12180

Работа с антивирусными программами

Лабораторная работа

Информатика, кибернетика и программирование

Лабораторная работа № 26 Работа с антивирусными программами 1. Цель работы Изучение работы с антивирусными программами 2. Теоретические сведения Антивирусная программа антивирус программа для обнаружения компьютерных вирусов а также нежелательных считаю

Русский

2013-04-24

27.44 KB

155 чел.

Лабораторная работа № 26

Работа с антивирусными программами

1. Цель работы

Изучение работы с антивирусными программами

2. Теоретические сведения

Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации[1]).

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Методы обнаружения вирусов

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач[2]:

  1.  Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.
  2.  Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре

Это метод, при котором антивирусная программа, анализируя файл, обращается к антивирусным базам, составленным производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

  1.  Удалить инфицированный файл.
  2.  Заблокировать доступ к инфицированному файлу.
  3.  Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
  4.  Попытаться «вылечить» файл, удалив тело вируса из файла.
  5.  В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще[3][4][5].

Некоторые из продуктов для лучшего обнаружения используют несколько ядер для поиска и удаления вирусов и программ-шпионов. Например, в разработке NuWave Software используется одновременно пять ядер (три для поисков вирусов и два для поиска программ-шпионов)[6].

Для многих антивирусных программ с базой сигнатур характерна проверка файлов в момент, когда операционная система обращается к файлам[7]. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.

Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать заражению компьютеров, авторы вирусов стараются обойти такие антивирусы, создавая «олигоморфические», «полиморфические» и «метаморфические» вирусы, отдельные части которых шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с записью в сигнатуре.[8]

Метод обнаружения странного поведения программ

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.

В настоящее время подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта[9].

В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Но вместе с тем, такой метод даёт большое количество ложных срабатываний, выявляя подозрительную активность среди не вредоносных программ. Некоторые программы или модули, построенные на этом методе, могут выдавать слишком большое количество предупреждений, что может запутать пользователя.[9]

Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Метод «Белого списка»

Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Однако, все активно продвигающиеся на ИТ рынке антивирусы работают по принципу «черного списка», и вот почему: чтобы работать по схеме подписки, при которой есть услуга со стороны антивирусной компании по поддержанию сигнатурных баз, т.е. черного списка, в актуальном состоянии и есть регулярные отчисления за пользование этой услугой. Именно из-за несравненно большей прибыльности метода «черного списка» для антивирусных компаний метод «белого списка» остается незаслуженно незамеченным.

Эвристический анализ

В целом термином «эвристический анализ» сегодня называют совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов[10].

Эвристическое сканирование в целом схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение. Таким образом становится возможным обнаружить разновидность ранее известного вируса без необходимости обновления сигнатур. Также антивирус может использовать универсальные эвристические сигнатуры, в которых заложен общий вид вредоносной программы[10]. В таком случае антивирусная программа может лишь классифицировать вирус, но не дать точного названия.

HIPS

HIPS — система мониторинга всех приложений, работающих в системе, с чётким разделением прав для разных приложений. Таким образом HIPS может предотвратить деструктивную деятельность вируса, не дав ему необходимых прав. Приложения делятся на группы, начиная от «Доверенных», права которых не ограничены, заканчивая «Заблокированными», которым HIPS не даст прав даже на запуск.[11][12]

Недостатки

  1.  Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов[5].
  2.  Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах. Замедление в фоновом режиме работы может достигать 380 %[13].
  3.  Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания)[14].
  4.  Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.
  5.  Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.[8]

Классификация антивирусов

По набору функций и гибкости настроек антивирусы можно разделить на[15]:

  1.  Продукты для домашних пользователей:
  2.  Собственно антивирусы;
  3.  Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.);
  4.  Корпоративные продукты:
  5.  Серверные антивирусы;
  6.  Антивирусы на рабочих станциях («endpoint»);
  7.  Антивирусы для почтовых серверов;
  8.  Антивирусы для шлюзов.

