Analiza porównawcza programów antywirusowych. Porównanie programów antywirusowych pod względem skuteczności ochrony przed najnowszym złośliwym oprogramowaniem Porównanie dwóch programów antywirusowych według informatyki

Głównymi kryteriami oceny, które obejmowały 200 wskaźników, były:

• wirus ochrona;
• wygoda użytkowania;
• wpływ na prędkość komputera.

Ochrona przed złośliwym oprogramowaniem jest najważniejszym kryterium oceny: wskaźniki w tej grupie parametrów stanowiły 65% ​​ogólnego wyniku antywirusowego. Łatwość użytkowania i wpływ na szybkość komputera stanowiły odpowiednio 25% i 10% ogólnego wyniku.

Programy antywirusowe zostały wybrane do badań na podstawie popularności wśród konsumentów i przystępności cenowej. Z tego powodu lista przebadanych programów antywirusowych obejmowała:

• Darmowe programy - zarówno wbudowane, jak i oferowane osobno.
• Płatne programy wiodących marek antywirusowych. W oparciu o zasady doboru w badaniu nie uwzględniono najdroższych wersji oprogramowania tych marek.
• Od jednej marki do jednego system operacyjny w rankingu można było przedstawić tylko jeden płatny produkt. Drugi produkt mógł dostać się do rankingu tylko wtedy, gdy jest bezpłatny.

Tym razem w międzynarodowym badaniu w tej kategorii znalazły się produkty opracowane przez rosyjskie firmy. Z reguły lista produktów do testów międzynarodowych obejmuje produkty o wystarczającym udziale w rynku i wysokim uznaniu wśród konsumentów, więc uwzględnienie w badaniu rosyjskich rozwiązań wskazuje na ich szeroką reprezentację i popyt za granicą.

Dziesięć najlepszych dla Windows

Wszystkie antywirusy z pierwszej dziesiątki radzą sobie z ochroną przed oprogramowaniem szpiegującym oraz chronią przed phishingiem – próbami uzyskania dostępu do poufnych danych. Istnieją jednak różnice między programami antywirusowymi w poziomie ochrony, a także w obecności lub braku określonej funkcji w testowanych wersjach programu antywirusowego.

Tabela podsumowująca pokazuje dziesięć najlepszych programów według ogólnej oceny. Uwzględnia również cechy pakietów pod względem zestawu funkcji.

Jak dobre są standardowe zabezpieczenia systemu Windows 10?

W lutym 2018 r. odsetek użytkowników komputerów z systemem Windows z komputery stacjonarne Zainstalowane są systemy operacyjne Windows 10, wyniosła 43%. Na takich komputerach program antywirusowy jest instalowany domyślnie - chroni system Program Windows Defender, który jest dołączony do systemu operacyjnego.

Standardowy program antywirusowy, z którego, sądząc po statystykach, korzysta większość ludzi, znalazł się dopiero na 17. linii rankingu. Ogólnie rzecz biorąc, Windows Defender uzyskał 3,5 z możliwych 5,5.

Wbudowana ochrona w ostatniej chwili Wersje Windows z roku na rok jest coraz lepszy, ale nadal nie dorównuje wielu wyspecjalizowanym programom antywirusowym, w tym rozpowszechnianym za darmo. Windows Defender wykazał zadowalające wyniki pod względem ochrona online, ale całkowicie nie przeszły testów phishingu i ochrony przed oprogramowaniem ransomware. Nawiasem mówiąc, ochronę przed phishingiem deklarują producenci programów antywirusowych. Okazało się również, że kiepsko radzi sobie z ochroną komputera w trybie offline.

Windows Defender jest dość prosty pod względem projektu. Wyraźnie komunikuje obecność konkretnego zagrożenia, jasno pokazuje stopień ochrony i ma funkcję „kontroli rodzicielskiej”, która uniemożliwia dzieciom odwiedzanie niechcianych zasobów.

Standardową ochronę Windowsa 10 można nazwać tylko przyzwoitą. Na podstawie ogólnej oceny 16 programów do ochrony komputera osobistego w systemie Windows okazało się lepszych od niego. W tym cztery darmowe.

Teoretycznie na Windows Defender można polegać tylko wtedy, gdy użytkownik ma włączone regularne aktualizacje, jego komputer jest przez większość czasu podłączony do Internetu i jest wystarczająco zaawansowany, aby świadomie nie odwiedzać podejrzanych witryn. Jednak Roskachestvo zaleca zainstalowanie specjalistycznego pakietu antywirusowego, aby uzyskać większe zaufanie do bezpieczeństwa komputera.

Jak testowaliśmy

Testy przeprowadzono w najbardziej wykwalifikowanym laboratorium na świecie specjalizującym się w programach antywirusowych przez sześć miesięcy. W sumie przeprowadzono cztery grupy testów antymalware: ogólny test ochrony online, test offline, test odsetka wyników fałszywie pozytywnych oraz test automatycznego skanowania i skanowania na żądanie. W mniejszym stopniu na ostateczną ocenę wpłynęło sprawdzenie użyteczności programu antywirusowego i jego wpływu na szybkość komputera.

• Ogólna ochrona

Każdy pakiet antywirusowy był testowany online pod kątem zestawu wirusów o łącznej liczbie ponad 40 000. Testowano również, jak dobrze antywirus radzi sobie z atakami phishingowymi – gdy ktoś próbuje uzyskać dostęp do poufnych danych użytkownika. Oprogramowanie ransomware zostało przetestowane pod kątem ochrony przed oprogramowaniem ransomware, które ogranicza dostęp do komputera i znajdujących się na nim danych w celu uzyskania okupu. Ponadto przeprowadzany jest test online dysku USB ze złośliwym oprogramowaniem. Należy dowiedzieć się, jak dobrze program antywirusowy radzi sobie z wyszukiwaniem i eliminacją wirusów, gdy nie jest z góry znane ani obecność złośliwych plików, ani ich pochodzenie.

• Test USB offline

Wykrywanie złośliwego oprogramowania znajdującego się na dysku USB podłączonym do komputera. Przed skanowaniem komputer był na kilka tygodni odłączony od Internetu, przez co pakiety antywirusowe nie były w 100% aktualne.

• Fałszywy alarm

Przetestowaliśmy skuteczność programu antywirusowego w identyfikowaniu rzeczywistych zagrożeń i pomijaniu plików, które w rzeczywistości są bezpieczne, ale zostały sklasyfikowane jako niebezpieczne przez produkt.

• Test automatycznego skanowania i skanowania na żądanie

Przetestowano, jak skutecznie działa funkcja skanowania automatyczne sprawdzenie komputer pod kątem złośliwego oprogramowania i po ręcznym uruchomieniu. W badaniu sprawdzono również, czy możliwe jest zaplanowanie skanowania dla: określony czas gdy komputer nie jest używany.

Przeprowadzić charakterystyka porównawcza programy antywirusowe to dość odpowiedzialne zajęcie, zarówno ze względu na ugruntowane preferencje większości użytkowników, jak i perspektywę niezadowolenia z firm produkcyjnych, które zgodnie z wynikami testów znalazły się w dolnych pozycjach rankingu.

Czym innym jest rozpowszechnianie na forach tematów zalet i wad każdego programu antywirusowego, a co innego przedstawianie użytkownikom wyników testów porównawczych produktów znanych marek.

W takiej sytuacji najlepszym rozwiązaniem jest użycie znani eksperci którzy zawodowo zajmują się testowaniem oprogramowania antywirusowego. Jednym z nich są eksperci z niezależnego rosyjskiego portalu informacyjno-analitycznego bezpieczeństwa informacji Anti-Malware.ru, którzy byli zaangażowani w testowanie przedstawionych poniżej programów antywirusowych.

Do testowania wykorzystano następujące programy antywirusowe:

• - Kaspersky Anti-Virus 7.0
• - Eset Nod32 2,7
• - DrWeb 4.44
• - Norton AntiVirus 2007
• - Avira AntiVir PE Klasyczny 7.0.

Do oceny głównego kryterium testowanych programów – jakości ochrony, wzięto pod uwagę następujące parametry:

• - jakość analiza heurystyczna;
• - szybkość reakcji po wykryciu wirusów;
• - jakość analizy podpisów;
• - jakość blokera behawioralnego;
• - umiejętność leczenia aktywnych infekcji;
• - umiejętność wykrywania aktywnych rootkitów;
• - jakość samoobrony;
• - możliwość obsługi pakowaczy;
• - częstotliwość fałszywych alarmów.

wyniki

program wirusów komputerowych

Zgodnie z wynikami testów porównawczych programów antywirusowych, Kaspersky Anti-Virus 7.0 był pierwszy, Norton Anti-Virus 2007 uzyskał 15 punktów mniej, program antywirusowy Eset Nod32 2.7 osiągnął trzeci wynik.

Na ogólne wyniki testów wpłynęły różne kryteria, według których oceniano programy antywirusowe, i byłoby niepoprawne nazywanie jakiegokolwiek programu absolutnym liderem, choćby dlatego, że różne parametry działania antywirusa są najbardziej atrakcyjne dla różnych użytkowników, chociaż główny kryterium - jakość ochrony jest oczywiście priorytetem.

Najlepsze wyniki w testach porównawczych Kaspersky Anti-Virus 7.0 są określane przez szybkość reakcji na nowe zagrożenia, częste aktualizacje baz wirusów, obecność blokady behawioralnej, która nie jest dostępna w innych programach antywirusowych, możliwość usunąć rootkity i skuteczną samoobronę.

Do zalet Kaspersky Anti-Virus 7.0 należy również szeroki zakres funkcji: wykrywanie i dezaktywacja aktywnych rootkitów, szybkie skanowanie ruchu HTTP, możliwość zmiany konsekwencji szkodliwych programów, obecność programu do odzyskiwania danych po awarii oraz skuteczna regulacja obciążenia procesora centralnego.

Wady Kaspersky Anti-Virus 7.0 obejmują niską odporność na awarie, stosunkowo niską wydajność analizy heurystycznej, co uniemożliwia wiarygodną odporność na te typy zagrożeń, które są obecnie nieznane dla Kaspersky Anti-Virus 7.0. Wśród negatywnych cech Kaspersky Anti-Virus 7.0 znajduje się duża liczba fałszywych alarmów, co jest szczególnie irytujące dla niektórych użytkowników.

Na drugim miejscu znalazł się Norton Anti-Virus 2007, który przyciąga swoją wygodą, prostotą i łatwością obsługi interfejsu, skutecznością wykrywania sygnatur oraz niewielką liczbą fałszywych alarmów.

Jednak Norton Anti-Virus 2007 zużywa dużo zasobów systemowych i ma niską szybkość reakcji. Jego proaktywna obrona nie jest najsilniejsza, a wsparcie dla pakerów jest nieco ograniczone. Możliwości konfiguracji programu Norton Anti-Virus 2007 są ograniczone, co nie pozwala na dostosowanie go do dużej liczby użytkowników.Najmocniejszymi punktami programu Eset Nod32 2.7, który zajął trzecie miejsce, był efektywny analizator heurystyczny i minimalne zużycie systemu zasobów, na co zwracają uwagę zwłaszcza właściciele niezbyt „szybkich” komputerów.

Wady Eset Nod32 2.7 to niewystarczająco szybka reakcja na nowe zagrożenia, minimalna zdolność do wykrywania aktywnych rootkitów i eliminowania skutków aktywnej infekcji. Nieaktualny interfejs również wymaga aktualizacji.

Czwarte miejsce programu antywirusowego Doctor Web wynika z braku aktywnego blokera, skutecznych narzędzi do przeciwdziałania aktywnej infekcji i wykrywania rootkitów. Wydajność analizatora heurystycznego Doctor Web również pozostawia wiele do życzenia. Przy wszystkich niedociągnięciach tego programu antywirusowego nie można nie zauważyć dość dużej elastyczności ustawień, szybkości reakcji i algorytmu instalacji, który jest dostępny nawet dla najbardziej niedoświadczonego użytkownika.

Najgorsze wyniki w porównaniu z innymi uczestnikami testu wykazał Avira AntiVir PE Classic 7.0. I choć jego wykrywacz sygnatur i analizator analityczny są stosunkowo dobre, to nieskuteczne narzędzia ochrony i niska zdolność do eliminowania skutków infekcji programów przesunęły Avira AntiVir PE Classic 7.0 na ostatnie miejsce.

