Antivirové motory. Hlavní součásti IObit Malware Fighter. Kombinované antiviry a optimalizátory

Antivirové motory. Hlavní součásti IObit Malware Fighter. Kombinované antiviry a optimalizátory

Poměrně často se na internetu objevují dotazy, který antivirus nejméně zatěžuje systém, který je vhodný pro slabý počítač a přitom bude plnohodnotně plnit svou hlavní funkci. Existuje mnoho různých hodnocení a seznamů, ale všechny se od sebe výrazně liší a nemohou poskytnout uživatelům jednoznačnou odpověď.

Dnes se proto podíváme na ty nejlepší antiviry, které nezatěžují systém, vhodné pro slabé PC a sami si vyberete ten nejoptimálnější.

Při sestavování tohoto seznamu jsme vycházeli z následujících charakteristik:

  • Procesor: 0,5 – 1,5 GHz.
  • RAM: 128-256 MB.
  • Místo na pevném disku: 15-300 MB.

Dříve tu byl podobný článek o antiviry pro slabé stroje, ale v něm jsme analyzovali obránce, počínaje větším množstvím RAM (256MB-1GB) a procesorem (od 1,5GHz). Pokud váš počítač nebo notebook tyto specifikace překračuje, doporučujeme vám se s ním seznámit.

Všechna navrhovaná řešení mají své výhody a nevýhody a také se liší v požadavcích na systém. Podívejme se blíže na každý, jeho vlastnosti a funkce.

Internetová bezpečnost AhnLab V3

Korejský antivirus, který nejméně zatěžuje systém a poskytuje efektivní ochranu počítače při spotřebě minima systémových prostředků. Má všechny funkce pro zachování úplné bezpečnosti, chrání před malwarem a zabraňuje instalaci spywaru.



Program chrání váš notebook nebo PC v reálném čase, filtruje stránky s nebezpečným obsahem, přílohy v e-mailech a optimalizuje výkon systému. Nástroj funguje na cloudové technologii a vyznačuje se minimálním počtem falešných poplachů. Doplňková funkce TrueFind pomáhá včas odhalit odstranění i skrytých rootkitů.

Nástroj má následující systémové požadavky:

  • Procesor – od 0,5 GHz a výše.
  • RAM – od 256 MB.
  • Volné místo na disku – od 300 MB.
  • Podporuje OS od Windows XP po Windows 10.

Na základě dostupných údajů můžeme s jistotou říci, že antivirus nezpomaluje systém. Kromě toho nástroj odstraňuje nepoužívaná data a další odpad, aby zlepšil výkon a normalizoval práci.

ClamWin Free Antivirus

Další bezplatné řešení, které je volně dostupné na internetu. Bylo by správnější nazývat tento nástroj skenerem, protože nemá skener, který neustále kontroluje používané soubory. To znamená, že pokud chcete najít virus, musíte ručně spustit kontrolu souborů.



Program má přehledné rozhraní, bohatou funkčnost a řadu různých nastavení. K dispozici jsou také další funkce, jako je skenování ve vámi nastaveném čase, upozornění na detekci malwaru, automatické aktualizace databáze a snadná integrace do nabídky Windows ji zpřístupňuje.

Pokud mluvíme o požadavcích na systém, jsou následující:

  • Procesor - 1,5 GHz.
  • HDD - 103 MB.
  • RAM - 256 MB.
  • Kompatibilní s Windows XP/Vista/7/8/10.

To znamená, že prezentovaný antivirový skener spotřebovává minimum zdrojů a v žádném případě nezpomaluje počítač.

SMADAV

Vynikající antivirus, který funguje jako dodatečná ochrana proti malwaru. Je to druhá linie obrany a je plně kompatibilní s jakýmikoli jinými antivirovými nástroji. Program využívá heuristickou a behaviorální analýzu k co nejrychlejší detekci a odstranění virů. To zajišťuje vysokou úroveň zabezpečení. Díky malému množství použitých zdrojů utilita nesnižuje výkon ani při aktivním používání.



Má řadu účinných nástrojů. Pro začátek stojí za to mluvit o standardním skenování, které se dodává ve 3 typech:

  • Rychle.
  • Kompletní.
  • Skenování systémové oblasti.

SMADAV je navíc vybaven systémovým editorem, pomocí kterého můžete vybrat konkrétní prvky, ty se zobrazí ve Startu a zakázat systémové aplikace. Za pozornost stojí také správce procesů, který umožňuje prohlížet běžící procesy a v případě potřeby je ukončit.

Systémové požadavky:

  • Procesor: Intel Pentium III nebo vyšší.
  • RAM - 256 MB.
  • Pevný disk - 100 MB.
  • Funguje na všech OS Windows.

Vzhledem ke svým vlastnostem se jedná o vynikající antivirový program, který nezpomaluje systém ani nesnižuje výkon počítače.

Webroot SecureAnywhere AntiVirus

Panda Antivirus zdarma

Cloudový antivirus s nízkou zátěží systému a spolehlivou ochranou v reálném čase. Program kombinuje vzdálený a lokální antivirus, anti-rootkit a anti-spyware. Cloudový model nevyžaduje velké množství zdrojů a neovlivňuje funkčnost a výkon systému. Tento princip fungování navíc umožňuje efektivněji a rychleji detekovat a blokovat malware.



Je třeba si uvědomit, že antivirový program může zpomalit váš počítač pouze v případě, že není dostatek prostředků počítače pro jeho správnou funkci, takže při výběru bezpečnostního softwaru vždy vezměte v úvahu vlastnosti vašeho zařízení.

Podrobná videorecenze AVG Free

Není pochyb o tom, že jedním z nejdůležitějších programů v počítači je antivirus. Dokonce i jeden „náhodně“ virus, který se dostane do vašeho počítače, může způsobit, že práce na něm bude nesnesitelná! Kromě toho by bylo „dobré“, kdyby virus jen zobrazoval reklamu, ale existují viry, které dokážou zničit desítky souborů na disku (na čemž se možná pracovalo měsíce).

Před asi 10-15 lety byl počet antivirů relativně malý a výběr byl omezen na asi tucet. Nyní jsou jich stovky!

V tomto článku se chci zaměřit na ty nejoblíbenější dnes (podle mě). Myslím si, že mnozí najdou tyto informace užitečné pro čištění a ochranu svých domácích počítačů. A tak začneme...

Antivirové klíče si můžete koupit za dostupné ceny pod tržními cenami v...

10 nejlepších antivirových programů pro ochranu vašeho počítače

Malwarebytes Anti-Malware

Malwarebytes Anti-Malware není úplně antivirus, na který je většina uživatelů zvyklá. Tento program (podle mého názoru) je vhodnější jako doplněk k hlavnímu antiviru, ale přesto pomůže udělat jednu důležitou práci!

Malwarebytes 3.0 je vybaven řadou specializovaných modulů:

  • Anti-Malware
  • Ochrana proti ransomwaru
  • Ochrana před zneužitím
  • Ochrana před škodlivými weby

Většina antivirů je špatná (alespoň zatím) při hledání a odstraňování různých adwarových modulů, které jsou často zabudovány do prohlížečů (například). Kvůli tomu se začnou objevovat různá reklamní okna, upoutávky, bannery (někdy ze stránek pro dospělé) atd. Malwarebytes Anti-Malware rychle a snadno vyčistí váš počítač od takového „odpadu“.

Funkce Malwarebytes Free (bezplatná verze)

  • Schopnost skenovat všechny disky pro úplnou kontrolu systému.
  • Databáze podpisů je denně aktualizována, aby byla chráněna před nejnovějším malwarem.
  • Inteligentní heuristická detekce i těch nejtrvalejších hrozeb bez významného dopadu na systémové prostředky.
  • Přidání zjištěných hrozeb do karantény a možnost jejich obnovení ve vhodnou dobu.
  • Černá listina výjimek pro skenovací a ochranné moduly.
  • Seznam dalších nástrojů pro ruční odstranění malwaru (Malwarebytes Anti-Rootkit, Malwarebytes FileASSASSIN, StartupLite, Chameleon).
  • Dynamická technologie Malwarebytes Chameleon, která umožňuje spuštění Malwarebytes Anti-Malware, když je blokován malwarem.
  • Vícejazyčná podpora.
  • Integrace do kontextové nabídky pro skenování souborů na vyžádání.

Prémiové funkce Malwarebytes

Malwarebytes je zdarma, ale můžete upgradovat na prémiovou verzi, která poskytuje ochranu v reálném čase, skenování a plánované aktualizace.

  • Ochrana v reálném čase spolupracuje s předními antivirovými programy, aby byl váš počítač bezpečnější.
  • Ochrana v reálném čase detekuje a blokuje hrozby, když se je pokouší spustit.
  • Ochrana proti zneužití v reálném čase: Eliminuje zranitelnost vůči exploitům a zero-day malwaru
  • Ochrana před ransomwarem v reálném čase: Zabraňuje ransomwaru šifrovat vaše soubory.
  • Blokování škodlivých webových stránek zabraňuje přístupu ke škodlivým a infikovaným webovým zdrojům.
  • Dostupnost režimu „Rychlá kontrola“ pro kontrolu kritických oblastí systému - RAM a spouštěcí objekty.
  • Další možnosti. Nakonfigurujte chování ochrany Malwarebytes Premium pro pokročilé uživatele.
  • Naplánované aktualizace pro automatické udržování vaší ochrany aktuální.
  • Naplánované kontroly pro pravidelné kontroly v čase, který vám vyhovuje.
  • Nastavení ochrany heslem, aby se zabránilo neoprávněným změnám bezpečnostních součástí Malwarebytes Premium.

Stojí za zvážení, že ne vše napsané bude k dispozici nebo fungovat ve bezplatné verzi programu. Aby software fungoval na správné úrovni, musíte nainstalovat verzi Premium

Advanced SystemCare Ultimate

Zdá se mi, že mnoho uživatelů je často nespokojeno s jednou „kvalitou“ většiny antivirů - zpomalují počítač... Takže v tomto ohledu je velmi zajímavý produkt Advanced SystemCare Ultimate - antivirus s vestavěnými programy pro optimalizace, čištění a zrychlení operačního systému Windows.

Musím vám říct, že antivirus je docela spolehlivý (používají se technologie BitDefender) + vlastní algoritmy programu. Chrání váš PC před: špiony, trojskými koni, nebezpečnými skripty, zajišťuje bezpečnou práci s platebními systémy na internetu (relevantní zejména v poslední době s rozvojem internetových bank).

Mimochodem, program je kompatibilní s mnoha antiviry (to znamená, že jej lze nainstalovat jako doplněk, který poskytuje další ochranu). Navíc to nijak výrazně neovlivní rychlost a výkon vašeho PC. Popsali jsme, jak maximalizovat rychlost a produktivitu pomocí Advanced SystemCare Ultimate.

