Антивирусная программа: различия между версиями
Перейти к навигации
Перейти к поиску
| [отпатрулированная версия] | [отпатрулированная версия] |
Содержимое удалено Содержимое добавлено
Skazi (обсуждение | вклад) м откат правок Williammarlbro (обс.) к версии InternetArchiveBot Метка: откат |
|||
| (не показано 328 промежуточных версий, сделанных более чем 100 участниками) | |||
| Строка 1: | Строка 1: | ||
'''Антиви́русная програ́мма''' ('''антиви́рус, средство антивирусной защиты'''<ref name=":0">{{Книга|автор=Язов Ю. К., Соловьев С. В.|заглавие=Защита информации в информационных системах от несанкционированного доступа. Пособие|ответственный=|издание=|место=Воронеж|издательство=Кварта|год=2015|страницы=357|страниц=440|isbn=978-5-93737-107-2|isbn2=|тираж=232}}</ref>''', средство обнаружения [[Вредоносная программа|вредоносных программ]]'''<ref name=":0" />) — специализированная [[Программное обеспечение|программа]] для обнаружения компьютерных [[Компьютерный вирус|вирусов]], а также нежелательных (считающихся [[Вредоносная программа|вредоносными]]) программ и восстановления заражённых (модифицированных) такими программами [[файл]]ов и профилактики — предотвращения заражения (модификации) файлов или [[Операционная система|операционной системы]] вредоносным кодом. Важность данных программ растёт в связи с такими трендами, как цифровизация, цифровая трансформация, ростом проникновения гаджетов и интернета: на 2023 год разработчики антивирусов сталкиваются с 400 тысячами зловредных программ ежедневно<ref>{{Cite web|url=https://tass.ru/ekonomika/11151299|title=Касперский сообщил, что ежедневно в сети появляется до 400 тыс. новых зловредных программ - ТАСС|website=TACC|access-date=2023-09-26|archive-date=2023-09-26|archive-url=https://web.archive.org/web/20230926092705/https://tass.ru/ekonomika/11151299|url-status=live}}</ref>, во всём мире растёт количество киберугроз<ref>{{Cite web|url=https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/|title=Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks|lang=en-US|last=gmcdouga|website=Check Point Blog|date=2023-01-05|access-date=2023-09-26|archive-date=2023-09-30|archive-url=https://web.archive.org/web/20230930032119/https://blog.checkpoint.com/2023/01/05/38-increase-in-2022-global-cyberattacks/|url-status=live}}</ref>, и вместе с этим — растёт объём рынка кибербезопасности в России<ref>{{Cite web|url=https://rg.ru/2023/04/10/obem-rynka-81-mlrd-rublej-eksperty-obiasnili-s-chem-sviazan-rost-v-segmente-kiberbezopasnosti.html|title=Объем рынка - 81 млрд рублей. Эксперты объяснили, с чем связан рост в сегменте кибербезопасности|lang=ru|website=Российская газета|date=2023-04-10|access-date=2023-10-07|archive-date=2023-06-11|archive-url=https://web.archive.org/web/20230611091043/https://rg.ru/2023/04/10/obem-rynka-81-mlrd-rublej-eksperty-obiasnili-s-chem-sviazan-rost-v-segmente-kiberbezopasnosti.html|url-status=live}}</ref> и во всём мире<ref>{{Cite web|url=https://www.fortunebusinessinsights.com/industry-reports/cyber-security-market-101165|title=Cyber Security Market Share, Forecast {{!}} Growth Analysis [2030]|lang=en|website=www.fortunebusinessinsights.com|access-date=2023-10-07|archive-date=2023-10-08|archive-url=https://web.archive.org/web/20231008060739/https://www.fortunebusinessinsights.com/industry-reports/cyber-security-market-101165|url-status=live}}</ref>. |
|||
'''Антивирусная программа (антивирус)''' — любая программа для обнаружения компьютерных [[Компьютерный_вирус |вирусов]], а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. |
|||
== История == |
|||
== Целевые платформы антивирусного ПО == |
|||
Прототипом первой вирусной программы была разработанная<ref>{{Cite web|url=http://vx.netlux.org/lib/atc01.html|title=Thomas Chen, Jean-Marc Robert 'Evolution of Viruses and Worms' (VX heavens)|website=web.archive.org|date=2009-05-17|access-date=2023-10-07|archive-date=2009-05-17|archive-url=https://web.archive.org/web/20090517083356/http://vx.netlux.org/lib/atc01.html|url-status=bot: unknown}}</ref> Бобом Томасом [[Creeper]]; позже для неё была создана антивирусная программа Reaper<ref>{{Cite web|url=https://company.drweb.ru/first/|title=Dr.Web — Они были первыми|lang=ru|website=Dr.Web|access-date=2023-10-07|archive-date=2023-09-29|archive-url=https://web.archive.org/web/20230929231854/https://company.drweb.ru/first/|url-status=live}}</ref><ref>{{Cite web|url=https://pandorafms.com/blog/creeper-and-reaper/|title=Creeper and Reaper, the First Virus and First Antivirus in History|lang=en-US|first=Pandora FMS|last=team|website=Pandora FMS Monitoring Blog|date=2018-10-10|access-date=2023-10-07|archive-date=2023-10-02|archive-url=https://web.archive.org/web/20231002083953/https://pandorafms.com/blog/creeper-and-reaper/|url-status=live}}</ref>. |
