Virustentorjuntaohjelma

Virustentorjuntaohjelma ( virustorjunta, virustentorjuntatyökalu [ 1] , haittaohjelmien tunnistustyökalu [1] ) on erikoistunut ohjelma tietokonevirusten sekä ei-toivottujen ( haitallisiksi katsottujen) ohjelmien havaitsemiseen ja tällaisten ohjelmien saastuttamien (muokattujen) tiedostojen palauttamiseen ja ehkäisyyn - estää tiedostojen tai käyttöjärjestelmän tartunnan (muokkaukset) haitallisen koodin avulla.

Historia

Ensimmäiset antivirukset ilmestyivät 1980-luvun lopulla, on vaikea määrittää yksiselitteisesti niiden ilmestymisajankohtaa. Pioneerit olivat AntiVir ja Dr. Vuonna 1988 luotu Solomonin Anti-Virus Toolkit ja vuotta myöhemmin julkaistiin Symantec Antivirus Macintoshille .

Virustorjuntamenetelmät

Viruksia vastaan ​​suojautumiseen käytetään kolmea menetelmäryhmää [2] :

1. Menetelmät, jotka perustuvat tiedostojen sisällön analysointiin (sekä datatiedostot että tiedostot komentokoodeilla). Tämä ryhmä sisältää virustunnisteiden tarkistuksen sekä eheyden ja epäilyttävien komentojen tarkistuksen.
2. Menetelmät, jotka perustuvat ohjelmien käyttäytymisen seurantaan niiden suorituksen aikana. Näissä menetelmissä kirjataan kaikki tapahtumat, jotka uhkaavat järjestelmän turvallisuutta ja tapahtuvat joko tarkastettavan koodin varsinaisen suorituksen aikana tai sen ohjelmistoemuloinnin aikana.
3. Menetelmät tiedostojen ja ohjelmien työjärjestyksen säätämiseksi . Nämä menetelmät ovat hallinnollisia turvatoimia.

Allekirjoituksen tarkistusmenetelmä ( allekirjoitusanalyysi , allekirjoitusmenetelmä [1] ) perustuu tiedostojen etsimiseen ainutlaatuisen tavusarjan - tietylle virukselle ominaisen allekirjoituksen - etsimiseen. Viruksentorjuntalaboratorion asiantuntijat analysoivat jokaisen vasta löydetyn viruksen koodin, jonka perusteella sen allekirjoitus määritetään. Tuloksena oleva koodifragmentti sijoitetaan erityiseen virustunnisteiden tietokantaan, jonka kanssa virustorjuntaohjelma toimii. Tämän menetelmän etuna on suhteellisen alhainen väärien positiivisten tulosten osuus, ja suurin haittapuoli on perustavanlaatuinen mahdottomuus havaita järjestelmästä uusi virus, jolle ei ole allekirjoitusta virustentorjuntaohjelman tietokannassa, joten päivitys on suoritettava ajoissa. allekirjoitustietokanta vaaditaan [2] .

Eheysvalvontamenetelmä perustuu siihen, että mikä tahansa odottamaton ja kohtuuton tietojen muutos levyllä on epäilyttävä tapahtuma, joka vaatii virustorjuntajärjestelmän erityistä huomiota. Virus jättää välttämättä todisteita läsnäolostaan ​​(muutoksia olemassa olevien (erityisesti järjestelmä- tai suoritettavien) tiedostojen tiedoissa, uusien suoritettavien tiedostojen ilmestyminen jne.). Tietojen muutoksen tosiasia - eheysrikkomus  - on helppo todeta vertaamalla testattavan koodin alkutilalle etukäteen laskettua tarkistussummaa (tiivistettä) testattavan koodin nykyisen tilan tarkistussummaan (tiiviste). Jos ne eivät täsmää, eheys on rikki ja on kaikki syyt suorittaa tämän koodin lisätarkistus, esimerkiksi tarkistamalla virustunnisteet. Tämä menetelmä toimii nopeammin kuin allekirjoitusten skannausmenetelmä, koska tarkistussummien laskeminen vaatii vähemmän laskutoimituksia kuin koodinpätkien tavu-tavuinen vertailu, ja lisäksi sen avulla voit havaita jälkiä minkä tahansa virusten aktiivisuudesta, mukaan lukien tuntemattomat sellaiset, joille ei ole vielä allekirjoituksia tietokannassa [2] .

