7. Скорость работы и прочие полезные особенности, функции.

Следующим по важности критерием является скорость работы. Если на полную проверку компьютера требуется несколько часов, то вряд ли большинство пользователей будут запускать его достаточно часто. При этом медленность антивируса совсем не говорит о том, что он ловит вирусов больше и делает это лучше, чем более быстрый антивирус. В разных антивирусах используются различные алгоритмы поиска вирусов, один алгоритм может оказаться более быстрым и качественным, другой — медленным и менее качественным. Все зависит от способностей и профессионализма разработчиков конкретного антивируса.

Наличие дополнительных функций и возможностей стоит в списке качеств антивируса на последнем месте, поскольку очень часто эти функции никак не сказываются на уровне полезности антивируса. Однако эти дополнительные функции значительно упрощают жизнь пользователя, и, может быть, даже побуждают его запускать антивирус чаще.

Методы обнаружения вирусов

1. Метод сравнения с эталоном (сканирование).

Один из самых простых методов обнаружения вирусов.

Суть: для поиска известных вирусов используется маска, т.е программа ищет опознавательную часть вируса – сигнатуру.

Вирусная сигнатура (маска) – некоторая постоянная последовательность кода, специфичная для конкретного вируса и выдающая присутствие вируса в системе.

Антивирусная программа последовательно просматривает (сканирует) проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы, для которых определена маска. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Применение простых сканеров не защищает компьютер от проникновения новых вирусов. Антивирусные сканеры не обнаруживают шифрующихся или полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора (невозможно выделить маску).

2. Эвристический анализ. Сравнительно недавно начал применяться.

Для того чтобы размножаться, компьютерный вирус должен выполнять какие-то конкретные действия: копирование в память, запись в секторы и т.д. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные секторы дисков, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполняемый файл программы. Обнаружив зараженный файл, анализатор выводит обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале.

Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы. Практически все антивирусные программы реализуют собственные методы эвристического анализа.

Эвристический анализатор имеется, например, в программе Doctor Web.

3. Антивирусный мониторинг. Используется резидентными программам-сторожами.

Суть: антивирусная программа постоянно находится в памяти компьютера, выполняя мониторинг подозрительных действий. Антивирусный мониторинг позволяет проверять все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные из Интернет или скопированные на жесткий диск. Антивирусный монитор сообщит пользователю, если какая-то программа попытается выполнить потенциально опасное действие. Программа-сторож может загружать на выполнение другие антивирусные программы для проверки подозрительных программ и контроля всех поступающих извне файлов.

Пример такой программы - Spider Guard в комплекте сканера Doctor Web.

Недостаток: значительный процент ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования сторожей.

4. Метод обнаружения изменений. Используется в программах-ревизорах.

Суть: Антивирусные программы, называемые ревизорами диска, запоминают предварительные характеристики всех областей диска, в которых обычно размещаются вирусы, а затем периодически проверяют их.

Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов, номера дефектных кластеров, объемы установленной оперативной памяти, число подключенный к компьютеру дисков и их параметры.

Достоинство: обнаружение вирусов всех типов, а также неизвестных вирусов. Например программа ADINF, разработанная Д.Ю.Мостовым, работает с диском непосредственно по секторам через BIOS. Это не дает «стелс»-вирусам использовать возможность перехвата прерываний и «подставки» для контроля нужной вирусу области памяти.

Недостатки:

- невозможно определить вирус в файлах, которые поступают в систему уже зараженными, вирусы будет обнаружены только после размножения в системе,

- непригодны для обнаружения заражения макровирусами, т.к. документы и таблицы части изменяются.