Jedyną przewagą Avira AntiVir PE Classic 7.0 nad resztą uczestników testu jest to, że jest bezpłatny. Inne programy antywirusowe kosztują mniej więcej tyle samo (w granicach 1000 rubli), chociaż krajowe Kaspersky Anti-Virus i Doctor Web, które mają lepszy poziom wsparcia technicznego, wyglądają nieco atrakcyjniej.

Zapewnienie bezpieczeństwa informacji systemów jest jednym z podstawowych zagadnień. W nowoczesne społeczeństwo Ochrona informacji odgrywa szczególnie istotną rolę, ponieważ w Internecie roi się od wirusów, a nawet najprostsze z nich mogą poważnie uszkodzić komputer i przechowywane na nim dane. Zagrożenia te mogą mieć bardzo różnorodny charakter – zakłócać system, niszcząc ważne pliki systemowe, kradnąc ważne informacje, hasła, dokumenty, co prowadzi do smutnych konsekwencji – od ponownej instalacji systemu po utratę ważnych danych lub pieniędzy. Dlatego kwestia wyboru programu antywirusowego dla komputera, który może chronić ważne dane, staje się bardzo ważna. W tym artykule przyjrzymy się niektórym popularnym antywirusom i spróbujemy wybrać najbardziej optymalny z nich dla przeciętnego użytkownika (większość z nich będzie bezpłatna, ponieważ mimo to darmowe antywirusy są najbardziej dostępne dla szerokiego grona użytkowników). Rozważymy więc 4 antywirusy - Avast Free Antivirus, Panda Antivirus, 360 Total Security, ESET NOD32. Zacznijmy od wprowadzenia i krótkiej informacji o każdym z nich.

Wstęp

1. Część teoretyczna

1.1 Pojęcie bezpieczeństwa informacji

1.2 Rodzaje zagrożeń

1.3 Metody bezpieczeństwa informacji

2. Część projektowa

2.1 Klasyfikacja wirusów komputerowych

2.2 Pojęcie programu antywirusowego

2.3 Rodzaje narzędzi antywirusowych

2.4 Porównanie pakietów antywirusowych

Wniosek

Lista wykorzystanej literatury

dodatek

Wstęp

Rozwój nowych Technologie informacyjne a ogólna informatyzacja doprowadziła do tego, że bezpieczeństwo informacji nie tylko staje się obowiązkowe, ale jest także jedną z cech charakterystycznych systemów informatycznych. Istnieje dość duża klasa systemów przetwarzania informacji, w których rozwoju główną rolę odgrywa czynnik bezpieczeństwa.

Masowe używanie komputerów osobistych wiąże się z pojawieniem się samoreprodukujących się programów wirusowych, które uniemożliwiają normalne działanie komputera, niszczą strukturę plików dysków i uszkadzają informacje przechowywane na komputerze.

Pomimo przepisów przyjętych w wielu krajach w celu zwalczania przestępstw komputerowych i opracowania specjalnego oprogramowania chroniącego przed wirusami, liczba nowych wirusy programowe stale się rozwija. Wymaga to od użytkownika komputera osobistego znajomości natury wirusów, sposobu infekowania i ochrony przed wirusami.

Każdego dnia wirusy stają się coraz bardziej wyrafinowane, co prowadzi do znaczącej zmiany profilu zagrożeń. Jednak rynek oprogramowania antywirusowego nie stoi w miejscu, oferując różnorodne produkty. Ich użytkownicy, przedstawiając problem jedynie w sposób ogólny, często pomijają ważne niuanse i kończą z iluzją ochrony zamiast samej ochrony.

Celem tego kursu jest przeprowadzenie analizy porównawczej pakietów antywirusowych.

Aby osiągnąć ten cel, w pracy rozwiązywane są następujące zadania:

Zbadanie koncepcji bezpieczeństwa informacji, wirusów komputerowych i narzędzi antywirusowych;

Określić rodzaje zagrożeń bezpieczeństwa informacji, metody ochrony;

Badanie klasyfikacji wirusów komputerowych i programów antywirusowych;

Przeprowadź analizę porównawczą pakietów antywirusowych;

Utwórz program antywirusowy.

Praktyczne znaczenie pracy.

Uzyskane wyniki, materiał roboczy kursu może być wykorzystany jako podstawa do samodzielnego porównania programów antywirusowych.

Struktura kursu pracy.

Ta praca kursu składa się z Wstępu, dwóch części, Konkluzji, listy odniesień.

antywirus zabezpieczający przed wirusami komputerowymi

1. Część teoretyczna

W procesie przeprowadzania analizy porównawczej pakietów antywirusowych konieczne jest zdefiniowanie następujących pojęć:

1 Bezpieczeństwo informacji.

2 Rodzaje zagrożeń.

3 Metody bezpieczeństwa informacji.

Przyjrzyjmy się bliżej tym pojęciom:

1.1 Pojęcie bezpieczeństwa informacji

Mimo coraz większych wysiłków na rzecz tworzenia technologii ochrony danych ich podatność w nowoczesnych warunkach nie tylko nie maleje, ale stale rośnie. Dlatego pilność problemów związanych z ochroną informacji staje się coraz bardziej nagląca.

Problem bezpieczeństwa informacji jest wieloaspektowy i złożony i obejmuje szereg ważnych zadań. Na przykład poufność danych, którą zapewnia zastosowanie różnych metod i środków. Lista podobnych zadań dotyczących bezpieczeństwa informacji może być kontynuowana. Intensywny rozwój nowoczesnych technologii informatycznych, a w szczególności technologie sieciowe, tworzy wszystkie warunki wstępne do tego.

Ochrona informacji to zestaw środków mających na celu zapewnienie integralności, dostępności oraz, w razie potrzeby, poufności informacji i zasobów wykorzystywanych do wprowadzania, przechowywania, przetwarzania i przesyłania danych.

Do tej pory sformułowano dwie podstawowe zasady bezpieczeństwa informacji:

1 integralność danych - zabezpieczenie przed awariami prowadzącymi do utraty informacji, a także zabezpieczenie przed nieuprawnionym utworzeniem lub zniszczeniem danych;

2 poufność informacji.

Ochrona przed awariami prowadzącymi do utraty informacji realizowana jest w kierunku zwiększenia niezawodności poszczególnych elementów i systemów, które wprowadzają, przechowują, przetwarzają i przesyłają dane, duplikacji i redundancji poszczególnych elementów i systemów, stosowania różnych, w tym autonomicznych, źródła zasilania, podnoszące poziom kwalifikacji użytkowników, ochronę przed niezamierzonymi i celowymi działaniami prowadzącymi do awarii sprzętu, zniszczenia lub modyfikacji (modyfikacji) oprogramowania i chronionych informacji.

Ochronę przed nieuprawnionym tworzeniem lub niszczeniem danych zapewnia fizyczna ochrona informacji, różnicowanie i ograniczanie dostępu do elementów informacji chronionych, zamykanie chronionych informacji w procesie ich bezpośredniego przetwarzania, rozwój oprogramowania i systemów sprzętowych, urządzeń i specjalistycznych oprogramowanie zapobiegające nieautoryzowanemu dostępowi do chronionych informacji.

Poufność informacji zapewnia identyfikacja i uwierzytelnianie podmiotów dostępu podczas wchodzenia do systemu za pomocą identyfikatora i hasła, identyfikacja urządzeń zewnętrznych za pomocą adresów fizycznych, identyfikacja programów, woluminów, katalogów, plików według nazwy, szyfrowanie i deszyfrowanie informacji, różnicowanie i kontrola dostęp do niego.

Wśród środków mających na celu ochronę informacji główne z nich to techniczne, organizacyjne i prawne.

Środki techniczne obejmują ochronę przed nieautoryzowanym dostępem do systemu, redundancję krytycznych podsystemów komputerowych, organizację sieć komputerowa z możliwością redystrybucji zasobów w przypadku awarii poszczególnych łączy, instalowania systemów zasilania awaryjnego, wyposażania pomieszczeń w zamki, instalowania alarmów itp.

Środki organizacyjne obejmują: ochronę centrum komputerowego (pomieszczenia informatyczne); zawarcie umowy na konserwację sprzętu komputerowego z renomowaną organizacją o dobrej reputacji; wykluczenie możliwości pracy na sprzęcie komputerowym przez osoby obce, przypadkowe i tak dalej.

Środki prawne obejmują opracowanie norm ustanawiających odpowiedzialność za niszczenie sprzętu komputerowego i niszczenie (zmianę) oprogramowania, kontrolę publiczną nad twórcami i użytkownikami systemów i programów komputerowych.

Należy podkreślić, że żaden sprzęt, oprogramowanie ani żadne inne rozwiązania nie są w stanie zagwarantować absolutnej niezawodności i bezpieczeństwa danych w systemach komputerowych. Jednocześnie możliwe jest zminimalizowanie ryzyka strat, ale tylko dzięki zintegrowanemu podejściu do ochrony informacji.

1.2 Rodzaje zagrożeń

Zagrożenia pasywne mają na celu głównie nieautoryzowane użycie zasoby informacji system informacyjny bez wpływu na jego działanie. Na przykład nieautoryzowany dostęp do baz danych, podsłuchiwanie kanałów komunikacji i tak dalej.

Aktywne zagrożenia mają na celu naruszenie normalne funkcjonowanie system informatyczny poprzez celowe wpływanie na jego elementy. Aktywne zagrożenia obejmują na przykład zniszczenie komputera lub jego systemu operacyjnego, zniszczenie oprogramowania komputerowego, przerwanie linii komunikacyjnych i tak dalej. Źródłem aktywnych zagrożeń mogą być działania hakerów, złośliwe oprogramowanie i tym podobne.

Celowe zagrożenia dzielą się również na wewnętrzne (powstające w ramach zarządzanej organizacji) i zewnętrzne.

O zagrożeniach wewnętrznych najczęściej decydują napięcia społeczne i trudny klimat moralny.

Zagrożenia zewnętrzne można określić na podstawie złośliwych działań konkurencji, warunków ekonomicznych i innych przyczyn (takich jak klęski żywiołowe).

Do głównych zagrożeń bezpieczeństwa informacji i normalnego funkcjonowania systemu informatycznego należą:

Wyciek informacji poufnych;

Kompromis informacji;

Nieuprawnione korzystanie z zasobów informacyjnych;

Błędne wykorzystanie zasobów informacyjnych;

Nieuprawniona wymiana informacji między subskrybentami;

Odmowa informacji;

Naruszenie usługi informacyjnej;

Nielegalne korzystanie z przywilejów.

Wyciek informacji poufnych to niekontrolowane uwolnienie informacji poufnych poza system informatyczny lub krąg osób, którym zostały one powierzone w serwisie lub stały się znane w toku pracy. Ten wyciek może być spowodowany:

Ujawnianie informacji poufnych;

Udostępnianie informacji różnymi, głównie technicznymi kanałami;

Nieautoryzowany dostęp do informacji poufnych na różne sposoby.

Ujawnienie informacji przez jej właściciela lub właściciela jest celowym lub nieostrożnym działaniem urzędników i użytkowników, którym w ich służbie lub pracy powierzono stosowną informację w określony sposób, co doprowadziło do zapoznania się z nimi osób, które nie zostały do ​​tych informacji dopuszczone .

Możliwe jest niekontrolowane dbanie o poufne informacje za pośrednictwem kanałów wizualno-optycznych, akustycznych, elektromagnetycznych i innych.

Nieuprawniony dostęp to bezprawne celowe posiadanie informacji poufnych przez osobę, która nie ma prawa dostępu do informacji chronionych.

Najczęstsze sposoby nieautoryzowanego dostępu do informacji to:

Przechwytywanie promieniowania elektronicznego;

Korzystanie z urządzeń podsłuchowych;

Fotografia zdalna;

Przechwycenie emisji akustycznej i odtworzenie tekstu drukarskiego;

Kopiowanie nośników z pokonywaniem środków ochronnych;

Przebierz się za zarejestrowanego użytkownika;

Ukryj się pod żądaniami systemowymi;

Korzystanie z pułapek programowych;

Wykorzystywanie niedociągnięć języków programowania i systemów operacyjnych;

Nielegalne podłączenie do sprzętu i linii komunikacyjnych specjalnie zaprojektowanego sprzętu zapewniającego dostęp do informacji;

Złośliwe wyłączenie mechanizmów ochronnych;

Deszyfrowanie zaszyfrowanych informacji przez specjalne programy;

infekcje informacyjne.

