Očigledno, mnogi korisnici modernog kompjuterski sistemi Jeste li čuli ili znate da postoje takozvani detektorski programi. Šta su to nije teško razumjeti ako se samo osvrnete na prijevod ili tumačenje engleska riječ detektovati, što doslovno znači "otkriti". S tim u vezi postavljaju se pitanja šta bi takvi programi trebali identificirati. U većini slučajeva, iz nekog razloga, takve aplikacije se klasificiraju kao zaštite računalnih sistema od virusa, iako bi u stvari kategorija detektorskih programa mogla sasvim logično uključiti, na primjer, uslužne programe za traženje grešaka u operativnim sustavima ili računalima. tvrdi diskovi. Kao što je već jasno, opseg primjene takvih uslužnih programa je prilično širok, ali budući da trenutno govorimo konkretno o sigurnosti računala, razmotrit ćemo upravo takve programe.

Klasifikacija antivirusnih programa: detektorski programi

Da, zaista, u oblasti zaštite računarskih sistema, suzbijanje raznih vrsta virusa, kojih je svakim danom sve više od njihove pojave, zauzima jedno od prvih mesta. I te prijetnje se moraju nekako identificirati (u fazi prodora u sistem, u već zaraženi sistem itd.) i neutralizirati, ako je to, naravno, moguće.

Upravo za detekciju virusnih apleta svojevremeno su razvijeni posebni alati, koji se danas obično nazivaju detektorskim programima. Ali na kojim principima rade takve aplikacije i kako tačno otkrivaju virusne prijetnje?

Namjena antivirusnih detektorskih programa i osnovna svojstva

Generalno, na osnovu prvobitne namene i prvih razvoja ovakvih uslužnih programa, nije teško pretpostaviti da ih treba koristiti isključivo za traženje pretnji, ali ne i za sprečavanje njihovog prodora u kompjuterske sisteme ili za njihovo neutralisanje. Prvo softverskih proizvoda Ovaj tip je u stvari znao samo da identifikuje razne vrste izvršnih kodova koji su se mogli nalaziti u telu virusa, ali su malo kasnije programi, ako hoćete, „opasnili“ i postali sposobni da identifikuju fajlove zaražene virusima, što predodredili izgled njihove klasifikacije.

Dakle, danas, ako takve aplete razmatramo, da tako kažemo, u njihovom čistom obliku, uobičajeno je razlikovati univerzalne i specijalizirane detektore. Prvi određuju zarazu po kriteriju nepromjenjivosti datoteke, što se postiže poređenjem kontrolne sume prije i poslije infekcije. Ovi drugi pronalaze viruse koristeći im poznate potpise, odnosno mogu identificirati samo one prijetnje koje se nalaze u odgovarajućim bazama podataka. S vremenom su takvi programi počeli aktivno koristiti metodu heurističke i bihevioralne analize, a zatim su same aplikacije postale toliko univerzalne da ih je postalo jednostavno nemoguće svrstati u bilo koju kategoriju antivirusnog softvera.

Kompatibilne funkcije

Činjenica je da se moderni više ne koriste samo kao alat za identifikaciju prijetnji poput najčešćih skenera. Kako kažu ljekari, bolest je lakše spriječiti nego liječiti. Ovo se podjednako odnosi i na antivirusne programe. Dakle, moderni detektori igraju i ulogu, da tako kažem, zaštitne barijere na ulazu, a većina (ako ne i apsolutno svi) kombinuju i funkcije doktorskih programa, koji se koriste kako za liječenje zaraženih objekata tako i za neutralizaciju uzroka. infekcije, ako je moguće.

Ako damo primjere detektorskih programa, većina njih je predstavljena u obliku prijenosnih uslužnih programa, što vam omogućava da ih pokrenete jednokratno i sa prenosivi medij informacije, izbjegavajući infekciju kojoj bi program mogao biti izložen da je instaliran kao standardnim sredstvima u kompjuterskom sistemu. Najpoznatiji i najmoćniji su prijenosni antivirusni skeneri Kaspersky Virus Removal Tool i Dr. Web CureIt!.

Međutim, oni se često dopunjuju provjerama pomoću specijaliziranih uslužnih programa kao što je AdwCleaner, koji su uglavnom fokusirani na reklamne viruse i otmičare pretraživača iz grupe Hijackers.

Kako pravilno koristiti uslužne programe za otkrivanje virusa?

Zapravo, problemi korištenja takvih programa su jasni svakom korisniku. Istina, ovisno o postavkama prisutnim u uslužnim programima, primjenjuju se različiti parametri.

Međutim, vjeruje se da ako sumnjate na prisustvo virusa u vašem sistemu, morate skenirati apsolutno sve objekte koji mogu biti navedeni u samom programu, uključujući sistem i skrivena područja. Osim toga, ako postoji takav parametar, potrebno je navesti dubinsko skeniranje, a ne provjeru tipa S.M.A.R.T. Iako spada u tzv. “pametnu” detekciju virusa, ipak provjerava uglavnom samo boot sektore hard disk i komponente odgovorne za rad operativni sistem direktno.

Mobilni antivirusni alati

Što se tiče instaliranja detektorskih programa na Android, tu nema ništa posebno komplicirano (ne razmatramo Apple sisteme, jer do nedavno za njih nije bilo virusa). Ako pažljivo pogledate čak i one apleti koji se nude za instalaciju iz spremišta Google Play(aka Paly Market), lako je uočiti da je većina antivirusnih apleta jednostavno predstavljena mobilne verzije stacionarni skeneri. U većini slučajeva, skup alata ili funkcionalnosti je uporediv sa desktop programima, iako se skeniranje može obaviti na malo drugačiji način. To je razumljivo, jer se Windows i Android razlikuju sistemske datoteke i sekcije. Ali generalno, ne bi trebalo biti nikakvih poteškoća.

Pogovor

To je sve što se tiče programa za otkrivanje virusnih prijetnji ukratko. različiti sistemi. Da rezimiramo, glavni zaključak bi trebao biti da se savremeni programi ovog tipa više ne odnose samo na alate za detekciju, već imaju mnogo veće mogućnosti.

Metode zaštite.

Definicija antivirusnih programa i njihova klasifikacija.

