Сравнительный анализ антивирусных программ

red0;;КУРСОВАЯ

Тема_____Сравнительный анализ антивирусных программ___________________


Содержание

Введение…………………………………………………………………………………...3

1. Компьютерные вирусы……………………………………………………………….5

. Антивирусные средства……………………………………………………………..10

3. Сравнительный анализ антивирусных средств……………………………………20

Заключение……………………………………………………………………………..30

Литература………………………………………………………………………………..31


Введение

В данной выпускной квалификационной работе рассмотрена проблема борьбы с компьютерными вирусами, которой занимаются антивирусные программы. Среди набора программ, используемого большинством пользователей персональных компьютеров каждый день, антивирусные программы традиционно занимают особое место.

Целью выпускной квалификационной работы явился сравнительный анализ современных антивирусных средств. Проблема разработки сравнительного анализа современных антивирусных средств является очень актуальной. Это связано с тем, что в настоящее время появилось очень большое количество новых вирусов, с которыми могут бороться не все антивирусные программы. Причем среди антивирусных программ есть и такие, которые не обнаруживают даже простейшие вирусы.

Требования к антивирусным программам достаточно противоречивы. С одной стороны, пользователи хотят иметь надежную, мощную антивирусную защиту. С другой стороны, они хотят, чтобы эта защита не требовала от пользователя много времени и сил. И это вполне естественные требования.

При этом нельзя ни на мгновение отставать от общего развития компьютерного мира. Каждый год приносит новые технологии, в том числе, и в мире компьютерных вирусов. Все эти "новинки" заставляют постоянно совершенствовать антивирусные программы. В известной степени борьба с компьютерными вирусами очень похожа на извечную борьбу брони и снаряда. И в ближайшем будущем эта борьба вряд ли прекратится. Но ничего страшного в этом нет. Пользователю важно лишь не забывать об угрозе компьютерных вирусов, и принимать для защиты от них меры, не требующие в принципе больших усилий или специальных знаний. Достаточно проводить регулярное резервное копирование важных данных и пользоваться современными антивирусными программами.

Сравнительный анализ поможет нам понять, какие из антивирусных программ лучше использовать, чтобы уберечь свой компьютер от вирусов.

Данная выпускная квалификационная работа состоит из двух глав, включающих в себя каждый несколько параграфов и подпунктов.

В первой главе приведена теоретическая часть по тому, что представляет собой компьютерный вирус, представлена классификация всевозможных вирусов, а также признаки появления вирусов и меры, применяемые для защиты от них.

Во второй главе рассказывается о способах противодействия компьютерным вирусам, а также приводится сравнительная характеристика современных антивирусных программ.


1 Компьютерные вирусы

С проблемой компьютерных вирусов и их возможностей связано, наверное, наибольшее число легенд и преувеличений. Многие люди, а иногда и целые организации, панически боятся заражения своих машин. На самом деле все не так страшно. Чтобы не заразить свои компьютеры, достаточно соблюдать лишь небольшое число элементарных правил, но соблюдать их неукоснительно.

В общем случае компьютерный вирус – это небольшая программа, которая приписывает себя в конец исполняемых файлов, «драйверов», или «поселяется» в загрузочном секторе диска. При запуске зараженных программ и драйверов вначале происходит выполнение вируса, а уже потом управление передается самой программе. Если же вирус «поселился» в загрузочном секторе, то его активизация происходит в момент загрузки операционной системы с такого диска. В тот момент, когда управление принадлежит вирусу, обычно выполняются различные неприятные для пользователя, но необходимые для продолжения жизни данного вируса действия. Это нахождение и заражение других программ, порча данных и т.д. Вирус может также остаться в памяти резидентно и продолжать вредить до перезагрузки компьютера. После окончания работы вируса управление передается зараженной программе, которая обычно работает «как ни в чем не бывало», маскируя тем самым наличие в системе вируса. К сожалению, очень часто вирус обнаруживается слишком поздно, когда большинство программ уже заражено. В этих случаях потери от зловредных действий вируса могут быть очень велики.

В последнее время появились так называемые макровирусы. Они передаются вместе с документами, в которых предусмотрено выполнение макрокоманд (например, документы текстового редактора Word), отсюда и их название. Макровирусы представляют собой макрокоманды, которые предписывают переносить тело вируса в другие документы и, по возможности, совершать различные вредные действия. Наибольшее распространение в настоящее время получили макровирусы, заражающие документы текстового редактора Word для Windows и табличного редактора Excel для Windows.

Признаки появления вирусов

Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями". К признакам появления вируса можно отнести:

• замедление работы компьютера;

• невозможность загрузки операционной системы;

• частые «зависания» и сбои в работе компьютера;

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• увеличение количества файлов на диске;

• изменение размеров файлов;

• периодическое появление на экране монитора неуместных системных сообщений;

• уменьшение объема свободной оперативной памяти;

• заметное возрастание времени доступа к жесткому диску;

• изменение даты и времени создания файлов;

• разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);

• загорание сигнальной лампочки дисковода, когда к нему нет обращения.

Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.

Классификация вирусов

Известные программные вирусы можно классифицировать по следующим признакам:

  1. среде обитания;
  2. способу заражения среды обитания;
  3. воздействию;
  4. особенностям алгоритма;

В зависимости от среды обитания вирусы можно разделить на:

  • сетевые;
  • файловые;
  • загрузочные;
  • файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на:

  • резидентные;
  • нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

  1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
  2. опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
  3. очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты (полиморфные вирусы), содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Основные меры по защите от вирусов

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

  1. оснастить компьютер современными антивирусными программами, например NOD32 , Doctor Web, и постоянно обновлять их версии;
  2. перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы;
  3. при переносе на компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;
  4. периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты;
  5. всегда защищать дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;
  6. обязательно делать архивные копии на дискетах ценной информации;
  7. не оставлять в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;
  8. использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.


2. Антивирусные средства

Способы противодействия компьютерным вирусам

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус).

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

  1. «Ложное срабатывание» (False positive) — детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин — «False negative», т.е. недетектирование вируса в зараженном объекте.
  2. «Сканирование по запросу» («on-demand») — поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler).
  3. «Сканирование на-лету» («real-time», «on-the-fly») — постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Антивирусные программы

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

Требования к антивирусным программам

Количество и разнообразие вирусов велико и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам.

Стабильность и надежность работы. Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование). Сюда же следует отнести возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является также процент ложных срабатываний программы (ошибочное определение вируса в “чистом” файле).

Многоплатформенность (наличие версий программы под различные операционные системы). Конечно, если антивирус используется только дома, на одном компьютере, то этот параметр не имеет большого значения. Но вот антивирус для крупной организации просто обязан поддерживать все распространенные операционные системы. Кроме того, при работе в сети немаловажным является наличие серверных функций, предназначенных для административной работы, а также возможность работы с различными видами серверов.

Характеристика антивирусных программ

Антивирусные программы делятся на:

  • программы-детекторы;
  • программы-доктора;
  • программы-ревизоры;
  • программы-фильтры;
  • программы-вакцины.

Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

  • попытки коррекции файлов с расширениями СОМ и ЕХЕ;
  • изменение атрибутов файлов;
  • прямая запись на диск по абсолютному адресу;
  • запись в загрузочные сектора диска.
  • загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Методики антивирусных программ

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами:

  1. Сканирование;
  2. Эвристический анализ;
  3. Обнаружение изменений;
  4. Резидентные мониторы.

Антивирусные программы могут реализовывать все перечисленные выше методики, либо только некоторые из них.

Сканирование

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.

Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.

Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристический анализ

Эвристический анализ зачастую используется совместно со сканированием для поиска шифрующихся и полиморфных вирусов. В большинстве случаев эвристический анализ позволяет также обнаруживать и ранее неизвестные вирусы. В этом случае, скорее всего их лечение будет невозможно.