Wymienione sposoby nieautoryzowanego dostępu wymagają sporej wiedzy technicznej i odpowiedniego sprzętu lub rozwój oprogramowania przez włamywacza. Wykorzystywane są na przykład kanały wycieku technicznego – są to fizyczne ścieżki od źródła poufnych informacji do atakującego, dzięki którym możliwe jest uzyskanie informacji chronionych. Przyczyną występowania kanałów przeciekowych są niedoskonałości konstrukcyjne i technologiczne rozwiązań obwodów lub eksploatacyjne zużycie elementów. Wszystko to pozwala hakerom tworzyć konwertery działające na określonych zasadach fizycznych, tworząc wpisany w te zasady kanał transmisji informacji - kanał wycieku.

Istnieją jednak dość prymitywne sposoby nieautoryzowanego dostępu:

Kradzież nośników informacji i odpadów dokumentacyjnych;

Aktywna współpraca;

Odmowa współpracy ze strony włamywacza;

sondowanie;

Podsłuchiwanie;

Obserwacja i inne sposoby.

Wszelkie metody wycieku informacji poufnych mogą doprowadzić do znacznych szkód materialnych i moralnych zarówno dla organizacji, w której działa system informacyjny, jak i dla jego użytkowników.

Istnieje i jest stale rozwijana ogromna różnorodność złośliwych programów, których celem jest uszkodzenie informacji w bazach danych i oprogramowaniu komputerowym. Duża liczba odmian tych programów nie pozwala na opracowanie trwałych i niezawodnych środków przeciwko nim.

Uważa się, że wirus charakteryzuje się dwiema głównymi cechami:

Zdolność do samoodtwarzania;

Umiejętność ingerencji w proces obliczeniowy (w celu uzyskania kontroli).

Nieuprawnione korzystanie z zasobów informacji jest z jednej strony konsekwencją ich wycieku i sposobem na jego skompromitowanie. Z drugiej strony ma wartość niezależną, ponieważ może wyrządzić duże szkody systemowi zarządzanemu lub jego subskrybentom.

Błędne korzystanie z zasobów informacyjnych, mimo że jest autoryzowane, może jednak prowadzić do zniszczenia, wycieku lub narażenia na szwank tych zasobów.

Nieuprawniona wymiana informacji między subskrybentami może prowadzić do otrzymania przez jednego z nich informacji, do których dostęp jest mu zabroniony. Konsekwencje są takie same jak w przypadku nieautoryzowanego dostępu.

1.3 Metody bezpieczeństwa informacji

Tworzenie systemów bezpieczeństwa informacji opiera się na następujących zasadach:

1 Systemowe podejście do budowy systemu ochrony, czyli optymalne połączenie powiązanych ze sobą organizacji, programu. Właściwości sprzętowe, fizyczne i inne, potwierdzone praktyką tworzenia krajowych i zagranicznych systemów ochrony i stosowane na wszystkich etapach cyklu technologicznego przetwarzania informacji.

2 Zasada ciągłego rozwoju systemu. Ta zasada, która jest jedną z fundamentalnych dla komputerowych systemów informatycznych, jest jeszcze bardziej istotna dla systemów bezpieczeństwa informacji. Metody wdrażania zagrożeń informacyjnych są stale doskonalone, dlatego zapewnienie bezpieczeństwa systemów informatycznych nie może być jednorazowym działaniem. Jest to proces ciągły, polegający na uzasadnieniu i wdrożeniu najbardziej racjonalnych metod, metod i sposobów doskonalenia systemów bezpieczeństwa informacji, ciągłym monitoringu, identyfikowaniu jego wąskich gardeł i słabości, potencjalnych kanałów wycieku informacji oraz nowych metod nieuprawnionego dostępu,

3 Zapewnienie niezawodności systemu ochrony, czyli braku możliwości obniżenia poziomu niezawodności w przypadku wystąpienia awarii, awarii, celowych działań intruza lub niezamierzonych błędów użytkowników i obsługi w systemie.

4 Zapewnienie kontroli nad funkcjonowaniem systemu ochrony, czyli tworzenie środków i metod monitorowania działania mechanizmów ochronnych.

5 Udostępnianie wszelkiego rodzaju narzędzi do ochrony przed złośliwym oprogramowaniem.

6 Zapewnienie opłacalności korzystania z systemu. Ochrona, która wyraża się w przewyższeniu ewentualnych szkód z tytułu wdrożenia zagrożeń nad kosztami budowy i eksploatacji systemów bezpieczeństwa informacji.

W wyniku rozwiązywania problemów bezpieczeństwa informacji współczesne systemy informatyczne powinny charakteryzować się następującymi głównymi cechami:

Dostępność informacji o różnym stopniu poufności;

Zaopatrzenie ochrona kryptograficzna informacje o różnym stopniu poufności podczas przesyłania danych;

Obowiązkowe zarządzanie przepływami informacji, zarówno w sieciach lokalnych, jak i przesyłanych kanałami komunikacyjnymi na duże odległości;

Obecność mechanizmu rejestrowania i rozliczania nieautoryzowanych prób dostępu, zdarzeń w systemie informatycznym i drukowanych dokumentów;

Obowiązkowe zapewnienie integralności oprogramowania i informacji;

Dostępność środków przywrócenia systemu ochrony informacji;

Obowiązkowe rozliczanie nośników magnetycznych;

Obecność fizycznej ochrony sprzętu komputerowego i nośników magnetycznych;

Obecność specjalnej służby bezpieczeństwa informacji systemu.

Metody i środki zapewnienia bezpieczeństwa informacji.

Przeszkoda – metoda fizycznego blokowania ścieżki atakującego do chronionych informacji.

Kontrola dostępu - metody ochrony informacji poprzez regulowanie wykorzystania wszystkich zasobów. Te metody muszą opierać się wszystkim możliwe sposoby nieautoryzowany dostęp do informacji. Kontrola dostępu obejmuje następujące funkcje ochrona:

Identyfikacja użytkowników, personelu i zasobów systemu (przypisanie osobistego identyfikatora do każdego obiektu);

Identyfikacja przedmiotu lub podmiotu za pomocą prezentowanego im identyfikatora;

Zezwolenie i tworzenie warunków pracy w ramach ustalonych przepisów;

Rejestracja wezwań do chronionych zasobów;

Reagowanie na próby nieautoryzowanych działań.

Mechanizmy szyfrowania - kryptograficzne zamknięcie informacji. Te metody ochrony są coraz częściej stosowane zarówno przy przetwarzaniu, jak i przechowywaniu informacji o nośniki magnetyczne. W przypadku przesyłania informacji przez kanały komunikacji na odległość ta metoda jest jedyną niezawodną.

Zwalczanie ataków złośliwego oprogramowania obejmuje zestaw różnych środków organizacyjnych oraz wykorzystanie programów antywirusowych.

Cały zestaw środków technicznych podzielony jest na sprzętowe i fizyczne.

Sprzęt - urządzenia wbudowane bezpośrednio w technologię komputerową lub urządzenia, które łączą się z nią za pomocą standardowego interfejsu.

Środki fizyczne obejmują różne urządzenia i konstrukcje inżynierskie, które uniemożliwiają fizyczną penetrację intruzów do chronionych obiektów i chronią personel (środki ochrony osobistej), aktywa materialne i finanse oraz informacje przed nielegalnymi działaniami.

Narzędzia programowe to specjalne programy i systemy oprogramowania przeznaczone do ochrony informacji w systemach informatycznych.

Z oprogramowania systemu ochrony należy wyodrębnić więcej oprogramowania, które implementuje mechanizmy szyfrowania (kryptografii). Kryptografia to nauka o zapewnieniu poufności i/lub autentyczności (autentyczności) przesyłanych wiadomości.

Środki organizacyjne dokonują przez swój kompleks regulacji działalności produkcyjnej w systemach informatycznych i relacji wykonawców na podstawie prawnej w taki sposób, że ujawnienie, wyciek i nieuprawniony dostęp do informacji poufnych staje się niemożliwe lub znacznie utrudnione przez środki organizacyjne.

Ustawodawcze środki ochrony określają akty prawne państwa, które regulują zasady wykorzystywania, przetwarzania i przekazywania informacji o ograniczonym dostępie oraz ustanawiają odpowiedzialność za naruszenie tych zasad.

Moralne i etyczne środki ochrony obejmują wszelkiego rodzaju normy zachowania, które tradycyjnie wykształciły się wcześniej, kształtują się w miarę rozpowszechniania się informacji w kraju i na świecie lub są specjalnie rozwijane. Normy moralne i etyczne mogą być niepisane lub zawarte w określonym zbiorze zasad lub przepisów. Normy te z reguły nie są prawnie zatwierdzone, ale ponieważ ich nieprzestrzeganie prowadzi do obniżenia prestiżu organizacji, są one uważane za obowiązkowe.

2. Część projektowa

W części projektowej należy wykonać następujące kroki:

1 Zdefiniuj pojęcie wirusa komputerowego i klasyfikację wirusów komputerowych.

2 Zdefiniuj pojęcie programu antywirusowego i klasyfikację narzędzi antywirusowych.

3 Przeprowadź analizę porównawczą pakietów antywirusowych.

2.1 Klasyfikacja wirusów komputerowych

Wirus to program, który może infekować inne programy, umieszczając w nich zmodyfikowaną kopię, która ma zdolność dalszego powielania.

Wirusy można podzielić na klasy według następujących głównych cech:

Możliwości destrukcyjne

Cechy algorytmu pracy;

Siedlisko;

Według ich destrukcyjnych możliwości wirusy można podzielić na:

Nieszkodliwe, czyli niewpływające w żaden sposób na działanie komputera (poza zmniejszeniem wolnego miejsca na dysku w wyniku jego dystrybucji);

Nie niebezpieczne, których wpływ ogranicza się do zmniejszenia wolnego miejsca na dysku oraz efektów graficznych, dźwiękowych i innych;

Niebezpieczne wirusy, które mogą powodować poważne awarie komputera;

Bardzo niebezpieczny, którego algorytm celowo opiera się na procedurach, które mogą doprowadzić do utraty programów, zniszczenia danych, usunięcia informacji niezbędnych do działania komputera, zapisanych w obszarach pamięci systemowej

Cechy algorytmu wirusa można scharakteryzować następującymi właściwościami:

Rezydencja;

Wykorzystanie algorytmów ukrywania;

wielopostaciowość;

Wirusy rezydentne.

Termin „rezydencja” odnosi się do zdolności wirusów do pozostawiania swoich kopii w pamięci systemowej, przechwytywania określonych zdarzeń, a tym samym wywoływania procedur infekowania wykrytych obiektów (plików i sektorów). W ten sposób wirusy rezydentne są aktywne nie tylko podczas działania zainfekowanego programu, ale także po zakończeniu działania programu. Rezydentne kopie takich wirusów pozostają żywotne do następnego ponownego uruchomienia, nawet jeśli wszystkie zainfekowane pliki na dysku zostaną zniszczone. Często niemożliwe jest pozbycie się takich wirusów poprzez przywrócenie wszystkich kopii plików z dysków dystrybucyjnych lub kopii zapasowych. Rezydentna kopia wirusa pozostaje aktywna i infekuje nowo utworzone pliki. To samo dotyczy wirusów rozruchowych — formatowanie dysku, gdy w pamięci znajduje się wirus rezydentny, nie zawsze leczy dysk, ponieważ wiele wirusów rezydentnych ponownie infekuje dysk po jego sformatowaniu.

wirusy nierezydentne. Przeciwnie, wirusy nierezydentne są aktywne przez dość krótki czas - tylko w momencie uruchomienia zainfekowanego programu. W celu ich dystrybucji wyszukują na dysku niezainfekowane pliki i do nich zapisują. Po przekazaniu kontroli przez kod wirusa do programu nosiciela, wpływ wirusa na działanie systemu operacyjnego jest redukowany do zera aż do następnego uruchomienia zainfekowanego programu. Dlatego pliki zainfekowane wirusami nierezydentnymi są znacznie łatwiejsze do usunięcia z dysku i jednocześnie nie pozwalają na ponowne zainfekowanie ich przez wirusy.

Wirusy ukrywające się. Wirusy stealth w taki czy inny sposób ukrywają fakt swojej obecności w systemie. Zastosowanie algorytmów ukrywania umożliwia wirusom całkowite lub częściowe ukrycie się w systemie. Najpopularniejszym algorytmem ukrywania jest przechwytywanie żądań systemu operacyjnego w celu odczytania (zapisania) zainfekowanych obiektów. Jednocześnie wirusy ukrywające się albo tymczasowo je leczą, albo „podmieniają” w ich miejsce niezainfekowane fragmenty informacji. W przypadku wirusów makr najpopularniejszą metodą jest wyłączenie wywołań menu widoku makr. Znane są wszystkie typy ukrytych wirusów, z wyjątkiem wirusów Windows — wirusów rozruchowych, wirusów plików DOS, a nawet wirusów makr. Pojawienie się ukrytych wirusów infekujących pliki systemu Windows jest najprawdopodobniej kwestią czasu.