Maximální ochrana a maximální výkon

  • Ochrana proti virům, spywaru, hackerům, phishingu, botnetům atd.
  • Zabezpečení platebních a bankovních transakcí na internetu
  • Optimalizuje, čistí a opravuje všechny problémy s počítačem jediným kliknutím
  • Funguje rychle, kompatibilní s jinými antiviry

Novinka v IObit Malware Fighter

  • Přidán antivirový modul Bitdefender;
  • Vylepšený IObit engine;
  • Databáze podpisů byla aktualizována a výrazně rozšířena;
  • Vylepšená rychlost skenování přizpůsobením mechanismu ukládání do mezipaměti;
  • Spotřeba zdrojů během skenování a čištění byla minimalizována;
  • Vylepšená ochrana v reálném čase;
  • Nová metoda karantény;
  • Nové zjednodušené a pohodlné uživatelské rozhraní;
  • Vylepšená ochrana webu;
  • Plná podpora pro Windows 10.

Hlavní součásti IObit Malware Fighter

Bezpečnost

Ochrana při spuštění
· Ochrana sítě
· Ochrana souborů
· Zkontrolujte soubory v cloudu
· Ochrana souborů cookie
· Blokování reklam v prohlížečích
· Antivirový modul Bitdefender Pro
Ochrana procesu Pro
· Ochrana USB disku Pro
· Sledování škodlivých aktivit Pro

Ochrana prohlížeče

· Homepage Defender chrání vaši domovskou stránku a vyhledávač před škodlivými úpravami.
· Ochrana DNS: Zabraňte malwaru ve změně nastavení DNS systému.
· Ochrana při surfování: Blokuje různé online hrozby a poskytuje vám bezpečné procházení webu.
· Chraňte svůj prohlížeč před škodlivými pluginy/panely nástrojů.
· Anti-Spying: Automatické vymazání dat prohlížeče od škodlivého sledování, jakmile se zavře. Pro

Jeden z nejlepších bezplatných antivirů. Každým rokem si získává stále větší oblibu. Výhody antiviru jsou zřejmé:

  1. některé z nejlepších algoritmů pro vyhledávání a detekci virů (i těch, které antivirus ještě nezná a nejsou zahrnuty v aktualizačních databázích);
  2. podpora pro všechny oblíbené operační systémy Windows (včetně Windows 10);
  3. nízké systémové požadavky na PC (funguje dostatečně rychle i na starých strojích);
  4. plně funkční bezplatná verze antiviru.

Hlavní součásti Avast Free Antivirus

(1) Komponenta je k dispozici za příplatek (1 500 RUB/rok)
(2) Komponenta je k dispozici za příplatek (od 650 RUB/rok)

Porovnání verzí

Funkce/verzeUvolnitProIS*Premiér
antivirus
Ochrana proti špionům
Streamování aktualizací
Posílený režim
CyberCapture
Nesledovat, SiteCorrect
Ochrana proti phishingu a malwaru
Zabezpečení domácí sítě
Skenovat HTTPS
Smart Scan
Hesla
Prohlížeč SafeZone
Software Updater**
Pískoviště
SecureDNS
Antispam
Firewall
Skartovač souborů
Úklid***
SecureLine VPN***

* IS - verze Internet Security.
** Instalace Software Updater v Premier probíhá automaticky, v ostatních verzích - ručně.
***Cleanup, SecureLine VPN – placené doplňky pro všechny verze

Co je nového v Avast Free Antivirus Nitro Update

Nové funkce a technologie

Nové funkce: CyberCapture, prohlížeč SafeZone.

Vylepšení: Zabezpečení domácí sítě, Antivirová ochrana a ochrana proti malwaru.

Klíčové vlastnosti Avast Free Antivirus

Nový! CyberCapture

Tato proprietární technologie od AVAST Software vám umožňuje automaticky odesílat neznámé soubory do Avast Online Threat Lab. Potenciálně nebezpečné soubory jsou pečlivě kontrolovány našimi analytiky v reálném čase, čímž se eliminuje sebemenší riziko infikování vašeho počítače.

Nový! Prohlížeč SafeZone

SafeZone, navržený tak, aby bylo procházení webu bezpečnější a pohodlnější, je také nejbezpečnějším prohlížečem na světě. Secure Payment Mode zajišťuje naprosté soukromí při nakupování a bankovnictví online, Ad Blocker zajistí, že vás nebudou obtěžovat reklamy, a Video Downloader vám umožní sledovat videa offline v čase, který vám vyhovuje.

Vylepšeno! Zabezpečení domácí sítě

Ještě pokročilejší ochrana pro vaši domácí síť a všechna zařízení k ní připojená. Díky nové technologii Nitro je Avast Free Antivirus schopen detekovat více typů zranitelností routerů, což zajistí ještě spolehlivější ochranu Wi-Fi kamer, SMART televizorů, tiskáren, síťových disků a routerů.

Hesla Avast

Je čas skoncovat se zlozvykem ukládání hesel do prohlížeče nebo používání stejného hesla pro více služeb. Nový správce hesel Avast vám umožňuje ukládat všechna vaše hesla v bezpečném a pohodlném trezoru, který si pro přístup vyžaduje zapamatování pouze jednoho hlavního hesla.

Skenovat HTTPS

Vylepšený webový štít umožňuje Avast Free Antivirus důkladně prohledávat HTTPS weby na výskyt malwaru a dalších hrozeb. Své stránky online bankovnictví a certifikáty můžete přidat na seznam povolených, aby skenování nezpomalilo přístup ke službám.

Vyčištění prohlížeče

Nedovolte ostatním měnit vaši vyhledávací službu bez vašeho svolení. Vyčištění prohlížeče odstraní všechny pochybné pluginy a panely nástrojů, takže se můžete vrátit k původní konfiguraci prohlížeče.

Unikátní! 230 milionů uživatelů

230 milionů uživatelů po celém světě si vybralo řešení Avast, které antiviru umožňuje detekovat malware mnohem rychleji než ostatní a bez ohledu na to, kde se objeví. Kombinace špičkových enginů umělé inteligence v srdci antivirového programu a milionů virových senzorů po celém světě umožňuje Avast Free Antivirus nepřetržitě detekovat a eliminovat nejnovější kybernetické hrozby, čímž vás udrží ve 100% bezpečí.

Vylepšeno! Antivirová a malwarová ochrana

Vývojáři neustále pracují na vylepšování inovativního antivirového enginu, aby vám poskytl spolehlivou ochranu proti všem typům kybernetických hrozeb. Díky neustálým aktualizacím o velikosti textové zprávy distribuuje Avast nové informace o hrozbách několikrát za hodinu, aby byl váš antivirus vždy aktuální.

Technologie Smart Scan

Komplexní inteligentní skenování pro všechny typy problémů. Prohledejte svůj počítač na stav výkonu, ujistěte se, že neexistují žádné online hrozby, malware nebo viry, a najděte zastaralé programy jediným kliknutím. Nejjednodušší způsob, jak zůstat v naprostém bezpečí.

Software Updater

Hackeři rádi využívají zranitelnosti v zastaralém softwaru k pronikání do systémů. Software Updater vás upozorní, když jsou k dispozici aktualizace pro programy, které používáte, takže můžete opravit případné chyby rychleji, než je mohou útočníci zneužít.

Integrace s MyAvast

Smartphone, PC a tablet chráněný Avastem? Úžasný! Zařízení můžete ovládat a spravovat prostřednictvím svého osobního účtu přímo v uživatelském rozhraní programu

AVG

Velmi, velmi dobrý antivirus, který mimochodem získal mnoho ocenění. K dispozici je bezplatná verze, která dokáže pokrýt potřeby většiny uživatelů. Posuďte sami, bezplatná verze obsahuje: antivirus (ochrana v reálném čase před viry, spyware atd.), komplex pro ochranu před nebezpečnými odkazy na internetu a také komplex pro ochranu e-mailů.

Mimochodem, antivirus lze nainstalovat nejen na notebook (počítač), ale také na telefon! Celkově je antivirus velmi slušný, dobře chrání váš počítač (a funguje docela rychle)!

Antivirus Bitdefender

Velmi známý antivirus, který poskytuje komplexní ochranu počítače: antivirus, firewall, komplex pro zvýšenou ochranu osobních údajů. Mimochodem, v mnoha nezávislých hodnoceních je tento antivirus na vrcholu.

Mezi funkcemi tohoto antiviru mohu vyzdvihnout následující:

  • ochrana všeho a všech (uživatel se prakticky nemusí rozptylovat myšlenkami na ochranu PC - program sám ví všechno: co, kde a kdy je potřeba zablokovat...);
  • nízká spotřeba systémových prostředků (například 100-200 MB RAM při práci s dokumenty ve Windows 10);
  • pohodlné a intuitivní rozhraní.

Klíčové vlastnosti Bitdefender Antivirus Free Edition

Ochrana v reálném čase- Obrazovka v reálném čase poskytuje ochranu během přístupu. Všechny soubory jsou kontrolovány v okamžiku jejich spuštění nebo kopírování. Například soubory, které jste právě stáhli z internetu, jsou okamžitě zkontrolovány.

Cloudové technologie- Bitdefender Antivirus Free Edition využívá cloudové skenování k urychlení detekce a identifikaci nových nebo neznámých hrozeb, které jiné antiviry minou.

Aktivní kontrola virů- inovativní technologie proaktivní detekce, která využívá pokročilou heuristiku k identifikaci nových potenciálních hrozeb v reálném čase. Bezplatná antivirová heuristika Bitdefenderu poskytuje vysokou úroveň ochrany proti novým hrozbám, které ještě nebyly přidány do virových signatur. Aktivní antivirová kontrola Bitdefender Antivirus Free Edition monitoruje každý program spuštěný na vašem počítači a identifikuje škodlivé programy na základě jejich akcí.

Skenování HTTP– Bezplatný antivirový program Bitdefender analyzuje a blokuje podvodné a phishingové weby.

Anti-rootkit- technologie se používá k vyhledávání skrytého malwaru, známého také jako rootkity. Rootkity jsou skrytý typ softwaru, často škodlivý, navržený tak, aby skryl určité procesy nebo programy před běžnými metodami detekce a zároveň umožnil rootkitům získat privilegovaný přístup k počítači.

Pravidelná aktualizace- Bitdefender Antivirus Free Edition se pravidelně aktualizuje bez zásahu uživatele, což zajišťuje optimální úroveň ochrany před novými hrozbami.

Včasné skenování při spouštění systému- Tato technologie zajišťuje kontrolu systému během bootování, jakmile jsou spuštěny všechny důležité služby. Umožňuje zlepšit detekci virů při startu systému a také zrychlit dobu jeho spouštění.

Skenujte při nečinnosti– Bezplatný antivirus Bitdefender detekuje, kdy je využití počítačových zdrojů nejnižší, aby prohledal systém bez ovlivnění aktivity uživatele. Využití systémových prostředků se vypočítá s ohledem na využití procesoru (CPU) a pevného disku (HDD).

Technologie Smart Scan- soubory, které byly dříve zkontrolovány Bitdefender Antivirus Free Edition, nebudou znovu zkontrolovány pomocí nástroje pro inteligentní vynechání souborů.