|||
Первые антивирусы появились в конце 1980-х годов, однозначно установить время их появления затруднительно. Пионерами были [[Avira|AntiVir]] и [[Dr. Solomon’s Anti-Virus Toolkit]], созданные в 1988 году, а также [[Norton AntiVirus|Symantec antivirus for Macintosh]], запущенный годом позже. |
|||
На данный момент антивирусное программное обеспечение разрабатывается, в основном, для ОС семейства Windows от компании Microsoft, что вызвано большим количеством вредоносных программ именно под эту платформу (а это, в свою очередь, вызвано большой популярностью этой ОС, так же, как и большим количеством средств разработки, в том числе бесплатных и даже «инструкций по написанию вирусов»). В настоящий момент на рынок выходят продукты и под другие платформы настольных компьютеров, такие, как Linux и Mac OS X. Это вызвано началом распространения вредоносных программ и под эти платформы, хотя UNIX-подобные системы всегда славились своей надежностью. Например, известное видео «Mac or PC» показывает шуточное преимущество Mac OS над Windows и большим антивирусным иммунитетом Mac OS по сравнению с Windows<ref>MAC vs PC (Viruses) http://www.youtube.com/watch?v=GQb_Q8WRL_g</ref>. |
|||
<br /> |
|||
<br /> |
|||
Помимо ОС для настольных компьютеров и ноутбуков, также существуют платформы и для мобильных устройств, такие, как Windows Mobile, Symbian, Apple iOS, BlackBerry, Android, Windows Phone 7 и др. Пользователи устройств на данных ОС также подвержены риску заражения вредоносным программным обеспечением, поэтому некоторые разработчики антивирусных программ выпускают продукты и для таких устройств. |
|||
== Методы защиты от вирусов == |
|||
== Классификация антивирусных продуктов == |
|||
Для защиты от вирусов используют три группы методов<ref name=":1">{{Книга|автор=Олифер В.Г., Олифер Н.А.|заглавие=Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов|ответственный=|издание=4-е изд|место=СПб.|издательство=Питер|год=2010|страницы=871—875|страниц=944|isbn=978-5-49807-389-7|isbn2=|тираж=4500}}</ref>: |
|||
Классифицировать антивирусные продукты можно сразу по нескольким признакам, таким, как: используемые технологии антивирусной защиты, функционал продуктов, целевые платформы. |
|||
# Методы, основанные на ''анализе содержимого файлов'' (как файлов данных, так и файлов с кодами команд). К этой группе относятся сканирование сигнатур вирусов, а также проверка целостности и сканирование подозрительных команд. |
|||
# Методы, основанные на ''отслеживании поведения программ'' при их выполнении. Эти методы заключаются в протоколировании всех событий, угрожающих безопасности системы и происходящих либо при реальном выполнении проверяемого кода, либо при его программной эмуляции. |
|||
# Методы ''регламентации порядка работы'' с файлами и программами. Эти методы относятся к административным мерам обеспечения безопасности. |
|||
'''Метод сканирования сигнатур''' ([[сигнатурный анализ]], сигнатурный метод<ref name=":0" />) основан на поиске в файлах уникальной последовательности байтов — '''сигнатуры''', характерной для определенного вируса. Для каждого вновь обнаруженного вируса специалистами антивирусной лаборатории выполняется анализ кода, на основании которого определяется его сигнатура. Полученный кодовый фрагмент помещают в специальную базу данных вирусных сигнатур, с которой работает антивирусная программа. Достоинством данного метода является относительно низкая доля ложных срабатываний, а главным недостатком — принципиальная невозможность обнаружения в системе нового вируса, для которого отсутствует сигнатура в базе данных антивирусной программы, поэтому требуется своевременная актуализация базы данных сигнатур<ref name=":1" />. |
|||