Epäilyttävien komentojen tarkistusmenetelmä ( heuristinen tarkistus , heuristinen menetelmä [1] ) perustuu useiden epäilyttävien komentojen ja (tai) merkkien havaitsemiseen skannatussa tiedostossa epäilyttävistä koodisarjoista (esimerkiksi kiintolevyn formatointikomento tai funktio, joka lisätään käynnissä olevaan prosessiin tai suoritettavaan koodiin). Tämän jälkeen tehdään oletus tiedoston haitallisuudesta ja ryhdytään lisätoimiin sen tarkistamiseksi. Tällä menetelmällä on hyvä nopeus, mutta se ei useinkaan pysty havaitsemaan uusia viruksia [2] .

Ohjelmien toiminnan valvontamenetelmä eroaa olennaisesti aiemmin mainituista tiedostojen sisällön tarkistusmenetelmistä. Tämä menetelmä perustuu käynnissä olevien ohjelmien käyttäytymisen analyysiin, joka on verrattavissa rikollisen sieppaamiseen "käsin" rikospaikalla. Tämän tyyppiset virustentorjuntatyökalut vaativat usein käyttäjän aktiivista osallistumista, jonka tehtävänä on tehdä päätöksiä vastauksena lukuisiin järjestelmävaroituksiin, joista merkittävä osa voi myöhemmin osoittautua vääriksi hälytyksiksi. Väärien positiivisten tulosten (viruksen epäily vaarattomaan tiedostoon tai haitallisen tiedoston ohittaminen) esiintymistiheys tietyn kynnyksen ylittäessä tekee tästä menetelmästä tehottoman ja käyttäjä voi lopettaa varoituksiin vastaamisen tai valita optimistisen strategian (salli kaikki toiminnot kaikille käynnissä oleville ohjelmat tai poista tämä virustorjuntatyökalun ominaisuus käytöstä). Käytettäessä ohjelmien käyttäytymistä analysoivia virustorjuntajärjestelmiä on aina olemassa riski suorittaa viruskoodikomentoja, jotka voivat vahingoittaa suojattua tietokonetta tai verkkoa. Tämän puutteen poistamiseksi kehitettiin myöhemmin emulointi (jäljitelmä) menetelmä , jonka avulla voit ajaa testattavaa ohjelmaa keinotekoisesti luodussa (virtuaalisessa) ympäristössä, jota usein kutsutaan hiekkalaatikoksi ( sandbox ) ilman vaaraa vahingoittaa tietoympäristöä. . Ohjelmien käyttäytymisen analysointimenetelmien käyttö on osoittanut niiden korkean tehokkuuden sekä tunnettujen että tuntemattomien haittaohjelmien havaitsemisessa [2] .

Rogue antiviruses

Vuonna 2009 alkoi vilpillisten virustentorjuntaohjelmien aktiivinen jakelu.  - ohjelmisto, joka ei ole virustentorjunta (eli sillä ei ole todellista haittaohjelmien torjuntatoimintoa), mutta joka teeskentelee olevansa sellainen. Itse asiassa roistoviruksentorjuntaohjelmat voivat olla sekä ohjelmia, jotka on suunniteltu huijaamaan käyttäjiä ja tuottamaan voittoa maksujen muodossa "järjestelmän hoitamisesta viruksilta" ja tavallisia haittaohjelmia.

Erikoisvirustorjunta

Kansainvälinen ihmisoikeusjärjestö Amnesty International julkaisi marraskuussa 2014 Detect antivirus -ohjelman , joka on suunniteltu havaitsemaan valtion virastojen jakamia haittaohjelmia kansalaisaktivistien ja poliittisten vastustajien vakoilemiseksi. Luojien mukaan virustorjunta suorittaa kiintolevyn tarkemman tarkistuksen kuin perinteiset virustorjuntaohjelmat [3] [4] .

Virustentorjuntaohjelmien tehokkuus

Analyyttinen yritys Imperva julkaisi tutkimuksen [5] [6] osana Hacker Intelligence Initiative -projektia , joka osoittaa useimpien virustentorjuntaohjelmien alhaisen tehokkuuden todellisissa olosuhteissa.

