Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
РЕФЕРАТ
НА ТЕМУ:
“ Сучасні засоби антивірусного захисту “
Виконав
учень 9-Б класу
Козелко Владислав А.
Тернопіль-2012
Антивірусна програма
(антивірус) - програма для виявлення комп'ютерних вірусів, а також небажаних (що вважаються шкідливими) програм взагалі, і відновлення заражених (модифікованих) такими програмами файлів, а також для профілактики - запобігання зараженню (модифікації) файлів або операційної системи шкідливим кодом
Антивірусне програмне забезпечення складається з підпрограм, які намагаються виявити, запобігти розмноженню і видалити комп'ютерні віруси і інше шкідливе програмне забезпечення.
Антивірусне програмне забезпечення зазвичай використовує два відмінних один від одного методу для виконання своїх завдань:
Це метод, при якому антивірусна програма, аналізуючи файл, звертається до антивірусних баз, складені виробником програми-антивіруса. У разі відповідності якої-небудь ділянки коду файлу (сигнатурі) вірусу, що переглядається, в базах, програма-антивірус може за запитом виконати одну з наступних дій :
Вірусна база регулярно оновлюється виробником антивірусів, користувачем рекомендується оновлювати їх як можна частіше.
Деякі з продуктів для кращого виявлення використовують декілька ядер для пошуку і видалення вірусів і програм-шпигунів. Наприклад, в розробці NuWave Software використовується одночасно п'ять ядер (три для пошуків вірусів і два для пошуку програм-шпигунів).
Для багатьох антивірусних програм з базою сигнатур характерна перевірка файлів в мить, коли операційна система звертається до файлів. Таким чином, програма може виявити відомий вірус відразу після його отримання. При цьому системний адміністратор може встановити в антивірусній програмі розклад для регулярної перевірки (сканування) усіх файлів на жорсткому диску комп'ютера.
Хоча антивірусні програми, створені на основі пошуку сигнатур, при звичайних обставинах можуть досить ефективно перешкоджати зараженню комп'ютерів, автори вірусів намагаються обійти такі антивіруси, створюючи "олигоморфические", "поліморфічні" і "Метаморфізм (безпека) метаморфічні" віруси, окремі частини яких шифруються або спотворюються так, щоб було неможливо виявити збіг із записом в сигнатурі.
Антивіруси, що використовують метод виявлення підозрілої поведінки програм не намагаються ідентифікувати відомі віруси, замість цього вони простежують поведінку усіх програм. Якщо програма намагається виконати які-небудь підозрілі з точки зору антивірусної програми дії, то така активність буде заблокована, або ж антивірус може попередити користувача про потенційно небезпечні дії такої програми.
Нині подібні превентивні методи виявлення шкідливого коду, в тому або іншому виді, широко застосовуються в якості модуля антивірусної програми, а не окремого продукту.
На відміну від методу пошуку відповідності визначенню вірусу в антивірусних базах, метод виявлення підозрілої поведінки дає захист від нових вірусів, яких ще немає в антивірусних базах. Але в той же час, такий метод дає велику кількість помилкових спрацьовувань, виявляючи підозрілу активність серед не шкідливих програм. Деякі програми або модулі, побудовані на цьому методі, можуть видавати занадто велику кількість попереджень, що може заплутати користувача.
Деякі програми-антивіруси намагаються імітувати початок виконання коду кожної нової програми, що викликається на виконання, перш ніж передати їй управління. Якщо програма використовує само код, що змінюється, або проявляє вірусну активність, така програма вважатиметься шкідливою, здатною заразити інші файли. Проте цей метод теж рясніє великою кількістю помилкових попереджень.
Загальна технологія по боротьбі з шкідливими програмами - це "білий список". Замість того, щоб шукати тільки відомі шкідливі програми, ця технологія запобігає виконанню усіх комп'ютерних кодів за винятком тих, які були раніше позначені системним адміністратором як безпечні. Вибравши цей параметр відмови за умовчанням, можна уникнути обмежень, характерних для оновлення сигнатур вірусів. До того ж, ті застосування на комп'ютері, які системний адміністратор не хоче встановлювати, не виконуються, оскільки їх немає в "білому списку". Оскільки у сучасних підприємств є безліч надійних застосувань, відповідальність за обмеження у використанні цієї технології покладається на системних адміністраторів і відповідним чином складені ними "білі списки" надійних застосувань. Робота антивірусних програм з такою технологією включає інструменти для автоматизації переліку і експлуатації дій з "білим списком".