Avira Free 2015

Nejznámější antivirus německé výroby („deštník“, „červený deštník“, jak jej mnozí v naší zemi nazývali). Poskytuje dobrý stupeň ochrany PC (mimochodem, algoritmy vyhledávání a detekce virů jsou jedny z nejlepších mezi programy tohoto druhu), vysoký výkon (pamatuji si, že před 5-6 lety jsem doporučoval instalovat tento antivirus i na levné notebooky),

  1. podpora ruského jazyka;
  2. podpora pro všechny oblíbené OS Windows: XP, 7, 8, 10 (32/64 bitů);
  3. nízké systémové požadavky;
  4. vynikající algoritmy pro vyhledávání a detekci virů a potenciálních hrozeb pro PC;
  5. uživatelsky přívětivé rozhraní (vše nepotřebné je začátečníkům skryto, ale přesto přístupné zkušeným uživatelům).

Klíčové vlastnosti Avira Free Antivirus

Antivirus a antispyware

Efektivní ochrana v reálném čase a na vyžádání proti různým typům malwaru: virům, trojským koním, internetovým červům, spywaru a adwaru. Neustálé automatické aktualizace a heuristická technologie AHeAD spolehlivě chrání před známými i novými hrozbami.

Cloudová ochrana

Technologie cloudové ochrany Avira Protection Cloud – klasifikace hrozeb v reálném čase a rychlé skenování systému.

Rootkit ochrana

Avira anti-rootkit chrání před obtížně odhalitelnými hrozbami – rootkity.

Správa brány Windows Firewall

Avira Free Antivirus umožňuje upravovat síťová pravidla pro aplikace, měnit síťové profily (soukromé, veřejné) a spravovat pokročilá nastavení brány Windows Firewall s pokročilým zabezpečením.

Internetová ochrana **

Bezpečné vyhledávání, blokování phishingu a škodlivých webů, ochrana proti sledování.

** Tato funkce je součástí panelu nástrojů Bezpečnost prohlížeče Avira pro prohlížeče Chrome, Firefox a Opera (instalované odděleně od Avira Free Antivirus).

Rodičovská kontrola

Není k dispozici v ruské verzi. Pro použití můžete použít odkaz na službu v popisu.

Se sociálními sítěmi založenými na technologiích Avira Free SocialShield Online aktivity svých dětí můžete sledovat tak, že zkontrolujete jejich účty na sociálních sítích, zda neobsahují komentáře, fotografie atd., které mohou vaše dítě negativně ovlivnit.

Ochrana zařízení Android

Antivirové řešení Avira Free Antivirus kromě ochrany vašeho počítače před různými hrozbami nabízí instalaci aplikace Avira Antivirus Security pro Android, která ochrání váš smartphone nebo tablet před ztrátou a krádeží a umožní vám také blokovat nechtěné hovory a SMS zprávy.

Kaspersky Anti-Virus

Nebojím se říci, že Kaspersky Anti-Virus je nejznámější a nejoblíbenější antivirus v postsovětském prostoru. Antivirová databáze Kaspersky je skutečně obrovská. Snadno zachytí všechny možné viry dostupné v síti. Jenže, stejně jako vývojáři neoznámili zrychlení a hlavně radikální omezení počítačových zdrojů, nedokončili tento úkol.

Kaspersky Anti-Virus, protože dříve zpomaloval počítač, v tom pokračuje i nyní. Navíc, jeho použití na poměrně výkonném stroji vás nezachrání před zpomalením - Kasperskyho obžerství je neomezené, to lze napravit pouze velmi pečlivým vyladěním programu.

Novinka v Kaspersky Free Antivirus 2017

Kaspersky Free Anti-Virus 2017 má následující nové funkce:

  • Vylepšená aktualizace programu na pozadí. Nyní při aktualizaci nemusíte znovu přijímat podmínky licenční smlouvy, pokud se nezměnily.
  • Vylepšený Mail Anti-Virus. Výchozí hloubka heuristické analýzy byla zvýšena na střední úroveň.

Porovnání verzí

Porovnání funkcí a možností bezplatného antiviru Kaspersky Free s placenými řešeními Kaspersky Anti-Virus(KAV), Internetová bezpečnost(KIS) a Naprostá bezpečnost(KTS).

Funkce/verzeUvolnitKAVKISKTS
File Anti-Virus
Web Antivirus
IM Antivirus
Mailový antivirus
Anti-Phishing
Klávesnice na obrazovce
Kaspersky Security Network
Kaspersky Secure Connection*
Monitorování sítě
Sledování činnosti
Správa internetu
Ovládání programu (HIPS)
Kontrola změn v OS
Přístup k webové kameře
Firewall
Ochrana proti síťovým útokům
Anti-Spam
Anti-Banner
Ochrana před sběrem dat
Bezpečné platby
Zabezpečené zadávání dat
Režim bezpečných aplikací
Aktualizace softwaru
Odinstalování programů
Rodičovská kontrola
Zálohování
Virtuální trezory
Správce hesel

Klíčové vlastnosti Kaspersky Free Anti-Virus

File Anti-Virus

File Anti-Virus Kaspersky Free Anti-Virus vám umožňuje vyhnout se infekci souborového systému vašeho počítače. Komponenta se spouští při startu operačního systému, je neustále umístěna v paměti RAM počítače a kontroluje všechny otevřené, uložené a spuštěné soubory v počítači a na všech připojených discích.

Mail Antivirus

Mail Anti-Virus kontroluje příchozí a odchozí e-mailové zprávy ve vašem počítači. Dopis bude příjemci k dispozici pouze v případě, že neobsahuje nebezpečné předměty.

Web Antivirus

Web Anti-Virus zachycuje a blokuje spouštění skriptů umístěných na webových stránkách, pokud tyto skripty představují hrozbu pro zabezpečení počítače. Web Anti-Virus v Kaspersky Free Anti-Virus také monitoruje veškerý webový provoz a blokuje přístup k nebezpečným webovým stránkám.

IM Antivirus

IM Anti-Virus zajišťuje bezpečnost práce s IM klienty. Komponenta chrání informace vstupující do vašeho počítače prostřednictvím protokolů IM klienta. IM Anti-Virus zajišťuje bezpečný provoz s mnoha programy určenými pro rychlé zasílání zpráv.

Zabezpečené připojení

Klient Kaspersky Secure Connection VPN, který se instaluje spolu s antivirem, je navržen pro zabezpečené připojení. Aplikace chrání vaše data při práci na veřejných Wi-Fi sítích, poskytuje anonymitu na internetu a umožňuje navštěvovat blokované stránky.

* Komponenta Kaspersky Secure Connection má limit provozu 200 MB za den. Odstranění omezení a možnost vybrat servery VPN jsou k dispozici, když se zaregistrujete k dalšímu předplatnému.

Účast v síti Kaspersky Security Network

Ke zlepšení účinnosti ochrany vašeho počítače používá Kaspersky Free Anti-Virus cloudovou ochranu. Ochrana před cloudem je realizována pomocí infrastruktury Kaspersky Security Network pomocí dat shromážděných od uživatelů z celého světa.

Výhody Kaspersky Free Anti-Virus

Jeden z nejlepších antivirů z hlediska vyhledávání a detekce neznámých virů (to znamená, že heuristická analýza v programu je tak pokročilá, že díky ní antivirus najde nebezpečné soubory, i když tato hrozba ještě není v antivirových databázích).

Po instalaci Dr.Web je často zablokován přístup k internetu, což lze napravit pouze správnou konfigurací a přidáním výjimek do programu. Před instalací tohoto softwaru tedy nebuďte líní a přečtěte si pokyny k nastavení a nápovědu na webu vývojářů.

Hlavní vlastnosti Dr.Web Anti-virus pro Windows

· Skener Dr.Web pro Windows– antivirový skener s grafickým rozhraním, který běží na přání uživatele nebo podle plánu a provádí antivirovou kontrolu počítače.

· Dr.Web anti-rootkit (Anti-rootkit API, arkapi)– skenování na pozadí pro rootkity a nové arkapi. Byl implementován subsystém pro skenování na pozadí a neutralizaci aktivních hrozeb. Implementace subsystému si vyžádala značné přepracování softwarových knihoven Dr.Web.

· Preventivní ochrana— rozšířené možnosti preventivní ochrany počítače uživatele Dr.Web Anti-Virus před infekcí blokováním automatických úprav kritických objektů Windows a sledováním některých nebezpečných akcí.

Pomocí preventivní ochrany poskytuje antivirus Dr.Web kontrolu nad následujícími objekty:

- soubor HOSTS;
— možnost nízkoúrovňového přístupu k disku;
— možnost stahování ovladačů;
— přístup k možnostem spuštění souboru obrázku;
— přístup k uživatelským ovladačům;
— parametry prostředí Winlogon;
— oznamovatelé Winlogon;
— automatické spuštění prostředí Windows;
- asociace spustitelných souborů;
— zásady omezení spouštění programu (SRP);
— zásuvné moduly pro Internet Explorer (BHO);
— programy automatického spouštění;
— zásady automatického spouštění;
— konfigurace bezpečného režimu;
— parametry manažera relací;
- systémové služby.

Vylepšená technologie Dr.Web ShellGuard pro bezpodpisové (behaviorální) blokování heuristiky Dr.Web Process Heuristic v systému Dr.Web Preventive Protection bude chránit před útoky využívajícími zranitelnosti zero-day.

· Dr.Web HyperVisor— součást, která umožnila zlepšit systém detekce a léčby hrozeb a také posílit sebeobranu Dr.Web využitím schopností moderních procesorů. Komponenta běží a funguje pod úrovní operačního systému, což zajišťuje kontrolu nad všemi programy, procesy a chodem samotného OS a také nemožnost záškodnických programů zachytit kontrolu nad systémem chráněným Dr.Web.

· Pavoučí stráž– antivirová ochrana, která je neustále umístěna v paměti RAM, kontroluje soubory a paměť „za běhu“ a také zjišťuje projevy virové aktivity;

· Spider Mail– poštovní antivirová ochrana, která zachycuje požadavky z libovolného poštovního klienta počítače na poštovní servery pomocí protokolů POP3/SMTP/IMAP4/NNTP (IMAP4 rozumíme IMAPv4rev1), detekuje a neutralizuje poštovní viry dříve, než poštovní klient obdrží dopisy ze serveru nebo před odesláním dopisu na poštovní server. Strážce pošty může také kontrolovat korespondenci na spam pomocí Dr.Web Antispam;

· Dr.Web Firewall– Dr.Web Anti-virus osobní firewall, navržený tak, aby chránil váš počítač před neoprávněným přístupem zvenčí a zabránil úniku důležitých dat po síti;

· Aktualizovat modul, který umožňuje registrovaným uživatelům přijímat aktualizace virových databází a dalších souborů komplexu a také je automaticky instaluje; dává neregistrovaným uživatelům možnost zaregistrovat se nebo získat demo klíč.