Bez obzira na virus, korisnik mora znati osnovne metode zaštite od kompjuterski virusi.

Za zaštitu od virusa možete koristiti:

Opći alati za sigurnost informacija koji su također korisni like osiguranje od fizičkog oštećenja diskova, neispravnih programa ili pogrešnih radnji korisnika;

Preventivne mjere za smanjenje vjerovatnoća virusna infekcija;

Specijalizovani programi za zaštitu od virusa. Postoje dvije glavne sorte zajednički fondovi zaštita informacija, osiguravajući:

Kopiranje informacija - kreiranje kopija datoteka i sistemskih područja diskova;

Kontrola pristupa koja sprječava neovlašteno korištenje informacija, posebno zaštitu od promjena programa i podataka virusima, neispravnim programima i pogrešnim radnjama korisnika.

Za otkrivanje, uklanjanje i zaštitu od računalnih virusa razvijeno je nekoliko vrsta posebnih programa koji vam omogućavaju otkrivanje i uništavanje virusa. Takvi programi se nazivaju antivirusni programi. Postoje sljedeće vrste antivirusnih programa:

Detektorski programi;

Doktorski programi ili fagi;

Programi revizije;

Filter programi;

Programi vakcina ili imunizatora.

Detektorski programi tražiti kod (potpis) karakterističan za određeni virus u RAM i u datotekama i kada ih otkriju, izdaju odgovarajuću poruku. Nedostatak takvih antivirusnih programa je što mogu pronaći samo viruse koji su poznati programerima takvih programa.

Programi doktora ili faga, kao i programi vakcine, ne samo da pronalaze datoteke zaražene virusima, već ih i "liječe", odnosno uklanjaju tijelo virusnog programa iz datoteke, vraćajući datoteke u prvobitno stanje. Na početku svog rada, fagi traže viruse u RAM-u, uništavaju ih, a tek onda prelaze na "čišćenje" datoteka. Među fagovima izdvajaju se polifagi, odnosno doktorski programi dizajnirani za traženje i uništavanje velikog broja virusa. Najpoznatiji od njih: Aidstest, Scan, Norton AntiVirus, Doctor Web.

S obzirom na to da se novi virusi stalno pojavljuju, detektorski i doktorski programi brzo zastarevaju i potrebno je redovno ažuriranje verzija.

Poliphage antivirusi su najčešće sredstvo za borbu malware. Istorijski gledano, oni su se pojavili prvi i još uvijek drže neprikosnoveno vodstvo u ovoj oblasti.

Rad polifaga zasniva se na jednostavnom principu - traženju u programima i dokumentima poznatih dijelova virusnog koda (tzv. potpisi virusi). Općenito, potpis je zapis virusa koji omogućava jedinstvenu identifikaciju prisutnosti virusnog koda u programu ili dokumentu. Najčešće je potpis direktno dio virusa kod ili njegov kontrolni zbir (dažet).

U početku, polifažni antivirusi su radili na vrlo jednostavnom principu - uzastopno su skenirali datoteke da vide da li sadrže virusne programe. Ako je otkriven virusni potpis, tada je provedena procedura uklanjanja koda virusa iz tijela programa ili dokumenta. Prije početka skeniranja datoteka, fag program uvijek provjerava RAM. Ako postoji virus u RAM-u, on se deaktivira. To je zbog činjenice da virusni programi često inficiraju one programe koji se pokreću ili otvaraju u trenutku kada je virus u aktivnoj fazi (to je zbog želje da se uštedi na naporima da se pronađu objekti zaraze). Dakle, ako virus ostane aktivan u memoriji, onda će totalno skeniranje svih izvršnih datoteka dovesti do potpune infekcije sistema.

Danas su virusni programi postali mnogo složeniji. Na primjer, pojavili su se takozvani “stealth virusi”. Njihov rad se zasniva na činjenici da operativni sistem prilikom pristupa perifernim uređajima (uključujući i tvrdi diskovi) koristi mehanizam prekida. Ovdje je potrebno napraviti kratku digresiju na temu “Kako funkcionira mehanizam prekida”. Kada dođe do prekida, kontrola se prenosi poseban program- “Upravljač prekidima”. Ovaj program je odgovoran za unos i izlaz informacija na/sa perifernog uređaja. Osim toga, prekidi se dijele na nivoe interakcije s perifernim uređajima (u našem slučaju s tvrdim i flopi diskovima). Postoji nivo operativnog sistema (u MS DOS okruženju - prekid 25h), postoji nivo osnovnog ulazno/izlaznog sistema (BIOS nivo - prekid 13h). Iskusni sistemski programeri takođe mogu raditi direktno pristupanjem I/O portovima uređaja. Ali ovo je prilično ozbiljan i težak zadatak. Ovakav višeslojni sistem napravljen je prvenstveno sa ciljem održavanja prenosivosti aplikacije. Zahvaljujući takvom sistemu, na primjer, postalo je moguće pokretati DOS aplikacije u multitasking okruženjima kao što su MS Windows ili IBM OS/2.

Ali u takvom sistemu, ranjivost je u početku skrivena: kontrolisanjem rukovaoca prekida, možete kontrolisati protok informacija od perifernog uređaja do korisnika. Stealth virusi, posebno, koriste mehanizam za presretanje kontrole kada dođe do prekida. Zamjenjujući originalni rukovalac prekida vlastitim kodom, stealth virusi kontroliraju čitanje podataka s diska.

Ako se zaraženi program pročita s diska, virus „odgrize“ svoj vlastiti kod (obično se kod doslovno ne „izgrize“, već se zamjenjuje broj sektora diska koji se čita). Kao rezultat, korisnik dobija "čist" kod za čitanje. Dakle, sve dok je vektor za rukovanje prekidima modifikovan virusnim kodom, sam virus je aktivan u memoriji računara i nemoguće ga je otkriti jednostavnim čitanjem diska pomoću operativnog sistema. Sličan kamuflažni mehanizam koriste virusi za pokretanje, o čemu će biti riječi kasnije. U cilju borbe protiv stealth virusa, ranije je preporučeno (i u principu se i dalje preporučuje) alternativno pokretanje sistema sa diskete i tek nakon toga traženje i uklanjanje virusnih programa. Trenutno, pokretanje sa diskete može biti problematično (u slučaju Win32, antivirusne aplikacije neće moći da ih pokrenu). S obzirom na sve navedeno, polifažni antivirusi su najefikasniji samo u borbi protiv već poznatih virusa, odnosno onih čiji su potpisi i metode ponašanja poznati programerima.

