12180

Работа с антивирусными программами

Лабораторная работа

Информатика, кибернетика и программирование

Лабораторная работа № 26 Работа с антивирусными программами 1. Цель работы Изучение работы с антивирусными программами 2. Теоретические сведения Антивирусная программа антивирус программа для обнаружения компьютерных вирусов а также нежелательных считаю

Русский

2013-04-24

27.44 KB

164 чел.

Лабораторная работа № 26

Работа с антивирусными программами

1. Цель работы

Изучение работы с антивирусными программами

2. Теоретические сведения

Антивирусная программа (антивирус) — программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом (например, с помощью вакцинации[1]).

Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Методы обнаружения вирусов

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач[2]:

  1.  Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.
  2.  Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре

Это метод, при котором антивирусная программа, анализируя файл, обращается к антивирусным базам, составленным производителем программы-антивируса. В случае соответствия какого-либо участка кода просматриваемого файла (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

  1.  Удалить инфицированный файл.
  2.  Заблокировать доступ к инфицированному файлу.
  3.  Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).
  4.  Попытаться «вылечить» файл, удалив тело вируса из файла.
  5.  В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Вирусная база регулярно обновляется производителем антивирусов, пользователям рекомендуется обновлять их как можно чаще[3][4][5].

Некоторые из продуктов для лучшего обнаружения используют несколько ядер для поиска и удаления вирусов и программ-шпионов. Например, в разработке NuWave Software используется одновременно пять ядер (три для поисков вирусов и два для поиска программ-шпионов)[6].

Для многих антивирусных программ с базой сигнатур характерна проверка файлов в момент, когда операционная система обращается к файлам[7]. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.

Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать заражению компьютеров, авторы вирусов стараются обойти такие антивирусы, создавая «олигоморфические», «полиморфические» и «метаморфические» вирусы, отдельные части которых шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с записью в сигнатуре.[8]

Метод обнаружения странного поведения программ

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается выполнить какие-либо подозрительные с точки зрения антивирусной программы действия, то такая активность будет заблокирована, или же антивирус может предупредить пользователя о потенциально опасных действиях такой программы.

В настоящее время подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта[9].

В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Но вместе с тем, такой метод даёт большое количество ложных срабатываний, выявляя подозрительную активность среди не вредоносных программ. Некоторые программы или модули, построенные на этом методе, могут выдавать слишком большое количество предупреждений, что может запутать пользователя.[9]

Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет вирусную активность, такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Метод «Белого списка»

Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Однако, все активно продвигающиеся на ИТ рынке антивирусы работают по принципу «черного списка», и вот почему: чтобы работать по схеме подписки, при которой есть услуга со стороны антивирусной компании по поддержанию сигнатурных баз, т.е. черного списка, в актуальном состоянии и есть регулярные отчисления за пользование этой услугой. Именно из-за несравненно большей прибыльности метода «черного списка» для антивирусных компаний метод «белого списка» остается незаслуженно незамеченным.

Эвристический анализ

В целом термином «эвристический анализ» сегодня называют совокупность функций антивируса, нацеленных на обнаружение неизвестных вирусным базам вредоносных программ, но в то же время этот же термин обозначает один из конкретных способов[10].

Эвристическое сканирование в целом схоже с сигнатурным, однако, в отличие от него, ищется не точное совпадение с записью в сигнатуре, а допускается расхождение. Таким образом становится возможным обнаружить разновидность ранее известного вируса без необходимости обновления сигнатур. Также антивирус может использовать универсальные эвристические сигнатуры, в которых заложен общий вид вредоносной программы[10]. В таком случае антивирусная программа может лишь классифицировать вирус, но не дать точного названия.

