Антивіруси. Вибір. Функціональність. Призначення, Безпека ПЗ, Security & Hack, статті

Кожен у кого є комп’ютер, хоча б раз стикався з проблемою вибору захисту, а саме антивіруса або фаєрвола. Іноді це нелегкий вибір, так як продукції дуже багато і вона вся різна. Різна по функціональності, різна по ефективності, різна в плані апаратних і системних вимог і врешті-решт різна за ціною. Не складно розгубитися або прийняти невірне рішення. Спробуємо розібратися хоча б в деякому антивірусному ПО для домашніх користувачів.

Для початку спробуємо розібратися в тому функціоналі, який потрібно домашньому користувачеві, так як захист домашніх комп’ютерів кілька вигідно відрізняється від захисту корпоративних мереж або серверів, відрізняється в бік більш спрощених вимог до антивірусному ПЗ.

Отже давайте трохи розберемо функціональність і що це таке …

У кожного антивіруса є так зване ядро.
Саме від того, які методи детектив і перехоплення закладені в нього і залежить в кінцевому підсумку загальна функціональність і результат ефективності. Файловий аналіз в основному здійснюється за рахунок сигнатурного методу, тобто виявлення шкідливого коду по його “підпис”. Кожен антивірус може мати різні назви та підписи у однакових вірусів. Як це відбувається? Виявляється вірус, обробляється, в підсумку обробки йому присвоюють “ім’я” і надалі це ім’я і додається в базу сигнатур, і вже звіряючись з базами антивірус здійснює пошук. Грубе звичайно визначення, але нам і не потрібно сильно вдаватися саме в це. Сигнатурний метод хороший при виявленні вже відомих вірусів, але на жаль малоефективний при виявленні новітніх вірусів, а так же модифікацій вже наявних, так само сигнатурний метод не позбавлений помилкових спрацьовувань.

У кожного поважаючого себе антивіруса повинен бути монітор.
Антивірусний монітор в режимі реального часу спостерігає за поведінкою програм у пам’яті комп’ютера. При будь-якому сплеск або аномальному поведінці процес буде аналізувати ядром на предмет виявлення шкодочинності. Монітор антивіруса постійно присутня в пам’яті, і від того, наскільки він сильно витрачає її в основному і залежить по нашим словам “тяжкість” того чи іншого антивіруса.

Так само в антивірусах присутній моніторинг Windows API. Windows API в основному використовують клавіатурні шпигуни. Моніторинг Windows API заснований на перехопленні функцій кейлогерів. Виклик деяких функцій може послужити причиною тривоги з боку антивіруса, але на жаль такий моніторинг найчастіше дає помилкові спрацьовування, а багато кейлогери використовують технологію RootKit і зовсім не детектив, хоча і являють собою величезну небезпеку. Загалом еффктівності даного модуля, якщо він присутній в антивірусі не дуже висока, хоча в Касперськом знайшли оригінальний спосіб обійти це все. Вони впровадили технологію віртуальної клавіатури, що є на мій погляд, якщо не панацеєю, то непоганим рішенням.

Так як перераховані вище методи, як ми вже з’ясували, не дають 100% повноцінного захисту, багато виробників антивірусного ПО стали впроваджувати евристичний метод виявлення шкідливого коду. Цей метод заснований на порівнянні і виявленні алгоритмів, властивих шкідливому коду. Даний метод, заснований на розпізнанні структури та алгоритму виконання файлів, теж є хорошим проривом вперед, так як такий метод дозволяє виявити ще невідомі віруси і розпізнає модифікації вже відомих. Все добре, але даний метод теж дуже сильно “страждає” від помилкових спрацьовувань. Досвідчений користувач ще зможе розпізнати ложки і прийняти рішення, а ось недосвідчений … тут все складніше.

Є ще один метод виявлення вірусів. Це поведінковий аналіз або проактівка. Даний метод заснований на аналізі поведінки додатків. В основному це моніторинг реєстру, аналіз активності додатків, контроль цілісності (на предмет модифікацій і всіляких змін) та перевірка макросів. Даний метод у своєму комплексі є досить ефективним, але часто він зрозумілий досвідченим користувачам, які знають системні процеси і так далі. При такому методі виявлення навіть звичайне оновлення будь-якого додатку до більш вищої версії може викликати тривогу, і ось тут якраз треба приймати рішення на рахунок пропустити дія або заблокувати, так само треба відрізняти “здорові” модифікації, як оновлення, при якому може відбуватися перебивка багатьох файлів в додатку, від шкідливих, які теж як правило “стежать” в реєстрі і видозмінюють файли. Даний метод хороший, але він ускладнює роботу антивіруса.

Ще хочу зазначити медот Хіпс, який тільки впроваджується в сучасні антивіруси. Заснований він на звірення цифрових підписів всіх додатків і їх цілісності. Але тільки цим не обмежується, так як це цілий комплекс заходів, до яких входять всі перераховані вище методи і багато іншого. Грубо розмірковуючи Хіпс розрахований на те, що якщо шкідливий код і потрапить на комп’ютер, то він все одно буде знищений на одному з рівнів захисту, але основна ідея Хіпс і полягає в тому, щоб не допустити шкідливий код на комп’ютер. Метод Хіпс ще називають технологією емуляції коду програм.
Технологія емуляції коду програм Sandboxing покликана на боротьбу з величезним числом поліморфних вірусів. Емулюється виконання програми (як зараженої вірусом, так і “чистої”) в спеціальному “оточенні”, званим також буфером емуляції або “пісочницею”. Якщо в емулятор потрапляє заражений поліморфним вірусом файл, то після емуляції в буфері виявляється розшифроване тіло вірусу, готове до детектування стандартними методами (сигнатурний або CRC пошук).