Samo u tom slučaju virus će biti otkriven i uklonjen sa 100% preciznošću iz memorije računala, a zatim i iz svih skeniranih datoteka. Ako je virus nepoznat, onda se može prilično uspješno oduprijeti pokušajima otkrivanja i liječenja. Stoga je glavna stvar pri korištenju bilo kojeg polifaga ažurirati verzije programa i baze podataka virusa što je češće moguće.

Izdvojeno ovdje stoje tzv heuristički analizatori. Poenta je da postoji veliki broj virusi čiji je algoritam praktično kopiran iz algoritma drugih virusa.

Takve varijacije u pravilu stvaraju neprofesionalni programeri koji su iz nekog razloga odlučili napisati virus. Za borbu protiv takvih „kopija“ izmišljeni su heuristički analizatori. Uz njihovu pomoć, antivirus može pronaći slične analoge poznatih virusa, obavještavajući korisnika da izgleda da ima virus. Naravno, pouzdanost heurističkog analizatora nije 100%, ali je ipak njegova efikasnost veća od 50%. Viruse koje antivirusni detektori ne prepoznaju mogu napisati samo najiskusniji i najkvalifikovaniji programeri.

Heuristički analizator koda je skup rutina koji analiziraju kod izvršnih datoteka, memorije ili sektora za pokretanje kako bi se otkrili različite vrste kompjuterski virusi. Glavni dio heurističkog analizatora je emulator koda. Emulator koda radi u načinu prikaza, odnosno njegov glavni zadatak nije izvršavanje koda, već otkrivanje svih vrsta događaja u njemu, odnosno skup koda ili poziv određene funkcije operativnog sistema koji ima za cilj pretvaranje sistemskih podataka , rad sa datotekama ili otkrivanje često korištenih virusnih konstrukcija. Grubo govoreći, emulator gleda programski kod i identifikuje radnje koje ovaj program izvodi. Ako se radnje ovog programa uklapaju u određeni obrazac, onda se donosi zaključak o prisutnosti virusnog koda u programu.

Naravno, vjerovatnoća i promašaja i lažnog pozitivnog rezultata je vrlo velika. Međutim, pravilnom upotrebom heurističkog mehanizma, korisnik može samostalno doći do pravih zaključaka. Na primjer, ako antivirus generiše poruku o sumnjivom virusu za jednu datoteku, onda je vjerovatnoća lažno pozitivnog rezultata vrlo velika. Ako se to ponovi na mnogim datotekama (a prije toga antivirus nije otkrio ništa sumnjivo u tim datotekama), onda možemo govoriti o tome da je sistem zaražen virusom sa vjerovatnoćom blizu 100%. Dr.Web antivirus trenutno ima najmoćniji heuristički analizator.

Upotreba heurističkog analizatora, pored svega navedenog, također vam omogućava da se bavite generatori virusa I polimorfni virusi.

Klasična metoda identifikacije virusa po potpisu u ovom slučaju je općenito neučinkovita umetnuta u obavezne pozive na eksterne procedure - i sada se elementarni virus pretvorio u prilično složen proizvod. virus samo karakterističnim pozivima na eksterne procedure - a to je rad heurističkog analizatora. Tijelo virusa se mijenja od infekcije do infekcije, zadržavajući svoj funkcionalni sadržaj.

U najjednostavnijem slučaju, ako nasumično raštrkate prazne operatore koji ne rade ništa (kao što su “mov ax, ax” ili “por”) po cijelom tijelu virusa, tada će tijelo virusnog koda doživjeti značajne promjene, ali algoritam ostaće isti. U ovom slučaju u pomoć priskače i heuristički analizator.

Postoji klasa antivirusnih programa , koji su trajno pohranjeni u RAM memoriji računara , And pratiti sve sumnjive radnje koje izvode drugi programi .

Takvi programi se nazivaju filteri , stalni nadzornici ili čuvari.

Filtrirajte programe , također se zove stalni čuvari I stalni monitori , su trajno smješteni u RAM-u i presreću određene prekide u svrhu praćenje sumnjivih aktivnosti . Istovremeno, mogu blokirati "opasne" radnje ili izdati zahtjev korisniku.

Radnje koje podliježu kontroli mogu biti sljedeće:

modifikacija glavnog zapisa za pokretanje (MBR) i zapisa za pokretanje logičkih diskova i GMD-a,

zapis po apsolutnoj adresi,

formatiranje diska niskog nivoa,

ostavljajući rezidentni modul u RAM-u, itd.

Sviđa mi se revizori , filteri često su „nametljivi“ i stvaraju određene neugodnosti u radu korisnika.

Stambeni monitor će obavijestiti korisnika ako bilo koji program pokuša:

promijeniti boot tvrdi sektor disk ili disketa, izvršna datoteka;

ostaviti rezidentni modul u RAM-u, itd.

Stalni monitori kontrolišu sledeće operacije :

snimiti, ažurirati programske datoteke i područje sistemskog diska;

formatiranje diska;

rezidentno postavljanje programa u RAM .

Od vas će biti zatraženo da dozvolite ili odbijete ovu radnju.

Princip rada ovih programa je zasnovan na presretanje odgovarajućih vektora prekida.

Većina stalni monitori omogućavaju vam da automatski provjerite sve pokrenute programe na zarazu poznatim virusima, tj. izvoditi funkcije skenera . Takva provjera će potrajati i proces učitavanja programa će se usporiti, ali ćete biti sigurni da se poznati virusi neće moći aktivirati na vašem računalu.

Prednosti programa ove klase u odnosu na detektorske programe može se pripisati univerzalnost u odnosu na poznate i nepoznate viruse, dok su detektori napisani za specifične tipove koji su trenutno poznati programeru.

Ovo je posebno tačno sada, kada su se pojavili mnogi mutirani virusi koji nemaju trajni kod.