Erilaisten synteettisten testien tulosten mukaan antivirusten keskimääräinen tehokkuus on noin 97 %, mutta nämä testit suoritetaan satojen tuhansien näytteiden tietokantoissa, joista suurinta osaa (ehkä noin 97 %) ei enää käytetä hyökkäyksiä.

Kysymys on siitä, kuinka tehokkaita virustentorjuntaohjelmat ovat kaikkein kiireellisimpiä uhkia vastaan. Vastatakseen tähän kysymykseen Imperva ja Tel Avivin yliopiston opiskelijat hankkivat 82 näytettä uusimmista haittaohjelmista venäläisiltä maanalaisista foorumeilta ja testasivat niitä VirusTotal-tietokantaa vastaan, eli 42 virustorjuntamoottoria vastaan. Tulos oli tuhoisa.

1. Virustentorjuntaohjelmien tehokkuus vasta käännettyjä haittaohjelmia vastaan ​​osoittautui alle 5 %:ksi. Tämä on täysin looginen tulos, koska virusten tekijät testaavat ne aina VirusTotal-tietokantaa vastaan.
2. Viruksen ilmestymisestä virustentorjuntaan sen tunnistamiseen kestää jopa neljä viikkoa. Tällainen indikaattori saavutetaan "eliitin" antiviruksilla, ja muiden virustentorjuntaohjelmien osalta ajanjakso voi olla jopa 9-12 kuukautta. Esimerkiksi tutkimuksen alussa 9. helmikuuta 2012 testattiin tuore näyte väärennetystä Google Chrome -asennusohjelmasta. Tutkimuksen päätyttyä 17. marraskuuta 2012 vain 23 virustentorjuntaohjelmasta 42:sta havaitsi sen.
3. Virustentorjuntaohjelmilla, joissa haittaohjelmien havaitsemisprosentti on suurin, on myös suuri prosenttiosuus vääriä positiivisia.
4. Vaikka tutkimusta tuskin voi kutsua objektiiviseksi, koska haittaohjelmien otos oli liian pieni, voidaan olettaa, että virukset eivät sovellu täysin uusiin kyberuhkiin.

Virustentorjuntaohjelmien luokitukset

Viruksentorjuntaohjelmat on jaettu suorituksensa mukaan (estotyökalut) [1] seuraaviin:

• ohjelmisto;
• ohjelmistot ja laitteistot.

Varaa hajasaantimuistiin [1] sijoittamisen perusteella :

• asukas (he aloittavat työnsä käyttöjärjestelmän käynnistyessä, ovat jatkuvasti tietokoneen muistissa ja tarkistavat tiedostot automaattisesti);
• ulkomailla asuvat (käynnistetään käyttäjän pyynnöstä tai heille asetetun aikataulun mukaisesti).

Viruksia vastaan ​​suojatun suojatyypin (menetelmän) mukaan on olemassa:

• Tunnistinohjelmat tai skannerit [1] löytävät viruksia RAM-muistista, sisäisestä ja (tai) ulkoisesta tietovälineestä ja näyttävät viestin, kun virus havaitaan.
• Lääkäriohjelmat (faagit [1] , polyfagit [1] ) löytävät tartunnan saaneet tiedostot ja "parantavat" ne. Tämäntyyppisten ohjelmien joukossa on polyfaageja, jotka pystyvät poistamaan erityyppisiä viruksia, tunnetuimpia polyfagientorjuntaviruksista Norton AntiVirus , Doctor Web , Kaspersky Antivirus .
• Rokoteohjelmat (immunisaattorit [1] ) immunisoivat järjestelmän (tiedostot, hakemistot) estämällä virusten toiminnan [1] .
• Tarkastusohjelmat [1] ovat luotettavimpia virussuojauksen kannalta. Tarkastajat muistavat ohjelmien, hakemistojen ja levyn järjestelmäalueiden alkutilan, kunnes tietokone sai tartunnan (perustuu pääsääntöisesti tarkistussummien laskemiseen [1] ), vertaa sitten nykyistä tilaa alkuperäiseen ja näyttää löydetyt muutokset näytössä.
• Monitoriohjelmat aloittavat toimintansa käyttöjärjestelmän käynnistyessä, ne ovat jatkuvasti tietokoneen muistissa ja tarkistavat tiedostot automaattisesti "tässä ja nyt" -periaatteella.
• Suodatinohjelmat (vahtikoirat) havaitsevat viruksen varhaisessa vaiheessa, ennen kuin se alkaa lisääntyä.
• Watchdogs ovat pieniä ohjelmia, joiden tarkoituksena on havaita viruksille tyypillisiä toimia.

