, вид которого зависит от состоянияпостоянной антивирусной защиты. Если постоянная защита файлов включена, значокактивен (красного цвета), если выключена – неактивен (серого цвета), даже есливыполняется проверка почты или сценариев.
Если выполняется анализкакого-либо объекта в режиме постоянной защиты, то значок располагается поверхмигающей бело-синей папки. При проверке почты вместо папки появляетсяконвертик.
Когда происходит важное сточки зрения антивирусной безопасности событие, на некоторое время над значкомпоявляется информационное сообщение с рекомендацией от экспертов ЛабораторииКасперского.
/>/>2. Контекстное меню
Если щелкнуть правойкнопкой мыши в Системной панели по значку программы, откроется контекстноеменю, состоящее из следующих пунктов:
Открыть АнтивирусКасперского – открыть главное окнопрограммы на закладке Защита. Выполнить данное действие также можно, дваждыщелкнув левой кнопкой мыши по значку программы в Системной панели./>
Проверить Мой компьютерна вирусы – запустить полную проверкукомпьютера на вирусы в соответствии с установленным уровнем защиты.
Обновить антивирусныебазы – загрузить обновленияантивирусных баз с серверов обновлений Лаборатории Касперского.
Включить постояннуюзащиту / Выключить постоянную защиту –включить / отключить постоянную защиту компьютера. В зависимости от того, включенали постоянная защита, меняется вид значка программы.
О программе – показать справочное окно с основными сведениями обАнтивирусе Касперского Personal.
Выход – выгрузить Антивирус Касперского Personal из памятикомпьютера. Пункт Выход контекстного меню не будет доступен, если пользовательне обладает правами администратора на компьютере.
3.Главное окно программы
/>/>
Главное окно АнтивирусаКасперского Personal предназначено для реализации всех возможностей продукта пообеспечению полной антивирусной защиты компьютера. Здесь можно:
настраивать параметрыантивирусной защиты;
запускать и останавливатьпроверки компьютера и отдельных его дисков, каталогов, файлов на присутствиевирусов и других вредоносных программ;
загружать обновленияантивирусных баз и программных модулей;
настраивать автоматическийзапуск полной проверки и обновлений;
работать с объектами накарантине;
работать с отчетами и т.д.
Все параметры антивируснойзащиты, необходимая информация и задачи сгруппированы в главном окне наследующих закладках:
Защита – закладка главного окна, на которой приведены задачиантивирусной защиты и их текущее состояние. Данная закладка является основным интерфейсомпрограммы.
Настройка – закладка главного окна, содержащая задачи понастройке основных параметров антивирусной защиты и их текущее состояние.
Поддержка – закладка, включающая информацию, используемую вслучае возникновения проблем или необходимости обращения за помощью в ЛабораториюКасперского.
Каждая закладка делится надве части:
Левая часть закладки,содержащая гиперссылки, посредством которых реализуются задачи антивируснойзащиты. Список задач зависит от назначения закладки.
Так, на закладке Защитаприведены все возможные задачи для проверки компьютера на присутствие вирусов,на закладке Настройка – настройки параметров этих задач, на закладке Поддержка –задачи, направленные на поддержку вашей антивирусной защиты
Правая часть закладки,включающая информацию о текущем состоянии антивирусной защиты вашего компьютера(постоянной защиты, проверки по требованию и антивирусных баз, лицензионнойинформации).
Так, на закладке Защитаотображается текущее состояние антивирусной защиты, на закладке Настройка –состояние ее настроек, на закладке Поддержка – статус лицензирования(информация о лицензионном ключе), ссылки на адреса поддержки, информация опрограмме и системе.
4.Окно процесса проверки
При запуске проверкикомпьютера или отдельных его дисков, каталогов, файлов на экране появляетсяокно процесса проверки.
/>
Окно состоит из двухчастей:
В верхней части расположениндикатор, отображающий выполнение процесса проверки в процентах, время начала,время предполагаемого окончания проверки, а также имя текущего проверяемогообъекта.
В нижней части окнарасположены три закладки:
Статистика – с результатами проверки,
Отчет – с отчетом о произошедших в процессе проверкисобытиях
Настройки – с перечнем настроек, с которыми производится проверка.
Тестовые примеры
1. Обновить антивирусные базы AVP
Щелкаем правой кнопкой мыши в Системной панели позначку программы, открывается контекстное меню AVP. Выбираемпункт «Обновить антивирусные базы». Откроется окно процесса обновления баз.
/>
2. Проверить на наличие вирусов файл c:\prg\test.exe
— Запускаем Проводник.
— Переходим в папку «c:\prg».
— Щелкаем правой кнопкой мыши по файлу «test.exe»,вызывая тем самым контекстное меню файла.
— Выбираем пункт «Проверить на вирусы».
— Появится окно процесса проверки.
/>
3. Проверить весь компьютер на наличие вирусов
— Щелкаем правой кнопкой мыши в Системной панели позначку программы, открывается контекстное меню AVP. Выбираемпункт «Проверить Мой Компьютер на вирусы». Откроется окно процесса проверки.
/>
В зависимости он настроек проверки по требованию, приобнаружении вируса, AVP либо запросит у пользователя, как поступить сзараженным файлом, либо удалит его, либо просто запишет информацию в отчет.
4. Настроить автоматическую проверку всего компьютераежедневно в 12:00
— Щелкаем правой кнопкой мыши в Системной панели позначку программы, открывается контекстное меню AVP. Выбираемпункт «Открыть Антивирус Касперского». Откроется главное окно программы.
— Выбираем закладку «Настройка»
/>
— Щелкаем левой кнопкой мыши по ссылке «Проверка потребованию». Откроется окно настроек:
/>
— Щелкаем левой кнопкой мыши по ссылке «Настройкапроверки по расписанию». Откроется окно:
/>
— Выбираем настройки: проверять с интервалом в днях,запускать проверку каждый день, начало проверки – 12:00.
5. Включить постоянную защиту компьютера с удалениемзараженных объектов.
— Открываем главное окно программы на закладке«Настройка», как указано в примере 4.
— Щелкаем левой кнопкой мыши по ссылке «Постояннаязащита». Откроется окно настроек. В нем выбираем для параметра «Действия надзараженными объектами» значение «Запрещать доступ и удалять зараженные объекты»
/>
— Щелкаем левой кнопкой мыши по ссылке «Настройкапараметров защиты».
В открывшемся окне снимаем отметку с пункта «Выключитьпостоянную защиту», если отметка стоит.
/>
Литература
1. Библиотека MSDN.msdn.microsoft.com
2. Руководство по программе«Антивирус Касперского»
3. Свободная энциклопедия«Википедия» ru.wikipedia.org