Классификация
антивирусов
1. Сканеры
(программы-доктора)
Принцип работы антивирусных сканеров основан на
проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных
сканеру) вирусов. Для поиска известных вирусов используются так называемые
«маски». Маской вируса является некоторая постоянная последовательность кода,
специфичная для этого конкретного вируса. Если вирус не содержит постоянной
маски, или длина этой маски недостаточно велика, то используются другие методы.
Примером такого метода является алгоритмический язык, описывающий все возможные
варианты кода, которые могут встретиться при заражении подобного типа вирусом.
Такой подход используется некоторыми антивирусами для детектирования
полиморфик-вирусов.
Во многих сканерах используются также алгоритмы
«эвристического сканирования», т.е. анализ последовательности команд в
проверяемом объекте, набор некоторой статистики и принятие решения («возможно заражен»
или «не заражен») для каждого проверяемого объекта. Поскольку эвристическое
сканирование является во многом вероятностным методом поиска вирусов, то на
него распространяются многие законы теории вероятностей. Например, чем выше
процент обнаруживаемых вирусов, тем больше количество ложных срабатываний.
Сканеры также можно разделить на две категории —
«универсальные» и «специализированные». Универсальные сканеры рассчитаны на
поиски обезвреживание всех типов вирусов вне зависимости от операционной системы,
на работу в которой рассчитан сканер. Специализированные сканеры предназначены
для обезвреживания ограниченного числа вирусов или только одного их класса,
например макро-вирусов. Специализированные сканеры, рассчитанные только' на
макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты
систем документооборота в средах MS Word и MS Excel.
Сканеры также делятся на «резидентные» (мониторы),
производящие сканирование «налету», и «нерезидентные», обеспечивающие проверку
системы только по запросу. Как правило «резидентные» сканеры обеспечивают более
надежную защиту системы, поскольку они немедленно реагируют на появление
вируса, в то время как «нерезидентный» сканер способен опознать вирус только во
время своего очередного запуска.
К достоинствам сканеров всех типов относится их
универсальность, к недостаткам — размеры антивирусных баз, которые сканерам
приходится «таскать за собой», и относительно небольшую скорость поиска
вирусов.
2.
CRC-сканеры (программы-ревизоры)
Принцип работы CRC-сканеров основан на подсчете
CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных
секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как,
впрочем, и некоторая другая информация: длины файлов, даты их последней модификаций
и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе
данных, с реально подсчитанными значениями. Если информация о файле, записанная
в базе данных, не совпадает с реальными значениями, то CRC-сканеры
сигнализируют о том, что файл был изменен или заражен вирусом.
CRC-сканеры, использующие анти-стелс алгоритмы,
являются довольно сильным оружием против вирусов: практически 100% вирусов
оказываются обнаруженными почти сразу после их появления на компьютере. Однако
у этого типа антивирусов есть врожденный недостаток, который заметно снижает их
эффективность. Этот недостаток состоит в том, что CRC-сканеры не способны
поймать вирус в момент его появления в системе, а делают это лишь через
некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры
не могут определить вирус в новых файлах (в электронной почте, на дискетах, в
файлах, восстанавливаемых из backup или при распаковке файлов из архива),
поскольку в их базах данных отсутствует информация об этих файлах. Более того,
периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров,
заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми
для. них.
Наиболее популярные антивирусы в России
10 лет назад, в 1994 году, был подписан контракт с
Игорем Даниловым о распространении через фирму "ДиалогНаука" его
антивирусной программы Doctor Web.
Антивирусные системы
можно условно разделить на две категории: платные и не требующие оплаты в случае некоммерческого
использования. В России сегодня популярны следующие антивирусные программные
средства.
Антивирус Касперского Personal 5.0 (разработчик: "Лаборатория Касперского", web-сайт: www.kaspersky.ru, условия
распространения: commercial — 40 долл.).
Данная версия появилась 17
мая 2004 года. Коллекция вирусных штаммов содержит около 100 тыс. записей,
причем за счет эвристического механизма распознавания "второго
поколения" антивирус способен находить и неизвестные ему вредоносные
модификации. К достоинствам программы относятся также способности в части
проверки архивов (ей знакомы более 700 форматов) и защиты от систем удаленного
управления компьютером. Если вы хотите научиться работать с этой антивирусной
программой, то жмите сюда!
Dr. Web 4.32а [Игорь Данилов, www.drweb.ru, www.drweb.com, shareware (условно-бесплатное программное обеспечение) - 120
руб.].
