Víruskereső program

A víruskereső program ( víruskereső, vírusvédelmi eszköz [1] , kártevő - felderítő eszköz [1] ) egy speciális program a számítógépes vírusok , valamint a nem kívánt ( rosszindulatúnak tekintett) programok észlelésére és az ilyen programokkal fertőzött (módosított) fájlok helyreállítására és megelőzésére. a fájlok vagy az operációs rendszer rosszindulatú kód általi fertőzésének (módosításainak) megakadályozása .

Történelem

Az első antivírusok az 1980-as évek végén jelentek meg, megjelenésük idejét nehéz egyértelműen megállapítani. Az úttörők az AntiVir és Dr. Az 1988-ban létrehozott Solomon Anti-Virus Toolkit és a Symantec víruskereső Macintoshhoz egy évvel később jelent meg.

Vírusvédelmi módszerek

A vírusok elleni védekezésre három módszercsoportot alkalmaznak [2] :

Fájlok (adatfájlok és parancskódos fájlok) tartalmának elemzésén alapuló módszerek . Ez a csoport magában foglalja a vírusszignatúra-ellenőrzést, valamint az integritás-ellenőrzést és a gyanús parancsok vizsgálatát.
A programok viselkedésének nyomon követésén alapuló módszerek a végrehajtásuk során. Ezek a módszerek az összes olyan esemény naplózásából állnak, amelyek veszélyeztetik a rendszer biztonságát, és vagy az ellenőrzött kód tényleges végrehajtása során, vagy annak szoftveres emulációja során fordulnak elő.
A fájlokkal, programokkal végzett munka rendjének szabályozási módszerei . Ezek a módszerek adminisztratív biztonsági intézkedések.

Az aláírás-ellenőrzési módszer ( aláírás-elemzés , aláírási módszer [1] ) azon alapul, hogy a fájlokban egyedi bájtsorozatot keresnek, amely egy adott vírusra jellemző aláírás . Az antivírus laboratórium szakemberei minden újonnan felfedezett vírus esetében elemzik a kódot, amely alapján meghatározzák annak aláírását. Az így kapott kódrészletet egy speciális vírusszignatúra-adatbázisba helyezzük, amellyel a víruskereső program működik. Ennek a módszernek az az előnye, hogy viszonylag alacsony a téves pozitívumok aránya, a fő hátrány pedig az, hogy alapvetően lehetetlen olyan új vírust észlelni a rendszerben, amelyre nincs aláírás a víruskereső program adatbázisában, ezért a rendszer időben történő frissítése. aláírási adatbázis szükséges [2] .

Az integritás-ellenőrzési módszer azon a tényen alapul, hogy a lemezen lévő adatok bármilyen váratlan és indokolatlan változása gyanús esemény, amely a víruskereső rendszertől különös figyelmet igényel. A vírus szükségszerűen hagy bizonyítékot jelenlétére (meglévő (különösen rendszer- vagy futtatható) fájlok adatainak változásai, új futtatható fájlok megjelenése stb.). Az adatváltozás ténye - integritássértés - könnyen megállapítható a tesztelt kód kezdeti állapotára előre kiszámított ellenőrző összeg (kivonat) és a tesztelt kód aktuális állapotának ellenőrző összege (kivonat) összehasonlításával. Ha nem egyeznek, akkor az integritás megszakad, és minden ok megvan a kód további ellenőrzésére, például a vírusszignatúrák vizsgálatával. Ez a módszer gyorsabban működik, mint az aláírás-ellenőrzési módszer, mivel az ellenőrző összegek kiszámítása kevesebb számítást igényel, mint a kódrészletek byte-byte-os összehasonlítása, emellett lehetővé teszi bármilyen vírus aktivitásának nyomait, beleértve az ismeretleneket is. olyanokat, amelyekhez még nincs aláírás az adatbázisban [2] .

A gyanús parancsok vizsgálatának módszere ( heurisztikus vizsgálat , heurisztikus módszer [1] ) számos gyanús parancs és (vagy) gyanús kódsorozat jeleinek észlelésén alapul a vizsgált fájlban (például merevlemez formázási parancs, ill. egy futó folyamatba vagy futtatható kódba beillesztendő függvény). Ezt követően feltételezik a fájl rosszindulatú természetét, és további lépéseket tesznek annak ellenőrzésére. Ez a módszer jó sebességgel rendelkezik, de gyakran nem képes új vírusok észlelésére [2] .