'''Метод контроля целостности''' основывается на том, что любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Вирус обязательно оставляет свидетельства своего пребывания (изменение данных существующих (особенно системных или исполняемых) файлов, появление новых исполняемых файлов и т. д.). Факт изменения данных — ''нарушение целостности'' — легко устанавливается путем сравнения [[Контрольная сумма|контрольной суммы]] (дайджеста), заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы (дайджеста) текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются все основания провести для этого кода дополнительную проверку, например, путем сканирования вирусных сигнатур. Указанный метод работает быстрее метода сканирования сигнатур, поскольку подсчет контрольных сумм требует меньше вычислений, чем операции побайтового сравнения кодовых фрагментов, кроме того он позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур<ref name=":1" />. |
|||
По используемым технологиям антивирусной защиты: |
|||
* Классические антивирусные продукты (продукты, применяющие только [[Обнаружение, основанное на сигнатурах|сигнатурный метод детектирования]]) |
|||
* Продукты проактивной антивирусной защиты (продукты, применяющие только [[Проактивная защита|проактивные технологии антивирусной защиты]]); |
|||
* Комбинированные продукты (продукты, применяющие как классические, [[Обнаружение, основанное на сигнатурах|сигнатурные методы защиты]], так и [[Проактивная защита|проактивные]]) |
|||
По функционалу продуктов: |
|||
* Антивирусные продукты (продукты, обеспечивающие только антивирусную защиту) |
|||
* Комбинированные продукты (продукты, обеспечивающие не только защиту от вредоносных программ, но и фильтрацию спама, шифрование и резервное копирование данных и другие функции) |
|||
По целевым платформам: |
|||
* Антивирусные продукты для ОС семейства Windows |
|||
* Антивирусные продукты для ОС семейства *NIX (к данному семейству относятся ОС BSD, Linux, Mac OS X и др.) |
|||
* Антивирусные продукты для мобильных платформ (Windows Mobile, Symbian, iOS, BlackBerry, [[Android]], [[Windows Phone 7]] и др.) |
|||
Антивирусные продукты для корпоративных пользователей можно также классифицировать по объектам защиты: |
|||
* Антивирусные продукты для защиты рабочих станций |
|||
* Антивирусные продукты для защиты файловых и терминальных серверов |
|||
* Антивирусные продукты для защиты почтовых и Интернет-шлюзов |
|||
* Антивирусные продукты для защиты серверов виртуализации |
|||
* и др. |
|||
'''Метод сканирования подозрительных команд''' ([[эвристическое сканирование]], эвристический метод<ref name=":0" />) основан на выявлении в сканируемом файле некоторого числа подозрительных команд и(или) признаков подозрительных кодовых последовательностей (например, команда форматирования жесткого диска или функция внедрения в выполняющийся процесс или исполняемый код). После этого делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке. Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы<ref name=":1" />. |
|||
== Лжеантивирусы == |
|||
'''Метод отслеживания поведения программ''' принципиально отличается от методов сканирования содержимого файлов, упомянутых ранее. Этот метод основан на анализе поведения запущенных программ, сравнимый с поимкой преступника «за руку» на месте преступления. Антивирусные средства данного типа часто требуют активного участия пользователя, призванного принимать решения в ответ на многочисленные предупреждения системы, значительная часть которых может оказаться впоследствии ложными тревогами. Частота ложных срабатываний (подозрение на вирус для безвредного файла или пропуск вредоносного файла) при превышении определенного порога делает этот метод неэффективным, а пользователь может перестать реагировать на предупреждения или выбрать оптимистическую стратегию (разрешать все действия всем запускаемым программам или отключить данную функцию антивирусного средства). При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск выполнения команд вирусного кода, способных нанести ущерб защищаемому компьютеру или сети. Для устранения подобного недостатка позднее был разработан [[Эмуляция|метод эмуляции]] (имитации), позволяющий запускать тестируемую программу в искусственно созданной (виртуальной) среде, которую часто называют [[Песочница (безопасность)|песочницей]] ([[sandbox]]), без опасности повреждения информационного окружения. Использование методов анализа поведения программ показало их высокую эффективность при обнаружении как известных, так и неизвестных вредоносных программ<ref name=":1" />. |
|||
== Лжеантивирусы == |
|||
{{main|Лжеантивирус}} |