HIPS

HIPS — система мониторинга всех приложений, работающих в системе, с чётким разделением прав для разных приложений. Таким образом HIPS может предотвратить деструктивную деятельность вируса, не дав ему необходимых прав. Приложения делятся на группы, начиная от «Доверенных», права которых не ограничены, заканчивая «Заблокированными», которым HIPS не даст прав даже на запуск.[11][12]

Недостатки

  1.  Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов[5].
  2.  Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах. Замедление в фоновом режиме работы может достигать 380 %[13].
  3.  Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания)[14].
  4.  Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.
  5.  Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.[8]

Классификация антивирусов

По набору функций и гибкости настроек антивирусы можно разделить на[15]:

  1.  Продукты для домашних пользователей:
  2.  Собственно антивирусы;
  3.  Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т. д.);
  4.  Корпоративные продукты:
  5.  Серверные антивирусы;
  6.  Антивирусы на рабочих станциях («endpoint»);
  7.  Антивирусы для почтовых серверов;
  8.  Антивирусы для шлюзов.

Ложные антивирусы (лжеантивирусы)

В 2009 году различные производители антивирусов стали сообщать о широком распространении нового типа программ — ложных или лжеантивирусов (rogueware).[16] По сути эти программы или вовсе не являются антивирусами (то есть не способны бороться с вредоносным ПО), или даже являются вирусами (воруют данные кредитных карт и т. п.)[17].

Ложные антивирусы используются для вымогательства денег у пользователей путём обмана. Один из способов заражения ПК ложным антивирусом следующий[17]. Пользователь попадает на «инфицированный» сайт, который выдаёт ему предупреждающее сообщение вроде «На вашем компьютере обнаружен вирус» и предлагает скачать бесплатную программу для удаления вируса. После установки такая программа производит сканирование компьютера и якобы обнаруживает ещё массу вирусов. Для удаления вредоносного ПО ложный антивирус предлагает купить платную версию программы. Шокированный пользователь платит (суммы колеблются от $10 до $80) и ложный антивирус очищает ПК от несуществующих вирусов.

3 Подготовка к выполнению работы

3.1 Ознакомиться с инструкцией.

3.2 Проработать теоретический материал за темой работы.

3.3 Дать ответы на контрольные вопросы входного контроля.

3.4 Продумать методику выполнения работы.

3.5 Подготовить бланк отчета.

                                         4 Оборудование:

ПК и ативирусные программы  

                                            5 Оформление отчета:

5.1 Цель работы.

5.2 Теоретические сведения.

5.3 Оборудование.

5.4 Задание.

5.5 Описание выполненной работы.

6 Контрольные вопросы:

6.1 Что такое Антивирусная программа?

6.2 На чём основан метод обнаружения антивирусом странного поведениия программ ?

6.3 Что такое Эвристический анализ?

6.4 Что такое «Белый список»

6.5 Какие недостатки HIPS?


 