A programok viselkedésének megfigyelésének módszere alapvetően eltér a korábban említett fájlok tartalmának vizsgálatának módszereitől. Ez a módszer a futó programok viselkedésének elemzésén alapul, ami összevethető egy bűnöző „kézzel” elfogásával a tetthelyen. Az ilyen típusú vírusirtó eszközök gyakran megkövetelik a felhasználó aktív közreműködését, akit számos rendszerfigyelmeztetésre kell meghozni, amelyek jelentős része később téves riasztásnak bizonyulhat. Egy bizonyos küszöb túllépése esetén a hamis pozitív eredmények (vírus gyanúja egy ártalmatlan fájlért vagy egy rosszindulatú fájl kihagyása) gyakorisága hatástalanná teszi ezt a módszert, és a felhasználó nem reagál a figyelmeztetésekre, vagy optimista stratégiát választ (minden művelet engedélyezése minden futó számára programokat, vagy tiltsa le a víruskereső eszköz ezen funkcióját). A programok viselkedését elemző víruskereső rendszerek használatakor mindig fennáll annak a veszélye, hogy olyan víruskód parancsokat hajtanak végre, amelyek károsíthatják a védett számítógépet vagy hálózatot. Ennek a hiányosságnak a kiküszöbölésére később egy emulációs (utánzási) módszert fejlesztettek ki , amely lehetővé teszi a tesztelés alatt álló program futtatását mesterségesen létrehozott (virtuális) környezetben, amelyet gyakran sandboxnak ( sandbox ) is neveznek , anélkül , hogy az információs környezet károsodna. . A programok viselkedésének elemzésére szolgáló módszerek alkalmazása nagy hatékonyságot mutatott mind az ismert, mind az ismeretlen rosszindulatú programok észlelésében [2] .

Rogue antiviruses

2009-ben megkezdődött a szélhámos antivírusok aktív terjesztése. - olyan szoftver, amely nem vírusirtó (vagyis nem rendelkezik valódi funkcionalitással a rosszindulatú programok ellen), de úgy tesz, mintha az lenne. Valójában a szélhámos vírusirtó programok egyaránt lehetnek a felhasználók megtévesztésére és a „rendszer vírusok elleni kezeléséért” fizetett bevételek formájában, valamint a közönséges rosszindulatú szoftverek.

Speciális antivírusok

2014 novemberében az Amnesty International nemzetközi emberi jogi szervezet kiadta a Detect víruskereső programot , amelynek célja a kormányzati szervek által terjesztett rosszindulatú programok észlelése a civil aktivisták és politikai ellenfelek utáni kémkedés céljából. A vírusirtó az alkotók szerint mélyebben vizsgálja át a merevlemezt, mint a hagyományos antivírusok [3] [4] .

A vírusirtók hatékonysága

Az Imperva elemző cég a Hacker Intelligence Initiative projekt részeként publikált egy tanulmányt [5] [6] , amely a legtöbb vírusirtó alacsony hatékonyságát mutatja valós körülmények között.

A különböző szintetikus tesztek eredményei szerint az antivírusok átlagosan 97% körüli hatékonyságot mutatnak, de ezeket a teszteket több százezer mintát tartalmazó adatbázisokon végzik, amelyek túlnyomó többségét (talán kb. 97%-át) már nem használják támadások.

A kérdés az, hogy a víruskeresők mennyire hatékonyak a legsürgetőbb fenyegetésekkel szemben. A kérdés megválaszolásához az Imperva és a Tel Avivi Egyetem hallgatói 82 mintát szereztek be a legújabb kártevőkből orosz földalatti fórumokról, és tesztelték a VirusTotal adatbázissal, azaz 42 vírusirtó motorral. Az eredmény katasztrofális volt.

Az antivírusok hatékonysága az újonnan lefordított kártevőkkel szemben 5% alattinak bizonyult. Ez teljesen logikus eredmény, mivel a víruskészítők mindig tesztelik őket a VirusTotal adatbázissal.
A vírus megjelenésétől az antivírusok általi felismeréséig négy hétig tart. Ezt a mutatót az "elit" antivírusok érik el, és más antivírusok esetében az időtartam elérheti a 9-12 hónapot. Például a vizsgálat elején, 2012. február 9-én egy hamis Google Chrome telepítő friss mintáját tesztelték. A vizsgálat 2012. november 17-i befejezése után 42 antivírusból csak 23 észlelte.
A legtöbb kártevő-észlelő vírusirtó esetében is nagy a hamis pozitív eredmény.
Bár a tanulmányt objektívnek aligha lehet nevezni, mivel a kártevők mintája túl kicsi volt, feltételezhető, hogy az antivírusok teljesen alkalmatlanok a friss kiberfenyegetésekkel szemben.

A vírusirtó programok osztályozása

A víruskereső programokat végrehajtásuk szerint (blokkoló eszközök) [1] a következőkre osztják:

szoftver;
szoftver és hardver.

A véletlen elérésű memóriában [1] való elhelyezés alapján allokálja:

rezidens (az operációs rendszer indulásakor kezdik meg munkájukat, folyamatosan a számítógép memóriájában vannak és automatikusan ellenőrzik a fájlokat);
nem rezidens (a felhasználó kérésére vagy a számukra meghatározott ütemterv szerint indítják el).