{{main|Лжеантивирус}} |
||
В 2009 началось активное распространение |
В 2009 году началось активное распространение лжеантивирусов{{Нет АИ|13|12|2018}} — программного обеспечения, не являющегося антивирусным (то есть не имеющего реальной функциональности для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением. |
||
== Специальные антивирусы == |
|||
== Работа антивируса == |
|||
В ноябре 2014 года международная правозащитная организация [[Amnesty International]] выпустила антивирусную программу [[Detekt (антивирус)|Detect]], предназначенную для выявления вредоносного ПО, распространяемого государственными учреждениями для слежки за гражданскими активистами и политическими оппонентами. Антивирус, по заявлению создателей, выполняет более глубокое сканирование жёсткого диска, нежели обычные антивирусы<ref>{{Cite web |url=http://ria.ru/society/20141122/1034613756.html |title=AI разработала программу, которая спасет журналистов от киберслежки |access-date=2015-05-14 |archive-date=2015-05-18 |archive-url=https://web.archive.org/web/20150518095013/http://ria.ru/society/20141122/1034613756.html |deadlink=no }}</ref><ref>{{Cite web |url=http://www.bbc.com/news/technology-30153688 |title=BBC: «How to stop governments spying on you» |access-date=2014-11-23 |archive-date=2014-11-23 |archive-url=https://web.archive.org/web/20141123034046/http://www.bbc.com/news/technology-30153688 |deadlink=no }}</ref>. |
|||
Говоря о системах Майкрософт, следует знать, что обычно антивирус действует по схеме: |
|||
* поиск в базе данных антивирусного ПО сигнатур вирусов |
|||
* если найден инфицированный код в памяти (оперативной и/или постоянной), запускается процесс карантина, и процесс блокируется |
|||
* зарегистрированная программа обычно удаляет вирус, незарегистрированная просит регистрации и оставляет систему уязвимой. |
|||
== |
== Эффективность антивирусов == |
||
Аналитическая компания Imperva в рамках проекта Hacker Intelligence Initiative опубликовала исследование<ref>{{Cite web|url=https://www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf|title=исследование|author=|website=|date=|publisher=|access-date=2017-06-13|archive-date=2017-11-24|archive-url=https://web.archive.org/web/20171124202638/https://www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf|deadlink=no}}</ref><ref>{{Cite web|url=https://xakep.ru/2012/12/06/59771/|title=Imperva: антивирусы — бесполезная трата денег — «Хакер»|accessdate=2017-06-13}}</ref>, которое показывает малую эффективность большинства антивирусов в реальных условиях. |
|||
Для использования антивирусов необходимы постоянные обновления так называемых баз антивирусов. Они представляют собой информацию о вирусах — как их найти и обезвредить. Поскольку вирусы пишут часто, то необходим постоянный мониторинг активности вирусов в сети. Для этого существуют специальные сети, которые собирают соответствующую информацию. После сбора этой информации производится анализ вредоносности вируса, анализируется его код, поведение, и после этого устанавливаются способы борьбы с ним. Чаще всего вирусы запускаются вместе с операционной системой. В таком случае можно просто удалить строки запуска вируса из реестра, и на этом в простом случае процесс может закончиться. Более сложные вирусы используют возможность заражения файлов. Например, известны случаи, как некие даже антивирусные программы, будучи зараженными, сами становились причиной заражения других чистых программ и файлов. Поэтому более современные антивирусы имеют возможность защиты своих файлов от изменения и проверяют их на целостность по специальному алгоритму. Таким образом, вирусы усложнились, как и усложнились способы борьбы с ними. Сейчас можно увидеть вирусы, которые занимают уже не десятки килобайт, а сотни, а порой могут быть и размером в пару мегабайт. Обычно такие вирусы пишут в языках программирования более высокого уровня, поэтому их легче остановить. Но по-прежнему существует угроза от вирусов, написанных на низкоуровневых машинных кодах наподобие ассемблера. Сложные вирусы заражают операционную систему, после чего она становится уязвимой и нерабочей. К сожалению, по прогнозам, в ближайшем будущем работа антивирусных компаний сильно осложнится в связи с тем, что будут сильнее распространяться вирусы с защитой от копирования. |
|||