Međutim, programi za filtriranje ne mogu pratiti:

virusi koji direktno napadaju BIOS,

i takođe BOOT virusi, koji se aktiviraju čak i prije pokretanja antivirusnog programa, u početnoj fazi učitavanja DOS.

u isto vrijeme, stalni monitori imaju dosta nedostataka koji čine ovu klasu programa neprikladan za upotrebu .

Mnogi programi, čak i oni koji ne sadrže viruse, mogu izvršiti radnje na koje reaguju stalni monitori.

Na primjer, redovno Komanda LABEL mijenja podatke u sektoru za pokretanje i pokreće monitor.

Stoga će rad korisnika biti stalno ometani dosadnim antivirusnim porukama. Osim toga, korisnik će svaki put morati odlučiti da li je ovaj okidač uzrokovan virusom ili ne. Kao što praksa pokazuje, prije ili kasnije korisnik isključi stalni monitor.

Nedostaci stambenih monitora takođe je to moraju se stalno učitavati u RAM i stoga smanjiti količinu memorije dostupne drugim programima.

MS-DOS operativni sistem već uključuje rezidentni antivirusni monitor, VSafe.

Prilikom instaliranja nekih rezident antivirusni monitori mogu nastati konflikti sa drugim rezidentnim programima koji koriste iste prekide, koji jednostavno prestaju da rade.

Danas, više nego ikad, antivirusni softver nije samo najtraženiji u sigurnosnom sistemu bilo kojeg operativnog sistema, već i jedna od njegovih glavnih komponenti. I ako je ranije korisnik imao vrlo ograničen, skroman izbor, sada možete pronaći mnogo takvih programa. Ali ako pogledate listu “Top 10 antivirusa”, primijetit ćete da nisu svi jednaki u smislu funkcionalnost. Pogledajmo najpopularnije pakete. Istovremeno, analiza će obuhvatiti i plaćene i shareware (antivirus 30 dana) i besplatno distribuirane aplikacije. Ali prvo stvari.

Top 10 antivirusa za Windows: kriterijumi testiranja

Prije nego što počnete sa sastavljanjem ocjene, vjerojatno biste se trebali upoznati s osnovnim kriterijima koji se u većini slučajeva koriste prilikom testiranja takvog softvera.

Naravno, jednostavno je nemoguće razmotriti sve poznate pakete. Međutim, među svim onima koji su dizajnirani da obezbede zaštitu računarskog sistema u najširem smislu, mogu se identifikovati najpopularniji. Istovremeno ćemo uzeti u obzir i zvanične ocjene nezavisnih laboratorija i recenzije korisnika koji u praksi koriste ovaj ili onaj softverski proizvod. osim toga, mobilni programi neće uticati, fokusiraćemo se na stacionarne sisteme.

Što se tiče provođenja osnovnih testova, oni u pravilu uključuju nekoliko glavnih aspekata:

• dostupnost plaćenih i besplatnih verzija i ograničenja vezana za funkcionalnost;
• standardna brzina skeniranja;
• brza identifikacija potencijalnih prijetnji i mogućnost njihovog uklanjanja ili karantene korištenjem ugrađenih algoritama;
• učestalost ažuriranja antivirusnih baza podataka;
• samoodbrana i pouzdanost;
• dostupnost dodatnih funkcija.

Kao što se može vidjeti iz gornje liste, provjera rada antivirusnog softvera omogućava vam da odredite prednosti i slabosti jedan ili drugi proizvod. Zatim ću razmotriti najpopularnije softverske pakete uključene u Top 10 antivirusa, a također ću dati njihove glavne karakteristike, naravno, uzimajući u obzir mišljenja ljudi koji ih koriste u svom svakodnevnom radu.

Kaspersky Lab softverski proizvodi

Prvo, pogledajmo softverski moduli, koje je razvio Kaspersky Lab, koji su izuzetno popularni na postsovjetskom prostoru.

Ovdje je nemoguće izdvojiti samo jedan program, jer među njima možete pronaći standardni Kaspersky Antivirus skener, te module poput Internet Security, i prenosivi uslužni programi poput Virus Removal Tool, pa čak i diskovi za pokretanje za oštećene Rescue Disc sisteme.

Odmah je vrijedno napomenuti dva glavna nedostatka: prvo, sudeći po recenzijama, gotovo svi programi, uz rijetke izuzetke, su plaćeni ili shareware, i drugo, sistemski zahtjevi nerazumno visoke, što onemogućava njihovu upotrebu u relativno slabim konfiguracijama. Naravno, ovo plaši mnoge obične korisnike, iako se ključevi za aktivaciju za Kaspersky Antivirus ili Internet Security lako mogu pronaći na World Wide Webu.

S druge strane, situacija aktivacije se može ispraviti i na drugi način. Na primjer, Kaspersky ključevi se mogu generirati pomoću posebnih aplikacija kao što je Key Manager. Istina, ovaj pristup je, blago rečeno, nezakonit, međutim, kao izlaz, koriste ga mnogi korisnici.

Brzina rada na modernim mašinama je prosječna (iz nekog razloga se stvara sve više teških verzija za nove konfiguracije), ali stalno ažurirane baze podataka, jedinstvena tehnologija za identifikaciju i uklanjanje poznatih virusa i potencijalno opasnih programa su na najbolji način. Nije iznenađujuće da je Kapersky Laboratory danas lider među programerima sigurnosnog softvera.

I još dvije riječi o disku za oporavak. Jedinstven je na svoj način, jer učitava skener sa grafičkim sučeljem čak i prije nego što se Windows pokrene, što vam omogućava da uklonite prijetnje čak i iz RAM-a.

Isto važi i za prenosive Virusni programi Alat za uklanjanje, sposoban za praćenje bilo koje prijetnje na zaraženom terminalu. Može se uporediti samo sa sličnim uslužnim programom Dr. Web.

Zaštita od Dr. Web

Pred nama je još jedan od najjačih predstavnika u oblasti sigurnosti - čuveni "Doctor Web", koji je od pamtivijeka stajao na početku stvaranja svih antivirusnih softvera.

Među ogromna količina Takođe možete pronaći standardne skenere, sigurnosne alate za surfovanje Internetom, prenosive uslužne programe i diskove za oporavak. Ne možete sve nabrojati.

