Антивирусные программы
Антиви́русные програ́ммы — специальное программное обеспечение, разработанное для того, чтобы обнаружить и удалить вредоносные программы. Антивирус использует ряд методов, чтобы отличить безопасный файл от заражённого. Антивирусная программа определяет, когда официальные и надёжные приложения, файлы и документы оказались заражены вирусом[1]. Важность этих программ растёт в связи с трендами цифровизации, цифровой трансформации, увеличением проникновения компьютерных вирусов в гаджеты и интернет: в 2023 году разработчики антивирусов столкнулись с более чем 400 000 зловредными программами[2].
История антивирусных программ
Первое антивирусное программное обеспечение появилось в 1984 году. Для компьютеров Apple первый антивирус появился в 1977 году[3].
Первая формулировка термина «Антивирусное программное обеспечение» как резидентная, «защищающая» от вирусов программа, появилась в 1985 году. Программа DRPOTECT была создана Джи Вонгом. Разработка блокирует все операции записи и форматирования, выполненные через BIOS. В случае, если программа выявляла такую операцию, программа требовала от системы рестарта[3].
Антивирусная программа до начала 1990-х годов была по сути набором нескольких тысяч сигнатурных образцов вирусных кодов, хранившихся в теле программного обеспечения. В файлах предполагался ещё и поиск этих символов. Причём часто даже разработчики не шифровали их. Получилось так, что иногда один антивирус легко мог «найти вирус» в другом антивирусе. Усложнение ситуаций с вирусами привело к усложнению программ, предназначенных для борьбы с вирусами. Инициатива разработки и продажи антивирусов перешла в крупные компании, состоящие из более чем одного программиста[3].
Одну из главных ролей в развитии антивирусных программ сыграл программист из России Евгений Касперский. В 1992 году появилась программа MTE, которая является генератором полиморфных, постоянно изменяющихся кодов, которым может воспользоваться и опытный, и начинающий программист. Полиморфная вирусная инфекция стала появляться ежедневно, и всевозможные другие средства борьбы, например, усложнение языков алгоритмической сверки кодов, перестают работать. Спасло ситуацию лишь появление кодового эмулятора. Система «снимала» зашифрованные части полиморфных вирусов и приходила к постоянному телу вируса. Первым антивирусным эмулятором был AVP Евгений Касперский. Помимо кодового эмулятора, позволяющего антивирусам адаптироваться под стремительно растущую индустрию вирусов, примерно одновременно появились и такие защитные системы, как криптоанализ, статистические анализы, эвристические анализы и блокиратор поведения. По их принципам, заданным ещё в 1991 году, продолжают выпускать антивирусы.[3].
В связи с появлением операционной системы Windows, которая имеет многозадачную систему и расширенную систему сложных программ, возникла новая потребность в антивирусных программах. От них требуется необходимость проверки файлов «на лету» при обращении к ним, а также хорошая совместимость с программами Microsoft Office[3].
В 2023 году в мире работают порядка 35 компаний по разработке антивирусного программного обеспечения. Рынок антивирусов, который всегда был платным, и лучшие дистрибутивы, которые оказались платными, ставит в противовес Microsoft бесплатную версию антивирусной программы Microsoft Security Essential, которую разработали специалисты на основе опыта, применяемого в продуктах безопасности бизнеса — «Forefront». Качество и уровень защиты Microsoft Secure Essentials не превосходит платные аналоги, с одним условием: версии Windows должны быть лицензионными[3].
Виды антивирусных программ
Фильтры
Программа-фильтр располагается в резидентном режиме в оперативной памяти компьютера и переносит данные, принимаемые вирусами для размножения и нанесения вреда, а также информирует пользователя об этом сообщении. Пользователь вправе отказаться от выполнения данной операции или согласиться с ней, если будет выполняться данная операция[4].
Некоторые фильтры не замечают подозрительных действий, но проверяют вызываемые на выполнение программу вирусы. Это влечёт за собой замедление компьютера. Впрочем, плюсы применения фильтрующих программ весьма значительные — они позволяют на ранних этапах обнаружить множество вирусов, в которых вирус ещё не успел развиться и ничего не повредил[4].
