Антивирусы. Выбор. Функциональность. Предназначение Каждый у кого есть компьютер, хотя бы раз сталкивался с проблемой выбора защиты, а именно антивируса или фаервола. Иногда это нелегкий выбор, так как продукции очень много и она вся разная. Разная по функциональности, разная по эффективности, разная в плане аппаратных и системных требований и в конце концов разная по цене. Не сложно растеряться или принять неверное решение. Попытаемся разобраться хотя бы в некотором антивирусном ПО для домашних пользователей.
Для начала попытаемся разобраться в том функционале, который требуется домашнему пользователю, так как защита домашних компьютеров несколько выгодно отличается от защиты корпоративных сетей или серверов, отличается в сторону более упрощённых требований к антивирусному ПО.
Итак давайте немного разберем функциональность и что это такое...
У каждого антивируса есть так называемое ядро.
Именно от того, какие методы детекта и перехвата заложены в него и зависит в конечном итоге общая функциональность и результат эффективности. Файловый анализ в основном осуществляется за счет сигнатурного метода, то есть выявление вредоносного кода по его " подписи". Каждый антивирус может иметь разные названия и подписи у одинаковых вирусов. Как это происходит? Выявляется вирус, обрабатывается, в итоге обработки ему присваивают "имя" и в последствии это имя и добавляется в базу сигнатур, и уже сверяясь с базами антивирус производит поиск. Грубое конечно определение, но нам и не нужно сильно вдаваться именно в это. Сигнатурный метод хорош при обнаружении уже известных вирусов, но к сожалению малоэффективен при обнаружении новейших вирусов, а так же модификаций уже имеющихся, так же сигнатурный метод не лишён ложных срабатываний.
У каждого уважающего себя антивируса должен быть монитор.
Антивирусный монитор в режиме реального времени наблюдает за поведением программ в памяти компьютера. При любом всплеске или аномальном поведении процесс будет анализирован ядром на предмет выявления вредоносности. Монитор антивируса постоянно присутствует в памяти, и от того, насколько он сильно расходует её в основном и зависит по нашим словам "тяжесть" того или иного антивируса.
Так же в антивирусах присутствует мониторинг Windows API. Windows API в основном используют клавиатурные шпионы. Мониторинг Windows API основан на перехвате функций кейлогеров. Вызов некоторых функций может послужить причиной тревоги со стороны антивируса, но к сожалению такой мониторинг чаще всего даёт ложные срабатывания, а многие кейлогеры использующие технологию RootKit и вовсе не детектятся, хотя и представляют собой огромную опасность. В общем эффктивность данного модуля, если он присутствует в антивирусе не очень высока, хотя в Касперском нашли оригинальный способ обойти это всё. Они внедрили технологию виртуальной клавиатуры, что является на мой взгляд, если не панацеей, то неплохим решением.
Так как вышеперечисленные методы, как мы уже выяснили, не дают 100% полноценной защиты, многие производители антивирусного ПО стали внедрять эвристический метод обнаружения вредоносного кода. Этот метод основан на сравнении и выявлении алгоритмов, присущих вредоносному коду. Данный метод, основанный на распознании структуры и алгоритма исполнения файлов, тоже является хорошим прорывом вперёд, так как такой метод позволяет обнаружить ещё неизвестные вирусы и распознаёт модификации уже известных. Всё хорошо, но данный метод тоже очень сильно "страдает" от ложных срабатываний. Опытный пользователь ещё сможет распознать ложки и принять решение, а вот неопытный...тут все сложнее.
Есть ещё один метод обнаружения вирусов. Это поведенческий анализ или проактивка. Данный метод основан на анализе поведения приложений. В основном это мониторинг реестра, анализ активности приложений, контроль целостности (на предмет модификаций и всяческих изменений) и проверка макросов. Данный метод в своём комплексе является достаточно эффективным, но зачастую он понятен опытным пользователям, которые знают системные процессы и так далее. При таком методе обнаружения даже обыкновенное обновление любого приложения до более высшей версии может вызвать тревогу, и вот тут как раз надо принимать решения на счёт пропустить действие или заблокировать, так же надо отличать "здоровые" модификации, как обновление, при котором может происходить перебивка многих файлов в приложении, от вредоносных, которые тоже как правило "следят" в реестре и видоизменяют файлы. Данный метод хорош, но он усложняет работу антивируса.