· Spider Agent– modul, který slouží ke konfiguraci a správě provozu součástí Dr.Web Anti-Virus.

Dr.Web CureIt! je bezplatný antivirový skener založený na jádru antivirového programu Dr.Web, který rychle a efektivně prohledá a vyléčí váš počítač bez instalace samotného antiviru Dr.Web.

antivirus Dr.Web CureIt! detekuje a odstraňuje e-mailové a síťové červy, souborové viry, trojské koně, stealth viry, polymorfní viry, viry bez těla a makroviry, viry, které napadají dokumenty MS Office, skriptové viry, spyware, zloděje hesel, dialery, adware, hackerské nástroje, potenciálně nebezpečný software a další další nežádoucí kódy.

Pomocí utility můžete zkontrolovat BIOS vašeho počítače, zda není napaden pomocí „bios kitů“ – malwaru, který infikuje BIOS počítače, a nový podsystém pro vyhledávání rootkitů vám umožní odhalit složité skryté hrozby.

Zaplaťte zdarma:

1. Neposkytuje ochranu v reálném čase.

2. Program neobsahuje modul pro automatickou aktualizaci antivirových databází, takže pro příští kontrolu počítače s nejnovějšími aktualizacemi antivirových databází si jej budete muset stáhnout znovu Dr.Web CureIt!

Práva k instalaci a užívání

— Použití speciální bezplatné verze softwaru je legální pouze na vašem osobním počítači. Pokud používáte speciální bezplatnou verzi softwaru, plně se na vás vztahují smluvní podmínky Licenční smlouva, s výjimkou bodů 6.1-6.3.

Dr.Web má také jeden skvělý nástroj - Dr.Web Cureit (který není třeba instalovat)! Přenosný nástroj lze spustit i z flash disku, je zcela zdarma a nevyžaduje žádnou aktivaci. Najde všechny viry dostupné v placené verzi Dr.Web. Často pomůže odhalit obojí na počítači.

Před léčbou ale buďte opatrní, pečlivě si přečtěte zjištěné hrozby Dr.Web Cureit. Všechny procesy, které monitorují počítač v reálném čase, jako je CCleaner nebo Advanced SystemCare Ultimate, jsou nástrojem označeny jako nebezpečné. Během léčby není zcela odstraněn software, ale pouze některé soubory, ale poté se program již nespustí a také nepodléhá standardnímu odstranění - budete jej muset vyčistit ručně.

Jednou z hlavních součástí každého antiviru je takzvaný antivirový „engine“ - modul zodpovědný za skenování objektů a detekci malwaru. Kvalita detekce malwaru a v důsledku toho i úroveň ochrany, kterou antivirus poskytuje, závisí na antivirovém jádru, na tom, jak je navržen, a jaké metody detekce a heuristiky používá.

Tento článek podrobně popisuje standardní technologie a některé originální přístupy různých vývojářů antivirů implementovaných v antivirovém jádru. Po cestě budou zváženy některé související technické problémy, které jsou nezbytné pro posouzení kvality antivirového enginu a objasnění technologií v něm používaných.

Dobrý nebo špatný "motor"?

Bohužel vývojáři antivirového softwaru velmi zřídka zveřejňují podrobnosti o implementaci svých motorů. Nepřímými znaky však můžete určit, zda je „motor“ dobrý nebo ne. Zde jsou hlavní kritéria, podle kterých můžete určit kvalitu antivirového motoru:

Kvalita detekce. Jak dobře antivirus detekuje viry? Toto kritérium lze posoudit na základě výsledků různých testů, které provádí několik organizací a jsou obvykle prezentovány na webových zdrojích vývojáře.

Úroveň detekce heuristickými analyzátory. Bohužel je nemožné určit tento parametr bez testování na sbírce virů, ale můžete poměrně snadno určit, jaká je úroveň falešných poplachů pro konkrétní engine.

Falešně pozitivní sazba. Pokud u 100% neinfikovaných souborů antivirus hlásí, že detekoval možná infikovaný soubor, pak je to falešně pozitivní. Máme věřit takovému heuristickému analyzátoru, který obtěžuje uživatele falešnými poplachy? Koneckonců, kvůli velkému počtu falešných poplachů může uživatel přehlédnout skutečně nový virus.

Podpora velkého počtu balíčků a archivátorů. To je velmi důležitý faktor, protože často tvůrci malwaru napíšou virus, zabalí jej s několika nástroji pro balení spustitelných modulů a poté, co obdrželi několik různých virů, je vypustí do světa. V podstatě všechny tyto viry jsou instancemi stejné varianty. Pro antivirový modul, který podporuje všechny nebo téměř všechny oblíbené nástroje pro balení, nebude obtížné identifikovat všechny tyto instance stejného viru a nazvat je stejným jménem pro jiné nástroje, bude nutné aktualizovat antivirovou databázi (; stejně jako čas, který antivirovým expertům zabere analýza instance viru).

Frekvence a velikost aktualizací antivirové databáze. Tyto parametry jsou nepřímými známkami kvality motoru. Vzhledem k tomu, že časté vydávání aktualizací zajišťuje, že uživatel bude vždy chráněn před nově se objevujícími viry. Velikost aktualizace (a počet virů zjištěných v této aktualizaci) vypovídá o kvalitě provedení antivirové databáze a částečně i enginu.

Schopnost aktualizovat motor bez aktualizace samotného antivirového programu. Někdy je pro detekci viru nutné aktualizovat nejen antivirovou databázi, ale i samotný „engine“. Pokud antivirus tuto funkci nepodporuje, může uživatel zůstat bez ochrany tváří v tvář novému viru. Kromě toho vám tato funkce umožňuje rychle vylepšit motor a opravit chyby v něm.

Antivirový "engine": existující technologie

S příchodem prvních počítačových virů programátoři rychle přišli na to, jak fungují, a vytvořili první antivirové programy. Od té doby uplynulo poměrně hodně času a moderní antiviry se od těch prvních antivirů liší, stejně jako se liší osobní počítač od kalkulačky.

V prvním odstavci tohoto článku byla uvedena poněkud „naivní“ definice antivirového „motoru“. Dále bude uvedena řada přesných definic a technologických popisů, které vám v konečném důsledku umožní plně porozumět struktuře a algoritmům antivirového enginu.

Anti-Virus Engine je softwarový modul, který je určen k detekci škodlivého softwaru. „Motor“ je hlavní součástí každého antivirového programu bez ohledu na jeho účel. Motor se používá jak v osobních produktech - osobní skener nebo monitor, tak v serverových řešeních - skener pro poštovní nebo souborový server, firewall nebo proxy server. K detekci malwaru zpravidla většina „motorů“ implementuje následující technologie:

Vyhledávání podle "podpisů" (jedinečná sekvence bajtů);
Vyhledávání podle kontrolních součtů nebo CRC (kontrolní součet s jedinečnou sekvencí bajtů);
Použití zmenšené masky;
kryptoanalýza;
Statistická analýza;
Heuristická analýza;
Emulace.

Podívejme se na každou z těchto metod podrobněji.

Hledat podle "podpisů"


Signatura je jedinečný „řetězec“ bajtů, který jedinečně charakterizuje konkrétní škodlivý program. Vyhledávání podpisů, v té či oné modifikaci, se používá k detekci virů a dalšího malwaru od prvních antivirových programů až po současnost. Nespornou výhodou vyhledávání signatur je rychlost provozu (samozřejmě pomocí speciálně vyvinutých algoritmů) a schopnost detekovat několik virů jednou signaturou. Nevýhoda - velikost signatury pro spolehlivou detekci musí být poměrně velká, minimálně 8-12 bajtů (obvykle se pro přesnou detekci používají mnohem delší signatury, až 64 bajtů), proto bude velikost antivirové databáze být docela velký. V poslední době se navíc stále více rozšiřují škodlivé programy napsané v jazycích vyšší úrovně (C++, Delphi, Visual Basic) a takové programy mají samostatné části kódu, které se prakticky nemění (tzv. Run Time Library ). Špatně zvolená signatura nevyhnutelně povede k falešné pozitivitě – detekci „čistého“, neinfikovaného souboru jako infikovaného virem. Jako řešení tohoto problému se navrhuje použít buď velmi velké podpisy, nebo použít detekci pro určité datové oblasti, například relokační tabulky nebo textové řetězce, což není vždy dobré.

Hledat podle kontrolních součtů (CRC)


Vyhledávání podle kontrolních součtů (CRC - cyclic redundancy check) je v podstatě modifikací vyhledávání podle signatur. Metoda byla vyvinuta, aby se předešlo hlavním nevýhodám vyhledávání podpisů – velikosti databáze a snížení pravděpodobnosti falešných poplachů. Podstatou metody je, že k hledání škodlivého kódu se bere nejen „referenční“ řádek - podpis, nebo spíše kontrolní součet tohoto řádku, ale také umístění podpisu v těle škodlivého programu. Umístění se používá, abyste nemuseli počítat kontrolní součty pro celý soubor. Místo 10-12 bajtů podpisu (minimum) se tedy použijí 4 bajty pro uložení kontrolního součtu a další 4 bajty pro umístění. Metoda hledání kontrolního součtu je však poněkud pomalejší než hledání podpisu.
Použití masek k detekci škodlivého kódu je poměrně často komplikováno přítomností šifrovaného kódu (tzv. polymorfních virů), protože buď nelze masku vybrat, nebo maska ​​maximální velikosti nesplňuje podmínku jednoznačně identifikace viru bez falešných poplachů.
Nemožnost výběru masky dostatečné velikosti v případě polymorfního viru lze snadno vysvětlit. Šifrováním svého těla virus zajišťuje, že většina jeho kódu v postiženém objektu je proměnná, a proto nemůže být vybrána jako maska. (Samošifrovací a polymorfní viry jsou podrobněji popsány v příloze na konci článku).
K detekci takových virů se používají následující metody: použití redukované masky, kryptoanalýza a statistická analýza. Podívejme se na tyto metody podrobněji.

Použití zmenšené masky


Při infikování objektů virus, který používá šifrování, převádí svůj kód na šifrovanou sekvenci dat:
S = F(T), kde
T - základní kód viru;
S - šifrované virové kódy;
F je funkce šifrování viru, náhodně vybraná z určité sady transformací (F).
Metoda redukované masky spočívá ve výběru transformace R zašifrovaných virových kódů S tak, že výsledek transformace (tj. nějaká sekvence dat S) nebude záviset na transformačních klíčích F, tzn.
S=F(T)
S" = R (S) = R (F (T)) = R" (T).
Při aplikaci transformace R na všechny možné varianty šifrového kódu S bude výsledek S" konstantní při konstantě T. Identifikace dotčených objektů se tedy provádí tak, že se zvolí S" jako redukovaná maska ​​a aplikuje se transformace R na postižené předměty.