Ложные антивирусы (лжеантивирусы)

В 2009 году различные производители антивирусов стали сообщать о широком распространении нового типа программ — ложных или лжеантивирусов (rogueware).[16] По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО), или даже являются вирусами (воруют данные кредитных карт и т. п.)[17].

Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. Один из способов заражения ПК ложным антивирусом следующий[17]. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее сообщение вроде «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.

3 Подготовка к выполнению работы

3.1 Ознакомиться с инструкцией.

3.2 Проработать теоретический материал за темой работы.

3.3 Дать ответы на контрольные вопросы входного контроля.

3.4 Продумать методику выполнения работы.

3.5 Подготовить бланк отчета.

                                         4 Оборудование:

ПК и ативирусные программы  

                                            5 Оформление отчета:

5.1 Цель работы.

5.2 Теоретические сведения.

5.3 Оборудование.

5.4 Задание.

5.5 Описание выполненной работы.

6 Контрольные вопросы:

6.1 Что такое Антивирусная программа?

6.2 На чём основан метод обнаружения антивирусом странного поведениия программ ?

6.3 Что такое Эвристический анализ?

6.4 Что такое «Белый список»

6.5 Какие недостатки HIPS?


 

А также другие работы, которые могут Вас заинтересовать

83711. Влияние распределения внимания на продуктивность деятельности 30.92 KB
  Распределение внимания означает одновременное сосредоточение на двух или более видах деятельности. В исследованиях распределения внимания испытуемым обычно предлагается выполнить две задачи одновременно. Если одна из деятельностей полностью автоматизирована и не требует сознательного контроля...
83712. Исследование электрических цепей синусоидального тока. Резонанс напряжений 325.13 KB
  Исследование явления резонанса напряжений при последовательном соединении катушки индуктивности и конденсатора. Используя полученные значения и вычислим В В мкФ Изменением положения сердечника катушки индуктивности при максимуме тока в цепи добиваемся резонанса напряжений...
83713. Исследование электронного осциллографа 922.34 KB
  Цель работы: Ознакомление с принципом действия и приобретение навыков работы с электронным осциллографом. Выполнение работы: Электронные осциллограф предназначен для исследования форм электрических сигналов путем визуального наблюдения и измерения их амплитудных и временных параметров.
83714. Исследование эффекта Джоуля-Томпсона при адиабатическом истечении газа 438 KB
  Идеальный газ – модель газа, в которой пренебрегаются размеры молекул по сравнению с расстоянием между ними, т.е. молекулы рассматриваются как материальные точки, также пренебрегаются силы взаимодействия между молекулами (за исключением моментов столкновения).
83716. Определение коэффициента термического расширения (линейного) твёрдого тела 117.05 KB
  Определить температуру металлической проволоки при протекании через неё электрического тока. Измерить удлинение проволоки при нагревании. В данной работе экспериментально определяется коэффициент термического расширения твердого тела металлической проволоки.
83717. Моделювання типових радіотехнічних сигналів 1.34 MB
  Вивчити основні можливості програми MathCad, ознайомитися з елементами загальної теорії радіотехнічних сигналів, освоїти порядок моделювання найпростіших радіотехнічних сигналів. При підготовці до виконання лабораторної роботи необхідно вивчити даний опис, що відповідає розділам рекомендованої літератури...
83718. MS Access 2007: Создание запросов 351.77 KB
  Для объединения записей из связанных таблиц в группы (чтобы в результирующей таблице запроса не было повторяющихся записей) Сортировка Вывод инструкций сортировки записей Вывод на экран Определяет, будет ли отражено поле в результирующей таблице Условие отбора Содержит первое условие...
83719. Электронные промышленные устройства 113.15 KB
  Изучить правила работы с лабораторным стендом, назначения и принцип действия используемых микросхем. Синтезировать и начертить схему дешифратора 3-разрядного числа. Смонтировать дешифратор и проверить его работу. Изучить принцип работы дешифратора К155ИД4. Начертить схему исследования дешифратора.