3. Блокировщики

Антивирусные блокировщики - это резидентные программы, перехватывающие "вирусо-опасные" ситуации и сообщающие об этом пользователю. К "вирусо-опасным" относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или MBR винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты их размножения.

К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения. К недостаткам относятся существование путей обхода защиты блокировщиков и большое количество ложных срабатываний.

4. Иммунизаторы

Иммунизаторы делятся на два типа:

• иммунизаторы, сообщающие о заражении;

• иммунизаторы, блокирующие заражение.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он летален: абсолютная неспособность сообщить о заражении стелс-вирусом. Поэтому такие иммунизаторы, как и блокировщики, практически не используются в настоящее время.

Второй тип иммунизации защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена. Такой тип иммунизации не может быть универсальным, поскольку нельзя иммунизировать файлы от всех известных вирусов.

С другой стороны антивирусы делятся по типу на:

1. доктора (фаги) - находят и лечат зараженные файлы, удаляя из файла тело программы вируса, возвращая файлы в исходное состояние. Фаги на основе анализа данных выделяют фрагменты вредоносного кода (например, по его сигнатуре) и на этой основе делают вывод о наличии вредоносных программ. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Удаление или "лечение" пораженных вирусом данных позволяет предупредить негативные последствия исполнения вредоносных программ. Таким образом, на основе анализа "в статике" предупреждаются последствия, возникающие "в динамике".

Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Учитывая, что постоянно появляются новые вирусы, программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

2. ревизоры - запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Другими словами, "ревизоры" контролируют целостность данных и по факту нарушения целостности принимают решение о наличии в компьютерной среде вредоносных программ.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

Схема работы и "ревизоров", и "полифагов" практически одинакова - сравнить данные (или их контрольную сумму) с одним или несколькими эталонными образцами. Данные сравниваются с данными. Таким образом, для того чтобы найти вирус в своем компьютере, нужно, чтобы он уже "сработал", чтобы появились последствия его деятельности. Этим способом можно найти только известные вирусы, для которых заранее описаны фрагменты кода или сигнатуры. Вряд ли такую защиту можно назвать надежной.

3. вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

4. детекторы - осуществляют поиск характерной для конкретного вируса последовательности байтов. Программы-детекторы обеспечивают поиск и обнаружение вирусов также и в оперативной памяти, на внешних носителях.

Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Недостатком детекторов является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

5. фильтры (сторожа) - представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями СОМ и ЕХЕ;

• изменение атрибутов файлов;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные сектора диска;

• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия, "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

рейтинг антивирусов (http://tehnik.by/obzor/soft/274-antivirus)

Самый авторитетный ресурс сети Интернет в области антивирусов ANTIVIRUS.RU опубликовал рейтинг на звание "лучший антивирус 2009" В рейтинге задействовано 41 антивирусная программа со всего мира. Тестирование на показатель надежности каждого антивируса проводилось ежемесячно. Определение и тестирование проводилось в условиях реальной работы - на практике, а не в лабораторных условиях. Для "выявления" самого лучшего антивируса используется специальная формула K = (No - Nn) / No (К - Показатель надежности антивируса, чем ближе K к 1, тем качественнее антивирус; No - Количество вирусов найденных в компьютерной системе; Nn - Количество вирусов, которых антивирус в не нашел). В тестирование были внесены все источники заражения: электронные письма, атаки вирусов при работе в сети Интернет, внешние носители и т.д. Некоторые результаты исследования можно посмотреть ниже:

На протяжении уже нескольких лет DRWEB уверенно занимает первое место (0.956). Немецкий антивирус AntiVir немного подтянул свои позиции в этом году и занимает 2 место в ТОПе лучших антивирусов (0.913). Далее идет целый ряд антивирусов, показавших приблизительно одинаковые результаты эффективности выявления вредоносных кодов: болгарский NOD32 (0.826), Avast (0.830), Kaspersky (0.893), немецкий GData (0.920), американский McAfee (McAfee 0.743, McAfee+Artemis 0.884, McAfee-GW-Edition 0.920). В 2009 году Kaspersky немного уступил свои позиции, не только по показателям "выявления вредоносных кодов", но и со стороны проблем в работе, коих немало (несовместимость с другими антивирусными приложениями, потребление аппаратных ресурсов компьютера и д.р.). Хочется так же отметить падение позиций испанский Panda (0.470), который ранее был очень востребован на рынке антивирусов. Что касается антивируса Avast, то он как и NOD32 удерживают свои позиции (кстати говоря, очень часто данные антивирусы устанавливаются параллельно на один компьютер, не конфликтуя, а дополняя друг друга, данная связка антивирусов является практически неуязвимой системой защиты компьютерной системы).