Детекторы
Детекторы позволяют обнаруживать файлы, заражённые одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске, специфическая для данного вируса комбинация байтов. При её обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения заражённых файлов[4].
Ревизоры
Программы-ревизоры имеют две стадии работы:
Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю. К распространенным программам-ревизорам относится антивирус Касперского[4].
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он ещё не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти повреждённые вирусом файлы[4].
Многие программы-ревизоры являются «интеллектуальными» — они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом[4].
Программы-доктора
Программы-доктора (фаги) не только находят заражённые вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий[4].
Типы антивирусных программ
Все современные антивирусные программы можно разделить по принципу работы и назначению следующим образом:
Сканеры
Программа сканирования антивируса сканирует содержимое дисков компьютера и содержимое оперативной памяти, чтобы найти вирусы. Современный антивирусный сканер пытается искать вредоносную программу не только в их имени, то есть в последовательности байтов, которые характерны для вирусных данных, а также в использовании изощрённых эвристических алгоритмов. Использование алгоритмов эвристического характера позволяет сканеру обнаружить полиморфный, шифрованный и неизвестный вирус[5].
Антивирусный сканер может работать в множестве режимов:
- сканирование по запросу пользователя;
- сканирование при обращении к файлам;
- сканирование файлов по расписанию;
- сканирование сетевого трафика[5].
Сканирование по запросу пользователя
Сканирование по запросу пользователя осуществляется так: пользователь запускает антивирус и называет ему файлы, папки или диски для сканирования. Основной недостаток такого сканирования — возможность пропустить инфицированный файл. В режиме сканирования, используемом по запросу, можно пропустить инфицированные файлы , если проверить не все файлы. На самом деле сканирование не всех файлов выполняется довольно долго, так что пользователь сможет сократить проверку, ограничивая её несколькими файлами. При этом есть вероятность наличия инфицированных файлов в пропущенном каталоге[5].
Сканирование при обращении к файлам
Практически вся современная антивирусная программа способна работать в сканированном режиме при обработке файлов. При открытии файла пользователь и операционная система автоматически сканируют его, чтобы выявить, что файл содержит вредоносный программный код. Если антивирус работает на сканировании при переходе на файлы, он проверяет лишь открытые пользователем файлы. Сканирование файлов позволяет проверять файлы пользователя и операционной системы, а это значит, что в данном режиме проверить все хранящиеся файлы невозможно. Для того чтобы проверить все файлы, необходимо использовать описанные выше режимы сканирования в соответствии с запросом пользователя, сообщив антивирусу о необходимости полного сканирования всех подключаемых к компьютеру дисков. Если пользователь только что установил антивирус на компьютере и выбрал режим сканирования для его обращения к файлу, то необходимо выполнить полное сканирование дисков. Таким образом, можно проверить все записанные файлы на диск перед установкой антивирусов[5].
Сканирование файлов по расписанию
Практически вся антивирусная программа позволяет автоматически сканировать диски по заранее сформированному графику. При составлении такого расписания пользователь указывает, на каких дисках и каталогах следует проверять вредоносный программный код и составит расписание для выполнения такой проверки. Сканирование расписания удобно делать в то время, когда компьютер включен, а работы на нём не ведутся. Пользователь или администратор сети может составить расписание сканирования, которое выполняется в то время, когда проходит минимальная загрузка компьютера. При составлении расписания сканирования следует учитывать, что при наступлении времени сканирования компьютер пользователя может быть выключен. В итоге сканирование выполнено не будет[5].