Wirusy polimorficzne. Prawie wszystkie typy wirusów wykorzystują samoszyfrowanie i polimorfizm, aby maksymalnie skomplikować procedurę wykrywania wirusa. Wirusy polimorficzne są dość trudnymi do wykrycia wirusami, które nie mają sygnatur, to znaczy nie zawierają ani jednego stałego fragmentu kodu. W większości przypadków dwie próbki tego samego wirusa polimorficznego nie będą miały jednego dopasowania. Osiąga się to poprzez zaszyfrowanie głównej treści wirusa i zmodyfikowanie programu deszyfrującego.

Wirusy polimorficzne obejmują te, których nie można wykryć za pomocą tak zwanych masek wirusowych - sekcji stałego kodu specyficznego dla konkretnego wirusa. Osiąga się to na dwa główne sposoby - przez zaszyfrowanie głównego kodu wirusa za pomocą nietrwałego wywołania i losowego zestawu poleceń deszyfratora lub przez zmianę faktycznie wykonywanego kodu wirusa. Polimorfizm o różnym stopniu złożoności występuje we wszystkich typach wirusów, od wirusów rozruchowych i plikowych DOS po wirusy Windows.

Według siedliska wirusy można podzielić na:

Plik;

Uruchomić;

makrowirusy;

Sieć.

Wirusy plików. Wirusy plikowe infiltrują pliki wykonywalne na różne sposoby, tworzą duplikaty plików (wirusy towarzyszące) lub wykorzystują funkcje organizacji systemu plików (wirusy łączy).

Wprowadzenie wirusa plikowego jest możliwe prawie we wszystkich pliki wykonywalne wszystkie popularne systemy operacyjne. Do tej pory znane są wirusy, które infekują wszystkie typy standardowych obiektów wykonywalnych DOS: pliki wsadowe (BAT), ładowalne sterowniki (SYS, w tym pliki specjalne IO.SYS i MSDOS.SYS) oraz wykonywalne pliki binarne (EXE, COM). Istnieją wirusy, które infekują pliki wykonywalne innych systemów operacyjnych - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, w tym sterowniki Windows 3.x i Windows95 VxD.

Istnieją wirusy, które infekują pliki zawierające teksty źródłowe programu, moduły biblioteczne lub obiektowe. Wirus może zapisywać dane w plikach danych, ale dzieje się tak w wyniku błędu wirusa lub gdy przejawiają się jego agresywne właściwości. Wirusy makr również zapisują swój kod w plikach danych, takich jak dokumenty lub arkusze kalkulacyjne, ale te wirusy są tak specyficzne, że są umieszczane w osobnej grupie.

wirusy rozruchowe. Wirusy rozruchowe infekują sektor rozruchowy dyskietki oraz sektor rozruchowy lub główny rekord rozruchowy (MBR) dysku twardego. Zasada działania wirusów rozruchowych opiera się na algorytmach uruchamiania systemu operacyjnego po włączeniu lub ponownym uruchomieniu komputera - po niezbędnych testach zainstalowanego sprzętu (pamięci, dysków itp.) program rozruchowy systemu odczytuje pierwszy sektor fizyczny dysk rozruchowy(A:, C: lub CD-ROM, w zależności od opcji ustawionych w konfiguracji BIOS) i przekazuje do niego kontrolę.

W przypadku dyskietki lub płyty CD sektor startowy otrzymuje kontrolę, która analizuje tabelę parametrów dysku (BPB - BIOS Parameter Block), oblicza adresy plików systemu operacyjnego, wczytuje je do pamięci i uruchamia do wykonania. pliki systemowe zwykle MSDOS.SYS i IO.SYS lub IBMDOS.COM i IBMBIO.COM lub inne w zależności od zainstalowanej wersji DOS, Windows lub innych systemów operacyjnych. Jeśli na dysku rozruchowym nie ma plików systemu operacyjnego, program znajdujący się w sektorze rozruchowym dysku wyświetla komunikat o błędzie i sugeruje wymianę dysku rozruchowego.

W przypadku dysku twardego sterowanie jest odbierane przez program znajdujący się w MBR dysku twardego. Ten program analizuje tablicę partycji dysku, oblicza adres aktywnego sektora rozruchowego (zazwyczaj ten sektor jest sektorem rozruchowym dysku C), ładuje go do pamięci i przekazuje do niej kontrolę. napęd wykonuje te same czynności, co sektor startowy dyskietki.

Podczas infekowania dysków wirusy rozruchowe „zastępują” swój kod programem, który przejmuje kontrolę podczas rozruchu systemu. Tak więc zasada infekcji jest taka sama we wszystkich opisanych powyżej metodach: wirus „zmusza” system po ponownym uruchomieniu do wczytania do pamięci i przejęcia kontroli nie nad oryginalnym kodem programu ładującego, ale nad kodem wirusa.

Dyskietki są infekowane jedyną znaną metodą — wirus zapisuje własny kod zamiast oryginalnego kodu sektora startowego dyskietki. Winchester zostaje zarażony trzema możliwe sposoby- wirus jest zapisywany albo zamiast kodu MBR, albo zamiast kodu sektora startowego dysku startowego (zazwyczaj dysku C, lub modyfikuje adres aktywnego sektora startowego w tablicy partycji dysku znajdującej się w MBR dysku twardego prowadzić.

Wirusy makro. Wirusy makr infekują pliki - dokumenty i arkusze kalkulacyjne kilku popularnych edytorów. Wirusy makr to programy w językach (językach makr) wbudowane w niektóre systemy przetwarzania danych. Do ich reprodukcji wirusy takie wykorzystują możliwości języków makro iz ich pomocą przenoszą się z jednego zainfekowanego pliku do innych. Największą dystrybucję otrzymały makrowirusy dla programów Microsoft Word, Excel i Office97. Istnieją również makrowirusy, które infekują dokumenty i bazy danych Ami Pro. Dane firmy Microsoft dostęp.

wirusy sieciowe. Wirusy sieciowe obejmują wirusy, które aktywnie wykorzystują protokoły i możliwości sieci lokalnych i globalnych do rozprzestrzeniania się. Główną zasadą wirusa sieciowego jest możliwość niezależnego przesyłania swojego kodu na zdalny serwer lub stację roboczą. Jednocześnie „pełnowartościowe” wirusy sieciowe mają również możliwość uruchomienia swojego kodu na komputer zdalny lub przynajmniej „zmusić” użytkownika do uruchomienia zainfekowanego pliku. Przykładem wirusów sieciowych są tak zwane robaki IRC.

IRC (Internet Relay Chat) to specjalny protokół przeznaczony do komunikacji w czasie rzeczywistym między użytkownikami Internetu. Protokół ten zapewnia im możliwość „rozmawiania” w Internecie za pomocą specjalnie zaprojektowanego oprogramowania. Oprócz zwiedzania konferencje generalne Użytkownicy IRC mają możliwość czatowania jeden na jednego z dowolnym innym użytkownikiem. Ponadto istnieje dość duża liczba poleceń IRC, za pomocą których użytkownik może uzyskać informacje o innych użytkownikach i kanałach, zmienić niektóre ustawienia klienta IRC i tak dalej. Istnieje również możliwość wysyłania i odbierania plików, na czym opierają się robaki IRC. Potężny i rozbudowany system poleceń klientów IRC umożliwia, w oparciu o ich skrypty, tworzenie wirusów komputerowych, które przenoszą swój kod na komputery użytkowników sieci IRC, tzw. „robaki IRC”. Zasada działania takich robaków IRC jest w przybliżeniu taka sama. Za pomocą poleceń IRC plik skryptu roboczego (skrypt) jest automatycznie wysyłany z zainfekowanego komputera do każdego użytkownika, który ponownie dołączył do kanału. Wysłany plik skryptowy zastępuje standardowy, a podczas kolejnej sesji nowo zainfekowany klient roześle robaka. Niektóre robaki IRC zawierają również składnik trojana: wykonują destrukcyjne działania na zaatakowanych komputerach przy użyciu określonych słów kluczowych. Na przykład robak "pIRCH.Events" usuwa wszystkie pliki na dysku użytkownika po wykonaniu określonego polecenia.

Istnieje wiele kombinacji — na przykład wirusy uruchamiające pliki, które infekują zarówno pliki, jak i sektory rozruchowe dysków. Takie wirusy z reguły mają dość złożony algorytm działania, często wykorzystują oryginalne metody penetracji systemu, wykorzystują technologie ukrywania i polimorfii. Innym przykładem takiej kombinacji jest wirus makr sieciowych, który nie tylko infekuje edytowane dokumenty, ale także wysyła swoje kopie pocztą elektroniczną.

Oprócz tej klasyfikacji należy powiedzieć kilka słów o innym złośliwym oprogramowaniu, które czasami jest mylone z wirusami. Programy te nie mają zdolności do samodzielnego rozprzestrzeniania się jak wirusy, ale mogą wyrządzić równie niszczycielskie szkody.

Konie trojańskie (bomby logiczne lub bomby zegarowe).

Konie trojańskie obejmują programy, które powodują wszelkie destrukcyjne działania, to znaczy, w zależności od warunków lub przy każdym uruchomieniu, niszczą informacje na dyskach, „unoszą się” w systemie i tak dalej. Jako przykład można przytoczyć taki przypadek - gdy taki program podczas sesji w Internecie wysłał identyfikatory autora i hasła z komputerów, na których mieszkał. Większość znanych koni trojańskich to programy, które „podrabiają” niektóre przydatne programy, nowe wersje popularnych narzędzi lub dodatki do nich. Bardzo często są wysyłane do stacji BBS lub konferencji elektronicznych. W porównaniu z wirusami „konie trojańskie” nie są powszechnie używane z następujących powodów – albo niszczą się wraz z resztą danych na dysku, albo demaskują swoją obecność i niszczą dotkniętego użytkownika.

2.2 Pojęcie programu antywirusowego

Sposoby przeciwdziałania wirusom komputerowym można podzielić na kilka grup:

Zapobieganie infekcjom wirusowym i zmniejszanie spodziewanych szkód spowodowanych taką infekcją;

Metodologia korzystania z programów antywirusowych, w tym neutralizacja i usuwanie znanego wirusa;

Sposoby wykrywania i usuwania nieznanego wirusa.

Zapobieganie infekcjom komputerowym.

Jedną z głównych metod zwalczania wirusów jest, podobnie jak w medycynie, zapobieganie na czas. Zapobieganie komputerom obejmuje przestrzeganie niewielkiej liczby reguł, co może znacznie zmniejszyć prawdopodobieństwo infekcji wirusowej i utraty jakichkolwiek danych.

Aby określić podstawowe zasady „higieny” komputera, konieczne jest poznanie głównych sposobów, w jakie wirus przedostaje się do komputera i sieci komputerowych.

Obecnie głównym źródłem wirusów jest sieć globalna Internet. Największa liczba infekcji wirusowych występuje podczas wymiany liter w formatach Word/Office97. Użytkownik edytora zainfekowanego wirusem makr, nie podejrzewając tego, wysyła zainfekowane listy do odbiorców, którzy z kolei wysyłają nowe zainfekowane listy i tak dalej. Należy unikać kontaktu z podejrzanymi źródłami informacji i używać wyłącznie legalnych (licencjonowanych) produktów oprogramowania.

Odzyskiwanie uszkodzonych obiektów.

W większości przypadków infekcji wirusowej procedura odzyskiwania zainfekowanych plików i dysków sprowadza się do uruchomienia odpowiedniego programu antywirusowego, który może zneutralizować system. Jeśli wirus jest nieznany żadnemu programowi antywirusowemu, wystarczy wysłać zainfekowany plik do producentów programów antywirusowych i po chwili otrzymać „aktualizację” leku przeciwko wirusowi. Jeśli czas nie poczeka, wirus będzie musiał zostać zneutralizowany samodzielnie. W przypadku większości użytkowników konieczne jest posiadanie kopii zapasowych swoich informacji.