По итогам различных синтетических тестов антивирусы показывают среднюю эффективность в районе 97 %, но эти тесты проводятся на базах из сотен тысяч образцов, абсолютное большинство которых (может быть, около 97 %) уже не используются для проведения атак. |
|||
== Примечания == |
|||
{{примечания|2}} |
|||
Вопрос в том, насколько эффективными являются антивирусы против самых актуальных угроз. Чтобы ответить на этот вопрос, компания Imperva и студенты Тель-Авивского университета раздобыли на российских подпольных форумах 82 образца самого свежего вредоносного ПО — и проверили его по базе VirusTotal, то есть против 42 антивирусных движков. Результат оказался плачевным. |
|||
{{commonscat|Antivirus software}} |
|||
# Эффективность антивирусов против только что скомпилированных зловредов оказалась менее 5 %. Это вполне логичный результат, поскольку создатели вирусов обязательно тестируют их по базе VirusTotal. |
|||
# От появления вируса до начала его распознавания антивирусами проходит до четырёх недель. Такой показатель достигается «элитными» антивирусами, а у остальных антивирусов срок может доходить до 9-12 месяцев. Например, в начале исследования 9 февраля 2012 года был проверен свежий образец фальшивого инсталлятора Google Chrome. После окончания исследования 17 ноября 2012 года его определяли только 23 из 42 антивирусов. |
|||
# У антивирусов с самым высоким процентом определения зловредов присутствует также высокий процент ложных срабатываний. |
|||
# Хотя исследование сложно назвать объективным, ибо выборка зловредов была слишком маленькой, но можно предположить, что антивирусы совершенно непригодны против свежих киберугроз. |
|||
== Классификации антивирусных программ == |
|||
{{Внешние ссылки нежелательны}} |
|||
Антивирусные программы подразделяются по исполнению (средствам блокирования)<ref name=":0" /> на: |
|||
* программные; |
|||
* программно-аппаратные. |
|||
По признаку размещения в оперативной памяти<ref name=":0" /> выделяют: |
|||
* резидентные (начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов); |
|||
* нерезидентные (запускаются по требованию пользователя или в соответствии с заданным для них расписанием). |
|||
По виду (способу) защиты от вирусов различают: |
|||
* Программы-детекторы, или сканеры<ref name=":0" />, находят вирусы в оперативной памяти, на внутренних и(или) внешних носителях, выводя сообщение при обнаружении вируса. |
|||
* Программы-доктора, (фаги<ref name=":0" />, полифаги<ref name=":0" />) находят зараженные файлы и «лечат» их. Среди этого вида программ существуют полифаги, которые способны удалять разнообразные виды вирусов, самые известные из антивирусов-полифагов [[Norton AntiVirus]], [[Doctor Web]], [[Kaspersky Antivirus]]. |
|||
* Программы-вакцины (иммунизаторы<ref name=":0" />) выполняют иммунизацию системы (файлов, каталогов) блокируя действие вирусов<ref name=":0" />. |
|||
* Программы-ревизоры<ref name=":0" /> являются наиболее надежными в плане защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов, системных областей диска до момента инфицирования компьютера (как правило, на основе подсчета контрольных сумм<ref name=":0" />), затем сравнивают текущее состояние с первоначальным, выводя найденные изменения на дисплей. |
|||
* Программы-мониторы начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов по принципу «здесь и сейчас». |
|||
* Программы-фильтры (сторожа) обнаруживают вирус на ранней стадии, пока он не начал размножаться. |
|||
* Программы-сторожа — небольшие резидентные программы, целью которых является обнаружение действий, характерных для вирусов. |
|||
== Основные виды антивирусных программ == |
|||
* '''Программы-детекторы''' обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы ''универсальные'' и ''специализированные''. |
|||
* '''Программы-доктора (фаги)''' не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий. |
|||
* '''Программы-ревизоры''' относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. |
|||
* '''Программы-фильтры (сторожа)''' представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. |
|||
* '''Программы-вакцины (иммунизаторы)''' — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов. |
|||
== Примечания == |
|||
{{Навигация}} |
|||
{{примечания|2}} |
|||
{{Антивирусы}} |
|||
{{Вредоносное программное обеспечение}} |
{{Вредоносное программное обеспечение}} |
||
| Строка 56: | Строка 69: | ||
[[Категория:Методы обнаружения вредоносного кода]] |