Сканирование сетевого трафика
Чтобы проверить содержимое диска, файлов, оперативной памяти, современный антивирус способен сканировать сетевой трафик, поступающий на компьютер из интернета, и уходящий из компьютера. В этом случае сканируют данные протоколов почты SMMTP, PSP3, IPAP и HTTP, посредством которых осуществляется обмен данными с серверами Web. Сканирование трафика сетевого типа позволяет удалить вредоносные программы из электронных сообщений и нейтрализовать вредоносные действия троянских сайтов. В современных антивирусах можно эффективно блокировать вредоносные программы в электронных сообщениях. Программы сканирования сетевого трафика обычно запускают автоматически после установки операционной системы, постоянно очищают весь трафик, проходящий по компьютеру. Таким образом, пользователю не нужно запускать антивирусы, чтобы сканировать электронную почту или проверять сайты. Такая проверка осуществляется резидентным антивирусным модулем, постоянно находящимся в памяти компьютера, автоматически в режиме фонового режима[6].
Ревизоры диска
Антивирусная программа, называемая ревизором дисков, использует метод поиска изменений в своей работе. Ревизор диска в предварительном сканировании создаёт базу данных, содержащую контрольные суммы и другую информацию, которая позволяет в дальнейшем управлять целостностью файла. Каждый раз, когда операционная система загружается или по явным запросам пользователя, ревизор проводит сканирование дисков, считывая заново контрольные данные. После этого информация сверяется с содержимым ранее созданной базы. Ревизор диска может обнаружить изменения в файлах компьютерных вирусов и других вредоносных программ и пользователей. Но есть недостатки. Эти трудности возникают из-за постоянного изменения файлов в документах в процессе редактирования. Недостаток метода поиска изменений значительно ограничивает использование дисковых ревизоров. Однако ревизоры с успехом могут использовать для управления содержимым файлами[5].
Встроенные антивирусы
В ряде случаев необходимо использовать специальные решения, чтобы защитить от вирусов, а также других вирусных программ. Это возникает при невозможности обеспечения необходимого уровня защиты обычными промышленными антивирусами или при их использовании оказывается отрицательное влияние на производительность системы. Встроенный антивирус способен защитить специальные, уникальные и мало распространённые информационные системы. При использовании встроенного антивируса усиливается надёжность защиты антивируса. Также, если приложение или информационное устройство хранит данные во внутреннем формате, то встроенный модуль позволит выполнить антивирусные проверки этой информации[5].
Методы защиты от вирусов
Основные методы защиты от вирусов:
- Общие средства защиты информации.
- Профилактические меры[7].
К общим средствам защиты информации относятся:
- резервное копирование информации, то есть создание копий файлов и системных областей дисков на дополнительном носителе;
- разграничение доступа, предотвращающее несанкционированное использование информации[7].
Профилактические меры:
- тестирование компьютера на наличие вирусов;
- проверка дискет, USB-флеш-накопителей и дисков;
- защита своих дискет от записи при работе на других компьютерах;
- создание архивных копий ценной информации;
- обновление антивирусных программ[7].
Примечания
- ↑ Никита Шевцев. Антивирусные программы . TechInsider (4 сентября 2023). Дата обращения: 13 декабря 2023.
- ↑ Касперский сообщил, что ежедневно в сети появляется до 400 тыс. новых зловредных программ . ТАСС (14 апреля 2021). Дата обращения: 13 декабря 2023.
- ↑ 3,0 3,1 3,2 3,3 3,4 3,5 История антивирусных программ . Паранормальный альманах «Непознанное» (24 июля 2013). Дата обращения: 12 декабря 2023.
- ↑ 4,0 4,1 4,2 4,3 4,4 4,5 4,6 Виды антивирусных программ . Студенческий справочник (14 ноября 2019). Дата обращения: 13 декабря 2023.
- ↑ 5,0 5,1 5,2 5,3 5,4 5,5 5,6 5,7 Фролов А. В. Антивирусная защита: Учебное пособие для защиты информационных ресурсов. — 2004.
- ↑ Александр Вячеславович Фролов. Типы антивирусных программ (2004). Дата обращения: 12 декабря 2023.
- ↑ 7,0 7,1 7,2 Иванова, А. В., Саркисян Т. А. Информационные технологии в профессиональной деятельности: учебно-методическое пособие. — Сургут: Сургутский государственный педагогический университет, 2019.