Kryptoanalýza


Tato metoda je následující: pomocí známého základního kódu viru a známého šifrovaného kódu (nebo „podezřelého“ kódu podobného zašifrovanému tělu viru) se obnoví klíče a algoritmus dešifrovacího programu. Tento algoritmus je poté aplikován na zašifrovanou část, výsledkem je dešifrované tělo viru. Při řešení tohoto problému se musíte vypořádat se systémem rovnic.
Tato metoda zpravidla funguje mnohem rychleji a zabírá mnohem méně paměti než emulace virových instrukcí. Řešení takových systémů je však často velmi složitý úkol.
Kromě toho je hlavním problémem matematická analýza výsledné rovnice nebo výsledné soustavy rovnic. V mnoha ohledech se problém řešení soustav rovnic při obnově zašifrovaného těla viru podobá klasickému kryptografickému problému obnovy šifrovaného textu s neznámými klíči. Zde však tento úkol zní poněkud jinak: je nutné zjistit, zda daný zašifrovaný kód je výsledkem aplikace nějaké funkce známé až klíčům. Navíc je předem známo mnoho dat pro řešení tohoto problému: část šifrovaného kódu, část nešifrovaného kódu, možné varianty transformační funkce. Navíc je v analyzovaných kódech přítomen i samotný algoritmus této transformace a klíče. Existuje však značné omezení, že tento problém musí být vyřešen v rámci specifických hranic RAM a postup řešení by neměl trvat dlouho.

Statistická analýza


Používá se také k detekci polymorfních virů. Skener během své činnosti analyzuje četnost používání příkazů procesoru, sestavuje tabulku nalezených příkazů procesoru (operační kódy) a na základě těchto informací učiní závěr, že soubor je infikován virem. Tato metoda je účinná pro vyhledávání některých polymorfních virů, protože tyto viry používají omezenou sadu příkazů v decryptoru, zatímco „čisté“ soubory používají zcela jiné příkazy s jinou frekvencí. Například všechny programy pro MS-DOS často používají přerušení 21h (opcode CDh 21h), ale tento příkaz prakticky nikdy nenajdete v decryptoru polymorfních DOS virů.
Hlavní nevýhodou této metody je, že existuje řada složitých polymorfních virů, které využívají téměř všechny příkazy procesoru a od kopírování ke kopírování se sada použitých příkazů velmi mění, to znamená, že není možné detekovat virus pomocí vytvořené frekvence tabulka.

Heuristická analýza


Když počet virů přesáhl několik stovek, začali antiviroví experti přemýšlet o myšlence detekce malwaru, o jehož existenci antivirový program zatím neví (neexistují žádné odpovídající signatury). V důsledku toho byly vytvořeny tzv. heuristické analyzátory. Heuristický analyzátor je sada rutin, které analyzují kód spustitelných souborů, maker, skriptů, paměti nebo spouštěcích sektorů za účelem detekce různých typů škodlivých počítačových programů. Existují dva principy fungování analyzátoru.

Statická metoda. Hledání běžných krátkých signatur, které jsou přítomny ve většině virů (tzv. „podezřelé“ příkazy). Velké množství virů například hledá viry pomocí masky *.EXE, otevře nalezený soubor a zapíše do otevřeného souboru. Úkolem heuristiky je v tomto případě najít podpisy, které tyto akce odrážejí. Poté jsou nalezené signatury analyzovány, a pokud je nalezen určitý počet potřebných a dostatečných „podezřelých příkazů“, je rozhodnuto, že soubor je infikován. Velkou výhodou této metody je její snadná implementace a dobrá rychlost, ale úroveň detekce nového malwaru je poměrně nízká.

Dynamická metoda. Tato metoda se objevila současně se zavedením emulace příkazů procesoru do antivirových programů (emulátor je podrobněji popsán níže). Podstatou metody je emulace provádění programu a protokolování všech „podezřelých“ akcí programu. Na základě tohoto protokolu se rozhodne o možné infekci programu virem. Dynamická metoda je na rozdíl od statické metody náročnější na počítačové zdroje, nicméně úroveň detekce dynamické metody je mnohem vyšší.

Emulace


Technologie emulace programového kódu (neboli Sandboxing) byla reakcí na vznik velkého množství polymorfních virů. Myšlenkou této metody je emulovat provádění programu (jak infikovaného virem, tak „čistého“) ve speciálním „prostředí“, nazývaném také emulační vyrovnávací paměť nebo „sandbox“. Pokud se do emulátoru dostane soubor infikovaný polymorfním virem, tak se po emulaci v bufferu objeví dešifrované tělo viru připravené k detekci standardními metodami (podpis nebo CRC vyhledávání).
Moderní emulátory emulují nejen příkazy procesoru, ale také volání operačního systému. Úkol napsat plnohodnotný emulátor je poměrně pracný, nemluvě o tom, že při použití emulátoru musíte neustále sledovat akce každého příkazu. To je nezbytné, aby se zabránilo náhodnému spuštění destruktivních komponent virového algoritmu.
Zvláště je třeba poznamenat, že je nutné emulovat činnost virových instrukcí a ne je stopovat, protože při sledování viru je pravděpodobnost volání destruktivních instrukcí nebo kódů odpovědných za šíření viru příliš vysoká.

Databáze antivirového motoru


Databáze je nedílnou součástí antivirového jádra. Navíc, pokud předpokládáme, že dobře navržený „engine“ se tak často nemění, pak se antivirová databáze mění neustále, protože právě v antivirové databázi jsou signatury, kontrolní součty a speciální softwarové moduly pro detekci malwaru. . Jak víte, nové viry, síťoví červi a další škodlivé programy se objevují se záviděníhodnou frekvencí, a proto je velmi důležité, aby byla antivirová databáze aktualizována co nejčastěji. Pokud před pěti lety stačily týdenní aktualizace, dnes je prostě nutné dostávat aktualizace antivirové databáze alespoň denně.
Je také velmi důležité, co přesně je v antivirové databázi: jsou tam pouze záznamy o virech nebo doplňkových softwarových postupech. V druhém případě je mnohem jednodušší aktualizovat funkčnost antivirového enginu pouhou aktualizací databází.

Podpora pro "složité" vnořené objekty


Antivirové motory se za posledních několik let hodně změnily. Jestliže první antiviry, aby mohly být považovány za prvotřídní program, musely pouze kontrolovat systémovou paměť, spustitelné soubory a boot sektory, pak o pár let později, kvůli rostoucí oblibě speciálních utilit pro balení spustitelných modulů, vývojáři byli postaveni před úkol rozbalit zabalený soubor před jeho skenováním.
Pak nový problém – viry se naučily infikovat archivované soubory (a sami uživatelé často posílali infikované soubory v archivech). Antiviry se musely naučit zpracovávat i archivní soubory. V roce 1995 se objevil první makrovirus, který infikoval dokumenty Microsoft Word. Stojí za zmínku, že formát dokumentu používaný aplikací Microsoft Word je uzavřený a velmi složitý. Řada antivirových společností stále neví, jak takové soubory plně zpracovat.
Antivirové moduly dnes kvůli obrovské oblibě e-mailů zpracovávají jak databáze poštovních zpráv, tak i zprávy samotné.

Detekční metody


Typický antivirový „engine“, který je implementován v každém antivirovém programu, využívá všechny potřebné technologie pro detekci malwaru: efektivní heuristický analyzátor, vysoce výkonný emulátor a především kompetentní a flexibilní architekturu subsystém detekce malwaru, umožňující použití všech výše uvedených metod detekce.
Téměř každý antivirový modul používá jako základní metodu detekci kontrolního součtu. Tento způsob byl zvolen na základě požadavku na minimalizaci velikosti antivirových databází. Architektura enginu je však často tak flexibilní, že umožňuje použití kterékoli z výše uvedených metod detekce, což se dělá u některých zvláště složitých virů. To vám umožní dosáhnout vysoké úrovně detekce virů. Architektura antivirového enginu je podrobněji uvedena na schématu dále v textu.
Praktická aplikace metod detekce polymorfních virů (kryptoanalýza a statistická analýza, použití redukované masky a emulace) spočívá ve výběru nejoptimálnější metody z hlediska rychlosti a velikosti potřebné paměti. Kód většiny samošifrovacích virů lze poměrně snadno obnovit emulační procedurou. Pokud použití emulátoru není optimální řešení, pak se kód viru obnoví pomocí podprogramu, který implementuje inverzní transformaci – kryptoanalýzu. Pro detekci virů, které nelze emulovat, a virů, pro které není možné sestrojit inverzní transformaci, se používá metoda konstrukce redukovaných masek.
V některých nejsložitějších případech se používá kombinace výše uvedených metod. Část dešifrovacího kódu je emulována a příkazy, které jsou ve skutečnosti zodpovědné za dešifrovací algoritmus, jsou extrahovány z dešifrovacího zařízení. Poté se na základě obdržených informací sestaví a vyřeší systém rovnic pro obnovu kódu viru a jeho detekci.
Kombinace metod se používá také při použití vícenásobného šifrování, kdy virus zašifruje své tělo několikrát různými šifrovacími algoritmy. Často se používá kombinovaná metoda obnovy informací nebo „čistá“ emulace dešifrovacího kódu z toho důvodu, že každý nový virus musí být analyzován a zařazen do antivirové databáze v co nejkratší době, která se ne vždy vejde do potřebné matematická analýza. A v důsledku toho je třeba použít těžkopádnější metody pro detekci viru, přestože metody matematické analýzy dešifrovacího algoritmu jsou docela použitelné.

Práce se "složitými" objekty


Antivirové motory podporují práci s velkým množstvím balíčků a archivačních formátů. Vývojáři málokdy zveřejňují kompletní (nebo alespoň dostatečně podrobný) seznam podporovaných formátů. Níže jsou oficiálně zveřejněné informace o podpoře „komplexních“ formátů v aplikaci Kaspersky Anti-Virus. V ostatních antivirových produktech by měl být seznam podporovaných formátů přibližně stejný.
Modul Kaspersky Anti-Virus podporuje práci s více než 400 různými nástroji pro balení spustitelných souborů, instalátorů a archivátorů (celkem více než 900 modifikací, k květnu 2003). Mezi nimi:

Packery spustitelných souborů a šifrovací systémy. Nejoblíbenější z nich: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb, SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (několik verzí), WWPACK, ASPack (několik verzí), ASProtect (několik verzí), Astrum, BitArts, BJFnt, Cexe, Cheaters , Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (několik verzí), PCCShrink, PE-D- PELock, PEncrypt, PE-Pack (několik verzí), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
Podpora tolika balíčků a archivátorů umožňuje zkrátit dobu analýzy nových virů, což vede ke zvýšení rychlosti reakce na výskyt nového viru a dosáhnout vysoké úrovně detekce již známých virů.

