Antivirové motory. Hlavní součásti Avast Free Antivirus. Dobrý nebo špatný motor

V dnešní době se každý den objevuje obrovské množství nových virů, které jsou navíc škodlivější a mazanější než jejich protějšky předchozích generací.
Viry jsou škodlivé kódy které jsou schopny číst informace z vašeho počítače. Pokud je váš počítač infikován, nemůžete zaručit, že vaše osobní data jsou v bezpečí.

Bez antiviru je počítač jako bez rukou – absolutně bezbranný. Stačí se připojit online a virus může skončit ve vašem počítači. Viry jsou schopny replikovat a šířit své kopie do jiných počítačů.

Viry jsou výtvorem lidských rukou. Mnoho virů je vytvořeno hackery a teenagery jen pro zábavu, ale stává se, že viry jsou vytvořeny s cílem ukrást informace z konkrétního počítače. Vývojářům malwaru je jedno, že může být zasažen nejen jeden počítač, ale miliony.

Chcete-li se chránit před viry, musíte do počítače nainstalovat trvalou ochranu, protože počítačové viry narušují normální provoz operačního systému Windows.

Instalace bezplatných antivirů nezpůsobuje žádné finanční náklady. Antivirový program se sám aktualizuje, skenuje disky a vyměnitelná média (CD a DVD, flash disky), skenuje elektronickou korespondenci a dělá spoustu potřebných věcí a hlavně zcela zdarma.

Nejlepší bezplatné antivirové programy, které si můžete stáhnout a nainstalovat do svého počítače.
- Super antivirus běžící na pěti motorech. Tento software poskytuje vysoce spolehlivou ochranu počítače a má také možnosti pro obnovení a optimalizaci systému Windows. Je to volba číslo 1 pro mnoho pokročilých uživatelů.

Jeden z nejspolehlivějších bezplatných antivirů. Nejnovější verze je vybavena unikátní technologií Home Network Security – pro zabezpečení vaší domácí Wi-Fi sítě a zařízení k ní připojených.

Důstojná odpověď na placené analogy. Má všechny potřebné nástroje pro spolehlivou ochranu vašeho počítače. Provádí neustálý monitoring systému, stažených souborů a emailů. Nepřetržitě aktualizuje virové databáze.

Norton AntiVirus je výkonný antivirus, který zajišťuje bezpečnost vašeho počítače a chrání systém před různými typy malwaru: internetovými viry, kopírováním trojských koní z vyměnitelných médií a tak dále.

Norton Internet Security je multifunkční program pro maximální ochranu počítače před viry. Tento nástroj se vyznačuje vysokou rychlostí detekce malwaru.

Balíček nástrojů, který poskytuje ultra bezpečné prostředí pro počítač a mobilní zařízení uživatele. Ochranu můžete nainstalovat nejen na plochu Windows, ale také na notebook MacBook Pro nebo tablet s Androidem.

Antivirus nejnovější generace, fungující bez podpisů. Je navržen tak, aby zabránil novým a neznámým hrozbám. S ním se nebudete bát ani zero-day zranitelností, ani cílených pokusů proniknout do vašeho systému.

Avira Free Antivirus je spolehlivý antivirus, který je nejúčinnější při aktivním připojení k internetu, protože díky cloudovým technologiím blokuje 99,99 % virů. Má funkci rodičovské kontroly.

Balíček antivirových aplikací určený pro vysokou úroveň ochrany licencovaných verzí Windows. Při odstraňování nebezpečných souborů vytváří body obnovy pro zálohování.

Dr.Web CureIt je bezplatný program od známé antivirové značky Dr.Web, který umožňuje vyléčit infikovaný počítač od virů.

Nástroj pro určení úrovně ochrany počítače. Kontroluje obranyschopnost antivirového softwaru a firewallu a také vyhledává hrozby ve spuštěných aplikacích.

ESET NOD32 Antivirus je oblíbený antivirus pro spolehlivou ochranu vašeho počítače před různými typy virových hrozeb. Umožňuje skenovat systém a zajistit bezpečné procházení internetu.

AVZ je bezplatný antivirový nástroj, který vám umožňuje provést hloubkovou kontrolu a poté dezinfikovat počítač na přítomnost virů a jiného malwaru.

Nástroj pro nouzové obnovení systému z disku nebo flash disku. Pomáhá nastartovat počítač, který byl poškozen virovým útokem, zbavit se škodlivých komponent a vyléčit infikované soubory.

Kaspersky Anti-Virus 2016 je světově proslulý antivirový program vyvinutý společností Kaspersky Lab k ochraně vašeho osobního počítače před viry a malwarem.

ESET NOD32 Smart Security je výkonný antivirový systém, který poskytuje komplexní ochranu vašeho počítače před různými typy malwaru. Má vestavěný firewall pro bezpečné procházení internetu.

Avast! Internet Security je antivirový systém, který kombinuje schopnosti detekce a neutralizace různých typů virů, trojských koní, spywaru, rootkitů a červů.

Jeden z nejpopulárnějších antivirů. Zahrnuje skener, monitorování v reálném čase, anti-spyware, stahování a kontrolu pošty. Aktualizuje databázi několikrát denně.

Kaspersky Internet Security 2016 je výkonný antivirový program od známé společnosti Kaspersky Lab, který pomůže udržet stabilní a bezpečný provoz vašeho systému.

Avast! Pro Antivirus je výkonný antivirový nástroj, který chrání váš systém před virovými hrozbami. Na rozdíl od Avast! Internet Security nemá vestavěný firewall ani antispamovou funkci.

DrWeb LiveUSB je bezplatný program pro vytvoření disku pro nouzové obnovení na flash disku.

Kaspersky PURE je program pro ochranu počítačů v domácí síti před všemi typy virových hrozeb, malware a podvody.

Comodo Antivirus je bezplatná antivirová aplikace, která poskytuje bezpečné procházení, blokuje online hrozby a prohledává váš počítač na přítomnost virů.

AVG Internet Security je sada programů, pomocí kterých můžete zajistit bezpečný provoz svého počítače. Tyto programy poskytují ochranu proti virům, červům, reklamním bannerům, spamu a dalším.

Kaspersky Virus Removal Tool je bezplatný program pro Windows, známý antivirový produkt společnosti Kaspersky Lab, který odstraňuje viry z vašeho počítače.

Bitdefender Antivirus Free Edition je bezplatný program pro Windows, odlehčená verze známého antiviru, který ochrání váš počítač před vnějšími i vnitřními hrozbami.

Norman Malware Cleaner je snadno použitelný nástroj, který pomáhá odstraňovat škodlivé soubory z vašeho počítače. Nevyžaduje instalaci a může zastavit spuštění infikovaných programů.

Panda Cloud Antivirus je bezplatná verze antiviru od společnosti The Cloud Security Company, která se specializuje na technologie cloudového zabezpečení.

Spyware Doctor je antivirový nástroj, který chrání systém před spywarem, viry, trojskými koňmi a dalšími neštěstími. Kromě toho má antivirus několik typů kontroly systému a plánovač úloh.

Jednou z hlavních součástí každého antiviru je takzvaný antivirový „engine“ - modul zodpovědný za skenování objektů a detekci malwaru. Kvalita detekce malwaru a v důsledku toho i úroveň ochrany, kterou antivirus poskytuje, závisí na antivirovém jádru, na tom, jak je navržen, a jaké metody detekce a heuristiky používá.

Tento článek podrobně popisuje standardní technologie a některé originální přístupy různých vývojářů antivirů implementovaných v antivirovém jádru. Po cestě budou zváženy některé související technické problémy, které jsou nezbytné pro posouzení kvality antivirového enginu a objasnění technologií v něm používaných.

Dobrý nebo špatný "motor"?

Bohužel vývojáři antivirového softwaru velmi zřídka zveřejňují podrobnosti o implementaci svých motorů. Nepřímými znaky však můžete určit, zda je „motor“ dobrý nebo ne. Zde jsou hlavní kritéria, podle kterých můžete určit kvalitu antivirového motoru:

Kvalita detekce. Jak dobře antivirus detekuje viry? Toto kritérium lze posoudit na základě výsledků různých testů, které provádí několik organizací a jsou obvykle prezentovány na webových zdrojích vývojáře.

Úroveň detekce heuristickými analyzátory. Bohužel je nemožné určit tento parametr bez testování na sbírce virů, ale můžete poměrně snadno určit, jaká je úroveň falešných poplachů pro konkrétní engine.