В цілому терміном "евристичний аналіз" сьогодні називають сукупність функцій антивіруса, націлених на виявлення невідомих вірусним базам шкідливих програм, але в той же час цей же термін означає один з конкретних чинів.
Евристичне сканування в цілому схоже з сигнатурним, проте, на відміну від нього, шукається не точний збіг із записом в сигнатурі, а допускається розбіжність. Таким чином стає можливим виявити різновид раніше відомого вірусу без необхідності оновлення сигнатур. Також антивірус може використовувати універсальні евристичні сигнатури, в яких закладений загальний вигляд шкідливої програми. У такому разі антивірусна програма може лише класифікувати вірус, але не дати точної назви.
HIPS - система моніторингу усіх застосувань, що працюють в системі, з чітким розподілом прав для різних застосувань. Таким чином HIPS може запобігти деструктивній діяльності вірусу, не надавши йому необхідних прав. Додатки діляться на групи, починаючи від "Довірених", права яких не обмежені, закінчуючи "Заблокованими", яким HIPS не надасть прав навіть на запуск.
В першу чергу, кожен антивірус повинен містити модуль оновлення. Це пов'язано з тим, що основним методом виявлення вірусів сьогодні є сигнатурний аналіз, який покладається на використання антивірусної бази. Для того, щоб сигнатурний аналіз ефективно справлявся з найостаннішими вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і випускають для них сигнатури. Після цього головною проблемою стає доставка сигнатур на комп'ютери всіх користувачів, що використовують відповідну антивірусну програму. Саме це завдання і вирішує модуль оновлення. Після того, як експерти створюють нові сигнатури, файли з сигнатурами розміщуються на серверах компанії - виробника антивіруса і стають доступними для завантаження. Модуль оновлення звертається до цих серверів, визначає наявність нових файлів, завантажує їх на комп'ютер користувача і дає команду антивірусним модулям використовувати нові файли сигнатур. Модулі оновлення різних антивірусів вельми схожі один на одного і відрізняються типами серверів, з яких вони можуть завантажувати файли оновлень, а точніше, типами протоколів, які вони можуть використовувати при завантаженні, - HTTP, FTP, протоколи локальних Windows-мереж. Деякі антивірусні компанії створюють спеціальні протоколи для завантаження своїх оновлень антивірусної бази. У такому разі модуль оновлення може використовувати і цей спеціальний протокол. Друге, в чому можуть відрізнятися модулі оновлення - це настройка дій, на випадок, якщо джерело оновлень недоступне. Наприклад, в деяких модулях оновлення можна вказати не одну адресу сервера з оновленнями, а адреси декількох серверів, і модуль оновлення звертатиметься до них по черзі, поки не виявить працюючий сервер. Або ж в модулі оновлення може бути настройка - повторювати спроби оновлення із заданим інтервалом певну кількість разів або ж до тих пір, поки сервер не стане доступним. Ці дві настройки можуть бути присутніми і одночасно.