Dr. Web является одним из главных конкурентов "Антивируса
Касперского".
Помимо версии для Windows, на сайте можно найти версии для DOS, Novell
NetWare,Linux, OS/2 и других системё
В декабре
Norton Antivirus 2004 (Symantek Corporation,
www.symantek.ru,shareware—50
долл.).
Norton Antivirus — самое
известное в России зарубежное антивирусное средство. Входит в состав пакета Norton System Works, однако приобрести его можно
и отдельно. Еще до установки программа предлагает пользователю проверить
систему и, если возникнет необходимость, удалить обнаруженные вирусы, т.е.
воспользоваться услугами Norton
Antivirus можно даже на зараженном компьютере, на котором не
установлены или не запускаются на выполнение другие средства защиты.
Panda Titanium
Antivirus 2004 (Panda Software, www.pandasoftware.com, shareware — 20 долл.).
Это средство имеет ряд
достоинств, однако пока не так популярно в России, как "Антивирус Касперского" или Norton
Antivirus. Прежде всего система Panda Titanium Antivirus позволяет осуществлять
проверку, не отрываясь от основной работы, причем обеспечивает высокую скорость
такой проверки. С программой легко иметь дело — она удобна не только для
опытных, но и для начинающих пользователей (построена по принципу
"установил и забыл"). Большинство операций, включая собственное
обновление, программа производит полностью в автоматическом режиме. Она умеет
обнаруживать системы удаленного управления компьютером, а также утилиты, способные самостоятельно набирать
номер телефона, и безобидные "программы-шутки" (имитирующие действия
"вредителей").
Antivir Personal Edition 6.26 [Н+BEDV, www.free-av.com, freeware (бесплатно распространяемое программное
обеспечение)].
Немецкая программа,
отличающаяся повышенной "подозрительностью" : при малейших сомнениях
тут же выдается предупреждение об опасности с настоятельной рекомендацией блокировать
соответствующий файл или вообще избавиться от него. Даже по меркам коммерческих
программ обладает очень большой антивирусной базой (содержит записи более чем о
80 тыс. различных "вредителей").
avast! 4 Home (ALWIL Software, www.avast.com, freeware)
Возможностей,
имеющихся в "некоммерческом" варианте программы, вполне хватает для
надежной защиты "домашнего" компьютера. Способна проверять архивы
(форматы zip, rar, arj и др.).
AVG Anti-Virus Free
Edition 6.732 (GRISOFT,www.grisoft.cz freeware).
По своим характеристикам эта программа вполне
соответствует уровню многих коммерческих антивирусных систем. От своей платной
версии AVG Profeccional Edition
отличается только отсутствием возможности для опытных пользователей создавать
собственные варианты проверки и настраивать по своему усмотрению имеющиеся
компоненты.
BitDefender Free
Edition 7.2 (SOFTWIN, www.bitdefender.com, freeware).
Тоже является
сокращенной версией коммерческой антивирусной программы. Обладает большой
антивирусной базой. Помимо версии для Windows,
на сайте можно также найти бесплатные версии BitDefender для
работы в среде Linux, Windows СЕ, Palm ОS, а в разделе Free Removal
Tools — отдельные утилиты для удаления
"вредителей".
Компенсировать
отсутствие антивирусных программ в какой-то мере способны online-службы,
которые бывают двух типов: одни проверяют отдельные файлы, другие способны
исследовать весь жесткий диск компьютера как антивирусные сканеры.
К первой категории
относятся, например, соответствующие службы сайтов www.kaspersky.ru и www.drweb.ru,
позволяют проверить файл, полученный, скажем, по электронной почте. Для этого нужно указать
путь к подозрительному файлу и щелкнуть по экранной кнопке
"Проверить". Файл будет
загружен на сервер и исследован, после чего появится ответ. "Служба
Касперского" позволяет проверять файлы размером не более 1 Мб. У Dr.Web таких
ограничений нет.
Представителем второго
типа online-антивирусов является Trend Micro
HouseCall (housecall.trendmicro.соm / housecall/start _corp.asp). Открывать web-страницу этой службы желательно в браузере Internet: Explorer
последних версий.
Успех применения
антивирусных программ во многом зависит от действий пользователя: если их долго
не обновлять или "проверять на прочность", например, экспериментируя
с зараженными файлами, бессильными могут оказаться даже лучшие из этих
"санитаров". При этом установленная защита не отменяет необходимости
инсталляции "заплаток", закрывающих обнаруженные в системе бреши.