Ogólne narzędzia bezpieczeństwa informacji są przydatne nie tylko do ochrony przed wirusami. Istnieją dwa główne rodzaje tych funduszy:

1 Kopiowanie informacji - tworzenie kopii plików i obszary systemowe dyski.

2 Kontrola dostępu zapobiega nieuprawnionemu wykorzystywaniu informacji, w szczególności zabezpiecza przed zmianami programów i danych przez wirusy, nieprawidłowo działające programy oraz błędne działania użytkowników.

Terminowe wykrywanie zainfekowanych wirusami plików i dysków, całkowite zniszczenie wykrytych wirusów na każdym komputerze pomaga uniknąć rozprzestrzeniania się epidemii wirusów na inne komputery.

Główną bronią w walce z wirusami są programy antywirusowe. Pozwalają nie tylko wykryć wirusy, w tym wirusy wykorzystujące różne metody maskowania, ale także usunąć je z komputera.

Istnieje kilka podstawowych metod skanowania wirusów używanych przez programy antywirusowe. Najbardziej tradycyjną metodą wyszukiwania wirusów jest skanowanie.

Do wykrywania, usuwania i ochrony przed wirusami komputerowymi opracowano kilka rodzajów specjalnych programów, które umożliwiają wykrywanie i niszczenie wirusów. Takie programy nazywane są programami antywirusowymi.

2.3 Rodzaje narzędzi antywirusowych

Programy-detektory. Programy wykrywające wyszukują sygnaturę charakterystyczną konkretnego wirusa w pamięć o dostępie swobodnym zarówno w plikach, jak i po wykryciu wysyłają odpowiedni komunikat. Wadą takich programów antywirusowych jest to, że mogą znaleźć tylko wirusy znane twórcom takich programów.

Programy lekarskie. Programy lekarskie lub fagi, a także programy szczepionkowe, nie tylko znajdują pliki zainfekowane wirusem, ale także „leczą” je, to znaczy usuwają treść programu wirusowego z pliku, przywracając pliki do ich pierwotnego stanu. Na początku swojej pracy fagi szukają wirusów w pamięci RAM, niszcząc je, a dopiero potem przystępują do „leczenia” plików. Wśród fagów wyróżnia się polifagi, czyli programy dla lekarzy przeznaczone do wyszukiwania i niszczenia dużej liczby wirusów. Najbardziej znane z nich to: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Biorąc pod uwagę, że stale pojawiają się nowe wirusy, programy wykrywające i programy lekarskie szybko stają się nieaktualne i wymagane są regularne aktualizacje.

Programy audytorskie (inspektorzy) należą do najbardziej niezawodnych środków ochrony przed wirusami.

Audytorzy (inspektorzy) sprawdzają dane na dysku pod kątem niewidocznych wirusów. Ponadto inspektor nie może używać środków systemu operacyjnego w celu uzyskania dostępu do dysków, co oznacza, że ​​aktywny wirus nie będzie w stanie przechwycić tego dostępu.

Faktem jest, że wiele wirusów infiltrujących pliki (tj. dołączających się na końcu lub na początku pliku) zastępuje wpisy dotyczące tego pliku w tabelach alokacji plików naszego systemu operacyjnego.

Audytorzy (inspektorzy) zapamiętują początkowy stan programów, katalogów i obszarów systemowych dysku, gdy komputer nie jest zainfekowany wirusem, a następnie okresowo lub na żądanie użytkownika porównują Stan obecny z oryginałem. Wykryte zmiany są wyświetlane na ekranie monitora. Z reguły stany są porównywane natychmiast po załadowaniu systemu operacyjnego. Podczas porównywania sprawdzana jest długość pliku, cykliczny kod kontrolny (suma kontrolna pliku), data i czas modyfikacji oraz inne parametry. Audytorzy programu (inspektorzy) mają wystarczająco rozwinięte algorytmy, wykrywają ukryte wirusy, a nawet mogą usuwać zmiany w sprawdzanej wersji programu ze zmian wprowadzonych przez wirusa.

Konieczne jest uruchomienie audytora (inspektora), gdy komputer nie jest jeszcze zainfekowany, aby mógł utworzyć tabelę w katalogu głównym każdego dysku, zawierającą wszystkie niezbędne informacje o plikach znajdujących się na tym dysku, a także o bagażniku. Do utworzenia każdej tabeli zostanie poproszona o pozwolenie. Przy kolejnych uruchomieniach audytor (inspektor) będzie przeglądał dyski, porównując dane o każdym pliku z własnymi zapisami.

W przypadku wykrycia infekcji audytor (inspektor) będzie mógł skorzystać z własnego modułu leczącego, który przywróci plik uszkodzony przez wirusa. Aby przywrócić pliki, inspektor nie musi nic wiedzieć o konkretnym typie wirusa, wystarczy skorzystać z danych o plikach przechowywanych w tabelach.

Ponadto w razie potrzeby można wywołać skaner antywirusowy.

Programy filtrujące (monitory). Programy filtrujące (monitory) lub „strażnicy” to małe programy rezydentne przeznaczone do wykrywania podejrzanych działań podczas działania komputera, które są charakterystyczne dla wirusów. Takimi działaniami mogą być:

Próby poprawienia plików z rozszerzeniami COM, EXE;

Zmiana atrybutów plików;

Bezpośredni zapis na dysku pod adresem bezwzględnym;

Zapis do sektorów startowych dysku;

Gdy dowolny program próbuje wykonać określone czynności, „strażnik” wysyła wiadomość do użytkownika i oferuje zabronienie lub zezwolenie na odpowiednią akcję. Programy filtrujące są bardzo przydatne, ponieważ są w stanie wykryć wirusa na najwcześniejszym etapie jego istnienia, przed reprodukcją. Nie „leczą” plików i dysków. Aby zniszczyć wirusy, musisz użyć innych programów, takich jak fagi.

Szczepionki lub immunizatory. Szczepionki to programy rezydentne, które zapobiegają infekcji plików. Szczepionki stosuje się, jeśli nie ma programów lekarskich, które „leczą” tego wirusa. Szczepienie jest możliwe tylko przeciwko znanym wirusom. Szczepionka modyfikuje program lub dysk w taki sposób, aby nie wpływało to na ich pracę, a wirus odbierze je jako zainfekowane i dlatego nie zakorzeni się. Programy szczepień mają obecnie ograniczone zastosowanie.

Skaner. Zasada działania skanerów antywirusowych polega na skanowaniu plików, sektorów i pamięci systemowej oraz wyszukiwaniu w nich znanych i nowych (nieznanych skanerowi) wirusów. Tak zwane „maski” służą do wyszukiwania znanych wirusów. Maska wirusa to pewna stała sekwencja kodu specyficzna dla tego konkretnego wirusa. Jeśli wirus nie zawiera stałej maski lub długość tej maski nie jest wystarczająco duża, stosowane są inne metody. Przykładem takiej metody jest język algorytmiczny opisujący wszystko możliwe opcje kod, który można napotkać po zainfekowaniu wirusem tego typu. To podejście jest używane przez niektóre programy antywirusowe do wykrywania wirusów polimorficznych. Skanery można również podzielić na dwie kategorie – „uniwersalne” i „specjalistyczne”. Skanery uniwersalne są przeznaczone do wyszukiwania i neutralizacji wszystkich typów wirusów, niezależnie od systemu operacyjnego, w którym skaner jest przeznaczony do pracy. Specjalistyczne skanery są przeznaczone do neutralizowania ograniczonej liczby wirusów lub tylko jednej ich klasy, takiej jak makrowirusy. Wyspecjalizowane skanery przeznaczone wyłącznie dla wirusów makr często okazują się najwygodniejszym i najbardziej niezawodnym rozwiązaniem do ochrony systemów workflow w środowiskach MSWord i MSExcel.

Skanery dzielą się również na „rezydenckie” (monitory, stróże), które skanują „w locie” oraz „nierezydentne”, które sprawdzają system tylko na żądanie. Z reguły skanery „rezydentne” zapewniają bardziej niezawodną ochronę systemu, ponieważ natychmiast reagują na pojawienie się wirusa, podczas gdy skaner „nierezydentny” jest w stanie zidentyfikować wirusa dopiero podczas jego następnego uruchomienia. Z drugiej strony skaner rezydentny może nieco spowolnić komputer, w tym z powodu możliwych fałszywych alarmów.

Zaletą skanerów wszystkich typów jest ich wszechstronność, a wadami stosunkowo niska prędkość wyszukiwania wirusów.

Skanery CRC. Zasada działania skanerów CRC opiera się na obliczaniu sum CRC (kontrolnych) dla plików/sektorów systemowych znajdujących się na dysku. Te sumy CRC są następnie przechowywane w antywirusowej bazie danych, podobnie jak inne informacje: długości plików, daty ich ostatniej modyfikacji i tak dalej. Przy następnym uruchomieniu skanery CRC sprawdzają dane zawarte w bazie danych z rzeczywistymi zliczonymi wartościami. Jeśli informacje o pliku zapisane w bazie danych nie zgadzają się z rzeczywistymi wartościami, skanery CRC sygnalizują, że plik został zmodyfikowany lub zainfekowany wirusem. Skanery CRC wykorzystujące algorytmy zapobiegające ukrywaniu się są dość silną bronią przeciwko wirusom: prawie 100% wirusów jest wykrywanych niemal natychmiast po pojawieniu się na komputerze. Jednak ten typ antywirusa ma wrodzoną wadę, która znacznie zmniejsza ich skuteczność. Ta wada polega na tym, że skanery CRC nie są w stanie złapać wirusa w momencie jego pojawienia się w systemie, ale robią to dopiero po pewnym czasie, po tym, jak wirus rozprzestrzeni się po całym komputerze. Skanery CRC nie mogą wykryć wirusa w nowych plikach (w wiadomości e-mail, na dyskietkach, w plikach przywracanych z kopii zapasowej lub podczas rozpakowywania plików z archiwum), ponieważ ich bazy danych nie zawierają informacji o tych plikach. Co więcej, od czasu do czasu pojawiają się wirusy, które wykorzystują tę „słabość” skanerów CRC, infekują tylko nowo utworzone pliki, przez co pozostają dla nich niewidoczne.

Blokery. Blokery to programy rezydentne, które przechwytują sytuacje „niebezpieczne dla wirusów” i powiadamiają o tym użytkownika. „Niebezpieczny dla wirusów” obejmuje wywołania otwierania w celu zapisania do plików wykonywalnych, zapisywania w sektorach rozruchowych dysków lub MBR dysku twardego, próby pozostania rezydentnymi programów itp., czyli wywołania typowe dla wirusów w momentach reprodukcji. Czasami niektóre funkcje blokujące są zaimplementowane w skanerach rezydentnych.

Do zalet blokerów należy ich zdolność do wykrywania i zatrzymywania wirusa na najwcześniejszym etapie jego reprodukcji. Wady obejmują istnienie sposobów na ominięcie ochrony blokerów i dużą liczbę fałszywych alarmów.

Należy również zwrócić uwagę na taki kierunek narzędzi antywirusowych, jak blokery antywirusowe, wykonane w postaci komponentów sprzętu komputerowego. Najpopularniejsza jest ochrona przed zapisem wbudowana w BIOS w MBR dysku twardego. Jednak, podobnie jak w przypadku programów blokujących oprogramowanie, taką ochronę można łatwo ominąć, zapisując bezpośrednio do portów kontrolera dysku, a uruchomienie narzędzia FDISK DOS powoduje natychmiastowe „fałszywe pozytywne” zabezpieczenie.

Istnieje kilka bardziej wszechstronnych blokad sprzętowych, ale wyżej wymienionym wadom towarzyszą również problemy ze zgodnością ze standardowymi konfiguracjami komputerów oraz trudności w ich instalacji i konfiguracji. Wszystko to sprawia, że ​​blokery sprzętowe są niezwykle niepopularne w porównaniu z innymi rodzajami ochrony antywirusowej.

2.4 Porównanie pakietów antywirusowych

Niezależnie od tego System informacyjny trzeba być chronionym, większość ważny parametr przy porównywaniu antywirusów możliwość wykrywania wirusów i innego złośliwego oprogramowania.

Jednak chociaż ten parametr jest ważny, to bynajmniej nie jest jedyny.

Faktem jest, że skuteczność systemu ochrony antywirusowej zależy nie tylko od jego zdolności do wykrywania i neutralizowania wirusów, ale także od wielu innych czynników.