Другий важливий допоміжний модуль - це модуль планування. Існує ряд дій, які антивірус повинен виконувати регулярно,зокрема: перевіряти ваш комп'ютер на наявність вірусів і оновлювати антивірусну базу. Модуль оновлення якраз і дозволяє набудувати періодичність виконання цих дій. Для оновлення антивірусної бази рекомендується використовувати невеликий інтервал - одну годину або три години, залежно від можливостей каналу доступу в Інтернет. В даний час нові модифікації шкідливих програм виявляються постійно, що вимушує антивірусні компанії випускати нові файли сигнатур буквально кожну годину. Якщо користувач комп'ютера багато часу проводить в Інтернеті, він піддає свій комп'ютер великому ризику і тому повинен оновлювати антивірусну базу якомога частіше. Повну перевірку комп'ютера потрібно проводити хоч би тому, що спочатку з'являються нові шкідливі програми, а тільки потім сигнатури до них, а значить завжди є можливість завантажити на комп'ютер шкідливу програму раніше, ніж оновлення антивірусних баз. Щоб виявити ці шкідливі програми, комп'ютер потрібно періодично перепровіряти. Розумним розкладом для перевірки комп'ютера можна вважати перевірку раз в тиждень. Виходячи з сказаного, основне завдання модуля планування - давати можливість вибрати для кожної дії розклад, який більше всього підходить саме для цього типу дії. Отже модуль оновлення повинен підтримувати багато різних варіантів розкладу з яких можна було б вибирати.
У міру збільшення кількості модулів в антивірусі виникає необхідність в додатковому модулі для управління і настройки. У простому випадку - це загальний інтерфейсний модуль, за допомогою якого можна в зручній формі дістати доступ до найбільш важливих функцій:
Основні вимоги до такого модуля - зручний доступ до настройок, інтуїтивна зрозумілість, докладна довідкова система, що описує кожне налаштування, можливість захистити налаштування від змін, якщо за комп'ютером працює декілька чоловік. Подібним модулем управління володіють всі антивіруси для домашнього використання. Антивіруси для захисту комп'ютерів в крупних мережах повинні володіти декількома іншими властивостями. Тому, щоб спростити роботу адміністраторів антивірусної безпеки, антивіруси, які використовуються для захисту великих мереж, обладнані спеціальним модулем управління. Основні властивості цього модуля управління:
Це далеко не всі вимоги до управління антивірусним захистом в великій організації, а тільки основні принципи. Докладніше про особливості антивірусного захисту мереж і вимоги до модулів управління буде розказано пізніше у відповідному розділі.
Серед інших допоміжних засобів в багатьох антивірусах є спеціальні технології, які захищають від можливої втрати даних в результаті дій антивіруса. Наприклад, легко представити ситуацію, при якій файл детектується як можливо заражений евристичним аналізатором і віддаляється згідно налаштувань антивіруса. Проте евристичний аналізатор ніколи не дає стовідсоткової гарантії того, що файл дійсно заражений, а значить з певною вірогідністю антивірус міг видалити незаражений файл. Або ж антивірус виявляє важливий документ заражений вірусом і намагається згідно настройкам виконати лікування, але з якихось причин відбувається збій і разом з вилікуваним вірусом втрачається важлива інформація. Зрозуміло, від таких випадків бажано застрахуватися. Найпростіше це зробити, якщо перед лікуванням або видаленням файлів зберегти їх резервні копії, тоді якщо опиниться, що файл був видалений помилково або була втрачена важлива інформація, завжди можна буде виконати відновлення з резервної копії.
Aнтивірус містить модуль для захисту засобів обміну миттєвими повідомленнями і модуль для захисту програм P2P (peer-to-peer). Список підтримуваних програм досить широкий, включає більше 30 найменувань. Тоді як чати самі по собі не несуть серйозної загрози відносно проникнення вірусів, сучасні застосування для обміну повідомленнями є не тільки інструментом передачі інформації: більшість з них підтримує різні способи використання загального доступу до файлів, які можуть легко привести до вірусних заражень, якщо їх належним чином не відстежувати. Модуль захисту P2P не потребує подальшого опису – сучасні мережі P2P (наприклад, Kazaa) містять тисячі потенційно заражених файлів, тому питання захисту надзвичайно важливе.
NOD32 — антивірусний пакет, що випускається словацькою фірмою Eset. Виник в кінці 1998 року. Назва спочатку розшифровувалася як Nemocnica na Okraji Disku («Лікарня на краю диска», перефразована назва популярного тоді в Чехословаччині телесеріалу «Лікарня на околиці міста»). Велика частина коду антивіруса написана на мові асемблера, тому для нього характерно мале використання системних ресурсів і висока швидкість перевірки з налаштуваннями за умовчуванням. Модулі і компоненти: