Сегодня на уроке:
· Мы узнаем, что такое антивирусная программа.
· Обсудим основные функциональные модули, которыми обладают многие современные антивирусные программы.
· Рассмотрим технологии обнаружения вредоносных программ.
Эффективность работы компьютера и быстрое выполнение операций на нём зависят от безопасности компьютера. Подключение к Интернету, использование съёмных носителей информации дают пользователям доступ к большому количеству информации. Но в тоже время компьютер подвергнуться атакам вредоносного программного обеспечения.
Вспомним, что вредоносное программное обеспечение, или вредоносный код, – это компьютерная программа или переносной код, который предназначен для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, которое препятствует нормальной работе компьютерной системы.
Вредоносные программы устанавливаются на устройство без ведома пользователей и могут вызвать много различных неприятных последствий, например:
· снижение производительности компьютера;
· извлечение из системы персональных данных пользователя;
· удаление файлов и каталогов или искажение их содержимого;
· манипулирование личными данными;
· невозможность загрузки операционной системы;
· изменение размеров файлов;
· существенное уменьшение размера свободной оперативной памяти;
· возникновение непредусмотренных звуковых сигналов;
· частые зависания и сбои в работе компьютера и многое другое.
Для того чтобы избежать атаки вредоносных программ, пользуются антивирусными программами.
Антивирус – это программный пакет, специально разработанный для обнаружения вредоносных программ и восстановления заражённых такими программами файлов, а также предотвращения заражения файлов или операционной системы вредоносным кодом.
Антивирусную программу также могут называть как средство антивирусной защиты или средство обнаружения вредоносных программ.
Основными функциями антивирусов являются:
· защита от вредоносного программного обеспечения.
· предотвращение хакерских атак;
· проверка файлов на компьютере и других носителях информации;
· проверка сайтов на безопасность;
· восстановление заражённых объектов;
· блокировка нежелательного контента.
Также в антивирусах могут быть следующие функции:
· родительский контроль или ограничение времени пребывания детей в Интернете;
· блокировка нежелательной электронной почты;
· настройка ограничений доступа детей к определённым сайтам;
· блокировка фишинг-сообщений, которые рассылают с целью хищения личных данных и так далее.
Антивирусы содержат разнообразные компоненты, и одна и та же компания может производить разные версии антивируса, которые содержат определённые наборы модулей и ориентированы на разные сегменты рынка.
Рассмотрим основные функциональные модули, которыми обладают многие антивирусные программы:
Антивирусный сканер. Это утилита, которая выполняет поиск вредоносных программ на дисках и в памяти устройства по запросу пользователя или по определённому расписанию.
Резидентный монитор – это компонент, который выполняет отслеживание состояния системы в режиме реального времени и блокирует попытки загрузки или запуска вредоносных программ на защищаемом компьютере.
Брандмауэр – это компонент, который выполняет мониторинг текущего состояния, включая анализ входящего и исходящего трафика, а также проверяет исходный адрес и адрес назначения в каждом передаваемом с компьютера и поступающем на компьютер пакете информации – данные, которые поступают из внешней среды на защищённый брандмауэром компьютер без предварительного запроса, отслеживаются и фильтруются.
Трафик в данном случае – это объём информации, который передаётся через сеть за определённый период времени.
Брандмауэр могут называть как межсетевой экран, сетевой экран или фаервол. Брандмауэр защищает от несанкционированного доступа из внешней сети, то есть предотвращает атаки, проводит фильтрацию ненужных рекламных рассылок и так далее.
Фаервол называют межсетевым экраном, если он стоит между сетью какой-либо организации и Интернетом и следит, чтобы злоумышленники не попали в защищённую сеть. А если фаервол защищает только один компьютер или устройство, то тогда чаще всего его называют сетевым экраном.
Межсетевой экран настроен так, чтобы трафик, который приходит из внешней сети, блокировался, если только это не трафик, который является ответом на запрос из внутренней сети.
Веб-антивирус. Нетрудно догадаться, что данный компонент обеспечивает антивирусную защиту компьютера во время работы в Интернете.
Веб-антивирус – это компонент, который предотвращает доступ пользователей к опасным ресурсам, распространяющим вредоносные программы, фишинговым и мошенническим сайтам с использованием специальной базы данных адресов или системы рейтингов.
Почтовый антивирус. Этот компонент выполняет проверку на безопасность вложений в сообщениях электронной почты и ссылок, которые пересылают по электронной почте.
Модуль обновления. Данный компонент отвечает за своевременное обновление других модулей антивирусной программы, а также вирусных баз.
Модуль антируткит. Это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и, по мере возможности, удаляющие их. Руткит – это программа, которая используется для удалённого доступа к компьютеру и управления им. Руткиты качественно маскируют своё присутствие в системе и долго остаются незамеченными.
Модуль превентивной защиты. Этот компонент, обеспечивает целостность жизненно важных для работоспособности системы данных и предотвращает опасные действия программ.
Карантин. Это временное хранилище, в которое помещаются подозрительные файлы и приложения, до того, как по ним будет принято какое-то решение. Файлы, в которых была обнаружена угроза, при помещении в карантин шифруются, таким образом они не могут причинить вреда устройству. Такие файлы можно сразу удалить, или же в случае необходимости восстановить из карантина.
Рассмотрим технологии обнаружения вредоносных программ.
Сигнатурный анализ. Является самым известным методом нахождения вредоносных программ и используется практически во всех антивирусах.
Сигнатурный анализ – это метод обнаружения вирусов, который заключается в проверке наличия в файлах сигнатур вирусов.
По сути сигнатура – это уникальный цифровой идентификатор файла, представляющий собой специальный набор байтов и получаемый на основе содержимого исследуемого файла. Сигнатура – это как будто «отпечаток пальцев» файла: с помощью сигнатуры можно идентифицировать тот или иной файл или приложение.
Вирусные сигнатуры хранятся в антивирусной базе. Антивирус исследует файлы, которые хранятся на устройстве или загружаются из Интернета и сравнивает результаты исследования с сигнатурами, которые хранятся в антивирусной базе. Если файлы совпадают, то они считаются вредоносными. В данной системе есть недостаток: злоумышленник может изменить в структуре файла несколько байтов и сигнатура будет уже совсем другой. Таким образом, до тех пор, пока такая изменённая сигнатура не попадёт в антивирусную базу, антивирус не сможет распознать её как вредоносное программное обеспечение. Поэтому антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса.
Эвристический анализ. Когда угрозу не получается найти с помощью сигнатурного анализа, то используют эвристический анализ.
Эвристический анализ – это вид вероятностного анализа вредоносных программ, основанный на логических алгоритмах, которые позволяют обнаружить и обезвредить подозрительное приложение.
Один из методов эвристического анализа можно описать так: каждой функции, которую может выполнить программа в операционной системе, назначается так называемый «рейтинг опасности». То есть какие-то действия программы могут считать менее опасными, а какие-то – более. В результате, если по совокупности выполняемых приложением действий оно превышает определённый условный «порог безопасности», то приложение считается потенциально вредоносным.
Например, программа, не имеющая графического интерфейса, работает в фоновом режиме, последовательно опрашивает удалённые серверы, а затем пытается скачать с них и запустить какое-то приложение, скорее всего, может быть троянцем-загрузчиком, а может быть утилитой обновления какого-либо браузера. Тем самым основным недостатком эвристического анализа является вероятность ложного срабатывания.
Другой метод эвристического анализа заключается в эмуляции выполнения программы. То есть антивирус загружает потенциально опасное приложение в собственную буферную память, проводит разбор кода на инструкции и выполняет их по очереди, проверяя результат.
Таким образом эвристический анализ используют для выявления и обезвреживания ещё неизвестных антивирусу угроз, сигнатур, которых на текущий момент нет в антивирусных базах.
Ещё одним недостатком эвристического анализа является то, что если обнаружена угроза, то не всегда получается её «вылечить».
Поведенческий анализ. Это также вид вероятностного анализа вредоносных программ, который заключается в том, что антивирус следит за поведением приложений и если оно кажется подозрительным, то работа потенциально опасной программы блокируется.
Одним из безопасных вариантов исследовать поведение программы является запуск её в так называемой песочнице, или ещё используют в речи английский вариант – Sandbox.
Песочница доступна в операционных системах начиная с версии Windows 10.
Sandbox – это специальное окружение, которое позволяет запускать сомнительные программы без последствий для основной операционной системы: это что-то вроде упрощённой виртуальной машины, цель которой дать возможность пользователям запустить программу без опасений последствий, если вдруг та окажется вредоносной.
Рассмотрим, как установить Windows Sandbox.
Нажимаем на панели задач «Поиск», вводим «Включение или отключение компонентов Windows». В открывшемся окне «Компоненты Windows» находим «Песочница Windows» и ставим галочку, тем самым включая этот компонент. Нажимаем «Ок», дожидаемся установки и перезагружаем компьютер.
Чтобы запустить песочницу, нажимаем на «Пуск» и находим соответствующий пункт. При запуске песочницы запускается чистая виртуальная машина Windows 10 с доступом к сети и возможностью безопасно запускать практически любые программы внутри. Кстати, по умолчанию нет доступа к программам и файлам основной системы.
Между основной системой и песочницей работает буфер обмена, с помощью которого можно «передать» файлы в Sandbox. Когда песочница закрывается, содержимое её очищается, и так происходит каждый раз. Чтобы сохранить результаты работы, необходимо использовать общие папки.
К разновидности антивирусной защиты на основе поведенческого анализа относится проактивная защита. При такой технологии антивирус следит за приложением, которое запустили и информирует пользователя о каких-либо сомнительных действиях. В этом случае либо пользователь решает позволить или запретить программе выполнять какое-то действие, либо существует экспертный вариант, при котором антивирусная программа на основе комплекта заложенных в неё правил и разрешений самостоятельно может блокировать действия тех или иных приложений.
Для того чтобы обеспечить безопасность компьютера, не стоит пытаться установить две и более антивирусные программы, так как они могут конфликтовать между собой, тем самым вызывать сбои в работе устройства. Многие производители предлагают бесплатные версии антивирусов – они отличаются от полных аналогов тем, что в них меньше функций и действуют они не постоянно, а только когда пользователь запускает сканирование системы. Производители также предлагают пробные бесплатные версии с действием на какой-то определённый период, например, 30 дней, таким образом, пользователь может попробовать и решить, нужна ли ему полная платная версия антивируса.
Рассмотрим немного некоторые бесплатные антивирусные программы.
Avast Free Antivirus
Это бесплатная версия антивируса.
У Avastа мощная противовирусная защита в режиме реального времени, высокая скорость сканирования, минимальная нагрузка на систему, удобный интерфейс, постоянно обновляемая база данных вирусов и угроз, большой комплекс утилит, включая набор сетевых экранов, есть поддержка русского языка и так далее. Сканировать на вирусы можно как полностью всю систему, так и выборочно, а также по личным настройкам или же при запуске операционной системы.
Недостаток Avastа: немного слаб в плане шпионских и фишинговых программ.
Но всё же Avast – это хорошее средство защиты от вредоносных программ.
360 Total Security
Этот антивирус предназначен не только для защиты компьютера от вредоносных программ и вирусов.
Данный антивирус также может:
Оптимизировать и ускорить работу системы. Программа с помощью этой функции сокращает время загрузки компьютера и находит приложения, которые тормозят работу системы.
Очистить мусор. Утилита находит ненужные файлы в системе и бесполезные плагины, включая временные файлы и кэш-файлы.
Также в программе можно подключить много утилит, предназначенных, например, для того чтобы повысить производительность в играх, защитить браузер, очистить реестр и так далее.
В антивирусе есть поддержка русского языка.
Недостатком антивируса 360 Total Security является высокая чувствительность к сомнительным файлам.
Данный антивирус при сканировании не замедляет работу компьютера.
Bitdefender antivirus
Этот мощный антивирус имеет достаточно минималистический интерфейс. Отсутствие русского языка не вызывает сложностей в использовании программы. Антивирус характеризуется высокой функциональностью работы и содержит множество эффективных инструментов для отражения внешних угроз. Антивирус функционирует в фоновом режиме, самостоятельно обновляется и требует каких-то действий только при обнаружении подозрительной активности в системе. Данный антивирус подходит для маломощных устройств, так как требует минимальные характеристики системы и у него низкая загруженность при работе.
Недостатком является невозможность настройки уровня защиты в бесплатной версии.
Кроме рассмотренных антивирусов популярны также в использовании:
· AVG Antivirus
· Norton Security
· Avira Antivirus
· Антивирус Касперского
· Panda Antivirus Free
· Comodo Antivirus
· AdwCleaner
· Internet Security ESET
· BullGuard Security и другие.
Антивирусная защита остаётся одним из самых эффективных методов борьбы с вредоносным программным обеспечением.
Какой антивирус выбрать? Решать только вам. Изучите отзывы, попробуйте бесплатные версии.
Ну что же, для закрепления материала попробуйте ответить на следующие вопросы:
Что такое вредоносный код?
Что такое сигнатура?
Что такое антивирусная программа?