Antywirus powinien być łatwy w użyciu, nie odwracając uwagi użytkownika komputera od wykonywania jego bezpośrednich obowiązków. Jeśli program antywirusowy denerwuje użytkownika uporczywymi żądaniami i wiadomościami, prędzej czy później zostanie wyłączony. Interfejs antywirusowy powinien być przyjazny i zrozumiały, ponieważ nie wszyscy użytkownicy mają duże doświadczenie w pracy z nim programy komputerowe. Nie rozumiejąc znaczenia komunikatu, który pojawia się na ekranie, możesz nieświadomie pozwolić na infekcję wirusem nawet z zainstalowanym programem antywirusowym.

Najwygodniejszym trybem ochrony antywirusowej jest skanowanie wszystkich otwartych plików. Jeśli program antywirusowy nie może działać w tym trybie, użytkownik będzie musiał codziennie skanować wszystkie dyski w celu wykrycia nowo pojawiających się wirusów. Ta procedura może zająć kilkadziesiąt minut, a nawet godzin, jeśli mówimy o dużych dyskach zainstalowanych np. na serwerze.

Ponieważ codziennie pojawiają się nowe wirusy, konieczna jest okresowa aktualizacja antywirusowej bazy danych. W Inaczej skuteczność ochrony antywirusowej będzie bardzo niska. Nowoczesne antywirusy, po odpowiedniej konfiguracji, mogą automatycznie aktualizować antywirusowe bazy danych przez Internet, bez rozpraszania użytkowników i administratorów do wykonywania tej rutynowej pracy.

Podczas ochrony dużej sieci firmowej na pierwszy plan wysuwa się taki parametr porównawczy ochrony antywirusowej, jak obecność centrum kontroli sieci. Jeśli sieć firmowa łączy setki i tysiące stacji roboczych, dziesiątki i setki serwerów, praktycznie niemożliwe jest zorganizowanie skutecznej ochrony antywirusowej bez centrum kontroli sieci. Jeden lub więcej administratorów systemu nie będzie w stanie ominąć wszystkich stacji roboczych i serwerów, instalując i konfigurując na nich programy antywirusowe. Wymaga to technologii, które umożliwiają scentralizowaną instalację i konfigurację programów antywirusowych na wszystkich komputerach w sieci firmowej.

Ochrona hostów internetowych, takich jak serwery pocztowe, a serwery wiadomości wymagają użycia specjalistycznych narzędzi antywirusowych. Konwencjonalne programy antywirusowe skanujące pliki nie będą w stanie znaleźć szkodliwego kodu w bazach danych serwerów wiadomości ani w strumieniu danych przechodzącym przez serwery pocztowe.

Zwykle przy porównywaniu leków przeciwwirusowych brane są pod uwagę inne czynniki. Instytucje państwowe mogą, w innych warunkach, preferować antywirusy produkcji krajowej, które posiadają wszystkie niezbędne certyfikaty. Istotną rolę odgrywa również reputacja, jaką cieszy się to czy inne narzędzie antywirusowe wśród użytkowników komputerów i administratorów systemów. Osobiste preferencje również mogą odgrywać znaczącą rolę w wyborze.

Aby udowodnić zalety swoich produktów, twórcy oprogramowania antywirusowego często wykorzystują wyniki niezależnych testów. Jednocześnie użytkownicy często nie rozumieją, co dokładnie i jak zostało sprawdzone w tym teście.

W niniejszym artykule analizie porównawczej poddano najpopularniejsze obecnie programy antywirusowe, a mianowicie: Kaspersky Anti-Virus, Symantec/Norton, Doctor Web, Eset Nod32, Trend Micro, McAfee, Panda, Sophos, BitDefender, F- Bezpieczne, Avira, Avast!, AVG, Microsoft.

Jednym z pierwszych testujących produkty antywirusowe był brytyjski magazyn Virus Bulletin. Pierwsze testy opublikowane na ich stronie internetowej pochodzą z 1998 roku. Test opiera się na kolekcji złośliwego oprogramowania WildList. Aby pomyślnie przejść test, konieczne jest zidentyfikowanie wszystkich wirusów w tym zbiorze i wykazanie zerowego współczynnika fałszywie pozytywnych wyników w zbiorze „czystych” plików dziennika. Testy przeprowadzane są kilka razy w roku na różnych systemach operacyjnych; Produkty, które pomyślnie przejdą test, otrzymują nagrodę VB100%. Rysunek 1 pokazuje, ile nagród VB100% otrzymały produkty różnych firm antywirusowych.

Oczywiście magazyn Virus Bulletin można nazwać najstarszym testerem antywirusów, ale status patriarchy nie chroni go przed krytyką społeczności antywirusowej. Po pierwsze, WildList zawiera tylko wirusy i robaki i jest przeznaczony tylko dla Platformy Windows. Po drugie, kolekcja WildList zawiera niewielką liczbę szkodliwych programów i jest uzupełniana bardzo powoli: w kolekcji pojawia się zaledwie kilkadziesiąt nowych wirusów miesięcznie, podczas gdy na przykład kolekcja AV-Test jest w tym czasie uzupełniana o kilkadziesiąt lub nawet setki tysięcy przypadków złośliwego oprogramowania.

Wszystko to sugeruje, że w obecnej formie kolekcja WildList jest przestarzała i nie odzwierciedla rzeczywistej sytuacji wirusów w Internecie. W efekcie testy oparte na kolekcji WildList stają się coraz bardziej bezcelowe. Są dobre do reklamowania produktów, które je przeszły, ale tak naprawdę nie odzwierciedlają jakości ochrony antywirusowej.

Rysunek 1 - Liczba pomyślnie zdanych testów VB 100%

Niezależne laboratoria badawcze, takie jak AV-Comparatives, AV-Tests testują produkty antywirusowe dwa razy w roku pod kątem wykrywania złośliwego oprogramowania na żądanie. Jednocześnie kolekcje, na których przeprowadzane są testy, zawierają do miliona szkodliwych programów i są regularnie aktualizowane. Wyniki testów są publikowane na stronach internetowych tych organizacji (www.AV-Comparatives.org, www.AV-Test.org) oraz w znanych magazynach komputerowych PC World, PC Welt. Poniżej przedstawiamy wyniki kolejnych testów:

Rysunek 2 — Ogólny wskaźnik wykrywania złośliwego oprogramowania według AV-Test

Jeśli mówimy o najpopularniejszych produktach, to zgodnie z wynikami tych testów w pierwszej trójce znajdują się tylko rozwiązania firmy Kaspersky Lab i Symantec. Na szczególną uwagę zasługuje Avira, lider testów.

Testy laboratoriów badawczych AV-Comparatives i AV-Test, a także wszelkie testy, mają swoje plusy i minusy. Plusem jest to, że testy są przeprowadzane na dużych kolekcjach złośliwego oprogramowania, które reprezentują szeroką gamę typów złośliwego oprogramowania. Minusem jest to, że kolekcje te zawierają nie tylko „świeże” próbki złośliwego oprogramowania, ale także stosunkowo stare. Z reguły wykorzystuje się próbki zebrane w ciągu ostatnich sześciu miesięcy. Ponadto testy te analizują wyniki twarde kontrole dysk na żądanie, podczas gdy w prawdziwe życie użytkownik pobiera zainfekowane pliki z Internetu lub otrzymuje je jako załączniki do wiadomości e-mail. Ważne jest, aby takie pliki były wykrywane w momencie ich pojawienia się na komputerze użytkownika.

Próbę opracowania metodologii testowania, która nie boryka się z tym problemem, podjęła jeden z najstarszych brytyjskich magazynów komputerowych – PC Pro. W ich teście wykorzystano kolekcję złośliwego oprogramowania wykrytego dwa tygodnie przed testem w ruchu przechodzącym przez serwery MessageLabs. MessageLabs oferuje swoim klientom usługi filtrowania różnego rodzaju ruch, a jego kolekcja złośliwego oprogramowania naprawdę odzwierciedla sytuację z rozprzestrzenianiem się wirusów komputerowych w sieci.

Zespół dzienników PC Pro nie tylko skanował zainfekowane pliki, ale symulował działania użytkownika: zainfekowane pliki były załączane do wiadomości e-mail jako załączniki, a te wiadomości e-mail były pobierane na komputer z zainstalowany program antywirusowy. Ponadto za pomocą specjalnie napisanych skryptów z serwera WWW pobierano zainfekowane pliki, czyli symulowano surfowanie użytkownika w Internecie. Warunki, w których przeprowadzane są takie testy, są jak najbardziej zbliżone do rzeczywistych, co nie mogło nie wpłynąć na wyniki: wskaźnik wykrywalności większości programów antywirusowych okazał się znacznie niższy niż w przypadku prostego skanowania na żądanie w AV-Comparatives i testy AV-Test. W takich testach ważną rolę odgrywa to, jak szybko twórcy oprogramowania antywirusowego reagują na pojawienie się nowego złośliwego oprogramowania, a także jakie mechanizmy proaktywne są wykorzystywane w przypadku wykrycia złośliwego oprogramowania.

Szybkość wydawania aktualizacji antywirusowych z nowymi sygnaturami złośliwego oprogramowania jest jednym z najważniejszych elementów skutecznej ochrony antywirusowej. Im szybciej zostanie opublikowana aktualizacja bazy sygnatur, tym mniej czasu użytkownik pozostanie bez ochrony.

Rysunek 3 — Średni czas reakcji na nowe zagrożenia

Ostatnio nowe złośliwe oprogramowanie pojawia się tak często, że laboratoria antywirusowe ledwo nadążają za nowymi próbkami. W takiej sytuacji pojawia się pytanie, w jaki sposób program antywirusowy może oprzeć się nie tylko już znanym wirusom, ale także nowym zagrożeniom, na których wykrycie nie została jeszcze opublikowana sygnatura.

Do wykrywania nieznanych zagrożeń wykorzystywane są tak zwane technologie proaktywne. Technologie te można podzielić na dwa typy: heurystykę (wykrywanie szkodliwych programów na podstawie analizy ich kodu) oraz blokery behawioralne (blokowanie działań szkodliwych programów, gdy są one uruchamiane na komputerze, na podstawie ich zachowania).

Jeśli mówimy o heurystyce, to ich skuteczność od dawna jest badana przez AV-Comparatives, laboratorium badawcze kierowane przez Andreasa Clementiego. Zespół AV-Comparatives stosuje specjalną technikę: programy antywirusowe są sprawdzane pod kątem bieżącej kolekcji wirusów, ale używany jest program antywirusowy z sygnaturami sprzed trzech miesięcy. Dlatego program antywirusowy musi zwalczać złośliwe oprogramowanie, o którym nic nie wie. Antywirusy są skanowane poprzez skanowanie kolekcji złośliwego oprogramowania na dysku twardym, więc sprawdzana jest tylko skuteczność heurystyki. W tych testach nie jest wykorzystywana inna proaktywna technologia, bloker behawioralny. Nawet najlepsze heurystyki pokazują obecnie wskaźnik wykrywania wynoszący tylko około 70%, a wiele z nich nadal cierpi z powodu fałszywych alarmów w czystych plikach. Wszystko to sugeruje, że jak dotąd ta proaktywna metoda wykrywania może być stosowana tylko jednocześnie z metodą podpisu.

Jeśli chodzi o inną proaktywną technologię – bloker behawioralny, nie przeprowadzono żadnych poważnych testów porównawczych w tym obszarze. Po pierwsze, wiele produktów antywirusowych (Doctor Web, NOD32, Avira i inne) nie posiada blokady behawioralnej. Po drugie, przeprowadzenie takich testów jest obarczone pewnymi trudnościami. Faktem jest, że aby przetestować skuteczność blokera behawioralnego, konieczne jest nie skanowanie dysku z kolekcją szkodliwych programów, ale uruchomienie tych programów na komputerze i obserwowanie, jak skutecznie antywirus blokuje ich działania. Proces ten jest bardzo czasochłonny i niewielu badaczy jest w stanie wykonać takie testy. Wszystko, co jest obecnie dostępne dla ogółu społeczeństwa, to wyniki testów poszczególnych produktów przeprowadzonych przez zespół AV-Comparatives. Jeśli podczas testowania antywirusy skutecznie zablokowały działania nieznanych im szkodliwych programów, gdy działały na komputerze, produkt otrzymał nagrodę Proactive Protection Award. Obecnie takie nagrody otrzymały firmy F-Secure z technologią behawioralną DeepGuard oraz Kaspersky Anti-Virus z modułem Proactive Defense.