Može se nazvati glavnim faktorom u korist softvera ovog programera velike brzine rad, trenutna identifikacija prijetnje sa sposobnošću bilo kojeg potpuno uklanjanje, odnosno izolacije, kao i umjereno opterećenje sistema u cjelini. Općenito, sa stanovišta većine korisnika, ovo je neka vrsta lagane verzije Kasperskyja. Ima tu još nešto zanimljivo. Konkretno, ovo je dr. Web Katana. Vjeruje se da je riječ o softverskom proizvodu nove generacije. Fokusiran je na korištenje “pješčanih” tehnologija, odnosno postavljanje prijetnje u “olak” ili “sandbox” (kako god želite da je nazovete) radi analize prije nego što prodre u sistem. Međutim, ako pogledate, ovdje nema posebnih inovacija, jer je ova tehnika korištena još u prošlosti besplatni antivirus Panda. Osim toga, prema mnogim korisnicima, Dr. Web Katana je neka vrsta sigurnosnog prostora sa istim tehnologijama. Međutim, općenito govoreći, svaki softver ovog programera prilično je stabilan i moćan. Nije iznenađujuće da mnogi korisnici preferiraju takve pakete.

ESET programi

Govoreći o Top 10 antivirusa, nemoguće je ne spomenuti još jednog sjajnog predstavnika ove oblasti - kompaniju ESET, koja je postala poznata po tako dobro poznatom proizvodu kao što je NOD32. Nešto kasnije, modul je rođen ESET Smart Sigurnost.

Ako uzmemo u obzir ove programe, možemo primijetiti zanimljivu stvar. Da biste aktivirali punu funkcionalnost bilo kojeg paketa, možete učiniti dvije stvari. S jedne strane, ovo je sticanje službene dozvole. S druge strane, možete instalirati probni antivirus besplatno, ali ga aktivirajte svakih 30 dana. Zanimljiva je i situacija sa aktivacijom.

Kao što apsolutno svi korisnici primjećuju, za ESET Smart Security(ili za standardni antivirus) na službenoj web stranici možete pronaći slobodno distribuirane ključeve u obliku prijave i lozinke. Do nedavno su se mogli koristiti samo ovi podaci. Sada je proces postao nešto složeniji: prvo se trebate prijaviti i lozinku na posebnom web-mjestu, pretvoriti ga u broj licence, a tek onda unijeti u polje za registraciju u samom programu. Međutim, ako ne obraćate pažnju na takve sitnice, možete primijetiti da je ovaj antivirus jedan od najboljih. Prednosti koje su primijetili korisnici:

• baze podataka virusnih definicija ažuriraju se nekoliko puta dnevno,
• identifikacija prijetnji na najvišem nivou,
• nema sukoba sa sistemskim komponentama (firewall),
• paket ima najjaču samoodbranu,
• nema lažnih alarma itd.

Odvojeno, vrijedi napomenuti da je opterećenje na sistemu minimalno, a korištenje Anti-Theft modula čak vam omogućava da zaštitite podatke od krađe ili zloupotrebe za ličnu korist.

AVG Antivirus

AVG Antivirus je softver koji se plaća, dizajniran da obezbedi sveobuhvatnu bezbednost za računarske sisteme (postoji i besplatna, skraćena verzija). I iako danas ovaj paket više nije među prvih pet, on ipak pokazuje prilično veliku brzinu i stabilnost.

U principu, idealan je za kućnu upotrebu, jer osim brzine, ima zgodno rusificirano sučelje i manje-više stabilno ponašanje. Istina, kao što neki korisnici primjećuju, ponekad može promašiti prijetnje. I to se ne odnosi na viruse kao takve, već na špijunski softver ili reklamno "smeće" pod nazivom Malware i Adware. Vlastiti modul programa, iako se naširoko reklamira, ipak, prema riječima korisnika, izgleda pomalo nedovršeno. Dodatni zaštitni zid često može uzrokovati sukobe sa „nativnim“ Windows zaštitnim zidom ako su oba modula aktivna.

Avira paket

Avira je još jedan član porodice antivirusnih programa. Ne razlikuje se suštinski od većine sličnih paketa. Međutim, ako pročitate recenzije korisnika o tome, možete pronaći prilično zanimljive postove.

Mnogi ljudi ni pod kojim okolnostima ne preporučuju korištenje besplatne verzije, jer u njoj jednostavno nedostaju neki moduli. Da biste osigurali pouzdanu zaštitu, morat ćete kupiti plaćeni proizvod. Ali takav je antivirus prikladan za verzije 8 i 10, u kojima sam sistem koristi puno resursa, a paket ih koristi na najnižem nivou. U principu, Avira je najprikladnija za, recimo, jeftine laptope i slabe računare. Mrežna instalacija, međutim, ne dolazi u obzir.

Cloud servis Panda Cloud

Besplatno je u jednom trenutku postalo gotovo revolucija u području antivirusnih tehnologija. Korišćenje takozvanog „peščanika“ za podnošenje sumnjivog sadržaja na analizu pre nego što prodre u sistem učinilo je ovu aplikaciju posebno popularnom među korisnicima svih nivoa.

A upravo se sa „pješčanikom“ danas povezuje ovaj antivirus. Da, zaista, ova tehnologija, za razliku od drugih programa, omogućava vam da spriječite prijetnje da uđu u sistem. Na primjer, bilo koji virus prvo sprema svoje tijelo na tvrdi disk ili u RAM, a tek onda počinje svoju aktivnost. Ovdje stvar ne dolazi do konzervacije. Najprije se sumnjiva datoteka šalje u cloud servis, gdje se provjerava, a tek onda može biti sačuvana u sistemu. Istina, prema riječima očevidaca, nažalost, to može potrajati dosta vremena i nepotrebno opteretiti sistem. S druge strane, vrijedi se zapitati šta je važnije: sigurnost ili produženo vrijeme provjere? Međutim, za moderne kompjuterske konfiguracije sa brzinom internet veze od 100 Mbit/s i više, može se koristiti bez problema. Inače, sopstvena zaštita je obezbeđena upravo kroz „oblak“, što ponekad izaziva kritike.