Сучасні емулятори емулюють не тільки команди процесора, але й виклики операційної системи.
Таким методом припадає саме емулювати роботу інструкцій вірусу, а не трасувати їх, оскільки при трасуванні вірусу занадто велика ймовірність виклику деструктивних інструкцій чи кодів, що відповідають за поширення вірусу.
Даний метод є поки достатньо молодим, але дуже високоефективним. Єдиним недоліком даного методу поки є те, що такі складні процеси не можуть не впливати на швидкість дій … і звичайно ж ще сильніше ускладнюють сам антивірус.


Загалом ми трохи розібралися з функціоналом. Тепер коротенько пробіжимося тільки за деякими предствітелі антивірусної фауни, бо говорити про всіх підряд мало сенсу. Рзаберем найяскравіших представників

Не буду оригінальною, так як спробую розібрати найпопулярніші на сьогодні антивіруси. Такі як: продукти Касперського, Аваст і Авір. Перед розбором слід зазначити, що є принаймні два види антивірусів. Це чистий антивірус і антивірус або з вбудованим фаєрволом або з мережевим монітором, новомодної звані в народі “комбаіни”.

Отже почнемо з Касперського, так як в новій версії 8.0.0.454 реалізовані всі методи виявлення, які ми з вами розбирали. Це добре з одного боку тим, що даний продукт при правильних налаштуваннях може претендувати на статус повноцінного захисту. Але це все робить його складним в настройках для простого користувача. В автоматичному режимі він не сильно виділяється серед всіх інших продуктів своєї класу, якщо чесно, але ручні настройки можуть перетворити даний продукт дійсно в досить ефективного захисника. Але завжди є свої але, крім складності налаштувань, хочеться відзначити, що продукт поважчав, і на дуже слабкі машини його не варто ставити. Є ще один неприємний нюанс: це так званий перший запуск програми. Якщо файл досить великий, то користувачеві варто запастися терпінням, щоб дочекатися запуску даної програми, є звичайно ще набір дрібниць, але вони не сильно псують враження від продукту, плюс до нього не треба ставити фаєрвол, бо дана версія, являє собою повноцінний “Комбаін”.

Аваст. Теж непоганий антивірус, який більше підходить звичайному домашньому користувачеві, не сильно розбирається в комп’ютерах. Простий інтерфейс, легке управління і такі ж легкі настройки. Присутній досить непоганий сигнатурний аналіз, подобу евристичного, так само є мережевий монітор. Монітор у Аваст досить слабенький, тому його можна доповнити стороннім фаєрволом. Так само в Авасте є функція, яка за ідеєю повинна допомагати в лікуванні системи від вірусів. Ця функція, якщо грубо міркувати, робить як би “зліпок” сістемиі потім за допомогою цього “зліпка” можливо проводити досить ефективне лікування і відновлення пошкоджених системних файлів. Дуже хороша ідея речі. Загалом Аваст може підійти будь-якому користувачеві. Єдиний недолік на мій погляд – це досить жорстка перевірка на сторонні Пакера і не підписані файли. Це я до того, що при черговому скане користувач може оптом позбутися всіх своїх кряків, ключів, кейгеном та іншої світлотіні. Ця особливість може викликати цілу плутанину у недосвідченого користувача, а саме, при скачуванні чергового “кряка” Аваст визначить його як шкідливий незалежно вшитий чи насправді шкідливий код в нього або не вшитий, а це проста реакція на сторонній пакер. Є безкоштовна версія, але грубо кажучи, вона не радикально відрізняється від платної, за винятком деяких розширених можливостей, у першу чергу в налаштуванні.

Авирама Рат. Щож, напевно це найкращий варіант для всіх. Легка, надійна, швидка і головне здатна забезпечити гідний захист. Присутній і сигнатурний і проактивний, і евристичний, і веб монітор. Напевно це дійсно ідеальне рішення, на мій погляд, для всіх користувачів. Існує безкоштовна версія, якщо в ній поставити найвищі рівні захисту в усіх напрямках, то вона не поступиться платним. Єдине що, так це треба до всіх версій, окрім сюїти, ставити сторонній фаєрвол. Скажу коротко про недоліки. Ну є такий недолік як і в Авасте. Та ж сама реакція на сторонні Пакера. Ще є невелика плутанина з вебгардом. Виходить, що вебгард емулює проксі з’єднання, через яке виходить і браузер в мережу і найголовніше через яке відбувається закачування файлів. З одного сторони через це швидкість операцій знижується, а от безпека сильно підвищується, за рахунок того, що вебгард і стоїть на сторожі вашого комп’ютера не допускаючи локального зараження.

Загалом ми трохи розібралися в цій темі, але тільки дуже небагато і поверхово, тому що насправді ця тема безмежна, так як все міняється досить сильно і досить часто. Вічний бій добра зі злом, бій розвитку шкідливого коду і бій в способах його виявлення.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*