Archivátoři a instalátoři (celkem více než 60). Nejoblíbenější z nich: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (několik verzí), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, Effect Office.
Podpora velkého počtu typů archivátorů je zvláště důležitá pro skenování poštovních systémů, protože naprostá většina virů se posílá poštou v archivované podobě. Objekty se rozbalí bez ohledu na úroveň vnoření archivů. Pokud je například infikovaný soubor zabalen s UPX a poté je soubor zabalen v archivu ZIP, který je zabalen v archivu CAB atd., pak by antivirový modul měl být stále schopen dosáhnout původního souboru a detekovat virus.
Je třeba poznamenat, že takové úvahy nejsou v žádném případě teoretické. Proto je široce známý trojský program Backdoor.Rbot, který byl distribuován s mnoha různými programy (Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock , PESpin, TeLock, Molebox, Yoda, Ezip, Krypton atd.).
Algoritmus rozbalování archivu má obvykle dostatek inteligence, aby nerozbalil všemožné „archivní bomby“ – malé archivy, které obsahují velké soubory (s velmi vysokým kompresním poměrem) nebo několik stejných souborů. Skenování takového archivu obvykle zabere spoustu času, ale moderní antivirové nástroje často takové „bomby“ rozpoznávají.

Mechanismus aktualizace antivirových databází a jejich velikost


Aktualizace antivirové databáze jsou obvykle vydávány několikrát denně. Někteří jsou schopni vydávat aktualizace jednou za hodinu, někteří - každé dvě hodiny. V každém případě je při současné vysoké míře nebezpečí na internetu taková častá aktualizace antivirových databází zcela oprávněná.
Velikost aktualizací svědčí o promyšlené architektuře antivirového enginu. Velikost pravidelných aktualizací od předních společností v oboru tedy zpravidla nepřesahuje 30 KB. Antivirové databáze přitom obvykle obsahují zhruba 70 % funkčnosti celého antivirového enginu. Jakákoli aktualizace antivirové databáze může přidat podporu pro nový balič nebo archivátor. Denní aktualizací antivirové databáze tak uživatel získává nejen nové postupy pro detekci nového malwaru, ale také aktualizaci celého antiviru. To umožňuje velmi pružně reagovat na situaci a zaručit uživateli maximální ochranu.

Heuristický analyzátor


Heuristický analyzátor, který je součástí téměř každého antiviru, využívá obě výše popsané metody analýzy – kryptoanalýzu a statistickou analýzu. Moderní heuristický analyzátor je od základu navržen tak, aby byl rozšiřitelný (na rozdíl od většiny heuristických analyzátorů první generace, které byly navrženy k detekci malwaru pouze ve spustitelných modulech).
V současné době vám heuristický analyzátor umožňuje detekovat škodlivý kód ve spustitelných souborech, sektorech a paměti, stejně jako nové skriptové viry a malware pro Microsoft Office (a další programy využívající VBA) a konečně škodlivý kód napsaný v jazycích vyšší úrovně. , jako je Microsoft Visual Basic.
Flexibilní architektura a kombinace různých metod nám umožňuje dosáhnout poměrně vysoké úrovně detekce nového malwaru. Vývojáři zároveň vynakládají veškeré úsilí, aby počet falešných poplachů snížili na minimum. Produkty prezentované lídry v antivirovém průmyslu jen zřídka dělají chyby při detekci škodlivého kódu.

Schéma fungování antivirového enginu


Níže uvedený diagram popisuje přibližný algoritmus pro provoz antivirového jádra. Je třeba poznamenat, že k emulaci a vyhledávání známého a neznámého malwaru dochází současně.


Schéma fungování typického antivirového jádra na příkladu Kaspersky Anti-Virus


Jak již bylo zmíněno výše, při aktualizaci antivirové databáze jsou aktualizovány a doplněny také moduly pro rozbalení zabalených souborů a archivů, heuristický analyzátor a další moduly antivirového jádra.

Originální technologie v antivirových enginech


Téměř každý vývojář antivirových produktů implementuje některé ze svých vlastních technologií, díky nimž je program efektivnější a produktivnější. Některé z těchto technologií přímo souvisejí s konstrukcí „motoru“, protože výkon celého řešení často závisí na jeho provozu. Dále se budeme zabývat řadou technologií, které mohou výrazně urychlit kontrolu objektů a zároveň zaručit zachování vysoké kvality detekce a také zlepšit detekci a léčbu škodlivého softwaru v archivovaných souborech.
Začněme technologií iChecker. Tato technologie a její analogy jsou implementovány téměř v každém moderním antiviru. Je třeba poznamenat, že iChecker je název navržený specialisty společnosti Kaspersky Lab. Odborníci například Panda Software nazývají UltraFast. Tato technologie umožňuje dosáhnout rozumné rovnováhy mezi spolehlivostí ochrany pracovních stanic (a zejména serverů) a využitím systémových prostředků chráněného počítače. Díky této technologii se výrazně zkracuje doba načítání (až o 30-40 %) operačního systému (ve srovnání s tradiční antivirovou ochranou) a doba spouštění aplikací s aktivní antivirovou ochranou. Tím je zajištěno, že všechny soubory na discích počítače byly zkontrolovány a nejsou infikovány. Hlavní myšlenkou této technologie je, že není třeba kontrolovat to, co se nezměnilo a již bylo zkontrolováno. Antivirové jádro udržuje speciální databázi, ve které jsou uloženy kontrolní součty všech zkontrolovaných (a neinfikovaných) souborů. Nyní, před odesláním souboru k ověření, „engine“ vypočítá a porovná kontrolní součet souboru s daty uloženými v databázi. Pokud se data shodují, znamená to, že soubor byl zkontrolován a opakovaná kontrola není nutná. Stojí za zmínku, že čas strávený výpočtem kontrolních součtů souborů je výrazně kratší než čas antivirové kontroly.
Zvláštní místo v práci antiviru zaujímá léčba archivovaných infikovaných objektů. Právě o tom bude řeč dále. iCure je technologie pro léčbu infikovaných souborů v archivech. Díky této technologii budou infikované objekty uvnitř archivovaných souborů úspěšně dezinfikovány (nebo smazány v závislosti na nastavení antiviru) bez použití externích archivačních utilit. Dnes většina antivirů podporuje následující typy archivů: ARJ, CAB, RAR, ZIP. Díky modulární architektuře a technologiím pro aktualizaci antivirového jádra může uživatel zpravidla snadno aktualizovat a rozšířit seznam podporovaných typů archivátorů bez restartování antiviru.
iArc je další technologie pro práci s archivními soubory. Tato technologie je nezbytná pro práci s vícesvazkovými archivy. iArc umožňuje skenovat vícesvazkové archivy a detekovat viry, i když jsou zabaleny do vícesvazkového archivu, který bude také zabalen do vícesvazkového archivu.
Vícevláknové zpracování. Antivirový „engine“ je vícevláknový modul a dokáže současně zpracovávat (kontrolovat škodlivé kódy) několik objektů (soubory, sektory, skripty atd.).
Většina z výše uvedených technologií je v té či oné podobě implementována v každém moderním antivirovém produktu.

Polymorfní viry


V celém článku se často používaly termíny „polymorfní“ a „samošifrovací“ viry. Jak mělo být z předchozích diskusí zřejmé, právě tento typ škodlivého kódu měl silný vliv na vývoj antivirových technologií. Níže jsou uvedeny informace o polymorfních virech poskytnuté odborníky společnosti Kaspersky Lab.

Základní definice: samošifrování a polymorfismus. Používají je téměř všechny typy virů, aby se co nejvíce zkomplikovala procedura detekce virů. Polymorfní viry jsou poměrně obtížné detekovat viry, které nemají signaturu, to znamená, že neobsahují jediný konstantní úsek kódu. Ve většině případů dva vzorky stejného polymorfního viru nebudou mít jedinou shodu. Toho je dosaženo zašifrováním hlavního těla viru a úpravou dešifrovacího programu. Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují i ​​další, poněkud exotické příklady polymorfismu: například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.
Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače


Nejjednodušším příkladem částečně polymorfního dešifrovače je následující sada příkazů, v důsledku čehož není při infikování různých souborů konstantní ani jeden bajt kódu samotného viru a jeho dešifrovače:

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z
MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP
MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit
_smyčka:
xxx byte ptr, reg_2 ; xor, add nebo sub
DEC reg_1
Jxx_loop ; ja nebo jnc
; Následuje šifrovaný kód a data viru

Složité polymorfní viry používají mnohem složitější algoritmy pro generování kódu svých dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupovány z infekce na infekci, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC, atd.
Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možnými režimy adresování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows 95 EXE.
Výsledkem je, že na začátku souboru infikovaného takovým virem je soubor zdánlivě nesmyslných pokynů. Je zajímavé, že některé kombinace, které jsou docela funkční, nejsou akceptovány proprietárními disassemblery (například kombinace CS:CS: nebo CS:NOP). A mezi touto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu


Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dešifrovačích těchto virů. Toto rozdělení poprvé navrhl Dr. Alan Solomon, po nějaké době je Vesselin Bonchev rozšířil:

Úroveň 1: Viry, které mají určitou sadu dešifrovačů s konstantním kódem; když se nakazí, vyberou si jednoho z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: "Cheeba", "Slovensko", "Whale".

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je nestabilní.

Úroveň 3: Dešifrovač obsahuje nepoužité instrukce - "smetí" jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.

Úroveň 5: Používají se všechny výše uvedené techniky, dešifrovací algoritmus není konstantní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.

Úroveň 6: Permutující viry. Hlavní kód viru podléhá změnám – je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedená klasifikace má své nevýhody, protože se provádí podle jediného kritéria - schopnosti detekovat virus pomocí dešifrovacího kódu pomocí standardní techniky virových masek:

Úroveň 1: k detekci viru stačí mít několik masek;
Úroveň 2: detekce masky pomocí „zástupných karet“;
Úroveň 3: detekce maskou po odstranění „odpadkových“ pokynů;
Úroveň 4: maska ​​obsahuje několik možných možností kódu, to znamená, že se stává algoritmickou;
Úroveň 5: neschopnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. Avšak v tomto viru byl algoritmus generování odpadků doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.
Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.
Objektivnější klasifikace by byla taková, ve které jsou kromě kritéria virových masek zahrnuty také další parametry, například:

Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače);
Použití speciálních technik, které znesnadňují emulaci antivirům;
Stálost dešifrovacího algoritmu;
Stálost délky dešifrovače.


Změna spustitelného kódu


Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.
Tato metoda je méně často používána složitými zaváděcími viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také kombinovat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.
Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „odpad“, nastaví nové hodnoty offsetu na datech ve svých montážních pokynech, změní konstanty, atd. Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

Antivirový software je dnes více než kdy jindy nejen nejžádanější v bezpečnostním systému jakéhokoli operačního systému, ale také jednou z jeho hlavních součástí. A pokud dříve měl uživatel velmi omezený, skromný výběr, nyní takových programů najdete spoustu. Pokud se však podíváte na seznam „10 nejlepších antivirů“, všimnete si, že ne všechny jsou ekvivalentní z hlediska funkčnosti. Podívejme se na nejoblíbenější balíčky. Zároveň bude analýza zahrnovat jak placený, tak shareware (antivir na 30 dní) a volně distribuované aplikace. Ale nejdřív.

Top 10 antivirů pro Windows: testovací kritéria

Než začnete sestavovat hodnocení, měli byste se pravděpodobně seznámit se základními kritérii, která se při testování takového softwaru ve většině případů používají.

Přirozeně je prostě nemožné vzít v úvahu všechny známé balíčky. Mezi všemi, které jsou určeny k zajištění ochrany počítačového systému v nejširším slova smyslu, lze však identifikovat nejoblíbenější. Zároveň zohledníme jak oficiální hodnocení nezávislých laboratoří, tak recenze uživatelů, kteří ten či onen softwarový produkt používají v praxi. Mobilní programy se navíc nedotknou, zaměříme se na stacionární systémy.

Pokud jde o provádění základních testů, zpravidla zahrnují několik hlavních aspektů:

  • dostupnost placených a bezplatných verzí a omezení související s funkčností;
  • standardní rychlost skenování;
  • rychlá identifikace potenciálních hrozeb a schopnost je odstranit nebo umístit do karantény pomocí vestavěných algoritmů;
  • četnost aktualizace antivirových databází;
  • sebeobrana a spolehlivost;
  • dostupnost dalších funkcí.

Jak je vidět z výše uvedeného seznamu, kontrola fungování antivirového softwaru vám umožňuje určit silné a slabé stránky konkrétního produktu. Dále zvážím nejoblíbenější softwarové balíčky zahrnuté v Top 10 antivirů a také uvedu jejich hlavní charakteristiky, samozřejmě s ohledem na názory lidí, kteří je používají ve své každodenní práci.

Softwarové produkty Kaspersky Lab

Nejprve se podívejme na softwarové moduly vyvinuté společností Kaspersky Lab, které jsou mimořádně populární v postsovětském prostoru.

Není možné zde vyčlenit pouze jeden program, protože mezi nimi můžete najít standardní antivirový skener Kaspersky, moduly jako Internet Security, přenosné nástroje, jako je Virus Removal Tool, a dokonce spouštěcí disky pro poškozené systémy záchranných disků.

Okamžitě stojí za zmínku dvě hlavní nevýhody: za prvé, soudě podle recenzí, téměř všechny programy, až na vzácné výjimky, jsou placené nebo shareware, a za druhé, systémové požadavky jsou nepřiměřeně vysoké, což znemožňuje jejich použití v relativně slabých konfiguracích. . To přirozeně odstrašuje mnoho běžných uživatelů, ačkoli aktivační klíče pro Kaspersky Antivirus nebo Internet Security lze snadno najít na World Wide Web.

Na druhou stranu lze aktivační situaci napravit i jiným způsobem. Například klíče Kaspersky lze generovat pomocí speciálních aplikací, jako je Správce klíčů. Je pravda, že tento přístup je mírně řečeno nezákonný, nicméně jako východisko jej používá mnoho uživatelů.

Rychlost provozu na moderních strojích je průměrná (z nějakého důvodu vzniká stále více těžkých verzí pro nové konfigurace), ale neustále aktualizované databáze, unikátní technologie pro identifikaci a odstraňování známých virů a potenciálně nebezpečných programů jsou na tom nejlépe. Není divu, že Kapersky Laboratory je dnes lídrem mezi vývojáři bezpečnostního softwaru.

A ještě dvě slova o disku pro obnovu. Je svým způsobem unikátní, protože načte skener s grafickým rozhraním ještě před samotným spuštěním Windows, což vám umožní odstranit hrozby i z RAM.

Totéž platí pro přenosnou utilitu Virus Removal Tool, která dokáže sledovat jakoukoli hrozbu na infikovaném terminálu. Srovnat se dá jen s podobnou utilitou od Dr. Web.

Ochrana před Dr. Web

Před námi je další z nejsilnějších představitelů v oblasti bezpečnosti - slavný „Doctor Web“, který stál u zrodu vzniku veškerého antivirového softwaru od nepaměti.

Mezi obrovským množstvím programů můžete také najít standardní skenery, bezpečnostní nástroje pro surfování po internetu, přenosné nástroje a disky pro obnovu. Nemůžete vyjmenovat všechno.

Mezi hlavní faktory ve prospěch softwaru tohoto vývojáře patří vysoká rychlost, okamžitá detekce hrozeb s možností jejich úplného odstranění nebo izolace a také mírné zatížení systému jako celku. Obecně se z pohledu většiny uživatelů jedná o jakousi odlehčenou verzi Kaspersky. Pořád je tu něco zajímavého. Konkrétně se jedná o Dr. Web Katana. Předpokládá se, že se jedná o softwarový produkt nové generace. Zaměřuje se na využití „pískových“ technologií, tedy umístění hrozby do „cloudu“ nebo „sandboxu“ (jak to chcete nazvat) k analýze předtím, než pronikne do systému. Nicméně, když se na to podíváte, není zde žádná zvláštní inovace, protože tato technika byla použita v bezplatném antiviru Panda. Podle mnoha uživatelů navíc Dr. Web Katana je druh bezpečnostního prostoru se stejnými technologiemi. Obecně však lze říci, že jakýkoli software od tohoto vývojáře je poměrně stabilní a výkonný. Není divu, že mnoho uživatelů takové balíčky preferuje.

programy ESET

Když už jsme u Top 10 antivirů, nelze nezmínit dalšího světlého zástupce tohoto oboru - společnost ESET, která se proslavila tak známým produktem jako NOD32. O něco později se zrodil modul ESET Smart Security.

Pokud vezmeme v úvahu tyto programy, můžeme si všimnout zajímavého bodu. Chcete-li aktivovat plnou funkčnost libovolného balíčku, můžete udělat dvě věci. Jednak jde o získání oficiální licence. Na druhou stranu si můžete nainstalovat zkušební antivirus zdarma, ale aktivujte si ho každých 30 dní. Zajímavá je i situace s aktivací.

Jak poznamenávají naprosto všichni uživatelé, pro ESET Smart Security (nebo pro standardní antivirus) na oficiálních stránkách můžete najít volně distribuované klíče ve formě přihlašovacího jména a hesla. Donedávna bylo možné používat pouze tato data. Nyní se proces poněkud zkomplikoval: nejprve se musíte přihlásit a heslo na speciální webové stránce, převést je na licenční číslo a teprve poté je zadat do registračního pole v samotném programu. Pokud však těmto maličkostem nevěnujete pozornost, můžete si všimnout, že tento antivirus je jedním z nejlepších. Výhody zaznamenané uživateli:

  • virové databáze jsou aktualizovány několikrát denně,
  • identifikace hrozeb na nejvyšší úrovni,
  • nedochází ke konfliktům se systémovými komponentami (firewall),
  • balíček má nejsilnější sebeobranu,
  • nedochází k falešným poplachům atd.

Samostatně stojí za zmínku, že zatížení systému je minimální a použití modulu Anti-Theft dokonce umožňuje chránit data před krádeží nebo zneužitím pro osobní zisk.

AVG Antivirus

AVG Antivirus je placený software navržený tak, aby poskytoval komplexní zabezpečení počítačových systémů (k dispozici je také bezplatná, zkrácená verze). A ačkoli dnes tento balíček již nepatří mezi pět nejlepších, přesto vykazuje poměrně vysokou rychlost a stabilitu.

V zásadě je ideální pro domácí použití, protože má kromě rychlosti pohodlné rusifikované rozhraní a víceméně stabilní chování. Je pravda, že jak někteří uživatelé poznamenávají, někdy je schopen přehlédnout hrozby. A to se netýká virů jako takových, ale spíše spywaru nebo reklamního „nezbytečnosti“ zvaného Malware a Adware. Vlastní modul programu, i když je široce inzerován, stále podle uživatelů vypadá poněkud nedokončený. A další firewall může často způsobit konflikty s „nativním“ firewallem Windows, pokud jsou oba moduly aktivní.

Balíček Avira

Avira je dalším členem rodiny antivirů. Od většiny podobných balíčků se nijak zásadně neliší. Pokud si však o něm přečtete uživatelské recenze, můžete najít docela zajímavé příspěvky.

Mnoho lidí nedoporučuje používat bezplatnou verzi za žádných okolností, protože některé moduly v ní prostě chybí. Abyste zajistili spolehlivou ochranu, budete si muset zakoupit placený produkt. Ale takový antivirus je vhodný pro verze 8 a 10, ve kterých samotný systém využívá spoustu prostředků a balíček je využívá na nejnižší úrovni. V zásadě se Avira nejlépe hodí řekněme pro levné notebooky a slabší počítače. Síťová instalace však nepřipadá v úvahu.

Cloudová služba Panda Cloud

Zdarma se svého času stalo téměř revolucí na poli antivirových technologií. Použití takzvaného „sandboxu“ k odeslání podezřelého obsahu k analýze předtím, než pronikne do systému, učinilo tuto aplikaci obzvláště oblíbenou mezi uživateli všech úrovní.

A právě s „pískovištěm“ je dnes tento antivirus spojen. Ano, skutečně tato technologie na rozdíl od jiných programů umožňuje zabránit pronikání hrozeb do systému. Jakýkoli virus si například nejprve uloží své tělo na pevný disk nebo do paměti RAM a teprve poté zahájí svou činnost. Zde se věc neřeší. Nejprve je podezřelý soubor odeslán do cloudové služby, kde je zkontrolován, a teprve poté může být uložen do systému. Pravda, podle očitých svědků to bohužel může zabrat poměrně dost času a zbytečně to zatěžuje systém. Na druhou stranu stojí za to si položit otázku, co je důležitější: zabezpečení nebo delší doba ověřování? Pro moderní počítačové konfigurace s rychlostí připojení k internetu 100 Mbit/s a vyšší je však bez problémů použitelný. Mimochodem, jeho vlastní ochrana je poskytována právě prostřednictvím „cloudu“, který někdy vyvolává kritiku.

Antivirový skener Avast Pro

Nyní pár slov o dalším jasném zástupci Mezi mnoha uživateli je poměrně populární, ale navzdory přítomnosti stejného sandboxu, anti-spywaru, síťového skeneru, firewallu a virtuálního účtu je bohužel Avast Pro Antivirus překonán, pokud jde o výkon. hlavní ukazatele výkonu, funkčnosti a spolehlivosti jednoznačně prohrává s takovými giganty, jako jsou softwarové produkty Kaspersky Lab nebo aplikace využívající technologie Bitdefender, i když vykazuje vysokou rychlost skenování a nízkou spotřebu zdrojů.

Uživatele na tomto produktu láká především to, že bezplatná verze balíčku je maximálně funkční a příliš se neliší od placeného softwaru. Tento antivirus navíc funguje na všech verzích Windows včetně Windows 10 a funguje skvěle i na zastaralých strojích.

360 bezpečnostních balíčků

Před námi je pravděpodobně jeden z nejrychlejších antivirů naší doby - 360 Security, vyvinutý čínskými specialisty. Obecně platí, že všechny produkty označené „360“ se vyznačují záviděníhodnou rychlostí provozu (stejný internetový prohlížeč 360 Safety Browser).