Avast Pro Antivirusni skener

Sada nekoliko riječi o još jednom sjajnom predstavniku. Prilično je popularan među mnogim korisnicima, međutim, uprkos prisutnosti istog sandbox-a, anti-špijunskog softvera, mrežnog skenera, firewall-a i virtuelnog naloga, nažalost, Avast Pro Antivirus je bolji u pogledu performansi. glavni pokazatelji performansi, funkcionalnosti i pouzdanosti očito gube od takvih divova kao što su softverski proizvodi Kaspersky Lab ili aplikacije koje koriste Bitdefender tehnologije, iako pokazuje veliku brzinu skeniranja i nisku potrošnju resursa.

Ono što privlači korisnike ovim proizvodima je uglavnom to besplatna verzija Paket je maksimalno funkcionalan i ne razlikuje se mnogo od plaćenog softvera. Osim toga, ovaj antivirus radi na svima Windows verzije, uključujući i "desetku", i savršeno se ponaša čak i na zastarjelim mašinama.

360 sigurnosni paketi

Pred nama je vjerovatno jedan od najbržih antivirusa našeg vremena - 360 Security, koji su razvili kineski stručnjaci. Generalno, svi proizvodi sa oznakom „360“ odlikuju se zavidnom brzinom rada (isti internet pretraživač 360 Safety Browser).

Uprkos svojoj osnovnoj nameni, program ima dodatne module za uklanjanje ranjivosti operativnog sistema i njegovu optimizaciju. Ali ni brzina rada ni slobodna distribucija ne mogu se porediti sa lažnim alarmima. Na listi programa koji imaju najviše pokazatelje po ovom kriteriju, ovaj softver zauzima jedno od prvih mjesta. Prema mnogim stručnjacima, sukobi nastaju na nivou sistema zbog dodatnih optimizatora, čija se radnja ukršta sa izvršavanjem zadataka samog OS-a.

Softverski proizvodi bazirani na Bitdefender tehnologijama

Još jedan "starac" među najpoznatijim braniteljima operativnih sistema je Bitdefender. Nažalost, 2015. godine izgubio je palmu u odnosu na Kaspersky Lab proizvode, ali je u antivirusnom modu, da tako kažem, jedan od trendsetera.

Ako pogledate malo pažljivije, primijetit ćete da su mnogi moderni programi (isti 360 Security paket) u različitim varijacijama napravljeni upravo na bazi ovih tehnologija. Uprkos bogatoj funkcionalnoj bazi, ima i svojih nedostataka. Prvo, nećete pronaći ruski antivirusni (rusificirani) Bitdefender, jer on uopće ne postoji u prirodi. Drugo, uprkos upotrebi najnovijih tehnoloških dostignuća u pogledu zaštite sistema, nažalost, pokazuje preveliki broj lažnih pozitivnih rezultata (inače, prema mišljenju stručnjaka, to je tipično za čitavu grupu programa kreiranih na osnovu Bitdefender). Prisustvo dodatnih komponenti optimizatora i njihovih vlastitih zaštitnih zidova općenito utječe na ponašanje takvih antivirusnih programa koji nisu uključeni bolja strana. Ali ne možete poreći brzinu ove aplikacije. Osim toga, P2P se koristi za verifikaciju, ali verifikacije uopće nema email u realnom vremenu, što se mnogima ne sviđa.

Antivirus iz Microsofta

Još jedna aplikacija koja se ističe svojim zavidnim performansama sa ili bez razloga je Microsoftov vlastiti proizvod pod nazivom Security Essentials.

Ovaj paket je uključen u Top 10 antivirusa, očigledno samo zato što je dizajniran isključivo za Windows sisteme, što znači da ne izaziva apsolutno nikakve konflikte na nivou sistema. Osim toga, ko drugi, ako ne stručnjaci iz Microsofta, zna sve sigurnosne rupe i ranjivosti vlastitih operativnih sistema. Inače, zanimljivo je da je inicijal Windows builds 7 i Windows 8 su imali MSE kao standard, ali su onda iz nekog razloga napustili ovaj paket. Međutim, za Windows to može postati najjednostavnije rješenje u smislu sigurnosti, iako ne možete računati na neku posebnu funkcionalnost.

McAfee aplikacija

Što se tiče ove aplikacije, izgleda prilično zanimljivo. Ipak, najveću popularnost stekao je u području primjene na mobilnim uređajima sa svim vrstama brava, međutim na desktop računare Ovaj antivirus se ne ponaša ništa lošije.

Program ima podršku niskog nivoa za P2P mreže prilikom dijeljenja datoteka Instant Messengera, a nudi i zaštitu na 2 nivoa, u kojoj glavnu ulogu imaju moduli WormStopper i ScriptStopper. Ali općenito, prema potrošačima, funkcionalni set je na prosječnom nivou, a sam program je više fokusiran na identifikaciju špijunskog softvera, kompjuterski crvi i trojanci i sprečavanje izvršnih skripti ili zlonamernog koda da uđu u sistem.

Kombinirani antivirusi i optimizatori

Naravno, ovdje su razmatrani samo oni koji su uključeni u Top 10 antivirusa. Ako govorimo o drugom softveru ove vrste, možemo uočiti neke pakete koji u svojim setovima sadrže antivirusne module.

Šta preferirati?

Naravno, svi antivirusi imaju određene sličnosti i razlike. Šta instalirati? Ovdje morate poći od potreba i nivoa zaštite. po pravilu, korporativni klijenti vrijedi kupiti nešto moćnije sa sposobnošću mrežna instalacija(Kaspersky, Dr. Web, ESET). Što se tiče kućnu upotrebu, ovdje korisnik bira ono što mu treba (ako želi, čak možete pronaći antivirus na godinu dana - bez registracije ili kupovine). Ali, ako pogledate recenzije korisnika, bolje je instalirati Panda Cloud, čak i uprkos dodatnom opterećenju sistema i vremenu koje je potrebno da se provjeri u sandboxu. Ali tu postoji potpuna garancija da prijetnja ni na koji način neće prodrijeti u sistem. Međutim, svako je slobodan da za sebe odabere šta mu je tačno potrebno. Ako aktivacija nije teška, molimo: ESET proizvodi rade dobro na kućnim sistemima. Ali korištenje optimizatora s antivirusnim modulima kao glavnog sredstva zaštite je vrlo nepoželjno. Pa, takođe je nemoguće reći koji program zauzima prvo mjesto: toliko je korisnika, toliko mišljenja.

Programi revizije su među najpouzdanijim sredstvima zaštite od virusa. Revizori pamte početno stanje programa, direktorija i sistemskih područja diska kada računar nije zaražen virusom, a zatim povremeno ili na zahtjev korisnika upoređuju trenutno stanje sa originalnim. Otkrivene promjene se prikazuju na ekranu monitora. Po pravilu, stanja se porede odmah nakon učitavanja operativnog sistema. Prilikom poređenja provjerava se dužina datoteke, ciklički kontrolni kod (kontrolna suma datoteke), datum i vrijeme izmjene i drugi parametri. Programi revizora imaju prilično razvijene algoritme, otkrivaju skrivene viruse i čak mogu očistiti promjene u verziji programa koja se provjerava od promjena koje je napravio virus. Među programima revizije je i program Adinf, koji se široko koristi u Rusiji.

Antivirusni programi- revizori vam omogućavaju da otkrijete virus. Najčešće otkrivanje virusa okonča stvar. Postoji blok tretmana za popularni antivirusni auditor Adinf, takozvani Cure Module, ali takav blok vam omogućava da tretirate samo one datoteke koje nisu bile zaražene u trenutku kreiranja baze podataka programa. Međutim, antivirusni revizori mogu otkriti virus na računaru (ili čak sumnju na njega) sa visokim stepenom pouzdanosti. Obično je najoptimalnija kombinacija polifag i auditor. Revizor se koristi za otkrivanje da li je sistem zaražen. Ako je sistem inficiran, tada u igru ​​ulazi polifag. Ako nije uspio uništiti virus, možete kontaktirati programera antivirusnih alata - najvjerovatnije je novi virus, nepoznat programerima, ušao u računalo.

Osnova rada revizora je praćenje promjena karakterističnih za rad virusnih programa. Sadrže informacije: o kontrolnim zbrojima nepromjenjivih datoteka, sadržaju sistemskih područja, adresama rukovatelja prekidima, veličini raspoložive RAM memorije, itd. Ostatak rada revizora sastoji se od poređenja trenutnog stanja diska sa prethodno sačuvanim podacima, tako da izuzetno je važno da sve kontrolne sume tabele nisu kreirane na zaraženoj mašini. Samo u ovom slučaju će rad revizora biti prilično efikasan. Dakle, pređimo na faze rada revizorskog programa.

Kontrola RAM-a. Ova faza skeniranja uključuje procedure za otkrivanje tragova aktivnih pokretačkih i skrivenih virusa u memoriji računara. Ako se pronađu takvi algoritmi, izdaje se odgovarajuće upozorenje. Obično program prvo traži viruse koji su već poznati. Zatim, program provjerava da li se Intl3h rukovalac promijenio. Ako se promijenila, onda sa vjerovatnoćom od 90% možemo reći da je računar zaražen virusom za pokretanje (virusi za pokretanje su primorani da presretnu ovaj prekid kako bi prenijeli kontrolu na “normalni” sektor za pokretanje nakon aktiviranja i sistema čizme bez kvarova). Inspektor izdaje upozorenje o tome i javlja adresu u memoriji na kojoj se nalazi novi Intl3h rukovalac. U principu, informacije o lokaciji rukovaoca su neophodne programerima i administratori sistema, a prosječan korisnik treba obratiti pažnju na upozorenje. Čak i ako je revizor instaliran na računar koji je već zaražen virusom i prava adresa Int 13h rukovaoca je maskirana virusom, u 85% slučajeva revizor uspe da otkrije pravu adresu Intl3h rukovaoca u BIOS-u i radite koristeći ga. Ako revizor iz nekog razloga nije mogao dobiti pravu adresu rukovaoca, izdaje se upozorenje. Prava adresa rukovaoca prekida se postiže postupnim pregledom tela virusa (prema algoritmu njegovog rada, boot virus je primoran, na kraju, da prenese kontrolu na originalni rukovalac).

Neki virusi blokiraju praćenje prekida: kada pokušavaju da uđu u trag svojim kodovima, uzrokuju zamrzavanje sistema, ponovno pokretanje računara, itd. Stoga, ako se računar počne ponašati „čudno“ prilikom praćenja prekida, onda treba da budete veoma oprezni - to je moguće da je RAM zaražen virusom.

Važan parametar je veličina slobodnog RAM-a. Obično se inspektor pokreće vrlo prvi, prije nego što se učitaju bilo koji programi. Ako se veličina RAM-a smanjila, to je siguran znak prisustva nekog drugog programa u RAM-u. Najvjerovatnije je ovaj program virus.

Kontrola oblasti sistema. Kontrola područja sistema je dizajnirana da otkrije viruse koji koriste mehanizam pokretanja za aktivaciju. Prvi zapis za pokretanje koji se učitava sa diska je zapis za pokretanje, koji sadrži mini-program koji kontroliše dalje učitavanje. Za čvrsti disk, glavni zapis za pokretanje (MBR) se prvo učitava.

Neka pojašnjenja su neophodna u vezi sa otkrivanjem virusa za pokretanje sistema. Ako je sistem zaražen virusom za pokretanje sistema, tada se na njega prenosi kontrola kada se pokuša pokrenuti sa zahvaćenog diska. Ovo je opasnost od virusa - ako je zahvaćen hard disk, tada će se kontrola prenijeti na virus svaki put kada uključite računar. Boot virusi u svom čistom obliku prenose se isključivo preko disketa, a do infekcije dolazi kada se pokuša pokrenuti sa zaražene diskete. Vremenom je upotreba disketa općenito, a posebno disketa za pokretanje, svedena na minimum. Međutim, metoda preuzimanja kontrole pokazala se toliko pogodnom da su virusi sada vrlo česti, koji mogu zaraziti i datoteke i boot sektori. Jednom na „čistom“ računaru, takvi virusi prvo inficiraju glavni zapis za pokretanje. Međutim, metode za otkrivanje boot virusa su trenutno izuzetno efikasne i približavaju se 100% pouzdanosti.