Если эвристический анализатор сообщает, что файл или загрузочный сектор, возможно, заражен вирусом, вы должны отнестись к этому с большим вниманием. Необходимо дополнительно проверить такие файлы с помощью самых последних версий антивирусных программ сканеров или передать их для исследования авторам антивирусных программ.

Обнаружение изменений

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т. д. На обнаружении таких изменений основываются работа антивирусных программ-ревизоров.

Антивирусные программы-ревизоры запоминают характеристики всех областей диска, которые могут подвергнуться нападению вируса, а затем периодически проверяют их. В случае обнаружения изменений, выдается сообщение о том, что возможно на компьютер напал вирус.

Следует учитывать, что не все изменения вызваны вторжением вирусов. Так, загрузочная запись может измениться при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.

Резидентные мониторы

Антивирусные программы, постоянно находящиеся в оперативной памяти компьютера и отслеживающие все подозрительные действия, выполняемые другими программами, носят название резидентных мониторов или сторожей. К сожалению, резидентные мониторы имеют очень много недостатков, которые делают этот класс программ малопригодными для использования. Они раздражают пользователей большим количеством сообщений, по большей части не имеющим отношения к вирусному заражению, в результате чего их отключают.

Краткий обзор антивирусных программ

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

В настоящее время серьезный антивирус должен уметь распознавать не менее 25000 вирусов. Это не значит, что все они находятся "на воле". На самом деле большинство из них или уже прекратили свое существование или находятся в лабораториях и не распространяются. Реально можно встретить 200-300 вирусов, а опасность представляют только несколько десятков из них.

Существует множество антивирусных программ. Рассмотрим наиболее известные из них.

Восстановление пораженных объектов

В большинстве случаев заражения вирусом процедура восстановления зараженных файлов и дисков сводится к запуску подходящего антивируса, способного обезвредить систему. Если же вирус неизвестен ни одному антивирусу, то достаточно отослать зараженный файл фирмам-производителям антивирусов и через некоторое время (обычно — несколько дней или недель) получить лекарство-«апдейт» против вируса. Если же время не ждет, то обезвреживание вируса придется произвести самостоятельно.

Восстановление файлов-документов и таблиц

Для обезвреживания Word и Excel достаточно сохранить всю необходимую информацию в формате не документов и не таблиц — наиболее подходящим является текстовый RTF-формат, содержащий практически всю информацию из первоначальных документов и не содержащий макросов. Затем следует выйти из Word/Excel, уничтожить все зараженные Word-документы, Excel-таблицы, NORMAL.DOT у Word и все документы/таблицы в StartUp-каталогах Word/Excel. После этого следует запустить Word/Excel и восстановить документы/таблицы из RTF-файлов.

В результате этой процедуры вирус будет удален из системы, а практически вся информация останется без изменений. Однако этот метод имеет ряд недостатков. Основной из них - трудоемкость конвертирования документов и таблиц в RTF-формат, если их число велико. К тому же в случае Excel необходимо отдельно конвертировать все Листы (Sheets) в каждом Excel-файле. Второй недостаток — потеря невирусных макросов, используемых при работе. Поэтому перед запуском описанной процедуры следует сохранить их исходный текст, а после обезвреживания вируса — восстановить необходимые макросы в первоначальном виде.

Восстановление файлов

В подавляющем большинстве случаев восстановление зараженных файлов является достаточно сложной процедурой, которую невозможно произвести «руками» без необходимых знаний — форматов выполняемых файлов, языка ассемблера и т.д. К тому же обычно зараженными на диске оказываются сразу несколько десятков или сотен файлов и для их обезвреживания необходимо разработать собственную программу-антивирус (можно также воспользоваться возможностями редактора антивирусных баз из комплекта AVP).

При лечении файлов следует учитывать следующие правила:

  1. необходимо протестировать и вылечить все выполняемые файлы (COM, EXE, SYS, OVL) во всех каталогах всех дисков вне зависимости от атрибутов файлов (т.е. файлы read-only, системные и скрытые);
  2. желательно сохранить неизменными атрибуты и дату последней модификации файла;
  3. необходимо учесть возможность многократного поражения файла вирусом («бутерброд» из вирусов).

Само лечение файла производится в большинстве случаев одним из нескольких стандартных способов, зависящих от алгоритма размножения вируса. В большинстве случаев это сводится к восстановлению заголовка файла и уменьшению его длины.

Антивирусная профилактика

Необходимо всегда иметь диск, записанный на не зараженном компьютере. На этот диск надо записать последние версии антивирусных программ-полифагов, таких как Doctor Web или Antiviral Toolkit Pro. Кроме антивирусных программ, на диск полезно записать драйверы внешних устройств компьютера, например драйвер устройства чтения компакт-дисков, программы для форматирования дисков - format и переноса операционной системы - sys, программу для ремонта файловой системы Norton Disk Doctor или ScanDisk.

Диск будет полезен не только в случае нападения вирусов. Им можно воспользоваться для загрузки компьютера в случае повреждения файлов операционной системы.

Необходимо периодически проверять компьютер на заражение вирусами. Выполнять проверку не только выполнимых файлов, имеющих расширение COM, EXE, но также пакетных файлов BAT и системных областей дисков.

Если в компьютере записано много файлов, их проверка антивирусами-полифагами, скорее всего, будет отнимать достаточно много времени. Поэтому во многих случаях предпочтительней для повседневной проверки использовать программы-ревизоры, а новые и изменившиеся файлы подвергать проверке полифагами.

Практически все ревизоры в случае изменения системных областей диска (главной загрузочной записи и загрузочной записи) позволяют восстановить их, даже в том случае если неизвестно, какой именно вирус их заразил. Лечащий модуль ADinf Cure Module даже позволяет удалять неизвестные файловые вирусы.

Практически все современные антивирусы могут правильно работать даже на зараженном компьютере, когда в его оперативной памяти находится активный вирус. Однако перед удалением вируса все же рекомендуется предварительно загрузить компьютер с диска, чтобы вирус не смог препятствовать лечению.

Когда производится загрузка компьютера с диска, следует обратить внимание на два важных момента.

Во-первых, для перезагрузки компьютера надо использовать кнопку Reset, расположенную на корпусе системного блока, или даже временно выключить его питание. Не использовать для перезагрузки комбинацию из трех известных клавиш. Некоторые вирусы могут остаться в памяти даже после этой процедуры.

Во-вторых, перед перезагрузкой компьютера с диска проверить конфигурацию дисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузки операционной системы (должна быть установлена приоритетная загрузка с диска), записанную в энергонезависимой памяти. Существуют вирусы, ловко меняющие параметры, записанные в энергонезависимой памяти компьютера, в результате чего компьютер загружается с зараженного вирусом жесткого диска, в то время как оператор думает, что загрузка происходит с чистого диска.

Обязательно проверять с помощью антивирусных программ все диски и все программы, поступающие на ПК через любые носители или через модем. Если компьютер подключен к локальной сети, необходимо проверять файлы, полученные через сеть от других пользователей.

С появлением вирусов, распространяющихся через макрокоманды текстового процессора Microsoft Word и электронной таблицы Microsoft Excel, необходимо особенно внимательно проверять не только выполнимые файлы программ и системные области дисков, но также и файлы документов.

Крайне важно постоянно следить за выходом новых версий применяемых антивирусных средств и своевременно выполнять их обновления на диске и компьютере; использовать для восстановления зараженных файлов и системных областей диска только самые последние версии антивирусов.

3. Сравнительный анализ антивирусных средств

Существует много различных антивирусных программ как отечественного, так и неотечественного происхождения. И для того, чтобы понять, какая из антивирусных программ лучше, проведем их сравнительный анализ. Для этого возьмем современные антивирусные программы, а также такие, которые наиболее часто используются пользователями ПК.

Рассмотрим более подробно такие антивирусы, как:

  1. Kaspersky Internet Security;
  2. Dr. Web;
  3. Panda Antivirus 2013;
  4. NOD 32.

Из всех рассмотренных антивирусов наиболее дешевым является Panda Antivirus 2013, а самым дорогим NOD 32. Но это не значит, что Panda Antivirus 2013 хуже и об этом говорят остальные критерии. Три программы из четырех рассмотренных (Антивирус Касперского, Panda Antivirus, NOD 32) имеют более простой, функциональный и удобный интерфейс, чем Dr. Web, который имеет множество настроек, непонятных начинающему пользователю. В программе можно воспользоваться подробной справкой, которая объяснит назначение тех, или иных необходимых вам параметров.

Все программы предлагают надежную защиту от червей, традиционных вирусов, почтовых вирусов, шпионских программ, троянских программ и т.д. Проверка файлов в таких программах, как Dr. Web, NOD 32, осуществляется при запуске системы, а вот Антивирус Касперского проверяет файлы в момент обращения к ним. Антивирус Касперского, NOD 32 в отличие от всех остальных обладают продвинутой системой проактивной защиты, базирующейся на алгоритмах эвристического анализа; возможностью поставить пароль и, тем самым, защитить программу от вирусов, нацеленных на разрушение антивирусной защиты. Помимо этого Антивирус Касперского 2009 обладает поведенческим блокиратором. Panda Antivirus в отличие от всех остальных не поддерживает блокировку подозрительных веб-страниц или защиту личных данных. Все эти антивирусы имеют автоматическое обновление баз и планировщик задач. Также эти антивирусные программы полностью совместимы с Vista. Но все они кроме Panda Antivirus требуют, чтобы помимо них в системе не было других подобных программ. На основе этих данных составим таблицу.

Антивирус

Найдено угроз

% определения

Время на поиск

Загрузка ОС, сек

Цена, руб.

Kaspersky Internet Security

3695

,3

мин

-95

Dr. Web

,3

мин 10 сек

-60

Panda Antivirus 2013

мин 10 сек

-50

NOD32

,8

мин 10 сек

-50

Kaspersky Internet Security

Файловый Антивирус

Контролирует файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и на всех присоединённых дисках. Каждое обращение к файлу перехватывается Kaspersky Internet Security и файл проверяется на присутствие известных вирусов. Дальнейшая работа с файлом возможна только в том случае, если файл не заражен или был успешно вылечен программой. Если файл по каким-либо причинам невозможно вылечить, он будет удалён (при этом его копия будет сохранена в резервном хранилище) или помещён на карантин.

Почтовый Антивирус

Проверяет все входящие и исходящие почтовые сообщения вашего компьютера. Он анализирует электронные письма на присутствие вредоносных программ. Письмо будет доступно адресату только в том случае, если оно не содержит опасных объектов. Кроме того, компонент анализирует почтовые сообщения на предмет фишинг-мошенничества.

Веб-антивирус

Перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу. Строгому контролю также подвергается весь HTTP-трафик. Кроме того, компонент анализирует веб-страницы на предмет фишинг-мошенничества.

IM-антивирус

Обеспечивает безопасность работы с интернет-пейджерами. Компонент защищает информацию, поступающую на ваш компьютер по протоколам интернет-пейджеров. IM-антивирус обеспечивает безопасную работу со многими программами, предназначенными для быстрого обмена сообщениями.

Контроль программ

Регистрирует действия, совершаемые программами в системе, и регулирует деятельность программ, исходя из того, к какой группе компонент относит данную программу. Для каждой группы программ задан набор правил. Эти правила регламентируют доступ программ к различным ресурсам.

Сетевой экран

Обеспечивает безопасность вашей работы в локальных сетях и интернете. Компонент производит фильтрацию всей сетевой активности согласно правилам двух типов: правилам для программ и пакетным правилам.