Technologie zapobiegania infekcjom oparte na analizie zachowania szkodliwego oprogramowania stają się coraz bardziej rozpowszechnione, a brak kompleksowych testów porównawczych w tym obszarze może nie być niepokojący. Ostatnio specjaliści z laboratorium badawczego AV-Test przeprowadzili szeroką dyskusję na ten temat, w której uczestniczyli również twórcy produktów antywirusowych. Wynikiem tej dyskusji była nowa metodologia testowania zdolności produktów antywirusowych do odpierania nieznanych zagrożeń.

Wysoki poziom wykrywania złośliwego oprogramowania przy użyciu różnych technologii to jedna z najważniejszych cech programu antywirusowego. Jednak równie ważną cechą jest brak wyników fałszywie dodatnich. Fałszywe alarmy mogą wyrządzić użytkownikowi nie mniej szkód niż infekcja wirusowa: zablokować działanie niezbędnych programów, zablokować dostęp do witryn i tak dalej.

W trakcie swoich badań AV-Comparatives, oprócz badania zdolności antywirusów do wykrywania złośliwego oprogramowania, przeprowadza również testy pod kątem fałszywych alarmów w kolekcjach czystych plików. Według testu największa liczba fałszywe alarmy znaleziono w programach antywirusowych Doctor Web i Avira.

Nie ma 100% ochrony przed wirusami. Od czasu do czasu użytkownicy mają do czynienia z sytuacją, w której szkodliwy program przeniknął do komputera i komputer został zainfekowany. Dzieje się tak, ponieważ na komputerze w ogóle nie było programu antywirusowego lub ponieważ program antywirusowy nie wykrył złośliwego oprogramowania ani za pomocą sygnatur, ani metod proaktywnych. W takiej sytuacji ważne jest, aby podczas instalowania na komputerze programu antywirusowego ze świeżymi bazami sygnatur, program antywirusowy mógł nie tylko wykryć złośliwy program, ale także skutecznie wyeliminować wszystkie konsekwencje jego działania i wyleczyć aktywną infekcję. Jednocześnie ważne jest, aby zrozumieć, że twórcy wirusów stale poprawiają swoje „umiejętności”, a niektóre z ich dzieł są dość trudne do usunięcia z komputera - złośliwe oprogramowanie może różne sposoby maskować ich obecność w systemie (m.in. za pomocą rootkitów), a nawet przeciwdziałać działaniu programów antywirusowych. Ponadto nie wystarczy po prostu usunąć lub wyleczyć zainfekowany plik, trzeba wyeliminować wszystkie zmiany wprowadzone przez złośliwy proces w systemie i całkowicie przywrócić system do działania. Podobny test przeprowadził zespół rosyjskiego portalu Anti-Malware.ru, którego wyniki przedstawia Rysunek 4.

Rysunek 4 – Leczenie aktywnej infekcji

Powyżej rozważono różne podejścia do testowania antywirusów, pokazano, jakie parametry działania antywirusa są brane pod uwagę podczas testowania. Można wnioskować, że dla niektórych programów antywirusowych jeden wskaźnik okazuje się korzystny, dla innych jest to inny. Jednocześnie naturalne jest, że w ich materiały reklamowe twórcy oprogramowania antywirusowego skupiają się tylko na tych testach, w których ich produkty zajmują wiodącą pozycję. Na przykład Kaspersky Lab skupia się na szybkości reakcji na pojawienie się nowych zagrożeń, Eset na sile swoich technologii heurystycznych, Doctor Web opisuje swoje zalety w leczeniu aktywnej infekcji.

Należy zatem przeprowadzić syntezę wyników różnych badań. W ten sposób podsumowuje się pozycje, jakie antywirusy zajęły w rozważanych testach, i wyprowadza się zintegrowaną ocenę – jakie miejsce średnio we wszystkich testach zajmuje dany produkt. W rezultacie w pierwszej trójce zwycięzców: Kaspersky, Avira, Symantec.

Na podstawie przeanalizowanych pakietów antywirusowych, a oprogramowanie, przeznaczony do wyszukiwania i leczenia plików zainfekowanych wirusem SVC 5.0. Wirus ten nie prowadzi do nieautoryzowanego usuwania lub kopiowania plików, jednak znacząco przeszkadza w pełnoprawnej pracy z oprogramowaniem komputerowym.

Zainfekowane programy są dłuższe niż kod źródłowy. Jednak podczas przeglądania katalogów na zainfekowanej maszynie nie będzie to widoczne, ponieważ wirus sprawdza, czy znaleziony plik jest zainfekowany, czy nie. Jeśli plik jest zainfekowany, długość niezainfekowanego pliku jest zapisywana w DTA.

Możesz wykryć tego wirusa w następujący sposób. W obszarze danych wirusa znajduje się ciąg znaków „(c) 1990 by SVC,Ver. 5.0”, dzięki któremu wirus, jeśli znajduje się na dysku, może zostać wykryty.

Podczas pisania programu antywirusowego wykonywana jest następująca sekwencja działań:

1 Dla każdego sprawdzanego pliku określany jest czas jego utworzenia.

2 Jeśli liczba sekund wynosi sześćdziesiąt, sprawdzane są trzy bajty z przesunięciem równym „długość pliku minus 8AH”. Jeśli są one równe odpowiednio 35Н, 2ЭН, 30Н, plik jest zainfekowany.

3 Dekodowane są pierwsze 24 bajty oryginalnego kodu, które znajdują się w przesunięciu „długość pliku minus 01CFH plus 0BAAH”. Klawisze do dekodowania znajdują się w przesunięciu „długość pliku minus 01CFH plus 0C1AN” i „długość pliku minus 01CFH plus 0C1BH”.

4 Odkodowane bajty są zapisywane na początku programu.

5 Plik jest „obcinany” do „długości pliku minus 0C1F”.

Program został stworzony w środowisku programistycznym TurboPascal. Tekst programu znajduje się w Załączniku A.

Wniosek

W ramach tego kursu przeprowadzono analizę porównawczą pakietów antywirusowych.

W trakcie analizy pomyślnie rozwiązano zadania postawione na początku pracy. W związku z tym zbadano koncepcje bezpieczeństwa informacji, wirusów komputerowych i narzędzi antywirusowych, zidentyfikowano rodzaje zagrożeń bezpieczeństwa informacji, metody ochrony, rozważono klasyfikację wirusów komputerowych i programów antywirusowych, analizę porównawczą pakietów antywirusowych został napisany program, który wyszukuje zainfekowane pliki.

Wyniki uzyskane w trakcie prac można zastosować przy wyborze narzędzia antywirusowego.

Wszystkie uzyskane wyniki znajdują odzwierciedlenie w pracy za pomocą diagramów, dzięki czemu użytkownik może samodzielnie sprawdzić wnioski wyciągnięte na końcowym diagramie, który odzwierciedla syntezę ujawnionych wyników różnych testów narzędzi antywirusowych.

Wyniki uzyskane w trakcie prac mogą posłużyć jako podstawa do samodzielnego porównania programów antywirusowych.

W świetle powszechnego zastosowania technologii informatycznych, prezentowana praca kursu jest aktualna i spełnia wymagania dla niej. W trakcie prac uwzględniono najpopularniejsze narzędzia antywirusowe.

Lista wykorzystanej literatury

1 Anin B. Ochrona informacji komputerowych. - Petersburg. : BHV - St. Petersburg, 2000. - 368 s.

2 Artyunov VV Ochrona informacji: podręcznik. - metoda. dodatek. M. : Liberia - Bibinform, 2008. - 55 s. – (Biblioteka i czas. XXI wiek; nr 99).

3 Korneev I. K., E. A. Stepanov Bezpieczeństwo informacji w biurze: podręcznik. - M. : Prospekt, 2008. - 333 s.

5 Kupriyanov A. I. Podstawy bezpieczeństwa informacji: podręcznik. dodatek. - wyd. 2 wymazany – M.: Akademia, 2007. – 254 s. – (Wyższe wykształcenie zawodowe).

6 Semenenko V. A., N. V. Fedorov Ochrona informacji o oprogramowaniu i sprzęcie: podręcznik. dodatek dla studentów. uniwersytety. - M. : MGIU, 2007. - 340 s.

7 Tsirlov VL Podstawy bezpieczeństwa informacji: krótki kurs. - Rostov n / D: Phoenix, 2008. - 254 s. (Profesjonalna edukacja).

dodatek

Lista programów

Program ANTYWIRUS;

Używa dos,crt,drukarki;

Wpisz St80 = ciąg;

FileInfection:Plik bajtowy;

SearchFile:SearchRec;

Mas: tablica St80;

MasByte: tablica bajtów;

Pozycja,I,J,K:Bajt;

Liczba,LiczbaPliku,LiczbaPlikuInf:Słowo;

Flaga,Następny dysk,Błąd:Boolean;

Klucz1,Klucz2,Klucz3,NumError:Bajt;

MasScreen: Tablica bajtów bezwzględnych $ B800: 0000;

Procedura Utwardzanie (St: St80);

I: Bajty; MasCure: tablica bajtów;

Przypisz (infekcja pliku, St); Resetuj (infekcja pliku);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>

Seek(FileInfection,FileSize(FileInfection) — ($0C1F - $0C1A));

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Odczyt (infekcja pliku, klucz1);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Odczyt (infekcja pliku, klucz2);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Seek(FileInfection,FileSize(FileInfection) — ($0C1F - $0BAA));

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Dla I: od 1 do 24 do

Read(Infekcja pliku,MasCure[i]);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Key3:=MasCure[i];

MasCure[i]:=Klucz3;

Szukaj (infekcja pliku, 0);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Dla I:=1 do 24 wykonaj Write(FileInfection,MasCure[i]);

Seek(FileInfection,FileSize(FileInfection) — $0C1F);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Obcinanie (infekcja pliku);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Zamknij (infekcja pliku); LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Procedura F1(St: St80);

FindFirst(St + "*.*", $3F, SearchFile);

Chociaż (SearchFile.Attr = 10 USD) I (DosError = 0) And

((SearchFile.Name = ".") Lub (SearchFile.Name = "..")) Wykonaj

ZnajdźDalej (Szukaj Plik);

Chociaż (DosError = 0) Do

Jeśli naciśniesz klawisz, wtedy

Jeśli (Ord(ReadKey) = 27) Następnie zatrzymaj;

Jeśli (SearchFile.Attr = 10 USD) Wtedy

Mas[k]:=St + SearchFile.Name + "\";

If(SearchFile.Attr<>10 USD)

LiczbaPliku:=LiczbaPliku + 1;

UnpackTime (SearchFile.Time, DT);

Dla I:=18 do 70 wykonaj MasScreen:=20 USD;

Write(St + SearchFile.Name, " ");

Jeśli (Dt.Sec = 60) Wtedy

Przypisz (infekcja pliku, St + SearchFile.Name);

Resetuj (infekcja pliku);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Szukaj (infekcja pliku, rozmiar pliku (infekcja pliku) - $8A);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Dla I:=1 do 3 wykonaj Read(FileInfection,MasByte[i]);

Zamknij (infekcja pliku);

LiczbaBłądów:=IOWynik;

Jeśli(NumError<>0) Następnie rozpocznij Błąd:=True; Wyjście; koniec;

Jeśli (MasByte = 35 USD) I (MasByte = 2 E) And

(MasByte = 30 USD) Wtedy

LiczbaPlikInf:=LiczbaPlikówInf + 1;

Write(St + SearchFile.Name, "zainfekowany.",

"Usunąć?");

Jeśli (Ord(Ch) = 27) to zakończ;

Do (Ch = „Y”) Lub (Ch = „y”) Lub (Ch = „N”)

Jeśli (Ch = „Y”) Lub (Ch = „y”) Wtedy

Cure (St + SearchFile.Name);

Jeśli(NumError<>0) Następnie wyjdź;

Dla I:=0 do 79 wykonaj MasScreen:=20 USD;

ZnajdźDalej (Szukaj Plik);

GoToXY(29,1); TextAtr:=$1E; GoToXY(20,2); TextAtr:=17 USD;

Writeln("Programma dlya poiska i lecheniya fajlov");

Writeln("zaragennih SVC50.");

TextAtr:=4F; GoToXY(1.25);

Write("ESC - wyjście");

TextAtr:=$1F; GoToXY(1,6);

Write("Dowód dysku Kakoj? ");

Jeśli (Ord(Disk) = 27) Następnie zakończ;

R.Ah:=0E; R.Dl:=Ord (duże litery (dysk))-65;

Intr (21 USD, R); RA: = 19 USD; Intr (21 USD, R);

Flaga:=(R.Al = (Ord(UpCase(Disk))-65));

St:=Wielkie litery (dysk) + ”:\";

Writeln("Dysk Testiruetsya ",St," ");

Writeln("plik testiruetsya");

LiczbaPliku:=0;

LiczbaPlikInf:=0;

Jeśli (k = 0) Lub Błąd Wtedy Flag:=False;

Jeżeli (k > 0) Wtedy K:=K-1;

Jeśli (k=0) to flaga:=fałsz;

Jeżeli (k > 0) Wtedy K:=K-1;

Writeln("Provereno fajlov - ",NumberOfFile);

Writeln("Zarageno fajlov - ",NumberOfInfFile);

Writeln("Izlecheno fajlov - ",Num);

Write("Sprawdź dysk drugoj? ");

Jeśli (Ord(Ch) = 27) to zakończ;

Do (Ch = „Y”) Lub (Ch = „y”) Lub (Ch = „N”) Lub (Ch = „n”);

If (Ch = "N") Lub (Ch = "n") Then NextDisk:=False;

Istnieją programy antywirusowe, które chronią Twój komputer przed złośliwym oprogramowaniem, wirusami, trojanami, robakami i oprogramowaniem szpiegującym, które mogą usuwać Twoje pliki, wykradać Twoje dane osobowe oraz powodować, że Twój komputer i połączenie internetowe będą bardzo wolne i problematyczne. Dlatego wybór dobrego programu antywirusowego jest ważnym priorytetem dla twojego systemu.