Falešně pozitivní sazba. Pokud u 100% neinfikovaných souborů antivirus hlásí, že detekoval možná infikovaný soubor, pak je to falešně pozitivní. Máme věřit takovému heuristickému analyzátoru, který obtěžuje uživatele falešnými poplachy? Koneckonců, kvůli velkému počtu falešných poplachů může uživatel přehlédnout skutečně nový virus.

Podpora velkého počtu balíčků a archivátorů. To je velmi důležitý faktor, protože často tvůrci malwaru napíšou virus, zabalí jej s několika nástroji pro balení spustitelných modulů a poté, co obdrželi několik různých virů, je vypustí do světa. V podstatě všechny tyto viry jsou instancemi stejné varianty. Pro antivirový modul, který podporuje všechny nebo téměř všechny oblíbené nástroje pro balení, nebude obtížné identifikovat všechny tyto instance stejného viru a nazvat je stejným jménem pro jiné nástroje, bude nutné aktualizovat antivirovou databázi (; stejně jako čas, který antivirovým expertům zabere analýza instance viru).

Frekvence a velikost aktualizací antivirové databáze. Tyto parametry jsou nepřímými známkami kvality motoru. Vzhledem k tomu, že časté vydávání aktualizací zajišťuje, že uživatel bude vždy chráněn před nově se objevujícími viry. Velikost aktualizace (a počet virů zjištěných v této aktualizaci) vypovídá o kvalitě provedení antivirové databáze a částečně i enginu.

Schopnost aktualizovat motor bez aktualizace samotného antivirového programu. Někdy je pro detekci viru nutné aktualizovat nejen antivirovou databázi, ale i samotný „engine“. Pokud antivirus tuto funkci nepodporuje, může uživatel zůstat bez ochrany tváří v tvář novému viru. Kromě toho vám tato funkce umožňuje rychle vylepšit motor a opravit chyby v něm.

Antivirový "engine": existující technologie

S příchodem prvních počítačových virů programátoři rychle přišli na to, jak fungují, a vytvořili první antivirové programy. Od té doby uplynulo poměrně hodně času a moderní antiviry se od těch prvních antivirů liší, stejně jako se liší osobní počítač od kalkulačky.

V prvním odstavci tohoto článku byla uvedena poněkud „naivní“ definice antivirového „motoru“. Dále bude uvedena řada přesných definic a technologických popisů, které vám v konečném důsledku umožní plně porozumět struktuře a algoritmům antivirového enginu.

Anti-Virus Engine je softwarový modul, který je určen k detekci škodlivého softwaru. „Motor“ je hlavní součástí každého antivirového programu bez ohledu na jeho účel. Motor se používá jak v osobních produktech - osobní skener nebo monitor, tak v serverových řešeních - skener pro poštovní nebo souborový server, firewall nebo proxy server. K detekci malwaru zpravidla většina „motorů“ implementuje následující technologie:

Vyhledávání podle "podpisů" (jedinečná sekvence bajtů);
Vyhledávání podle kontrolních součtů nebo CRC (kontrolní součet s jedinečnou posloupností bajtů);
Použití zmenšené masky;
kryptoanalýza;
Statistická analýza;
Heuristická analýza;
Emulace.

Podívejme se na každou z těchto metod podrobněji.

Hledat podle "podpisů"

Signatura je jedinečný „řetězec“ bajtů, který jedinečně charakterizuje konkrétní škodlivý program. Vyhledávání podpisů, v té či oné modifikaci, se používá k detekci virů a dalšího malwaru od prvních antivirových programů až po současnost. Nespornou výhodou vyhledávání signatur je rychlost provozu (samozřejmě pomocí speciálně vyvinutých algoritmů) a schopnost detekovat několik virů jednou signaturou. Nevýhoda - velikost signatury pro spolehlivou detekci musí být poměrně velká, minimálně 8-12 bajtů (obvykle se pro přesnou detekci používají mnohem delší signatury, až 64 bajtů), proto bude velikost antivirové databáze být docela velký. V poslední době se navíc stále více rozšiřují škodlivé programy napsané v jazycích vyšší úrovně (C++, Delphi, Visual Basic) a takové programy mají samostatné části kódu, které se prakticky nemění (tzv. Run Time Library ). Špatně zvolená signatura nevyhnutelně povede k falešné pozitivitě – detekci „čistého“, neinfikovaného souboru jako infikovaného virem. Jako řešení tohoto problému se navrhuje použít buď velmi velké podpisy, nebo použít detekci pro určité datové oblasti, například relokační tabulky nebo textové řetězce, což není vždy dobré.

Hledat podle kontrolních součtů (CRC)

Vyhledávání podle kontrolních součtů (CRC - cyclic redundancy check) je v podstatě modifikací vyhledávání podle signatur. Metoda byla vyvinuta, aby se předešlo hlavním nevýhodám vyhledávání podpisů – velikosti databáze a snížení pravděpodobnosti falešných poplachů. Podstatou metody je, že k hledání škodlivého kódu se bere nejen „referenční“ řádek - podpis, nebo spíše kontrolní součet tohoto řádku, ale také umístění podpisu v těle škodlivého programu. Umístění se používá, abyste nemuseli počítat kontrolní součty pro celý soubor. Místo 10-12 bajtů podpisu (minimum) se tedy použijí 4 bajty pro uložení kontrolního součtu a další 4 bajty pro umístění. Metoda hledání kontrolního součtu je však poněkud pomalejší než hledání podpisu.
Použití masek k detekci škodlivého kódu je poměrně často komplikováno přítomností šifrovaného kódu (tzv. polymorfních virů), protože buď nelze masku vybrat, nebo maska ​​maximální velikosti nesplňuje podmínku jednoznačně identifikace viru bez falešných poplachů.
Nemožnost výběru masky dostatečné velikosti v případě polymorfního viru lze snadno vysvětlit. Šifrováním svého těla virus zajišťuje, že většina jeho kódu v postiženém objektu je proměnná, a proto nemůže být vybrána jako maska. (Samošifrovací a polymorfní viry jsou podrobněji popsány v příloze na konci článku).
K detekci takových virů se používají následující metody: použití redukované masky, kryptoanalýza a statistická analýza. Podívejme se na tyto metody podrobněji.

Použití zmenšené masky

Při infikování objektů virus, který používá šifrování, převádí svůj kód na šifrovanou sekvenci dat:
S = F(T), kde
T - základní kód viru;
S - šifrované virové kódy;
F je funkce šifrování viru, náhodně vybraná z určité sady transformací (F).
Metoda redukované masky spočívá ve výběru transformace R zašifrovaných virových kódů S tak, že výsledek transformace (tj. nějaká sekvence dat S) nebude záviset na transformačních klíčích F, tzn.
S=F(T)
S" = R (S) = R (F (T)) = R" (T).
Při aplikaci transformace R na všechny možné varianty šifrového kódu S bude výsledek S" konstantní při konstantě T. Identifikace dotčených objektů se tedy provádí tak, že se zvolí S" jako redukovaná maska ​​a aplikuje se transformace R na postižené předměty.

Kryptoanalýza

Tato metoda je následující: pomocí známého základního kódu viru a známého šifrovaného kódu (nebo „podezřelého“ kódu podobného zašifrovanému tělu viru) se obnoví klíče a algoritmus dešifrovacího programu. Tento algoritmus je poté aplikován na zašifrovanou část, což má za následek dešifrované tělo viru. Při řešení tohoto problému se musíte vypořádat se systémem rovnic.
Tato metoda zpravidla funguje mnohem rychleji a zabírá mnohem méně paměti než emulace virových instrukcí. Řešení takových systémů je však často velmi složitý úkol.
Kromě toho je hlavním problémem matematická analýza výsledné rovnice nebo výsledné soustavy rovnic. V mnoha ohledech se problém řešení soustav rovnic při obnově zašifrovaného těla viru podobá klasickému kryptografickému problému obnovy šifrovaného textu s neznámými klíči. Zde však tento úkol zní poněkud jinak: je nutné zjistit, zda daný zašifrovaný kód je výsledkem aplikace nějaké funkce známé až klíčům. Navíc je předem známo mnoho dat pro řešení tohoto problému: část šifrovaného kódu, část nešifrovaného kódu, možné varianty transformační funkce. Navíc je v analyzovaných kódech přítomen i samotný algoritmus této transformace a klíče. Existuje však značné omezení, že tento problém musí být vyřešen v rámci specifických hranic RAM a postup řešení by neměl trvat dlouho.