Ещё хочу отметить медот ХИПС, который только внедряется в современные антивирусы. Основан он на сличении цифровых подписей всех приложений и их целостности. Но только этим не ограничивается, так как это целый комплекс мер, в которые входят все вышеперечисленные методы и многое другое. Грубо рассуждая ХИПС расчитан на то, что если вредоносный код и попадёт на компьютер, то он все равно будет уничтожен на одном из уровней защиты, но основная идея ХИПС и состоит в том, чтобы не допустить вредоносный код на компьютер. Метод ХИПС ещё называют технологией эмуляции кода программ.
Технология эмуляции кода программ Sandboxing призвана на борьбу с огромным числом полиморфных вирусов. Эмулируется исполнение программы (как зараженной вирусом, так и "чистой") в специальном "окружении", называемым также буфером эмуляции или "песочницей". Если в эмулятор попадает зараженный полиморфным вирусом файл, то после эмуляции в буфере оказывается расшифрованное тело вируса, готовое к детектированию стандартными методами (сигнатурный или CRC поиск).
Современные эмуляторы эмулируют не только команды процессора, но и вызовы операционной системы.
Таким методом приходится именно эмулировать работу инструкций вируса, а не трассировать их, поскольку при трассировке вируса слишком велика вероятность вызова деструктивных инструкций или кодов, отвечающих за распространение вируса.
Данный метод является пока достаточно молодым, но очень высокоэффективным. Единственным недостатком данного метода пока является то, что такие сложные процессы не могут не влиять на скорость действий...и конечно же ещё сильнее усложняют сам антивирус.
В общем мы немного разобрались с функционалом. Теперь кратенько пробежимся только по некоторым предствителям антивирусной фауны, ибо говорить о всех подряд мало смысла. Рзаберем самых ярких представителей
Не буду оригинальной, так как попытаюсь разобрать самые популярные на сей день антивирусы. Такие как: продукты Касперского, Аваст и Авиру. Перед разбором следует отметить, что есть по крайней мере два вида антивирусов. Это чистый антивирус и антивирус или со встроенным фаерволом или с сетевым монитором, новомодно называемые в народе "комбаины".
Итак начнем с Касперского, так как в новой версии 8.0.0.454 реализованны все методы обнаружения, которые мы с вами разбирали. Это хорошо с одной стороны тем, что данный продукт при правильных настройках может претендовать на статус полноценной защиты. Но это все делает его сложным в настройках для простого пользователя. В автоматическом режиме он не сильно выделяется среди всех остальных продуктов своего класса, если честно, но ручные настройки могут превратить данный продукт действительно в достаточно эффективного защитника. Но всегда есть свои но, кроме сложности настроек, хочется отметить, что продукт потяжелел, и на очень слабые машины его не стоит ставить. Есть ещё один неприятный нюанс: это так называемый первый запуск приложения. Если файл достаточно большой, то пользователю стоит запастись терпением, чтобы дождаться запуска данного приложения, есть конечно ещё набор мелочей, но они не сильно портят впечатление от продукта, плюс к нему не надо ставить фаервол, ибо данная версия, являет собой полноценный "комбаин".