Na świecie istnieje ponad milion wirusów komputerowych. Ze względu na rozpowszechnienie wirusów i innego złośliwego oprogramowania jest ich wiele różne opcje dla użytkowników komputerów w zakresie oprogramowania antywirusowego.

Programy antywirusowe szybko stał się wielkim biznesem, a pierwsze komercyjne antywirusy pojawiły się na rynku pod koniec lat 80-tych. Dziś możesz znaleźć wiele darmowych i płatnych programów antywirusowych, które chronią Twój komputer.

Co robią programy antywirusowe

Programy antywirusowe będą regularnie skanować komputer w poszukiwaniu wirusów i innego złośliwego oprogramowania, które może znajdować się na komputerze. Jeśli oprogramowanie wykryje wirusa, zwykle poddaje go kwarantannie, leczy lub usuwa.

Ty wybierasz, jak często skanowanie ma się odbywać, chociaż ogólnie zaleca się uruchamianie go co najmniej raz w tygodniu. Ponadto większość programów antywirusowych chroni Cię podczas codziennych czynności, takich jak sprawdzanie poczty e-mail i surfowanie po Internecie.

Za każdym razem, gdy pobierasz na komputer dowolny plik z Internetu lub poczty e-mail, program antywirusowy sprawdzi go i upewni się, że plik jest OK (wolny od wirusów lub „czysty”).

Programy antywirusowe zaktualizują również tak zwane „definicje antywirusowe”. Definicje te są aktualizowane tak często, jak pojawiają się i są wykrywane nowe wirusy i złośliwe oprogramowanie.

Nowe wirusy pojawiają się codziennie, dlatego należy regularnie aktualizować antywirusową bazę danych na stronie producenta programu antywirusowego. W końcu, jak wiadomo, każdy program antywirusowy może rozpoznać i zneutralizować tylko te wirusy, z którymi „wytrenował” go producent. I nie jest tajemnicą, że od wysłania wirusa do twórców programu do aktualizacji antywirusowych baz danych może upłynąć kilka dni. W tym okresie tysiące komputerów na całym świecie może zostać zainfekowanych!

Upewnij się więc, że masz zainstalowany jeden z najlepszych pakietów antywirusowych i regularnie go aktualizuj.

ZAPORA (ZAPORA)

Ochrona komputera przed wirusami zależy od więcej niż jednego programu antywirusowego. Większość użytkowników myli się sądząc, że zainstalowany na komputerze program antywirusowy jest panaceum na wszystkie wirusy. Komputer nadal może zostać zainfekowany wirusem, nawet przy użyciu potężnego programu antywirusowego. Jeśli Twój komputer ma dostęp do Internetu, jeden program antywirusowy nie wystarczy.

Antywirus może usunąć wirusa, gdy znajduje się bezpośrednio na twoim komputerze, ale jeśli ten sam wirus dostanie się do twojego komputera z Internetu, na przykład przez pobranie strony internetowej, program antywirusowy nie będzie mógł nic z nim zrobić - do nie pokaże swojej aktywności na komputerze. Dlatego pełna ochrona komputera przed wirusami jest niemożliwa bez zapory — specjalnego programu ochronnego, który powiadomi Cię o podejrzanej aktywności, gdy wirus lub robak spróbuje połączyć się z Twoim komputerem.

Korzystanie z zapory w Internecie pozwala ograniczyć liczbę niechcianych połączeń z zewnątrz do komputera i znacznie zmniejsza prawdopodobieństwo infekcji. Oprócz ochrony przed wirusami znacznie utrudnia intruzom (hakerom) dostęp do informacji i próby pobrania potencjalnie niebezpiecznego programu na komputer.

Gdy zapora jest używana w połączeniu z programem antywirusowym i aktualizacjami systemu operacyjnego, ochrona komputera jest utrzymywana na najwyższym możliwym poziomie bezpieczeństwa.

AKTUALIZACJE SYSTEMU OPERACYJNEGO I OPROGRAMOWANIA

Ważnym krokiem w ochronie komputera i danych jest aktualizowanie systemu operacyjnego za pomocą najnowszych poprawek zabezpieczeń. Zaleca się to robić przynajmniej raz w miesiącu. Najnowsze aktualizacje dla systemu operacyjnego i programów stworzy warunki, w których ochrona komputera przed wirusami będzie na odpowiednio wysokim poziomie.

Aktualizacje to poprawki błędów wykrytych z biegiem czasu w oprogramowaniu. Wiele wirusów wykorzystuje te błędy („dziury”) w zabezpieczeniach systemu i programów do rozprzestrzeniania się. Jeśli jednak zamkniesz te „dziury”, nie będziesz się bał wirusów, a ochrona komputera będzie na wysokim poziomie. Dodatkowym plusem regularnych aktualizacji jest bardziej niezawodne działanie systemu dzięki poprawkom błędów.

LOGIN HASŁO

Hasło do logowania do systemu, zwłaszcza do konta „Administrator”, pomoże chronić Twoje informacje przed nieautoryzowanym dostępem lokalnie lub przez sieć, a także stworzy dodatkową barierę dla wirusów i programów szpiegujących. Upewnij się, że używasz złożonego hasła - jak Używa wielu wirusów proste hasła, na przykład 123, 12345, zaczynając od pustych haseł.

BEZPIECZNE SURFOWANIE

Ochrona komputera przed wirusami będzie skomplikowana, jeśli podczas przeglądania stron i surfowania w Internecie zgadzasz się na wszystko i wszystko instalujesz. Na przykład pod pozorem aktualizacji Adobe Odtwarzacz Flash rozprzestrzenia się jedna z odmian wirusa - „Wyślij sms na numer”. Ćwiczyć bezpieczna sieć surfing. Zawsze czytaj, co dokładnie masz do zrobienia, i dopiero wtedy zgódź się lub odmów. Jeśli coś Ci zaproponuje język obcy- spróbuj to przetłumaczyć, w przeciwnym razie możesz odmówić.

Wiele wirusów jest zawartych w załącznikach wiadomości e-mail i zaczyna się rozprzestrzeniać zaraz po otwarciu załącznika. Zdecydowanie zalecamy, aby nie otwierać załączników bez uprzedniej zgody na ich otrzymanie.

Antywirusy na SIM, karty flash i Urządzenia USB

Produkowane dzisiaj telefony komórkowe mają szeroką gamę interfejsów i możliwości przesyłania danych. Użytkownicy powinni dokładnie zapoznać się z metodami ochrony przed podłączeniem jakichkolwiek małych urządzeń.

Metody ochrony, takie jak sprzęt, być może antywirusy na urządzeniach USB lub na karcie SIM, są bardziej odpowiednie dla konsumentów telefony komórkowe. Ocenę techniczną i przegląd sposobu instalacji programu antywirusowego na telefonie komórkowym należy traktować jako proces skanowania, który może mieć wpływ na inne legalne aplikacje na tym telefonie.

Oprogramowanie antywirusowe oparte na karcie SIM z wbudowanym oprogramowaniem antywirusowym w małym obszarze pamięci zapewnia ochronę przed złośliwym oprogramowaniem/wirusami w celu ochrony informacji PIM i użytkownika telefonu. Antywirusy na kartach flash pozwalają użytkownikowi wymieniać informacje i korzystać z tych produktów z różnymi urządzeniami sprzętowymi.

Antywirusy, urządzenia mobilne i innowacyjne rozwiązania

Nikogo nie zdziwi, gdy wirusy, które infekują komputery osobiste i laptopy, przeniosą się również na urządzenia mobilne. Coraz więcej programistów w tej dziedzinie oferuje programy antywirusowe do walki z wirusami i ochrony telefonów komórkowych. W urządzeniach mobilnych istnieją następujące typy antywirusów:

• § Ograniczenia procesora
• § limit pamięci
• § identyfikowanie i aktualizowanie podpisów tych urządzeń mobilnych

Firmy i programy antywirusowe

• § Ochrona przed wirusami AOL® w ramach Centrum bezpieczeństwa i ochrony AOL
• § ActiveVirusShield firmy AOL (na podstawie KAV 6, bezpłatnie)
• § AhnLab
• § Systemy wiedzy Aladdin
• § Oprogramowanie ALWIL (avast!) z Czech (wersje bezpłatne i płatne)
• § ArcaVir z Polski
• § AVZ z Rosji (bezpłatnie)
• § Avira z Niemiec (istnieje darmowa wersja Classic)
• § Authentium z Wielkiej Brytanii
• § BitDefender z Rumunii
• § BullGuard z Danii
• § Computer Associates z USA
• § Grupa Comodo z USA
• § ClamAV — licencja GPL — bezpłatna z otwartym oprogramowaniem kody źródłowe programy
• § ClamWin -- ClamAV dla Windows
• § Dr.Web z Rosji
• § Eset NOD32 ze Słowacji
• § Fortinet
• § Oprogramowanie Frisk z Islandii
• § F-Secure z Finlandii
• § GeCAD z Rumunii (Microsoft kupił firmę w 2003 r.)
• § Oprogramowanie GFI
• § GriSoft (AVG) z Czech (wersje bezpłatne i płatne)
• § Hauri
• § H+BEDV z Niemiec
• § Kaspersky Anti-Virus z Rosji
• § McAfee z USA
• § Technologie MicroWorld z Indii
• § Oprogramowanie NuWave z Ukrainy
• § MKS z Polski
• § Norman z Norwegii
• § Posterunek z Rosji
• § Panda Software z Hiszpanii
• § Quick Heal AntiVirus z Indii
• § rosnący
• § RÓŻA SWE
• § Sophos z Wielkiej Brytanii
• § Lekarz spyware
• § Badania Stillera
• § Sybari Software (Microsoft kupił firmę na początku 2005 roku)
• § Symantec z USA lub Wielkiej Brytanii
• § Łowca trojanów
• § Trend Micro z Japonii (nominalnie Tajwan-USA)
• § Ukraiński narodowy antywirus z Ukrainy
• § VirusBlockAda (VBA32) z Białorusi
• § VirusBuster z Węgier
• § Ochrona antywirusowa ZoneAlarm (amerykańska)

• § Sprawdzanie pliku kilkoma antywirusami
• § Sprawdzanie pliku kilkoma antywirusami
• § Sprawdzanie plików pod kątem wirusów przed pobraniem
• § virusinfo.info Portal bezpieczeństwa informacji (konferencja wirusologiczna), gdzie można poprosić o pomoc.
• § antivse.com Kolejny portal, z którego można pobrać najpopularniejsze programy antywirusowe, zarówno płatne, jak i bezpłatne.
• § www.viruslist.ru Internetowa encyklopedia wirusów stworzona przez Kaspersky Lab

Antywirus

Avast! * AVS * Ashampoo Antivirus * AVG * Avira AntiVir * BitDefender * Clam Antivirus * ClamWin * Comodo Antivirus * Dr. Internet * F-Prot * F-Secure Antivirus * Kaspersky Anti-Virus * McAfee VirusScan * NOD32 * Norton Antivirus * Outpost Antivirus * Panda Antivirus * PC-cillin * Windows Live OneCare