[[Категория:Методы обнаружения вредоносного кода]] |
||
[[Категория:Антивирусы|*]] |
[[Категория:Антивирусы|*]] |
||
[[als:Antivirus]] |
|||
[[ar:مضاد الفيروسات]] |
|||
[[az:Antivirus proqramı]] |
|||
[[be:Антывірус]] |
|||
[[be-x-old:Антывірус]] |
|||
[[bg:Антивирусен софтуер]] |
|||
[[bn:অ্যান্টিভাইরাস (কম্পিউটার)]] |
|||
[[bs:Antivirusni program]] |
|||
[[ca:Antivirus]] |
|||
[[cs:Antivirový program]] |
|||
[[cy:Meddalwedd gwrth-firws]] |
|||
[[da:Antivirus-program]] |
|||
[[de:Antivirenprogramm]] |
|||
[[en:Antivirus software]] |
|||
[[eo:Kontraŭvirusilo]] |
|||
[[es:Antivirus]] |
|||
[[et:Viirusetõrjetarkvara]] |
|||
[[eu:Antibirus]] |
|||
[[fa:ضدویروس (رایانه)]] |
|||
[[fi:Virustorjunta]] |
|||
[[fr:Logiciel antivirus]] |
|||
[[gl:Antivirus]] |
|||
[[he:אנטי-וירוס]] |
|||
[[hi:ऐंटिवायरस सॉफ़्टवेयर]] |
|||
[[hr:Antivirusni program]] |
|||
[[hu:Vírusirtó]] |
|||
[[id:Perangkat lunak antivirus]] |
|||
[[it:Antivirus]] |
|||
[[ja:アンチウイルスソフトウェア]] |
|||
[[jv:Antivirus komputer]] |
|||
[[kk:Вирусқа қарсы бағдарламалық жасақтама]] |
|||
[[ko:바이러스 검사 소프트웨어]] |
|||
[[ky:Вакцина]] |
|||
[[lmo:Antivirus]] |
|||
[[lt:Antivirusinė programa]] |
|||
[[lv:Pretvīrusu programmatūra]] |
|||
[[mhr:Антивирус]] |
|||
[[mk:Антивирус]] |
|||
[[ml:ആന്റിവൈറസ്]] |
|||
[[ms:Perisian antivirus]] |
|||
[[nl:Antivirussoftware]] |
|||
[[no:Antivirusprogram]] |
|||
[[pl:Program antywirusowy]] |
|||
[[pt:Antivírus]] |
|||
[[ro:Antivirus]] |
|||
[[sh:Antivirus]] |
|||
[[simple:Antivirus software]] |
|||
[[sk:Antivírusový softvér]] |
|||
[[sl:Protivirusni program]] |
|||
[[sr:Антивирус]] |
|||
[[sv:Antivirusprogram]] |
|||
[[ta:நச்சுநிரல்தடுப்பி]] |
|||
[[th:โปรแกรมป้องกันไวรัส]] |
|||
[[tk:Antiwirus]] |
|||
[[uk:Антивірусна програма]] |
|||
[[ur:وائرس کش سافٹویئر]] |
|||
[[vec:Antivirus]] |
|||
[[vi:Phần mềm diệt virus]] |
|||
[[zh:杀毒软件]] |
|||
Текущая версия от 10:50, 4 марта 2024
Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты[1], средство обнаружения вредоносных программ[1]) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Важность данных программ растёт в связи с такими трендами, как цифровизация, цифровая трансформация, ростом проникновения гаджетов и интернета: на 2023 год разработчики антивирусов сталкиваются с 400 тысячами зловредных программ ежедневно[2], во всём мире растёт количество киберугроз[3], и вместе с этим — растёт объём рынка кибербезопасности в России[4] и во всём мире[5].
История
[править | править код]Прототипом первой вирусной программы была разработанная[6] Бобом Томасом Creeper; позже для неё была создана антивирусная программа Reaper[7][8].
Первые антивирусы появились в конце 1980-х годов, однозначно установить время их появления затруднительно. Пионерами были AntiVir и Dr. Solomon’s Anti-Virus Toolkit, созданные в 1988 году, а также Symantec antivirus for Macintosh, запущенный годом позже.
Методы защиты от вирусов
[править | править код]Для защиты от вирусов используют три группы методов[9]:
- Методы, основанные на анализе содержимого файлов (как файлов данных, так и файлов с кодами команд). К этой группе относятся сканирование сигнатур вирусов, а также проверка целостности и сканирование подозрительных команд.
- Методы, основанные на отслеживании поведения программ при их выполнении. Эти методы заключаются в протоколировании всех событий, угрожающих безопасности системы и происходящих либо при реальном выполнении проверяемого кода, либо при его программной эмуляции.
- Методы регламентации порядка работы с файлами и программами. Эти методы относятся к административным мерам обеспечения безопасности.
Метод сканирования сигнатур (сигнатурный анализ, сигнатурный метод[1]) основан на поиске в файлах уникальной последовательности байтов — сигнатуры, характерной для определенного вируса. Для каждого вновь обнаруженного вируса специалистами антивирусной лаборатории выполняется анализ кода, на основании которого определяется его сигнатура. Полученный кодовый фрагмент помещают в специальную базу данных вирусных сигнатур, с которой работает антивирусная программа. Достоинством данного метода является относительно низкая доля ложных срабатываний, а главным недостатком — принципиальная невозможность обнаружения в системе нового вируса, для которого отсутствует сигнатура в базе данных антивирусной программы, поэтому требуется своевременная актуализация базы данных сигнатур[9].