Viruksentorjuntaohjelmien päätyypit

• Tunnistinohjelmat etsivät ja tunnistavat viruksia RAM-muistista ja ulkoisista tietovälineistä, ja havaitessaan ne antavat vastaavan viestin. On yleismaailmallisia ja erikoistuneita ilmaisimia .
• Lääkäriohjelmat (faagit) eivät vain löydä viruksen saastuttamia tiedostoja, vaan myös "parantavat" niitä, eli poistavat virusohjelman rungon tiedostosta palauttaen tiedostot alkuperäiseen tilaan. Työnsä alussa faagit etsivät viruksia RAM-muistista, tuhoavat ne ja jatkavat vasta sitten tiedostojen "käsittelyyn". Faageista erotetaan polyfaagit, toisin sanoen lääkäriohjelmat, jotka on suunniteltu etsimään ja tuhoamaan suuri määrä viruksia. Koska uusia viruksia ilmaantuu jatkuvasti, tunnistusohjelmat ja lääkäriohjelmat vanhenevat nopeasti ja niiden versiot on päivitettävä säännöllisesti.
• Tarkastusohjelmat ovat yksi luotettavimmista tavoista suojautua viruksilta. Tarkastajat muistavat ohjelmien, hakemistojen ja levyn järjestelmäalueiden alkuperäisen tilan, kun tietokone ei ole viruksen saastuttama, ja vertaavat sitten säännöllisesti tai käyttäjän pyynnöstä nykyistä tilaa alkuperäiseen. Havaitut muutokset näkyvät monitorin näytöllä. Pääsääntöisesti tiloja verrataan heti käyttöjärjestelmän latauksen jälkeen. Vertailun aikana tarkistetaan tiedoston pituus, syklinen ohjauskoodi (tiedoston tarkistussumma), muokkauspäivämäärä ja -aika sekä muut parametrit.
• Suodatinohjelmat (watchmen) ovat pieniä ohjelmia, jotka on suunniteltu havaitsemaan viruksille tyypillisiä epäilyttäviä toimia tietokoneen käytön aikana.
• Rokoteohjelmat (immunisaattorit)  ovat pysyviä ohjelmia, jotka estävät tiedostojen tartunnan. Rokotteita käytetään, jos ei ole lääkäriohjelmia, jotka "hoitaisivat" tätä virusta. Rokotus on mahdollista vain tunnettuja viruksia vastaan. Rokote muokkaa ohjelmaa tai levyä siten, että se ei vaikuta heidän työhönsä ja virus havaitsee ne tartunnan saaneiksi eikä siksi juurtu. Tällaisten ohjelmien merkittävä haittapuoli on niiden rajallinen kyky estää tartuntaa useista eri viruksista.

Muistiinpanot

1. ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovjov S. V. Tietojärjestelmien suojaaminen luvattomalta käytöltä. Hyöty. - Voronezh: Quarta, 2015. - S. 357. - 440 s. - 232 kappaletta.  - ISBN 978-5-93737-107-2 .
2. ↑ 1 2 3 4 5 Olifer V.G., Olifer N.A. Tietokoneverkot. Periaatteet, tekniikat, protokollat: Oppikirja yliopistoille. - 4. painos - Pietari. : Peter, 2010. - S. 871-875. — 944 s. - 4500 kappaletta.  - ISBN 978-5-49807-389-7 .
3. ↑ Tekoäly on kehittänyt ohjelman, joka säästää toimittajat kybervalvonnalta . Haettu 14. toukokuuta 2015. Arkistoitu alkuperäisestä 18. toukokuuta 2015. (määrätön)
4. ↑ BBC: "Kuinka estää hallituksia vakoilemasta sinua" . Haettu 23. marraskuuta 2014. Arkistoitu alkuperäisestä 23. marraskuuta 2014. (määrätön)
5. ↑ tutkimus . Haettu 13. kesäkuuta 2017. Arkistoitu alkuperäisestä 24. marraskuuta 2017. (määrätön)
6. ↑ Imperva: virustentorjunta on rahan haaskausta - "Hakkeri" . Käyttöönottopäivä: 13.6.2017. (määrätön)