Statistická analýza

Používá se také k detekci polymorfních virů. Skener během své činnosti analyzuje četnost používání příkazů procesoru, sestavuje tabulku nalezených příkazů procesoru (operačních kódů) a na základě těchto informací učiní závěr, zda je soubor napaden virem. Tato metoda je účinná pro vyhledávání některých polymorfních virů, protože tyto viry používají omezenou sadu příkazů v decryptoru, zatímco „čisté“ soubory používají zcela jiné příkazy s jinou frekvencí. Například všechny programy pro MS-DOS často používají přerušení 21h (opcode CDh 21h), ale tento příkaz prakticky nikdy nenajdete v decryptoru polymorfních DOS virů.
Hlavní nevýhodou této metody je, že existuje řada složitých polymorfních virů, které využívají téměř všechny příkazy procesoru a od kopírování ke kopírování se sada použitých příkazů velmi mění, to znamená, že není možné detekovat virus pomocí vytvořené frekvence stůl.

Heuristická analýza

Když počet virů přesáhl několik stovek, začali antiviroví experti přemýšlet o myšlence detekce malwaru, o jehož existenci antivirový program ještě nevěděl (neexistovaly žádné odpovídající signatury). V důsledku toho byly vytvořeny tzv. heuristické analyzátory. Heuristický analyzátor je sada rutin, které analyzují kód spustitelných souborů, maker, skriptů, paměti nebo spouštěcích sektorů za účelem detekce různých typů škodlivých počítačových programů. Existují dva principy fungování analyzátoru.

Statická metoda. Hledání běžných krátkých signatur, které jsou přítomny ve většině virů (tzv. „podezřelé“ příkazy). Velké množství virů například hledá viry pomocí masky *.EXE, otevře nalezený soubor a zapíše do otevřeného souboru. Úkolem heuristiky je v tomto případě najít podpisy, které tyto akce odrážejí. Poté jsou nalezené signatury analyzovány a pokud je nalezen určitý počet nezbytných a dostatečných „podezřelých příkazů“, je rozhodnuto, že soubor je infikován. Velkou výhodou této metody je její snadná implementace a dobrá rychlost, ale úroveň detekce nového malwaru je poměrně nízká.

Dynamická metoda. Tato metoda se objevila současně se zavedením emulace příkazů procesoru do antivirových programů (emulátor je podrobněji popsán níže). Podstatou metody je emulace provádění programu a protokolování všech „podezřelých“ akcí programu. Na základě tohoto protokolu se rozhodne o možné infekci programu virem. Dynamická metoda je na rozdíl od statické metody náročnější na počítačové zdroje, nicméně úroveň detekce dynamické metody je mnohem vyšší.

Emulace

Technologie emulace programového kódu (neboli Sandboxing) byla reakcí na vznik velkého množství polymorfních virů. Myšlenkou této metody je emulovat provádění programu (jak infikovaného virem, tak „čistého“) ve speciálním „prostředí“, nazývaném také emulační vyrovnávací paměť nebo „sandbox“. Pokud se do emulátoru dostane soubor infikovaný polymorfním virem, tak se po emulaci v bufferu objeví dešifrované tělo viru připravené k detekci standardními metodami (podpis nebo CRC vyhledávání).
Moderní emulátory emulují nejen příkazy procesoru, ale také volání operačního systému. Úkol napsat plnohodnotný emulátor je poměrně pracný, nemluvě o tom, že při použití emulátoru musíte neustále sledovat akce každého příkazu. To je nezbytné, aby se zabránilo náhodnému spuštění destruktivních komponent virového algoritmu.
Zvláště je třeba poznamenat, že je nutné emulovat činnost virových instrukcí a ne je stopovat, protože při sledování viru je pravděpodobnost volání destruktivních instrukcí nebo kódů odpovědných za šíření viru příliš vysoká.

Databáze antivirového motoru

Databáze je nedílnou součástí antivirového jádra. Navíc, pokud předpokládáme, že dobře navržený „engine“ se tak často nemění, pak se antivirová databáze mění neustále, protože právě v antivirové databázi jsou signatury, kontrolní součty a speciální softwarové moduly pro detekci malwaru. . Jak víte, nové viry, síťoví červi a další škodlivé programy se objevují se záviděníhodnou frekvencí, a proto je velmi důležité, aby byla antivirová databáze aktualizována co nejčastěji. Pokud před pěti lety stačily týdenní aktualizace, dnes je prostě nutné dostávat aktualizace antivirové databáze alespoň denně.
Je také velmi důležité, co přesně je v antivirové databázi: jsou tam pouze záznamy o virech nebo doplňkových softwarových postupech. V druhém případě je mnohem jednodušší aktualizovat funkčnost antivirového enginu pouhou aktualizací databází.

Podpora pro "složité" vnořené objekty

Antivirové motory se za posledních několik let hodně změnily. Jestliže první antiviry, aby mohly být považovány za prvotřídní program, musely pouze kontrolovat systémovou paměť, spustitelné soubory a boot sektory, pak o pár let později, kvůli rostoucí oblibě speciálních utilit pro balení spustitelných modulů, vývojáři byli postaveni před úkol rozbalit zabalený soubor před jeho skenováním.
Pak nový problém – viry se naučily infikovat archivované soubory (a sami uživatelé často posílali infikované soubory v archivech). Antiviry se musely naučit zpracovávat i archivní soubory. V roce 1995 se objevil první makrovirus, který infikoval dokumenty Microsoft Word. Stojí za zmínku, že formát dokumentu používaný aplikací Microsoft Word je uzavřený a velmi složitý. Řada antivirových společností stále neví, jak takové soubory plně zpracovat.
Antivirové moduly dnes kvůli obrovské oblibě e-mailů zpracovávají jak databáze poštovních zpráv, tak i zprávy samotné.

Detekční metody

Typický antivirový „engine“, který je implementován v každém antivirovém programu, využívá všechny potřebné technologie pro detekci malwaru: efektivní heuristický analyzátor, vysoce výkonný emulátor a především kompetentní a flexibilní architekturu subsystém detekce malwaru, umožňující použití všech výše uvedených metod detekce.
Téměř každý antivirový modul používá jako základní metodu detekci kontrolního součtu. Tento způsob byl zvolen na základě požadavku na minimalizaci velikosti antivirových databází. Architektura enginu je však často tak flexibilní, že umožňuje použití kterékoli z výše uvedených metod detekce, což se dělá u některých zvláště složitých virů. To vám umožní dosáhnout vysoké úrovně detekce virů. Architektura antivirového enginu je podrobněji uvedena na schématu dále v textu.
Praktická aplikace metod detekce polymorfních virů (kryptoanalýza a statistická analýza, použití redukované masky a emulace) spočívá ve výběru metody, která je nejoptimálnější z hlediska rychlosti a velikosti požadované paměti. Kód většiny samošifrovacích virů lze poměrně snadno obnovit emulační procedurou. Pokud použití emulátoru není optimální řešení, pak se kód viru obnoví pomocí podprogramu, který implementuje inverzní transformaci – kryptoanalýzu. Pro detekci virů, které nelze emulovat, a virů, pro které není možné sestrojit inverzní transformaci, se používá metoda konstrukce redukovaných masek.
V některých nejsložitějších případech se používá kombinace výše uvedených metod. Část dešifrovacího kódu je emulována a příkazy, které jsou ve skutečnosti zodpovědné za dešifrovací algoritmus, jsou extrahovány z dešifrovacího zařízení. Poté se na základě obdržených informací sestaví a vyřeší systém rovnic pro obnovu kódu viru a jeho detekci.
Kombinace metod se používá také při použití vícenásobného šifrování, kdy virus zašifruje své tělo několikrát různými šifrovacími algoritmy. Často se používá kombinovaná metoda obnovy informací nebo „čistá“ emulace dešifrovacího kódu z toho důvodu, že každý nový virus musí být analyzován a zařazen do antivirové databáze v co nejkratší době, která se ne vždy vejde do potřebné matematická analýza. A v důsledku toho musíte pro detekci viru používat těžkopádnější metody, přestože metody matematické analýzy dešifrovacího algoritmu jsou docela použitelné.