Метод контроля целостности основывается на том, что любое неожиданное и беспричинное изменение данных на диске является подозрительным событием, требующим особого внимания антивирусной системы. Вирус обязательно оставляет свидетельства своего пребывания (изменение данных существующих (особенно системных или исполняемых) файлов, появление новых исполняемых файлов и т. д.). Факт изменения данных — нарушение целостности — легко устанавливается путем сравнения контрольной суммы (дайджеста), заранее подсчитанной для исходного состояния тестируемого кода, и контрольной суммы (дайджеста) текущего состояния тестируемого кода. Если они не совпадают, значит, целостность нарушена и имеются все основания провести для этого кода дополнительную проверку, например, путем сканирования вирусных сигнатур. Указанный метод работает быстрее метода сканирования сигнатур, поскольку подсчет контрольных сумм требует меньше вычислений, чем операции побайтового сравнения кодовых фрагментов, кроме того он позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур[9].
Метод сканирования подозрительных команд (эвристическое сканирование, эвристический метод[1]) основан на выявлении в сканируемом файле некоторого числа подозрительных команд и(или) признаков подозрительных кодовых последовательностей (например, команда форматирования жесткого диска или функция внедрения в выполняющийся процесс или исполняемый код). После этого делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке. Этот метод обладает хорошим быстродействием, но довольно часто он не способен выявлять новые вирусы[9].
Метод отслеживания поведения программ принципиально отличается от методов сканирования содержимого файлов, упомянутых ранее. Этот метод основан на анализе поведения запущенных программ, сравнимый с поимкой преступника «за руку» на месте преступления. Антивирусные средства данного типа часто требуют активного участия пользователя, призванного принимать решения в ответ на многочисленные предупреждения системы, значительная часть которых может оказаться впоследствии ложными тревогами. Частота ложных срабатываний (подозрение на вирус для безвредного файла или пропуск вредоносного файла) при превышении определенного порога делает этот метод неэффективным, а пользователь может перестать реагировать на предупреждения или выбрать оптимистическую стратегию (разрешать все действия всем запускаемым программам или отключить данную функцию антивирусного средства). При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск выполнения команд вирусного кода, способных нанести ущерб защищаемому компьютеру или сети. Для устранения подобного недостатка позднее был разработан метод эмуляции (имитации), позволяющий запускать тестируемую программу в искусственно созданной (виртуальной) среде, которую часто называют песочницей (sandbox), без опасности повреждения информационного окружения. Использование методов анализа поведения программ показало их высокую эффективность при обнаружении как известных, так и неизвестных вредоносных программ[9].
Лжеантивирусы
[править | править код]В 2009 году началось активное распространение лжеантивирусов[источник не указан 2212 дней] — программного обеспечения, не являющегося антивирусным (то есть не имеющего реальной функциональности для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.
Специальные антивирусы
[править | править код]В ноябре 2014 года международная правозащитная организация Amnesty International выпустила антивирусную программу Detect, предназначенную для выявления вредоносного ПО, распространяемого государственными учреждениями для слежки за гражданскими активистами и политическими оппонентами. Антивирус, по заявлению создателей, выполняет более глубокое сканирование жёсткого диска, нежели обычные антивирусы[10][11].
Эффективность антивирусов
[править | править код]Аналитическая компания Imperva в рамках проекта Hacker Intelligence Initiative опубликовала исследование[12][13], которое показывает малую эффективность большинства антивирусов в реальных условиях.
По итогам различных синтетических тестов антивирусы показывают среднюю эффективность в районе 97 %, но эти тесты проводятся на базах из сотен тысяч образцов, абсолютное большинство которых (может быть, около 97 %) уже не используются для проведения атак.
Вопрос в том, насколько эффективными являются антивирусы против самых актуальных угроз. Чтобы ответить на этот вопрос, компания Imperva и студенты Тель-Авивского университета раздобыли на российских подпольных форумах 82 образца самого свежего вредоносного ПО — и проверили его по базе VirusTotal, то есть против 42 антивирусных движков. Результат оказался плачевным.
- Эффективность антивирусов против только что скомпилированных зловредов оказалась менее 5 %. Это вполне логичный результат, поскольку создатели вирусов обязательно тестируют их по базе VirusTotal.
- От появления вируса до начала его распознавания антивирусами проходит до четырёх недель. Такой показатель достигается «элитными» антивирусами, а у остальных антивирусов срок может доходить до 9-12 месяцев. Например, в начале исследования 9 февраля 2012 года был проверен свежий образец фальшивого инсталлятора Google Chrome. После окончания исследования 17 ноября 2012 года его определяли только 23 из 42 антивирусов.
- У антивирусов с самым высоким процентом определения зловредов присутствует также высокий процент ложных срабатываний.
- Хотя исследование сложно назвать объективным, ибо выборка зловредов была слишком маленькой, но можно предположить, что антивирусы совершенно непригодны против свежих киберугроз.