Dr.Web - одна из самых известных и популярных антивирусных программ-полифагов (производитель российская компания «Диалог Наука»). История разработки антивируса Игоря Данилова³ начинается с 1991 года, а под маркой Dr.Web антивирусы разрабатываются и распространяются с 1994 года.

Базовая защита:

• Защита от вирусов, троянских программ и червей;

• Защита от шпионских и рекламных программ;

• Проверка файлов в автоматическом режиме и по требованию;

• Проверка почтовых сообщений (перехват POP3/SMTP/IMAP);

• Проверка интернет-трафика (перехват соединений);

• Эвристическая защита от новых и неизвестных вредоносных программ.

Предотвращение угроз:

• Блокирование ссылок на зараженные сайты;

• Распознавание вирусов, упакованных новым и/или неизвестным упаковщиком, дроппером и/или криптором.

Восстановление системы и данных:

• Возможность установки программы на зараженный компьютер;

• Функция самозащиты программы от выключения или остановки.

Возможности:

• Характерной особенностью антивируса Dr.Web является установка на зараженную машину. В процессе установки производится сканирование памяти и файлов автозагрузки, перед сканированием производится обновление вирусной базы. При этом выпуски обновлений вирусных баз производятся с периодичностью в несколько часов и менее.

• Origins Tracing — алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор, даёт возможность значительно повысить уровень детектирования ранее неизвестных вредоносных программ.

• Dr.Web Shield — механизм борьбы с руткитами, реализованный в виде драйвера компонент антивирусного сканера, обеспечивает доступ к вирусным объектам, скрывающимся в глубинах операционной системы.

• Fly-code — эмулятор нового поколения с динамической трансляцией кода, реализующий механизм универсальной распаковки вирусов, защищённых от анализа и детектирования одним или цепочкой новых и/или неизвестных упаковщиков, крипторов⁴ и дропперов. Это позволяет распаковывать файлы, защищённые, к примеру, ASPROTECT, EXECRYPTOR, VMPROTECT и тысячями других упаковщиков и протекторов, включая неизвестные антивирусу.

• поддержка большинства существующих форматов упакованных файлов и архивов, в том числе многотомных и самораспаковывающихся архивов. На данный момент имеется поддержка около 4000 видов различных архивов и упаковщиков.

• обновления вирусных баз производятся немедленно по мере выявления новых вирусов, до нескольких раз в час. Разработчики антивирусного продукта отказались от выпуска обновлений вирусных баз по какому-либо графику, поскольку вирусные эпидемии не подчиняются таковым.

• компактная вирусная база и небольшой размер обновлений. Одна запись в вирусной базе позволяет определять десятки, в ряде случаев тысячи подобных вирусов.

• небольшой размер дистрибутива.

• кроссплатформенность — используется единая вирусная база и единое ядро антивирусного сканера.

• возможность полноценной работы сканера без инсталляции, что позволяет использовать антивирус для лечения зараженных систем с использованием носителей в режиме только для чтения.

• обнаружение и лечение сложных полиморфных, шифрованных вирусов и руткитов.

Удобство использования:

• Автоматическая настройка программы в процессе установки;

• Наглядное отображение результатов работы программы;

• Информативные диалоговые окна для принятия пользователем обоснованных решений;

• Возможность выбора между простым автолечением / удалением и интерактивным режимами работы;

• Круглосуточная техническая поддержка;

• Автоматическое обновление баз.

Установка Dr.Web условно-бесплатная - можно пользоваться программой 30 дней⁵, после чего понадобится купить лицензию. Теперь компания «Доктор Веб» предложила новую модель потребления антивируса в качестве услуги провайдеров. Это позволяет любому пользователю Интернета получать услуги информационной защиты в режиме онлайн в виде подписки.