Da bismo razumjeli kako se virus otkriva, razmotrimo otkrivanje takvog virusa "ručno". Pokrenimo se sa prazne diskete (u ovom slučaju, prekid 13h je zagarantovan da ga neće presresti virus za pokretanje) i pogledajmo sektor 0/0/1 čvrstog diska (ovo je fizička adresa glavnog sektora za snimanje pokretanja) ). Ako je čvrsti disk podijeljen (pomoću fdisk-a) na logičke diskove, tada kod zauzima otprilike polovinu sektora i počinje bajtovima FAh33hCOh (umjesto 33h ponekad može biti 2Bh). Kôd bi trebao završiti redovima teksta poput „Nedostaje operativni sistem" Na kraju sektora su naizgled različiti bajtovi particione tabele. Morate obratiti pažnju na smještaj aktivne particije u tabeli particija. Ako se operativni sistem nalazi na disku C, a aktivne su 2., 3. ili 4. particije, tada bi virus mogao promijeniti početnu tačku, stavljajući se na početak druge logički pogon(u isto vrijeme morate pogledati tamo). Ali to takođe može ukazivati ​​na to da mašina ima nekoliko operativnih sistema i neku vrstu pokretača koji omogućava selektivno pokretanje. Provjeravamo cijelu nultu stazu. Ako je čist, odnosno sektori sadrže samo bajtove punjenja, sve je u redu. Prisustvo smeća, kopija sektora 0/0/1 i drugih stvari može ukazivati ​​na prisustvo virusa za pokretanje. Međutim, kada liječe boot viruse, antivirusi samo „odrube glavu“ neprijatelju (vraćaju originalnu vrijednost sektora 0/0/1). Provjeravamo MS-DOS sektor za pokretanje, obično se nalazi u sektoru 0/1/1. Njegovo izgled za poređenje, možete ga pronaći na bilo kojoj „čistoj“ mašini. Programi revizora rade na približno isti način. Njihova posebnost je u tome što ne mogu suditi o početnoj „čistoći“ RAM-a, pa se čitanje Master Boot Record-a dešava u tri na razne načine:

● (bios) - direktan pristup BIOS-u;

● (il3h) - čitanje prekida BIOS-a Intl3h;

● (i25h) - čitanje pomoću operativnog sistema (prekid Int25h).

Ako se pročitane informacije ne poklapaju, efekat stealth algoritama je očigledan. Za veću pouzdanost, MBR se čita kroz IDE portove čvrstog diska. Do sada se još nisu susreli virusi koji bi se mogli zakamuflirati od revizora sa takvom funkcijom.

Jednostavan (ne-glavni) sektor za pokretanje se također provjerava na sličan način.

Obično zbog činjenice da revizor zadržava rezervna kopija sistemske oblasti, vraćanje štete od virusa za pokretanje je prilično jednostavno: ako korisnik da svoj pristanak, revizor jednostavno ponovo zapisuje sistemske oblasti.

Kontrola nepromjenjivih datoteka. Posljednja faza skeniranja, usmjerena na otkrivanje aktivnosti virusa datoteka, je praćenje promjena datoteka. Za sve fajlove koji se aktivno koriste i u isto vreme ne treba menjati (obično programi poput win.com itd.), kreiraju se kontrolne tabele. Sadrže vrijednosti kontrolne sume i veličine datoteka. Zatim, tokom daljeg korišćenja revizora, informacije sa Diskova se upoređuju sa referencom pohranjenom u tabelama. Ako se informacije ne poklapaju, onda je vrlo vjerovatno da se u sistemu nalazi virus. Najočigledniji znak je promjena veličine ili sadržaja datoteke bez promjene datuma kreiranja datoteke.

Vrlo je važno odrediti koji su fajlovi nepromjenjivi. Prilikom postavljanja revizorskog programa, podaci o nepromjenjivim datotekama unose se u tabele koje sadrže popis naziva datoteka i direktorija koji su predmet kontrole revizora. Svaki red tabele sadrži jedno ime ili masku. U principu, preporučuje se klasifikovati kao „nepromenljive“ one izvršne datoteke čija je putanja navedena u varijabli PATH. Oni najčešće postaju žrtve fajl virusa.

Nakon što su sve datoteke skenirane, revizori često spremaju kopije dodatnih memorijskih područja koja mogu biti oštećena virusima. To su FLASH i CMOS memorija. Ova memorijska područja se također rijetko mijenjaju i stoga njihove promjene mogu biti sumnjive.

Napominjemo još jednom da će najefikasnija antivirusna zaštita biti korištenje revizora "snopa" - polifaga. Inspektor vam omogućava da pratite aktivnost virusa na disku, a polifag se koristi za skeniranje novih datoteka, kao i za uklanjanje već poznatih virusa.

Filtriraj programe, ili „čuvari“ su mali rezidentni programi dizajnirani da otkriju sumnjive radnje tokom rada računara, karakteristične za viruse. Takve radnje mogu biti:

● pokušava da ispravi datoteke sa COM i EXE ekstenzijama;

● promjena atributa datoteke;

● direktno snimanje na disk na apsolutnoj adresi;

● upisivanje u boot sektore diska;

Kada bilo koji program pokuša izvršiti navedene radnje, “čuvar” šalje poruku korisniku i nudi da zabrani ili dozvoli odgovarajuću radnju. Programi za filtriranje su vrlo korisni jer su u stanju da otkriju virus u najranijoj fazi njegovog postojanja prije replikacije. Međutim, oni ne "čiste" datoteke i diskove. Da biste uništili viruse, morate koristiti druge programe, kao što su fagi. Nedostaci watchdog programa uključuju njihovu "nametljivost" (na primjer, oni stalno izdaju upozorenje o svakom pokušaju kopiranja izvršnu datoteku), kao i mogući sukobi sa drugima softver. Primjer programa za filtriranje je Vsafe program, koji je dio MS DOS uslužnog paketa.

Vakcine ili imunizatori su stalni programi koji sprječavaju zarazu datoteka. Vakcine se koriste ako ne postoje doktorski programi za „liječenje“ virusa. Vakcinacija je moguća samo protiv poznatih virusa. Vakcina modificira program ili disk na takav način da ne utječe na njegov rad, a virus će ga percipirati kao zaraženog i stoga neće prodrijeti. Trenutno, programi vakcinacije imaju ograničenu upotrebu.