Классификации антивирусных программ
[править | править код]Антивирусные программы подразделяются по исполнению (средствам блокирования)[1] на:
- программные;
- программно-аппаратные.
По признаку размещения в оперативной памяти[1] выделяют:
- резидентные (начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов);
- нерезидентные (запускаются по требованию пользователя или в соответствии с заданным для них расписанием).
По виду (способу) защиты от вирусов различают:
- Программы-детекторы, или сканеры[1], находят вирусы в оперативной памяти, на внутренних и(или) внешних носителях, выводя сообщение при обнаружении вируса.
- Программы-доктора, (фаги[1], полифаги[1]) находят зараженные файлы и «лечат» их. Среди этого вида программ существуют полифаги, которые способны удалять разнообразные виды вирусов, самые известные из антивирусов-полифагов Norton AntiVirus, Doctor Web, Kaspersky Antivirus.
- Программы-вакцины (иммунизаторы[1]) выполняют иммунизацию системы (файлов, каталогов) блокируя действие вирусов[1].
- Программы-ревизоры[1] являются наиболее надежными в плане защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов, системных областей диска до момента инфицирования компьютера (как правило, на основе подсчета контрольных сумм[1]), затем сравнивают текущее состояние с первоначальным, выводя найденные изменения на дисплей.
- Программы-мониторы начинают свою работу при запуске операционной системы, постоянно находятся в памяти компьютера и осуществляют автоматическую проверку файлов по принципу «здесь и сейчас».
- Программы-фильтры (сторожа) обнаруживают вирус на ранней стадии, пока он не начал размножаться.
- Программы-сторожа — небольшие резидентные программы, целью которых является обнаружение действий, характерных для вирусов.
Основные виды антивирусных программ
[править | править код]- Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.
- Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
- Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
- Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов.
- Программы-вакцины (иммунизаторы) — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.
Примечания
[править | править код]
- ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Язов Ю. К., Соловьев С. В. Защита информации в информационных системах от несанкционированного доступа. Пособие. — Воронеж: Кварта, 2015. — С. 357. — 440 с. — 232 экз. — ISBN 978-5-93737-107-2.
- ↑ Касперский сообщил, что ежедневно в сети появляется до 400 тыс. новых зловредных программ - ТАСС. TACC. Дата обращения: 26 сентября 2023. Архивировано 26 сентября 2023 года.
- ↑ gmcdouga Check Point Research Reports a 38% Increase in 2022 Global Cyberattacks (амер. англ.). Check Point Blog (5 января 2023). Дата обращения: 26 сентября 2023. Архивировано 30 сентября 2023 года.
- ↑ Объем рынка - 81 млрд рублей. Эксперты объяснили, с чем связан рост в сегменте кибербезопасности. Российская газета (10 апреля 2023). Дата обращения: 7 октября 2023. Архивировано 11 июня 2023 года.
- ↑ Cyber Security Market Share, Forecast | Growth Analysis [2030] (англ.). www.fortunebusinessinsights.com. Дата обращения: 7 октября 2023. Архивировано 8 октября 2023 года.
- ↑ Thomas Chen, Jean-Marc Robert 'Evolution of Viruses and Worms' (VX heavens). web.archive.org (17 мая 2009). Дата обращения: 7 октября 2023. Архивировано 17 мая 2009 года.
- ↑ Dr.Web — Они были первыми. Dr.Web. Дата обращения: 7 октября 2023. Архивировано 29 сентября 2023 года.
- ↑ team, Pandora FMS Creeper and Reaper, the First Virus and First Antivirus in History (амер. англ.). Pandora FMS Monitoring Blog (10 октября 2018). Дата обращения: 7 октября 2023. Архивировано 2 октября 2023 года.
- ↑ 1 2 3 4 5 Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — 4-е изд. — СПб.: Питер, 2010. — С. 871—875. — 944 с. — 4500 экз. — ISBN 978-5-49807-389-7.
- ↑ AI разработала программу, которая спасет журналистов от киберслежки. Дата обращения: 14 мая 2015. Архивировано 18 мая 2015 года.
- ↑ BBC: «How to stop governments spying on you». Дата обращения: 23 ноября 2014. Архивировано 23 ноября 2014 года.
- ↑ исследование. Дата обращения: 13 июня 2017. Архивировано 24 ноября 2017 года.
- ↑ Imperva: антивирусы — бесполезная трата денег — «Хакер». Дата обращения: 13 июня 2017.
| Инфекционное вредоносное ПО | |
|---|---|
| Методы сокрытия | |
| Вредоносные программы для прибыли | |
| По операционным системам | |
| Защита | |
| Контрмеры | |