А также другие работы, которые могут Вас заинтересовать

14906. ТАРАЗ ─ МҰСЫЛМАН ӨРКЕНИЕТІНІҢ ОРТА АЗИЯДАҒЫ ОРТАЛЫҒЫ 54 KB
  ТАРАЗ ─ МҰСЫЛМАН ӨРКЕНИЕТІНІҢ ОРТА АЗИЯДАҒЫ ОРТАЛЫҒЫ М.А. Утеуов М.С. Бегілдаева Тараз мемлекеттік педагогикалық институты жанындағы Кіші Ғылым Академиясы Жамбыл облыстық Дарын мектепинтернаты Тараз қ. Тараз қазіргі жыл санауымыздан бұрынғы 4241 жылдары Т...
14907. ТҮРКIЛЕРДIҢ ИСЛАМ ТАРИХЫ ЖӘНЕ МӘДЕНИЕТIНДЕГI ЕРЕКШЕ ОРНЫ 72 KB
  ТҮРКIЛЕРДIҢ ИСЛАМ ТАРИХЫ ЖӘНЕ МӘДЕНИЕТIНДЕГI ЕРЕКШЕ ОРНЫ Исламият алып елдердің мәселен Әмәуи 66-1750 Аббаси 751-1258 Селжүк 1040-1157 Осман 1299-1922 патшалықтары сықылды әлемдiк мемлекеттердің ресми дiнi болған дәуiрде азат етiлген немесе олжаланған өңiрлердiң тұрғындарын жа...
14908. АУМАЛЫ-ТӨКПЕЛІ КЕЗЕҢДЕГІ ҚОҒАМ, ТҰЛҒА ЖӘНЕ ДІН 220 KB
  АУМАЛЫТӨКПЕЛІ КЕЗЕҢДЕГІ ҚОҒАМ ТҰЛҒА ЖӘНЕ ДІН Қоғам адам баласын басқа махлұқаттан даралайтын басты қасиеттің бірі. Жеке тұлғалардан фәрдтер құралатын адам қоғамы кейде тұрақты әлеуметтік сипат танытса кейде экономикалық ықтисади саяси һәм әлеуметтік ижтим
14909. ҰЛТЫМЫЗДЫҢ БОЛАШАҒЫ - ДІНИ БІРЛІГІМІЗДЕ 105.5 KB
  ҰЛТЫМЫЗДЫҢ БОЛАШАҒЫ ДІНИ БІРЛІГІМІЗДЕ Бізді тура жолға баста Ізгілік бергендеріңнің жолынаАшуға ұшырағандар мен адасқандардың жолына емес Фатиха сүресіҚазақстан тәуелсіздік алғалы бері дәстүрлі және дәстүрлі емес діндердің көптеген уағызшылары үгітнасихат...
14910. ХРИСТИАНДЫҚ 25.43 KB
  ХРИСТИАНДЫҚ Христиан діні әлемдегі ең көп тараған діндердің бірі қазіргі таңда оның 2 миллиардқа жуық ұстанушылары бар. Христиандық православие католицизм протестанттық болып үш негізгі бағытқа жіктеледі. Христос сөзі грек тілінен алынған мессия құтқарушы де
14911. АЛАШ ИДЕЯСЫ – ҚАЗАҚ ИДЕЯСЫ 68.5 KB
  АЛАШ ИДЕЯСЫ ҚАЗАҚ ИДЕЯСЫ Алаш қозғалысының тарихи негізгі Ресей отаршылдығының қазақ жеріндегі аса асқынған кезеңінен басталды десек те Алаш идеясы одан әлдеқайда бұрын өмірге келіп күні бүгінге дейін елім жерім деп ұлт болашағын ойлаған әрбір қазақ ...
14912. «АЛАШ» ИДЕЯСЫ ЖӘНЕ ХАЛЫҚАРАЛЫҚ «ҚАЗАҚ ТІЛІ» ҚОҒАМЫ 41.5 KB
  АЛАШ ИДЕЯСЫ ЖӘНЕ ХАЛЫҚАРАЛЫҚ ҚАЗАҚ ТІЛІ ҚОҒАМЫ Қазақ халқының тарихында әр ғасырдың басы аласапыран оқиғаларға толы болды. Бұл өз кезегінде тарих сахнасына іріірі тұлғалар мен қайраткерлерді шығарып түбірлі өзгерістерге алып келіп отырды. Әсіресе ХХ ғасырд
14913. АЛАШ ҚАЙРАТКЕРЛЕРІ ЖӘНЕ ҚАЗІРГІ ТІЛ МӘСЕЛЕСІ 50.5 KB
  АЛАШ ҚАЙРАТКЕРЛЕРІ ЖӘНЕ ҚАЗІРГІ ТІЛ МӘСЕЛЕСІ Қазақ халқының тарихында Алаш қайраткерлерінің алар орны ерекше. Олар өз ұлтының бостандығы жолында басын бәйгеге тіккен туған елін отаршылдықтың бұғауынан босатып тәуелсіз мемлекет құру үшін ақтық демі қалғанша күреск...
14914. АЛАШ ҚОЗҒАЛЫСЫ ЖӘНЕ АТБАСАР ӨҢІРІ 40.5 KB
  АЛАШ ҚОЗҒАЛЫСЫ ЖӘНЕ АТБАСАР ӨҢІРІ Алаш қозғалысына қатысты әрбір дерек біз үшін маңызды болуы тиіс. Өйткені бұл ұлтазаттық қозғалыс халқымызды ұйыстыруға дербес мемлекет құруға ең бастысы ұлтымыздың рухын көтеруге арналған ұлы шара еді. Тәуелсіздік алған жылдан