Проактивная защита

Позволяет обнаружить новую вредоносную программу ещё до того, как она успеет нанести вред. Компонент основан на контроле и анализе поведения всех программ, установленных на вашем компьютере. На основании выполняемых действий Kaspersky Internet Security принимает решение о том, является программа потенциально опасной или нет. Таким образом, ваш компьютер защищён не только от уже известных вирусов, но и от новых, ещё не исследованных. Начиная с версии 2010, в состав Kaspersky Internet Security входит компонент "Монитор системы" (англ. System Watcher), являющийся по сути той же Проактивной защитой, но отличающийся возможностью обновления шаблонов поведения программ при обычном обновлении сигнатур программы. Начиная с версии 2013, Монитор системы и Проактивная защита объединены в один компонент, с общим названием "Монитор системы".

Защита от сетевых атак

Запускается при старте операционной системы и отслеживает во входящем трафике активность, характерную для сетевых атак. Обнаружив попытку атаки на компьютер, Kaspersky Internet Security блокирует любую сетевую активность атакующего компьютера в отношении вашего компьютера.

Анти-спам

Встраивается в установленный на вашем компьютере почтовый клиент и контролирует все поступающие почтовые сообщения на предмет спама. Все письма, содержащие спам, помечаются специальным заголовком. Предусмотрена также возможность настройки Анти-спама на обработку спама (автоматическое удаление, помещение в специальную папку и т. д.). Также компонент анализирует почтовые сообщения на предмет фишинг-мошенничества. Поддерживает настройку пользователем. Допускается пользовательская настройка запрещенного и разрешенного списка почтовых адресов и фраз. В состав всех версий Kaspersky Internet Security входит небольшая база черного списка фраз, расширенная в русифицированных версиях. База по умолчанию отключена, но легко включается пользователем в настройках Анти-СПАМа.

Мониторинг сети

Компонент, предназначенный для просмотра информации о сетевой активности в реальном времени.

Анти-фишинг

Компонент, встроенный в веб-антивирус, анти-спам и IM-антивирус, который позволяет проверять веб-адреса на принадлежность к спискам фишинговых и подозрительных веб-адресов.

Анти-баннер

Блокирует рекламную информацию, размещенную на специальных баннерах, встроенных в интерфейс различных программ, установленных на вашем компьютере, и находящихся в интернете.

Родительский контроль

Компонент программы, выполняющий функции контроля доступа пользователей компьютера к веб-ресурсам. Основной задачей Родительского контроля является ограничение доступа, в первую очередь, к веб-сайтам, предназначенным для взрослой аудитории, затрагивающим темы порнографии, оружия, наркотиков, провоцирующим жестокость, насилие и т. д., а также к веб-сайтам, которые являются потенциальной причиной потери времени (чаты, игровые ресурсы) или денег (интернет-магазины, аукционы).

Безопасная среда

Позволяет запускать приложения в безопасном для системы окружении (так называемая песочница). Это может быть использовано для запуска потенциально опасного ПО или для анонимного веб-серфинга. Начиная с версии 2013 компонент упразднен.

Проверка ссылок

Дополнение для браузеров Internet Explorer, Mozilla Firefox и Google Chrome, проверяющее ссылки на просматриваемой веб-странице на предмет заражения веб-страниц, на которые они ссылаются

Dr. Web

Возможность установки на зараженную машину. Начиная с версии 8.0, установка производится новым защищенным инсталлятором, который противодействует всем видам вредоносного ПО, что позволяет корректно установить антивирус на зараженную систему. В процессе установки производится обновление вирусных баз и компонентов антивируса.

Origins Tracing —алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор, дает возможность значительно повысить уровень детектирования ранее неизвестных вредоносных программ. Также используется в "Dr.Web для Android".

Подсистема Anti-rootkit API (ArkAPI), использующая универсальные алгоритмы нейтрализации угроз. Посредством этой системы происходит нейтрализация угроз всеми компонентами антивируса. Так же используется в лечащей утилите Dr.Web CureIt! 8.0.