Аваст. Тоже неплохой антивирус, который более подходит обыкновенному домашнему пользователю, не сильно разбирающемуся в компьютерах. Простой интерфейс, лёгкое управление и такие же лёгкие настройки. Присутствует достаточно неплохой сигнатурный анализ, подобие эвристического, так же есть сетевой монитор. Сетевой монитор у Аваста достаточно слабенький, поэтому его можно дополнить сторонним фаерволом. Так же в авасте присутствует функция, которая по идее должна помогать в лечении системы от вирусов. Эта функция, если грубо рассуждать, делает как бы "слепок" системыи потом с помощью этого "слепка" возможно проводить достаточно эффективное лечение и восстановление повреждённых системных файлов. Очень хорошая идея кстати. В общем Аваст может подойти любому пользователю. Единственный недостаток на мой взгляд - это достаточно жёсткая проверка на сторонние пакеры и не подписанные файлы. Это я к тому, что при очередном скане пользователь может оптом лишиться всех своих кряков, ключей, кейгенов и прочей светотени. Эта особенность может вызвать целую неразбериху у неискушённого пользователя, а именно, при скачивании очередного "кряка" Аваст определит его как вредоносный вне зависимости вшит ли на самом деле вредоносный код в него или не вшит, а это простая реакция на сторонний пакер. Есть бесплатная версия, но грубо говоря, она не радикально отличается от платной, за исключением некоторых расширенных возможностей, в первую очередь в настройке.
Авира. Чтож, наверное это самый лучший вариант для всех. Легка, надёжна, быстра и главное способна обеспечить достойную защиту. Присутствует и сигнатурный и проактивный, и эвристический, и веб монитор. Наверное это действительно идеальное решение, на мой взгляд, для всех пользователей. Существует бесплатная версия, если в ней поставить самые высокие уровни защиты по всем направлениям, то она не уступит платным. Единственное что, так это надо ко всем версиям, кроме сюиты, ставить сторонний фаервол. Скажу кратко о недостатках. Ну есть такой недостаток как и в Авасте. Та же самая реакция на сторонние пакеры. Ещё есть небольшая неразбериха с вебгардом. Получается, что вебгард эмулирует прокси соединение, через которое выходит и браузер в сеть и самое главное через которое происходит закачка файлов. С одной стороны из-за этого скорость операций снижается, а вот безопасность сильно повышается, за счёт того, что вебгард и стоит на страже вашего компьютера не допуская локального заражения.
В общем мы немного разобрались в данной теме, но только очень немного и поверхностно, так как на самом деле эта тема безгранична, так как все меняется достаточно сильно и довольно часто. Вечный бой добра со злом, бой развития вредоносного кода и бой в способах его обнаружения.
http://webanet.ucoz.ru/
Добавлено (17.04.2009, 07:01)
---------------------------------------------
Версия: 6.5.4. (2525.381.0687)
Дата релиза: 15 апреля 2009
Outpost Firewall PRO
Поддерживаемые платформы: 32- и 64-битные версии Windows (Vista, XP, Server 2003, 2008), Windows 2000 (SP3 и выше).
Аппаратные требования: частота процессора от 450 МГц (x86 или x64, включая поддержу многоядерных процессоров), 256 Мб оперативной памяти, 40 Мб свободного дискового пространства.
- http://dl2.agnitum.com/OutpostProInstall.exe - 27.06 mb - 32bit
- http://www.agnitum.ru/products/outpost/download.php - с сайта. 32bit и 64bit.
- http://dl2.agnitum.com/OutpostProInstall64.exe - 32.91 mb - 64 bit
- http://rapidshare.com/files/221682821/UNiQUE.rar - ключ
Добавлено (17.04.2009, 16:36)
---------------------------------------------
Рекомендации: По установке новой версии
Версия: 6.5.4. (2525.381.0687)
Дата релиза: 15 апреля 2009
- Не забудьте сохранить отлаженные настройки,
- IP - адреса которые были заблокированы,
- www- сайты которые вас достали - для того чтобы можно было импортировать в новую версию.
- Ставится поверх предыдущих версий типа (2514) (2518) - ключ сохраняется с прежней версии.
- Удачи при установке 6.5.4. (2525.381.0687)
ВАМПИР.
-----------------
Добавлено (17.04.2009, 18:39)
---------------------------------------------
Дорогие мои друзья, пожалуйста обратите внимание.
- Outpost Antivirus Pro 2009
- Outpost Firewall Pro 2009*
- Outpost Security Suite PRO 2009
- Они отличаются не только по цвету, но и по функциональным возможностям и т.д.
---------------------------
ВАМПИР.