A vírusok elleni védekezés típusa (módszere) szerint a következőket különböztetjük meg:

Az érzékelőprogramok vagy szkennerek [1] vírusokat találnak a RAM-ban, belső és (vagy) külső adathordozón, és üzenetet jelenítenek meg, ha vírust észlelnek.
Az orvosi programok (fágok [1] , polifágok [1] ) megtalálják a fertőzött fájlokat és „meggyógyítják” azokat. Az ilyen típusú programok között vannak olyan polifágok, amelyek különféle típusú vírusokat képesek eltávolítani, ezek közül a leghíresebbek a Norton AntiVirus , a Doctor Web , a Kaspersky Antivirus polifág antivírusok .
Az oltóprogramok (immunizátorok [1] ) a vírusok működésének blokkolásával immunizálják a rendszert (fájlokat, könyvtárakat) [1] .
Az auditor programok [1] a legmegbízhatóbbak a vírusok elleni védelem szempontjából. Az auditorok a számítógép megfertőződéséig emlékeznek a programok, könyvtárak, a lemez rendszerterületeinek kezdeti állapotára (általában az ellenőrző összegek számítása alapján [1] ), majd összehasonlítják az aktuális állapotot a kezdeti állapottal, megjelenítve a talált változásokat. a kijelzőn.
A monitorprogramok az operációs rendszer indulásakor kezdik meg munkájukat, folyamatosan a számítógép memóriájában vannak, és az „itt és most” elven automatikusan ellenőrzik a fájlokat.
A szűrőprogramok (figyelőkutyák) korai szakaszban észlelik a vírust, még mielőtt elkezdené szaporodni.
A Watchdogok kicsi, állandó programok, amelyek célja a vírusokra jellemző műveletek észlelése.

A vírusirtó programok fő típusai

Az érzékelőprogramok víruskeresést és észlelést biztosítanak a RAM-ban és a külső adathordozón, és észleléskor megfelelő üzenetet adnak ki. Vannak univerzális és speciális detektorok .
A doktor programok (phage) nemcsak megtalálják a vírussal fertőzött fájlokat, hanem „meg is gyógyítják” azokat, vagyis eltávolítják a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „kezelését”. A fágok között megkülönböztetik a polifágokat, vagyis a nagyszámú vírus felkutatására és elpusztítására tervezett orvosprogramokat. Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, az észlelő és orvosi programok gyorsan elavulnak, és rendszeres frissítésük szükséges.
Az auditáló programok a vírusok elleni védekezés legmegbízhatóbb eszközei. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Általános szabály, hogy az állapotokat közvetlenül az operációs rendszer betöltése után hasonlítják össze. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik.
A szűrőprogramok (watchmen) kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak.
Az oltóprogramok (immunizátorok) olyan állandó programok, amelyek megakadályozzák a fájlok fertőzését. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek "kezelik" ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a munkájukat, és a vírus fertőzöttnek fogja fel őket, ezért nem tud gyökeret verni. Az ilyen programok jelentős hátránya, hogy korlátozott mértékben képesek megakadályozni számos különböző vírus fertőzését.

Jegyzetek

↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovjov S. V. Információk védelme az információs rendszerekben a jogosulatlan hozzáféréstől. Haszon. - Voronyezs: Quarta, 2015. - S. 357. - 440 p. - 232 példány. - ISBN 978-5-93737-107-2 .
↑ 1 2 3 4 5 Olifer V.G., Olifer N.A. Számítógépes hálózatok. Alapelvek, technológiák, protokollok: Tankönyv egyetemek számára. - 4. kiadás - Szentpétervár. : Péter, 2010. - S. 871-875. — 944 p. - 4500 példány. - ISBN 978-5-49807-389-7 .
↑ Az AI kifejlesztett egy programot, amely megmenti az újságírókat a kiberfelügyelettől . Letöltve: 2015. május 14. Az eredetiből archiválva : 2015. május 18.. (határozatlan)
↑ BBC: "Hogyan állíthatjuk meg, hogy a kormányok kémkedjenek utánad? " Letöltve: 2014. november 23. Az eredetiből archiválva : 2014. november 23.. (határozatlan)
↑ kutatás . Letöltve: 2017. június 13. Az eredetiből archiválva : 2017. november 24.. (határozatlan)
↑ Imperva: az antivírusok pénzkidobás – "Hacker" . Hozzáférés időpontja: 2017. június 13. (határozatlan)

Rosszindulatú szoftver
Fertőző rosszindulatú programok	Számítógépes vírus hálózati féreg trójai boot vírus Batch vírus Sztori
Rejtős módszerek	Hátsó ajtó Csöpögtető Könyvjelző Cryptor zombi számítógép Polimorfizmus rootkit
Malware haszonszerzés céljából	Adware Adatvédelmi invazív szoftver Ransomware ( Trojan.Winlock ) Spyware Bot botnet Webes fenyegetések Billentyűzetfigyelő Formgrabber Scareware ( Rogue vírusirtó ) Pornótárcsázó
Operációs rendszerek szerint	Linux malware Vírusok Palm OS-hez Makrovírus mobil vírus
Védelem	Defenzív számítástechnika Víruskereső program Tűzfal Behatolásjelző rendszer Információszivárgás megelőzése Az antivírusok idővonala
Ellenintézkedések	Anti Spyware Coalition számítógépes megfigyelés méztartó Működés: Bot Roast