Dr. Web Shield —механизм борьбы с руткитами, реализованный в виде драйвера. Обеспечивает низкоуровневый доступ к вирусным объектам, скрывающимся в глубинах операционной системы.

Fly-code —эмулятор с динамической трансляцией кода, реализующий механизм универсальной распаковки вирусов, защищённых от анализа и детектирования одним или цепочкой новых и/или неизвестных упаковщиков, крипторов и дропперов. Это позволяет распаковывать файлы, защищенные, к примеру, ASProtect, EXECryptor, VMProtect и тысячами других упаковщиков и протекторов, включая неизвестные антивирусу.

Поддержка большинства существующих форматов упакованных файлов и архивов, в том числе многотомных и самораспаковывающихся архивов.

Обновления вирусных баз производятся немедленно по мере выявления новых вирусов, до нескольких раз в час. Разработчики антивирусного продукта отказались от выпуска обновлений вирусных баз по какому-либо графику, поскольку вирусные эпидемии не подчиняются таковым.

Модуль самозащиты SelfPROtect, защищающий компоненты антивируса (файлы, ключи реестра, процессы и т.д.) от изменения и удаления вредоносным ПО.

Background Rootkit Scan - подсистема фонового сканирования и нейтрализации активных угроз. Данная подсистема находится в памяти в резидентном состоянии и осуществляет сканирование системы на предмет активных угроз и их нейтрализации в различных областях, например: объекты автозагрузки, запущенные процессы и модули, системные объекты, оперативная память, MBR/VBR дисков, системный BIOS компьютера.

Dr.Web Cloud - сервис облачной проверки ссылок в реальном времени на серверах компании "Доктор Веб", позволяющий антивирусу использовать наиболее свежую информацию о небезопасных ресурсах.

Кроссплатформенность —используется единая вирусная база и единое ядро антивирусного сканера на разных платформах ОС.

Обнаружение и лечение сложных полиморфных, шифрованных вирусов и руткитов.

Компактная вирусная база и небольшой размер обновлений. Одна запись в вирусной базе позволяет определять до тысячи подобных вирусов.

Panda Antivirus 2013

Работа антивируса

Антивирус Panda Cloud работает, используя вычислительные способности локального компьютера и удалённых серверов Panda Security. В облаке антивирус пользуется системой Collective Intelligence, собирающей, анализирующей, категоризирующей и выполняющей лечение файлов. Все дефиниции вредоносного ПО находятся именно на удалённых серверах, избавляя пользователя от необходимости загружать обновления определений. На пользовательской стороне работает эвристический анализатор и инструменты постоянного сканирования, которые имеют три степени приоритета:

  • Мгновенное сканирование —антивирус проверяет все активные процессы, программы и файлы.
  • Сканирование с упреждающей выборкой —антивирус откладывает сканирование файлов, загруженных из Интернета или с внешних носителей, но не запущенных пользователем, на то время, пока не совершатся рутинные действия с высоким приоритетом. Если пользователь начнёт работать с данными файлами, то они будут перенесены в категорию для мгновенного сканирования.
  • Фоновое сканирование —антивирус в фоновом режиме сканирует все файлы системы, пока пользователь не работает с компьютером.

При сканировании антивирус может создавать особые кэши, которые позволяют при повторном сканировании значительно сократить время проверки компьютера.

NOD32

Сканер по запросу, который можно запустить вручную для проверки отдельных файлов или разделов диска. Этот модуль также может быть запущен в часы с наименьшей загрузкой с помощью планировщика.

Internet MONitor (IMON)

Резидентный сканер, работающий на уровне Winsock и препятствующий попаданию зараженных файлов на диски компьютера. Данный модуль проверяет HTTP-трафик и входящую почту, получаемую по протоколу POP3.

Данный модуль в версиях 2.х может конфликтовать с некоторыми службами Windows Server и с некоторыми межсетевыми экранами (например, Kerio WinRoute). При установке система исследуется на возможность конфликтов и, если существует вероятность конфликта, выводится сообщение, предлагающее отключить этот компонент.