Práce se "složitými" objekty

Antivirové motory podporují práci s velkým množstvím balíčků a archivačních formátů. Vývojáři málokdy zveřejňují kompletní (nebo alespoň dostatečně podrobný) seznam podporovaných formátů. Níže jsou oficiálně zveřejněné informace o podpoře „komplexních“ formátů v aplikaci Kaspersky Anti-Virus. V ostatních antivirových produktech by měl být seznam podporovaných formátů přibližně stejný.
Modul Kaspersky Anti-Virus podporuje práci s více než 400 různými nástroji pro balení spustitelných souborů, instalátorů a archivátorů (celkem více než 900 modifikací, k květnu 2003). Mezi nimi:

Packery spustitelných souborů a šifrovací systémy. Nejoblíbenější z nich: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb, SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (několik verzí), WWPACK, ASPack (několik verzí), ASProtect (několik verzí), Astrum, BitArts, BJFnt, Cexe, Cheaters , Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (několik verzí), PCCShrink, PE-D- PELock, PEncrypt, PE-Pack (několik verzí), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
Podpora tolika balíčků a archivátorů umožňuje zkrátit dobu analýzy nových virů, což vede ke zvýšení rychlosti reakce na výskyt nového viru, a dosáhnout vysoké úrovně detekce již známých virů.

Archivátoři a instalátoři (celkem více než 60). Nejoblíbenější z nich: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (několik verzí), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, Effect Office.
Podpora velkého počtu typů archivátorů je zvláště důležitá pro skenování poštovních systémů, protože naprostá většina virů se posílá poštou v archivované podobě. Objekty jsou rozbaleny bez ohledu na úroveň vnoření archivů. Pokud je například infikovaný soubor zabalen s UPX a poté je soubor zabalen do archivu ZIP, který je zabalen do archivu CAB atd., pak by antivirový modul měl být stále schopen dosáhnout původního souboru a detekovat virus.
Je třeba poznamenat, že takové úvahy nejsou v žádném případě teoretické. Proto je široce známý trojský program Backdoor.Rbot, který byl distribuován s mnoha různými programy (Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock , PESpin, TeLock, Molebox, Yoda, Ezip, Krypton atd.).
Algoritmus rozbalování archivu má obvykle dostatek inteligence, aby nerozbalil všemožné „archivní bomby“ – malé archivy, které obsahují velké soubory (s velmi vysokým kompresním poměrem) nebo několik stejných souborů. Skenování takového archivu obvykle zabere spoustu času, ale moderní antivirové nástroje často takové „bomby“ rozpoznávají.

Mechanismus aktualizace antivirových databází a jejich velikost

Aktualizace antivirové databáze jsou obvykle vydávány několikrát denně. Někteří jsou schopni vydávat aktualizace jednou za hodinu, někteří - každé dvě hodiny. V každém případě je při současné vysoké míře nebezpečí na internetu taková častá aktualizace antivirových databází zcela opodstatněná.
Velikost aktualizací svědčí o promyšlené architektuře antivirového enginu. Velikost pravidelných aktualizací od předních společností v oboru tedy zpravidla nepřesahuje 30 KB. Antivirové databáze přitom obvykle obsahují zhruba 70 % funkčnosti celého antivirového jádra. Jakákoli aktualizace antivirové databáze může přidat podporu pro nový balič nebo archivátor. Denní aktualizací antivirové databáze tak uživatel získává nejen nové postupy pro detekci nového malwaru, ale také aktualizaci celého antiviru. To umožňuje velmi pružně reagovat na situaci a zaručit uživateli maximální ochranu.

Heuristický analyzátor

Heuristický analyzátor, který je součástí téměř každého antiviru, využívá obě výše popsané metody analýzy – kryptoanalýzu a statistickou analýzu. Moderní heuristický analyzátor je od základu navržen tak, aby byl rozšiřitelný (na rozdíl od většiny heuristických analyzátorů první generace, které byly navrženy k detekci malwaru pouze ve spustitelných modulech).
V současné době dokáže heuristický analyzátor detekovat škodlivý kód ve spustitelných souborech, sektorech a paměti, stejně jako nové skriptové viry a malware pro Microsoft Office (a další programy využívající VBA) a nakonec škodlivý kód napsaný v jazycích vyšší úrovně, jako je např. jako Microsoft Visual Basic.
Flexibilní architektura a kombinace různých metod nám umožňuje dosáhnout poměrně vysoké úrovně detekce nového malwaru. Vývojáři zároveň vynakládají veškeré úsilí, aby počet falešných poplachů snížili na minimum. Produkty prezentované lídry v antivirovém průmyslu jen zřídka dělají chyby při detekci škodlivého kódu.

Schéma fungování antivirového enginu

Níže uvedený diagram popisuje přibližný algoritmus pro provoz antivirového jádra. Je třeba poznamenat, že k emulaci a vyhledávání známého a neznámého malwaru dochází současně.

Schéma fungování typického antivirového jádra na příkladu Kaspersky Anti-Virus

Jak již bylo zmíněno výše, při aktualizaci antivirové databáze jsou aktualizovány a doplněny také moduly pro rozbalení zabalených souborů a archivů, heuristický analyzátor a další moduly antivirového jádra.

Originální technologie v antivirových enginech

Téměř každý vývojář antivirových produktů implementuje některé ze svých vlastních technologií, díky nimž je program efektivnější a produktivnější. Některé z těchto technologií přímo souvisejí s konstrukcí „motoru“, protože výkon celého řešení často závisí na jeho provozu. Dále se budeme zabývat řadou technologií, které mohou výrazně urychlit kontrolu objektů a zároveň zaručit zachování vysoké kvality detekce a také zlepšit detekci a léčbu škodlivého softwaru v archivovaných souborech.
Začněme technologií iChecker. Tato technologie a její analogy jsou implementovány téměř v každém moderním antiviru. Je třeba poznamenat, že iChecker je název navržený specialisty společnosti Kaspersky Lab. Odborníci například Panda Software nazývají UltraFast. Tato technologie umožňuje dosáhnout rozumné rovnováhy mezi spolehlivostí ochrany pracovních stanic (a zejména serverů) a využitím systémových prostředků chráněného počítače. Díky této technologii se výrazně zkracuje doba načítání (až o 30-40 %) operačního systému (ve srovnání s tradiční antivirovou ochranou) a doba spouštění aplikací s aktivní antivirovou ochranou. Tím je zajištěno, že všechny soubory na discích počítače byly zkontrolovány a nejsou infikovány. Hlavní myšlenkou této technologie je, že není třeba kontrolovat to, co se nezměnilo a již bylo zkontrolováno. Antivirové jádro udržuje speciální databázi, ve které jsou uloženy kontrolní součty všech zkontrolovaných (a neinfikovaných) souborů. Nyní, před odesláním souboru k ověření, „engine“ vypočítá a porovná kontrolní součet souboru s daty uloženými v databázi. Pokud se data shodují, znamená to, že soubor byl zkontrolován a opakovaná kontrola není nutná. Stojí za zmínku, že čas strávený výpočtem kontrolních součtů souborů je výrazně kratší než čas antivirové kontroly.
Zvláštní místo v práci antiviru zaujímá léčba archivovaných infikovaných objektů. Právě o tom bude řeč dále. iCure je technologie pro léčbu infikovaných souborů v archivech. Díky této technologii budou infikované objekty uvnitř archivovaných souborů úspěšně dezinfikovány (nebo smazány v závislosti na nastavení antiviru) bez použití externích archivačních utilit. Dnes většina antivirů podporuje následující typy archivů: ARJ, CAB, RAR, ZIP. Díky modulární architektuře a technologiím pro aktualizaci antivirového jádra může uživatel zpravidla snadno aktualizovat a rozšířit seznam podporovaných typů archivátorů bez restartování antiviru.
iArc je další technologie pro práci s archivními soubory. Tato technologie je nezbytná pro práci s vícesvazkovými archivy. iArc umožňuje skenovat vícesvazkové archivy a detekovat viry, i když jsou zabaleny do vícesvazkového archivu, který bude také zabalen do vícesvazkového archivu.
Vícevláknové zpracování. Antivirový „engine“ je vícevláknový modul a dokáže současně zpracovávat (kontrolovat škodlivé kódy) několik objektů (soubory, sektory, skripty atd.).
Většina z výše uvedených technologií je v té či oné podobě implementována v každém moderním antivirovém produktu.

Polymorfní viry

V celém článku se často používaly termíny „polymorfní“ a „samošifrovací“ viry. Jak mělo být z předchozích diskusí zřejmé, právě tento typ škodlivého kódu měl silný vliv na vývoj antivirových technologií. Níže jsou uvedeny informace o polymorfních virech poskytnuté odborníky společnosti Kaspersky Lab.

Základní definice: samošifrování a polymorfismus. Používají je téměř všechny typy virů, aby se co nejvíce zkomplikovala procedura detekce virů. Polymorfní viry jsou poměrně obtížné detekovat viry, které nemají signaturu, to znamená, že neobsahují jediný konstantní úsek kódu. Ve většině případů dva vzorky stejného polymorfního viru nebudou mít jedinou shodu. Toho je dosaženo zašifrováním hlavního těla viru a úpravou dešifrovacího programu. Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují i ​​další, poněkud exotické příklady polymorfismu: například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.
Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače

Nejjednodušším příkladem částečně polymorfního dešifrovače je následující sada příkazů, v důsledku čehož není při infikování různých souborů konstantní ani jeden bajt kódu samotného viru a jeho dešifrovače:

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z
MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP
MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit
_smyčka:
xxx byte ptr, reg_2 ; xor, add nebo sub
DEC reg_1
Jxx_loop ; ja nebo jnc
; Následuje šifrovaný kód a data viru

Složité polymorfní viry používají mnohem složitější algoritmy pro generování kódu svých dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupovány z infekce na infekci, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC, atd.
Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možnými režimy adresování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows 95 EXE.
Výsledkem je, že na začátku souboru infikovaného takovým virem je soubor zdánlivě nesmyslných pokynů. Je zajímavé, že některé kombinace, které jsou docela funkční, nejsou akceptovány proprietárními disassemblery (například kombinace CS:CS: nebo CS:NOP). A mezi touto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu

Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dešifrovačích těchto virů. Toto rozdělení poprvé navrhl Dr. Alan Solomon, po nějaké době je Vesselin Bonchev rozšířil:

Úroveň 1: Viry, které mají určitou sadu dešifrovačů s konstantním kódem; když se nakazí, vyberou si jednoho z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: "Cheeba", "Slovensko", "Whale".

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je nestabilní.

Úroveň 3: Dešifrovač obsahuje nepoužité instrukce - "smetí" jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.

Úroveň 5: Používají se všechny výše uvedené techniky, dešifrovací algoritmus není konstantní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.

Úroveň 6: Permutující viry. Hlavní kód viru podléhá změnám – je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedená klasifikace má své nevýhody, protože se provádí podle jediného kritéria - schopnosti detekovat virus pomocí dešifrovacího kódu pomocí standardní techniky virových masek:

Úroveň 1: k detekci viru stačí mít několik masek;
Úroveň 2: detekce masky pomocí „zástupných karet“;
Úroveň 3: detekce maskou po odstranění „odpadkových“ pokynů;
Úroveň 4: maska ​​obsahuje několik možností pro možný kód, to znamená, že se stává algoritmickou;
Úroveň 5: neschopnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. Avšak v tomto viru byl algoritmus generování odpadků doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.
Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.
Objektivnější klasifikace by byla taková, ve které jsou kromě kritéria virových masek zahrnuty také další parametry, například:

Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače);
Použití speciálních technik, které znesnadňují emulaci antivirům;
Stálost dešifrovacího algoritmu;
Stálost délky dešifrovače.

Změna spustitelného kódu

Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.
Tato metoda je méně často používána složitými zaváděcími viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také kombinovat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.
Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „odpad“, nastaví nové hodnoty offsetu na datech ve svých montážních pokynech, změní konstanty, atd. Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

Nemusíte hledat daleko, abyste mohli použít bezplatný antivirus jako alternativu k placeným produktům k ochraně počítače před viry, spywarem a dalšími hrozbami. Operační systém Microsoft má svůj vlastní antivirus – standardní aplikaci, která poskytuje základní úroveň ochrany počítače. Mnoho lidí to z různých důvodů nebere vážně, ale o nedostatečné účinnosti Windows Defenderu se dá rozumně hovořit jen na základě různých nezávislých testů, kde standardní antivir systému vykazuje, bohužel, k dokonalým výsledkům daleko. Naštěstí dnes na softwarovém trhu existuje množství bezplatných a také chytrých řešení pro ochranu vašeho počítače před malwarem. Jejich přehled bude uveden níže. V tomto článku se podíváme na možnosti sedmi bezplatných antivirů pro operační systém Windows.

Recenze účastníků (je uveden odkaz ke stažení programů z jejich oficiálních webových stránek):

1. Nano Antivirus (http://www.nanoav.ru/index.php?option=com_content&view=article&id=23391&Itemid=74&lang=ru);
2. Avira Free Antivirus (http://www.avira.com/ru/avira-free-antivirus);
3. Zillya! Antivirus (http://zillya.ua/ru);
4. Panda Free Antivirus (http://www.pandasecurity.com/russia/homeusers/solutions/free-antivirus);
5. Kaspersky 365 (http://www.kaspersky.ru/free-antivirus);
6. 360 Total Security (http://www.360totalsecurity.com/ru);
7. Comodo Internet Security (http://www.comodorus.ru/free_versions/detal/comodo_free/8).

1. Nano Antivirus

Začněme recenzi domácím produktem. Nano Antivirus je plnohodnotný softwarový produkt od ruských vývojářů, založený na vlastním antivirovém enginu. Má standardní sadu funkcí pro základní úroveň ochrany počítače - přizpůsobitelné typy kontroly (včetně plánované kontroly), ochrana v reálném čase proti všem typům hrozeb, webová ochrana. Kromě standardní sady funkcí nabízí Nano Anti-Virus funkci zapnuté/deaktivované ochrany souborů podobnou standardnímu filtru Windows SmartScreen. Nano Antivirus je nenáročný na systémové prostředky vašeho počítače a má jednoduché, nevkusné, ale uživatelsky přívětivé rozhraní.

Ve funkčnější verzi Nano Antivirus Pro získáváme více funkcí než v bezplatné verzi. Pravda, mezi funkčností druhého jmenovaného, ​​a to jsou různá témata designu rozhraní, herní antivirový režim, vytváření více než 3 úkolů v plánovači, jediná věc, která opravdu stojí za to, je ve skutečnosti technická podpora od vývojáře prostřednictvím osobních komunikačních kanálů. .

Jak se na seriózní antivirový projekt sluší a patří, má Nano Antivirus svůj tzv. cloudový skener – bezplatné online skenování jednotlivých souborů k identifikaci hrozeb. Cloudový skener je k dispozici na oficiálních stránkách antiviru Nanoav.Ru a také ve formátu aplikace Metro „Nano Antivirus Sky Scan“ pro Windows 8.1 a 10. Tuto aplikaci lze nainstalovat zdarma v obchodě Windows.

2. Avira Free Antivirus

Avira Free Antivirus, duchovní dítě německých vývojářů, je na trhu bezpečnostního softwaru pro Windows zastaralý. Před několika lety byl velmi populární kvůli menšímu počtu bezplatných nabídek mezi užitečnými antiviry. Základní úroveň ochrany v Avira Free Antivirus představuje antivirový skener s možností výběru různých oblastí počítače, ochrana v reálném čase a vestavěný firewall. Kromě různých oblastí kontroly lze kontrolu provádět v rámci vyhledávání samostatného typu hrozby – rootkitů.

Bezplatná verze tohoto antiviru nemá moduly pro ochranu pošty a webu, ale ty lze implementovat instalací rozšíření z Avira v Internet Explorer, Google Chrome, Mozilla Firefox a také v klonovaných prohlížečích, které podporují práci s rozšířeními posledně jmenovaných. . Taková rozšíření duplikují vestavěnou ochranu prohlížečů před škodlivými kódy na internetu a podvodnými stránkami.

V placené verzi Avira Antivirus Pro získáme vylepšenou webovou ochranu, možnost skenování jednotlivých souborů pomocí cloudové technologie v reálném čase, herní režim, ochranu pošty, zabránění malwaru v deaktivaci antiviru a technickou podporu.

V současné době není Avira Free Antivirus tím nejlepším řešením pro počítače s nízkou spotřebou. Na trhu bezplatných antivirů existují řešení, která jsou z hlediska využití systémových prostředků ekonomičtější. Jedná se zejména o výše diskutovaný Nano Anti-Virus nebo například o dalšího účastníka recenze - Zillya! antivirus.