E-mail MONitor (EMON)

Дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI, например, в Microsoft Outlook и Microsoft Exchange.

Document MONitor (DMON)

Использует запатентованный интерфейс Microsoft API для проверки документов Microsoft Office (включая Internet Explorer).

Состав версии 4.х

Модуль защиты от вирусов и шпионских программ

В этом модуле используется ядро сканирования на основе технологии ThreatSense. Ядро ThreatSense оптимизировано и улучшено в соответствии с требованиями новой архитектуры ESET Smart Security.

Персональный брандмауэр

Персональный брандмауэр отслеживает весь трафик между защищаемым компьютером и другими компьютерами сети.

Модуль защиты от нежелательной почты

Модуль защиты от нежелательной почты ESET фильтрует нежелательную почту, повышая уровень безопасности системы и удобство использования обмена данными по электронной почте.

Прочие компоненты:

ESET SysRescue

ESET SysRescue позволяет пользователям создавать загрузочный носитель CD, DVD или USB с программой ESET Smart Security, который может запускаться независимо от операционной системы. Он предназначен главным образом для работы с трудноудаляемыми вирусами.

ESET SysInspector

Когда для отправки запроса в службу поддержки клиентов используется раздел «Справка и поддержка», можно добавить снимок состояния компьютера в ESET SysInspector.

Защита документов

Функция защиты документов сканирует документы Microsoft Office перед их открытием, а также проверяет файлы, автоматически загружаемые браузером Internet Explorer, например элементы Microsoft ActiveX.

Состав версии 5.x

ESET Live Grid

Обеспечивают надежную защиту от Интернет-угроз и вредоносных программ в режиме реального времени.

Parental Control

Защищает Вашу семью от потенциально нежелательного веб-контента, блокируя определенные категории веб-сайтов.

Enhanced Media Control

Автоматическое сканирование всех USB-носителей, карт памяти, CD/DVD-дисков. Блокировка медиа носителей в зависимости от типа носителя, производителя, размера и других параметров.

Advanced HIPS Functionality

Позволяет настраивать поведение системы в целом и каждой её части. Пользователи могут установить правила для системной регистрации, процессов, приложений и файлов.

Gamer Mode

Обеспечивает автоматический переход в «беззвучный» режим во время работы в полноэкранном режиме.

Каждый из рассмотренных антивирусов по тем или иным показателям заслужил свою популярность, но абсолютно идеального решения для всех категорий пользователей не существует.

По моему мнению, наиболее полезными являются Антивирус Касперского 2009 и NOD 32, так как они обладают почти всеми требованиями, которыми должна обладать антивирусная программа. Это и интерфейс, и набор технических возможностей. В общем, в них есть то, что необходимо для того, чтобы обезопасить свой компьютер от вирусов.


Заключение

В заключении данной выпускной квалификационной работы хотелось бы сказать о том, что поставленная мною цель - проведение сравнительного анализа современных антивирусных средств - была достигнута. В связи с этим были решены следующие задачи:

  1. Подобрана литература по данной теме.
  2. Изучены различные антивирусные программы.
  3. Проведено сравнение антивирусных программ.

При выполнении выпускной квалификационной работы я столкнулся с рядом проблем, связанных с поиском информации, так как во многих источниках она довольно противоречива, а также со сравнительным анализом преимуществ и недостатков каждой антивирусной программы и построением сводной таблицы.

Еще раз стоит отметить, что универсальной антивирусной программы не существует. Ни одна из них не может гарантировать нам 100% защиты от вирусов и во многом выбор антивирусной программы зависит от самого пользователя.


Литература

  1. Журнал для пользователей персональных компьютеров «Мир ПК», 2009.
  2. Леонтьев В.П. «Новейшая энциклопедия персонального компьютера», 2012.

35

Сравнительный анализ антивирусных программ