3. Zillya! antivirus

Zillya! Antivirus je odpovědí Rusům a Němcům od ukrajinských vývojářů v podobě bezpečnostního produktu pro Windows založeného na vlastním antivirovém enginu. Stejně jako předchozí účastníci recenze poskytuje bezplatná verze ukrajinského antiviru základní úroveň ochrany počítače. Tento antivirus je ideální pro nové uživatele, protože Zillya! Antivir má pěkné intuitivní rozhraní. A díky velkým ovládacím prvkům je tento antivirus pohodlným řešením pro dotyková zařízení s malými obrazovkami. Základní úroveň ochrany již tradičně představuje funkce kontroly jednotlivých oblastí počítače (včetně možnosti přidělovat úkoly v plánovači) a ochrana v reálném čase (funkce „Watchman“). Kromě toho dostaneme zdarma modul pro skenování pošty pro hrozby a USB filtr pro kontrolu připojených USB disků, které jsou ve výchozím nastavení stále aktivní.

Zdarma Zillya! Antivirus také poskytuje volbu režimu ochrany počítače - ekonomický, optimální, maximální. Chcete-li získat přístup k pokročilým nastavením, musíte antivirus zaregistrovat přihlášením pomocí e-mailu nebo oblíbených účtů sociálních sítí.

Placené pokračování Zillya! Antivirus je komplexní ochranný balíček od Zillya! Internet Security, která již obsahuje moduly pro webový filtr, rodičovskou kontrolu, skartovačku souborů (přepisování souborů na pevném disku) a další pro běžného člověka nepotřebné funkce.

4. Panda Free Antivirus

Panda Free Antivirus je bezplatná verze antiviru z řady četných softwarových produktů pro ochranu PC od španělské vývojářské společnosti Panda Security SL. Zvláštností tohoto antiviru je technologie cloudové ochrany, která zajišťuje umístění antivirových databází na internetu - na serverech tvůrce antiviru, které jsou tam aktualizovány v reálném čase. Zatímco na počítačích uživatelů je pouze klientská část softwarového produktu. Klientská část - rozhraní antivirového softwaru nainstalované v systému - využívá minimum počítačových systémových prostředků, protože veškerá práce se neprovádí lokálně na počítači uživatele, ale na vzdálených serverech Panda Security SL.

Klient Panda Free Antivirus má pěkné intuitivní rozhraní s velkými ovládacími prvky. Dlaždice programových modulů v hlavním okně lze přesouvat a přizpůsobit si rozhraní tak, aby vyhovovalo vašim preferencím.

Panda Free Antivirus ve srovnání s ostatními účastníky této recenze poskytuje možná nejvíce nestandardní sadu ochranných modulů pro bezplatný antivirový produkt. Ze standardních modulů najdeme pouze možnost kontroly různých oblastí počítače za účelem detekce hrozeb (s plánovačem plánované kontroly).

Co jsou tyto nestandardní ochranné moduly? Antivir je nainstalován s výchozí funkcí spuštění kontroly, když jsou k počítači připojena zařízení USB. A pokud je to nutné, mohou být tyto „očkovány“ úplně. Když povolíte funkci očkování zařízení USB v Panda Free Antivirus, automatické spouštění bude zakázáno pro všechna paměťová média připojená přes port USB. Sledování procesu v bezplatném antiviru je poměrně vzácný jev a můžeme to vidět, když si k ochraně svého počítače vybereme Panda Free Antivirus. V okně sledování procesů uvidíme tabulku se spuštěnými systémovými procesy, které využívají síť. Každý z procesů bude zobrazen s přiřazenou bezpečnostní klasifikací. Podezřelé procesy lze zablokovat v okně úplné zprávy.

Panda Free Antivirus se pokusí pomoci i v kritické situaci, kdy jeho práci na počítači blokuje malware. K tomu však budete muset nainstalovat tento antivirus na jiný počítač a vytvořit nouzový USB disk s antivirem. Nebo ho poskytněte předem.

5. Kaspersky zdarma

Kaspersky Free, dříve známý jako Kaspersky 365, je bezplatná edice antivirového produktu od společnosti Kaspersky Lab. Bezplatná aplikace Kaspersky Free je založena na stejném antivirovém modulu jako placené produkty vývojáře, a proto je při ochraně před hrozbami stejně účinná jako poslední. Je pravda, že bezplatné používání antiviru má své limity a jsou dočasné. Bezplatná licence se aktivuje při instalaci programu a je platná pouze jeden rok.

Kaspersky Free má optimální seznam modulů pro ochranu počítače průměrného běžného uživatele. Taková harmonie funkčnosti je u bezplatných produktů vzácná, protože získáváme plnohodnotný antivirový skener s plánovačem úloh, ochranou v reálném čase, webovou ochranou, kontrolou pošty a dokonce sledováním přítomnosti programů pro messenger nainstalovaných v systému. škodlivých odkazů ve zprávách doručené pošty.

Placená řešení i bezplatná edice Kaspersky Free mohou počítat s řešením dlouho známého problému aktivního pohlcování prostředků počítačového systému produkty Kaspersky Lab. V nastavení antiviru můžeme kromě přednastavené možnosti přidělování prostředků při načítání Windows aktivovat i funkci přednostního využívání prostředků počítače jiným programům pro jejich potřeby při provozu systému.

6. 360 Total Security

360 Total Security je bezplatný funkční softwarový balíček pro ochranu vašeho počítače a zlepšení jeho výkonu pomocí integrovaného antivirového modulu od čínské vývojářské společnosti Qihoo. V něm uvidíme mnoho funkcí, z nichž některé jsou v jiných sestavách bezpečnostního softwaru nabízeny pouze v placených verzích a některé jsou dokonce poskytovány v samostatném softwaru. Jedná se zejména o režim „Sandbox“ (Sandbox, virtuální prostředí pro izolované spouštění spustitelných souborů), funkce pro čištění a optimalizaci systému, komprimaci místa na disku, ochranu nastavení prohlížeče a dokonce i správu aktualizací systému Windows. V případě potřeby si můžete také aktivovat bezplatný firewall GlassWire třetích stran a také využít funkci 360 ​​Connect, v rámci které lze spravovat ochranu vašeho počítače prostřednictvím mobilní aplikace pro zařízení iOS a Android.

Vývojáři zbystřili i s antivirovým modulem. V 360 Total Security je až pět antivirových enginů, avšak dva z nich – enginy známých antivirů Avira a BitDefender – jsou zpočátku neaktivní a lze je na žádost uživatele aktivovat. Které tři motory jsou ve výchozím nastavení aktivní? Jedním z nich je cloudový skener 360 ​​Cloud, druhý je motorem pro řešení problémů v operačním systému a třetí je navržen tak, aby poskytoval ochranu v reálném čase.

Ke standardní sadě ochrany v reálném čase, skenování různých oblastí počítače a webové ochrany lze v případě potřeby přidat také rozšíření pro prohlížeče Google Chrome, Mozilla Firefox, Opera a Yandex Browser, která zabraňují webovým hrozbám.

Rozhraní 360 Total Security může být každý den zdobeno různými motivy designu. Program je nenáročný na systémové prostředky počítače.

7. Comodo Internet Security

Comodo Internet Security je samovysvětlující softwarový produkt od amerického vývojáře Comodo Group Inc. Stejně jako předchozí účastník recenze, Comodo Internet Security je vzácný bezplatný software s pokročilými funkcemi. Ale na rozdíl od 360 ​​Total Security má produkt Comodo všechny poskytované funkce, abych tak řekl, k věci. Comodo Internet Security pracuje na ochraně vašeho počítače před hrozbami, spíše než na čištění a optimalizaci systému. Na palubě najdeme antivirový modul s ochranou v reálném čase, webovou ochranou a sadou oblastí pro skenování (včetně plánovače) a tzv. skenování reputace. Posledně jmenované je cloudové skenování oblastí vašeho počítače, které jsou často postiženy malwarem, a získává tak bezpečnostní hodnocení pro skenované soubory.

Comodo Internet Security také poskytuje firewall, režim Sandbox a jedinečnou funkci, kterou nenajdete v žádném z antivirů účastnících se této recenze (stejně jako ve spoustě dalšího bezpečnostního softwaru) – virtuální desktop. Virtuální plocha je izolovaný prostor typu „Sandbox“, kde můžete navštěvovat jakékoli internetové stránky a spouštět pochybné aplikace. V režimu virtuální plochy tabletu budeme také moci pracovat s webovými aplikacemi, jako je Chrome OS. Seznam předinstalovaných webových aplikací lze doplnit libovolnými dalšími z obchodu Google Chrome.

Nebudou ale fungovat přímo s Google Chrome, ale s jeho „vyladěným“ klonem – prohlížečem Chromodo, v podstatě stejný Chrome, ale s předinstalovanými rozšířeními pro bezpečné surfování po webu od Comodo. Prohlížeč Chromodo je standardně nainstalován s Comodo Internet Security.

Rozhraní Comodo Internet Security je jednoduché a intuitivní pouze povrchně. Pokud se budete chtít ponořit do nastavení, zjistíte, že jejich organizace je poněkud nepohodlná. A s množstvím různých možností mnozí hned nepochopí, co je co. Comodo Internet Security je flexibilní a přizpůsobitelný produkt natolik, že nastavení poskytuje vlastní export-import pro případy přeinstalace programu.

Můžete experimentovat s instalací Comodo Internet Security na slabé počítače a notebooky. Toto není nejlehčí produkt ze všech výše uvedených, ale bude lehčí než Avira Free Antivirus a Kaspersky Free.

Měj krásný zbytek dne!

(c) Frolov Alexander Vjačeslavovič, 2002
E-mailem: [e-mail chráněný]
Web: http://www.frolov.pp.ru, http://www.datarecovery.ru

Vytvoření spolehlivě fungujícího informačního systému jakékoli úrovně složitosti je nemožné bez použití speciálních prostředků ochrany proti počítačovým virům. Taková ochrana je zvláště aktuální v dnešní době, kdy je stále více počítačů propojeno sítí a připojeno k internetu. Špatné výpočty provedené při organizaci antivirové ochrany mohou vést nejen k dočasnému narušení počítačových systémů, ale také k nenapravitelné ztrátě dat.

Když je běžný antivir bezmocný

První viry se šířily prostřednictvím programových souborů a boot sektorů disket, takže není divu, že většina antivirových programů je navržena speciálně pro skenování souborů. Dnes jsou hlavním kanálem pro šíření počítačových virů soubory kancelářských dokumentů přenášené e-mailem. Proto je kontrola souborů jedním z nejdůležitějších prostředků antivirové ochrany.

Ti z vás, kteří se omezují pouze na používání běžných souborových antivirů, jsou však vystaveni velkému riziku. Souborové antiviry nejsou schopny detekovat škodlivý kód např. v datových tocích procházejících internetovými kanály a v databázích informačních a výpočetních systémů.

Kromě souborových antivirů existují i ​​specializované antivirové programy, které dokážou filtrovat datové toky procházející přes emailové servery, firewally a proxy servery. Existují antivirová řešení pro systémy správy dokumentů, jako jsou IBM Lotus Notes a Microsoft Exchange.

Existuje však velké množství „nestandardních“ informačních systémů, serverů, služeb a programů, pro jejichž ochranu nelze použít hotové antiviry. Jako příklad můžeme uvést různé účetní informační systémy, automatizační systémy pro tok dokumentů a různé činnosti podniků, skladové a účetní systémy atd. Použití konvenčních antivirů k ochraně takových systémů může být neúčinné, protože K ukládání dokumentů používají spíše databáze než soubory.

Uvědomujíce si důležitost antivirové ochrany, hledají tvůrci informačních výpočetních systémů a internetových služeb různé způsoby, jak problém vyřešit pomocí konvenčních souborových antivirů. Například poštovní server Merak (http://www.icewarp.com) může skenovat poštu, která jím prochází, pomocí téměř jakéhokoli externího antivirového programu, který může pracovat v dávkovém režimu. Během procesu kontroly jsou soubory příloh e-mailových zpráv zkopírovány do dočasných souborů, které jsou poté zkontrolovány antivirem.

Nutno podotknout, že použití dočasných souborů a externích antivirových programů není nejlepším řešením a v některých případech je tato technologie zcela nevhodná. Vytváření dočasných souborů plýtvá prostředky počítače, což zpomaluje zpracování dat. Dočasné soubory budou také velmi neúčinné pro kontrolu internetového provozu procházejícího přes firewally nebo proxy servery.

Licencování antivirového enginu

Mezitím mohou vývojáři softwaru zabudovat antivirový modul do svých vlastních programů a softwarových systémů. K tomu je třeba zakoupit licenci na antivirový engine a antivirové databáze od některé z antivirových společností.

Tvůrci softwaru, kteří budou mít licenci k používání antivirového jádra ve svém vlastním vývoji, jej budou moci používat s maximální efektivitou. Antivirový modul lze zabudovat téměř do každého informačního systému nebo programu, který zpracovává dokumenty nebo soubory.

Jako tvůrce nástroje pro archivaci a zálohování dat můžete například skenovat všechny zkopírované soubory, s výjimkou počítačových virů ze vstupu do archivů dat nebo obnovy infikovaných souborů z tohoto archivu.

Vytvořením vlastní internetové služby, jako je e-mailový server, firewall, proxy server nebo webová stránka pro distribuci sharewaru a freewaru, ji můžete účinně chránit před počítačovými viry. V takovém případě se nebudete muset uchylovat k různým trikům jako je vytváření dočasných souborů a připojování externích antivirových programů.

S licencí na používání antivirového jádra můžete dokonce vydat svůj vlastní antivirový program. Takový program bude kombinovat výkonné nástroje antivirové ochrany vyvinuté profesionály v této oblasti a další doplňkové funkce, které nenajdete v běžných antivirových programech. Může implementovat například uživatelské rozhraní v jakémkoli národním jazyce, nést reklamu pro vaši společnost, provádět jakékoli další kontroly nebo mít další funkce.

Příklady integrace antivirového jádra

Níže uvedeme několik úspěšných příkladů integrace domácích antivirových modulů na základě licencí do různých programů a systémů.

Na základě dohody uzavřené mezi JSC DialogNauka (http://www.dials.ru) a FSUE NPO Mashinostroeniya bylo jádro slavného antiviru Doctor Web použito k ochraně systému správy dokumentů vytvořeného na základě vlastní technologie Sapiens ( http://www.npomit.ru). Všechny informace uložené tímto systémem v databázi jsou kontrolovány antivirovým jádrem Doctor Web.

Jednou z činností FSUE „NPO Mashinostroeniya“ je vytváření informačních systémů pro federální úřady, veřejné organizace, veřejné a soukromé společnosti a také poskytování služeb na trhu informačních technologií. "NPO Mashinostroeniya" je hlavní vývojář integrovaného informačního a výpočetního systému (IICS) Ministerstva průmyslu a vědy Ruska a IICS Vysoké ekonomické školy státní univerzity.

Jako vývojáři informačních systémů pro kritické použití NPO Mashinostroyenia poskytla antivirovou ochranu takovým svým vývojům, jako je registrace a kontrola provádění dokumentů Sapiens, monitorování výpočetních zdrojů Sapiens, elektronický archiv projektové dokumentace Sapiens.

Dalším úspěšným příkladem licencování antivirového jádra Doctor Web je antivirové skenování v e-mailovém systému DIONIS, který vytvořila tuzemská společnost FACTOR (http://www.rospac.ru/dion.htm). Tento systém je využíván zejména pro zpracování poštovní korespondence v rámci státního automatizovaného systému "Volby" a také na Ministerstvu daní a poplatků.

Pokud vyvíjíte webový projektor, můžete si díky vlastnictví licence na antivirový modul vytvořit vlastní antivirovou službu na internetu. Příkladem je antivirus Defender, který vytvořila americká společnost eAcceleration.com pomocí jádra Doctor Web. Tento antivirus je určen pro on-line kontrolu souborů (obr. 1).

Rýže. 1. Defender Antivirus z eAcceleration.com

Pravděpodobně mnozí z vás museli vypálit CD-R nebo CD-RW CD. Tyto disky jsou velmi vhodné pro vytváření záloh a archivů. Německá společnost Ahead Software (http://www.nero.com) integrovala antivirový modul Doctor Web do svého programu Nero Burning ROM (obr. 2). To vám umožní chránit vytvořené archivy před počítačovými viry bez instalace dalších antivirových programů. Nero Burning ROM dokáže aktualizovat antivirovou databázi přes internet, což je nezbytné pro účinnou antivirovou ochranu.

Rýže. 2. Vestavěná antivirová kontrola v Nero Burning ROM

Na základě jádra Doctor Web vytvořila čínská společnost Kingsoft (http://www.iduba.net) vlastní antivirus iDuba.net (obr. 3).

Rýže. 3. iDuba.net antivirus s čínským uživatelským rozhraním

Na základě jádra Doctor Web byl vytvořen plugin pro populární e-mailový program The Bat!. Zajišťuje, že každá zpráva nebo příloha je zpracována na základě výsledku antivirové kontroly a poskytuje antivirovou ochranu poštovního systému, i když je rezidentní stráž deaktivována nebo není nainstalována. Antivirový modul kontroluje příchozí poštu při jejím přijetí i při otevření přílohy.

Známý domácí antivirový vývojář Kaspersky Lab také licencuje antivirové jádro Kaspersky Antivirus pro použití výrobci softwaru třetích stran.

Konkrétně jádro Kaspersky Anti-Virus je integrováno do softwarového balíčku Antigen od Sybari Software. Tento komplex poskytuje plnou ochranu podnikových poštovních bran. Díky tomu se jedinečné technologie detekce a neutralizace virů společnosti Kaspersky Lab staly dostupnými pro tisíce podniků po celém světě, které používají Antigen.

V důsledku dohody dosažené mezi Kaspersky Lab (http://www.kaspersky.ru) a Ritlabs (http://www.ritlabs.com/ru) byly zavedeny funkce antivirového filtrování pro výše uvedené e-mailový program The Bat! Díky spolupráci s Kaspersky Anti-Virus mohou uživatelé The Bat! jsou zajištěny automatickou antivirovou kontrolou veškeré příchozí a odchozí pošty ihned v okamžiku jejího doručení nebo odeslání.

Společnost Aladdin Knowledge Systems, jeden ze světových lídrů v oblasti ochrany počítačových dat, integrovala softwarové jádro Kaspersky Anti-Virus do svého komplexu eSafe. Uživatelé Aladdin eSafe tak získávají další výhody v oblasti detekce a léčby malwaru na základě pokročilého vývoje společnosti Kaspersky Lab.

Jádro Kaspersky Anti-Virus se také používá v antivirech F-Secure (Finsko), G-Data (Německo) a Vintage Solutions (Japonsko). Licenční smlouvy byly uzavřeny s Itamigo a Deerfield.com (UK).

Mezi další příklady patří antivirové jádro izraelské společnosti CARMEL, které bylo prodáno společnosti Microsoft, a také známá antivirová utilita MSAV dodávaná jako součást operačního systému MS-DOS.

Co je součástí balení

DialogNauka CJSC prodává následující součásti svých antivirových technologií vývojářům softwaru třetích stran:

• Antivirový engine Doctor Web ve formě dynamicky propojované knihovny DRWEB32.DLL se sadou antivirových databází;
• verze Doctor Web pro operační systém Microsoft Windows bez uživatelského rozhraní (DrWeb32w a SpIDerGuard)

Antivirové jádro lze použít ve všech programech a systémech. Pokud jde o verze Doctor Web bez uživatelského rozhraní, jsou určeny především pro ty, kteří si chtějí vytvořit vlastní antivirový program.

Sada obsahuje podrobný popis softwarového rozhraní antivirového jádra Doctor Web, zdrojový kód programu, který demonstruje práci s tímto rozhraním, a také zdrojový kód jednoduchého antivirového programu DRW32EX.

V případě potřeby můžete získat zdrojové texty programu pro načtení a vyjmutí knihovny DRWEB32.DLL zkompilované v programovacím jazyce C Tento program může být vyžadován, pokud je antivirový modul určen k použití na systému, který ano nepodporuje formát zaváděcího modulu Win32 PE (antivirový engine Doctor Web je schopen jakékoli platformy IA-32 od Intel 386 a vyšší).

Pokud jde o společnost Kaspersky Lab, v závislosti na podmínkách smlouvy lze poskytnout buď pouze objekt COM, který implementuje funkce antivirového jádra, nebo kompletní sadu zdrojových kódů s dokumentací a příklady jejich použití. Dokonce je možné pravidelné školení o nových funkcích jádra.

360 Total Security je moderní bezplatný antivirus od společnosti Qihoo s plnou ochranou proti všem typům hrozeb v reálném čase, virtuální prostředí Sandboxi s doplňkovými funkcemi pro optimalizaci systému a čištění.

Společnost Qihoo představila svůj výkonný produkt 360 Total Security, který nahradil předchozí verzi komplexního antiviru 360 Internet Security, dále používal několik antivirových enginů k ochraně počítače, včetně vlastního cloudového vývoje, který se osvědčil. V novém produktu se počet motorů zvýšil na pět. Všechny jsou spolehlivé, výkonné a prověřené časem: QVM II (zodpovědný za proaktivní ochranu), 360 Cloud (cloudová ochrana), Oprava systému (analýza a obnova zranitelnosti systému), BitDefender, Avira AntiVir, poslední dva lze povolit a zakázány dle libosti (ve výchozím nastavení jsou po instalaci zakázány). Zatížení systému bylo optimalizováno, takže si téměř nevšimnete spuštěného antiviru.

Příjemné a přátelské rozhraní 360 Total Security je implementováno ve stylu Windows 8. Obsluha a údržba by neměly být žádné potíže, vše je intuitivní. Rozsah možných nastavení je zcela dostatečný pro přizpůsobení fungování antiviru vlastním potřebám. Vše je na svém místě a snadno k nalezení.

Úroveň ochrany lze snadno upravit v odpovídající nabídce „Ochrana“, kterou vyvoláte kliknutím na velkou ikonu (kde je napsáno „ochrana: zapnuta“) a poté na „Nastavení“. Uživatel si může vybrat úroveň z připravených sad pravidel nebo nastavit vlastní, aktivovat či deaktivovat vybrané moduly ochrany: zda použít antivirové motory BitDefender a Avira AntiVir, podmínky kontroly souborů (při ukládání nebo také při každém otevření), zda použít analýzu chování, skenování souborů při stahování z internetu, povolit či zakázat bankovní ochranu a další funkce. Výchozí režim je vyvážený a poskytuje optimální zatížení a ochranu.

Z nabídky nastavení můžete dodatečně nainstalovat plugin 360 Web Threat Protection, který identifikuje škodlivé odkazy a weby na základě databáze cloudových odkazů z 360 Cloud Security Center. Plugin pro ochranu webu odvádí velmi dobrou práci při ochraně před škodlivými, phishingovými (falešnými) a podvodnými stránkami. V nabídce Nástroje můžete dodatečně nainstalovat firewall (firewall) GlassWire, který je spolehlivý a snadno konfigurovatelná pravidla, na rozdíl od jiných firewallů určených pro dobrou uživatelskou přípravu. Tam můžete také přidat modul pro kompresi systémových souborů, plugin pro ochranu webu v prohlížeči, nastavit sandbox a opravit zranitelnosti systému.

Má vlastní bezpečné virtuální prostředí – sandbox Sandbox, ve kterém lze mimochodem bezpečně spouštět jakýkoli program, podporován je Windows 8.1. V takovém prostředí Sandbox můžete nakonfigurovat automatické spouštění určitých programů, takže můžete kdykoli odstranit všechny stopy nebezpečného programu, jako by nebyl nikdy spuštěn, protože Sandbox je izolované prostředí a funguje odděleně od hlavního systému, aniž byste v něm provedli změny.

Programy v karanténě můžete selektivně spouštět z kontextové nabídky Průzkumníka. Můžete také odebrat programy a všechna jejich data v karanténě ručně nebo v souladu s pravidly v nastavení karantény, například automatickým vymazáním karantény při restartu.

Jednou z klíčových změn 360 Total Security je přidání funkcí čištění a optimalizace systému, alespoň v rozsahu potřebném pro zvýšení ochrany počítače. Funkce čištění a zrychlení vám to navíc umožňuje provést jedním kliknutím největším tlačítkem hlavního okna programu nebo tyto operace provádět postupně samostatně v příslušných sekcích. Například zrychlení a optimalizace provozu systému:

Hledání a řešení problémů se zranitelností systému:

Při provádění takových akcí je vhodné pečlivě se podívat na to, co se tam maže nebo opravuje, abyste nesmazali něco potřebného.

Antivir můžete spravovat také pomocí kontextového menu v systémové liště (ikona na panelu níže vedle hodin).

360 Total Security je především vynikající nástroj pro ochranu počítače, výkonný antivirus s vysokou úrovní ochrany, založený na několika antivirových modulech a rozšířeních webové ochrany, a také vestavěné bezpečné virtuální prostředí Sandbox Sandbox. Díky tomu všemu se velmi snadno používá a příjemně se s ním pracuje.

Společnost Qihoo začala dodatečně vydávat odlehčenou verzi antiviru bez optimalizačních a akceleračních prvků - . Tento produkt obsahuje pouze antivirové komponenty, tedy všechny antivirové motory, včetně BitDefender a Avira, a také sandbox. Podporováno je také rozhraní v ruském jazyce. Mnoha lidem se více líbí odlehčená verze.