Navzdory svému hlavnímu účelu má program další moduly pro odstranění zranitelností operačního systému a jeho optimalizaci. Ale ani rychlost provozu, ani bezplatná distribuce se nedají srovnávat s falešnými poplachy. V seznamu programů, které mají nejvyšší ukazatele pro toto kritérium, zaujímá tento software jedno z prvních míst. Podle mnoha odborníků vznikají konflikty na systémové úrovni kvůli dalším optimalizátorům, jejichž působení se protíná s prováděním úkolů samotného OS.

Softwarové produkty založené na technologiích Bitdefender

Dalším „starým mužem“ mezi nejznámějšími ochránci operačních systémů je Bitdefender. Bohužel v roce 2015 přišla o dlaň s produkty Kaspersky Lab, přesto v antivirovém módu takříkajíc patří k trendsetterům.

Když se podíváte trochu blíže, všimnete si, že mnoho moderních programů (stejný balíček 360 ​​Security) v různých variantách je vyrobeno právě na základě těchto technologií. Přes bohatou funkční základnu má i své nedostatky. Za prvé, nenajdete ruský antivirus (rusifikovaný) Bitdefender, protože v přírodě vůbec neexistuje. Zadruhé, i přes využití nejnovějšího technologického vývoje z hlediska ochrany systému bohužel vykazuje příliš vysoký počet falešných poplachů (to je mimochodem podle odborníků typické pro celou skupinu programů vytvořených na bázi tzv. Bitdefender). Přítomnost dalších komponent optimalizace a jejich vlastních firewallů obecně neovlivňuje chování takových antivirů k lepšímu. Rychlost fungování této aplikace ale upřít nelze. Kromě toho se pro ověřování používá P2P, ale neexistuje ověřování e-mailů v reálném čase, což se mnoha lidem nelíbí.

Antivirus od společnosti Microsoft

Další aplikací, která je pozoruhodná svým záviděníhodným výkonem, ať už s rozumem nebo bez něj, je vlastní produkt společnosti Microsoft s názvem Security Essentials.

Tento balíček je zařazen do Top 10 antivirů zřejmě jen proto, že je určen výhradně pro systémy Windows, což znamená, že nezpůsobuje absolutně žádné konflikty na systémové úrovni. Kromě toho, kdo jiný, když ne specialisté z Microsoftu, zná všechny bezpečnostní díry a zranitelnosti vlastních operačních systémů. Mimochodem, zajímavým faktem je, že počáteční sestavení Windows 7 a Windows 8 měla MSE jako standard, ale pak z nějakého důvodu tuto sadu opustili. Pro Windows se však může stát nejjednodušším řešením z hlediska zabezpečení, i když nelze počítat s žádnou speciální funkcí.

aplikace McAfee

Co se týče této aplikace, vypadá docela zajímavě. Největší oblibu si však získal v oblasti aplikací na mobilních zařízeních se všemi druhy blokování, na stolních počítačích se však tento antivirus nechová o nic hůř.

Program disponuje nízkoúrovňovou podporou P2P sítí při sdílení souborů Instant Messengeru a nabízí i 2-úrovňovou ochranu, ve které hrají hlavní roli moduly WormStopper a ScriptStopper. Obecně ale platí, že funkčnost je podle spotřebitelů na průměrné úrovni a samotný program je zaměřen spíše na identifikaci spywaru, počítačových červů a trojských koní a zabránění pronikání spustitelných skriptů nebo škodlivého kódu do systému.

Kombinované antiviry a optimalizátory

Zde byly samozřejmě brány v úvahu pouze ty, které jsou zařazeny do Top 10 antivirů. Pokud mluvíme o jiném softwaru tohoto druhu, můžeme si všimnout některých balíčků obsahujících antivirové moduly ve svých sadách.

Čemu dát přednost?

Všechny antiviry mají přirozeně určité podobnosti a rozdíly. Co nainstalovat? Zde je třeba vycházet z potřeb a úrovně poskytované ochrany. Firemní klienti by si měli zpravidla pořídit něco výkonnějšího s možností síťové instalace (Kaspersky, Dr. Web, ESET). Pokud jde o domácí použití, zde si uživatel vybere, co potřebuje (v případě potřeby můžete dokonce najít antivirus na rok - bez registrace nebo nákupu). Pokud se však podíváte na uživatelské recenze, je lepší nainstalovat Panda Cloud, a to i přes určité dodatečné zatížení systému a čas, který zabere kontrola v karanténě. Tady je ale úplná záruka, že hrozba do systému žádným způsobem nepronikne. Každý si však může svobodně vybrat, co přesně potřebuje. Pokud aktivace není obtížná, prosím: Produkty ESET fungují na domácích systémech dobře. Ale používat optimalizátory s antivirovými moduly jako hlavní prostředek ochrany je vysoce nežádoucí. Není také možné říci, který program je na prvním místě: existuje tolik uživatelů, tolik názorů.

Antivirové motory.

Jednou z hlavních součástí každého antiviru je takzvaný antivirový „engine“ - modul zodpovědný za skenování objektů a detekci malwaru. Kvalita detekce malwaru a v důsledku toho i úroveň ochrany, kterou antivirus poskytuje, závisí na antivirovém jádru, na tom, jak je navržen, a jaké metody detekce a heuristiky používá.

Tento článek podrobně popisuje standardní technologie a některé originální přístupy různých vývojářů antivirů implementovaných v antivirovém jádru. Po cestě budou zváženy některé související technické problémy, které jsou nezbytné pro posouzení kvality antivirového enginu a objasnění technologií v něm používaných.

Dobrý nebo špatný "motor"?

Bohužel vývojáři antivirového softwaru velmi zřídka zveřejňují podrobnosti o implementaci svých motorů. Nepřímými znaky však můžete určit, zda je „motor“ dobrý nebo ne. Zde jsou hlavní kritéria, podle kterých můžete určit kvalitu antivirového motoru:
Kvalita detekce. Jak dobře antivirus detekuje viry? Toto kritérium lze posoudit na základě výsledků různých testů, které provádí několik organizací a jsou obvykle prezentovány na webových zdrojích vývojáře.

Úroveň detekce heuristickými analyzátory. Bohužel je nemožné určit tento parametr bez testování na sbírce virů, ale můžete poměrně snadno určit, jaká je úroveň falešných poplachů pro konkrétní engine.

Falešně pozitivní sazba. Pokud u 100% neinfikovaných souborů antivirus hlásí, že detekoval možná infikovaný soubor, pak je to falešně pozitivní. Máme věřit takovému heuristickému analyzátoru, který obtěžuje uživatele falešnými poplachy? Koneckonců, kvůli velkému počtu falešných poplachů může uživatel přehlédnout skutečně nový virus.

Podpora velkého počtu balíčků a archivátorů. To je velmi důležitý faktor, protože často tvůrci malwaru napíšou virus, zabalí jej s několika nástroji pro balení spustitelných modulů a poté, co obdrželi několik různých virů, je vypustí do světa. V podstatě všechny tyto viry jsou instancemi stejné varianty. Pro antivirový modul, který podporuje všechny nebo téměř všechny oblíbené nástroje pro balení, nebude obtížné identifikovat všechny tyto instance stejného viru a nazvat je stejným jménem pro jiné nástroje, bude nutné aktualizovat antivirovou databázi (; stejně jako čas, který antivirovým expertům zabere analýza instance viru).

Frekvence a velikost aktualizací antivirové databáze. Tyto parametry jsou nepřímými známkami kvality motoru. Vzhledem k tomu, že časté vydávání aktualizací zajišťuje, že uživatel bude vždy chráněn před nově se objevujícími viry. Velikost aktualizace (a počet virů zjištěných v této aktualizaci) vypovídá o kvalitě provedení antivirové databáze a částečně i enginu.

Schopnost aktualizovat motor bez aktualizace samotného antivirového programu. Někdy je pro detekci viru nutné aktualizovat nejen antivirovou databázi, ale i samotný „engine“. Pokud antivirus tuto funkci nepodporuje, může uživatel zůstat bez ochrany tváří v tvář novému viru. Kromě toho vám tato funkce umožňuje rychle vylepšit motor a opravit chyby v něm.

Antivirový "engine": existující technologie

S příchodem prvních počítačových virů programátoři rychle přišli na to, jak fungují, a vytvořili první antivirové programy. Od té doby uplynulo poměrně hodně času a moderní antiviry se od těch prvních antivirů liší, stejně jako se liší osobní počítač od kalkulačky.

V prvním odstavci tohoto článku byla uvedena poněkud „naivní“ definice antivirového „motoru“. Dále bude uvedena řada přesných definic a technologických popisů, které vám v konečném důsledku umožní plně porozumět struktuře a algoritmům antivirového enginu.

Anti-Virus Engine je softwarový modul, který je určen k detekci škodlivého softwaru. „Motor“ je hlavní součástí každého antivirového programu bez ohledu na jeho účel. Motor se používá jak v osobních produktech - osobní skener nebo monitor, tak v serverových řešeních - skener pro poštovní nebo souborový server, firewall nebo proxy server. K detekci malwaru zpravidla většina „motorů“ implementuje následující technologie:
Vyhledávání podle "podpisů" (jedinečná sekvence bajtů);
Vyhledávání podle kontrolních součtů nebo CRC (kontrolní součet s jedinečnou sekvencí bajtů);
Použití zmenšené masky;
kryptoanalýza;
Statistická analýza;
Heuristická analýza;
Emulace.
Podívejme se na každou z těchto metod podrobněji.

Hledat podle "podpisů"

Signatura je jedinečný „řetězec“ bajtů, který jedinečně charakterizuje konkrétní škodlivý program. Vyhledávání podpisů, v té či oné modifikaci, se používá k detekci virů a dalšího malwaru od prvních antivirových programů až po současnost. Nespornou výhodou vyhledávání signatur je rychlost provozu (samozřejmě pomocí speciálně vyvinutých algoritmů) a schopnost detekovat několik virů jednou signaturou. Nevýhoda - velikost signatury pro spolehlivou detekci musí být poměrně velká, minimálně 8-12 bajtů (obvykle se pro přesnou detekci používají mnohem delší signatury, až 64 bajtů), proto bude velikost antivirové databáze být docela velký. V poslední době se navíc stále více rozšiřují škodlivé programy napsané v jazycích vyšší úrovně (C++, Delphi, Visual Basic) a takové programy mají samostatné části kódu, které se prakticky nemění (tzv. Run Time Library ). Špatně zvolená signatura nevyhnutelně povede k falešné pozitivitě – detekci „čistého“, neinfikovaného souboru jako infikovaného virem. Jako řešení tohoto problému se navrhuje použít buď velmi velké podpisy, nebo použít detekci pro určité datové oblasti, například relokační tabulky nebo textové řetězce, což není vždy dobré.

Hledat podle kontrolních součtů (CRC)

Vyhledávání podle kontrolních součtů (CRC - cyclic redundancy check) je v podstatě modifikací vyhledávání podle signatur. Metoda byla vyvinuta, aby se předešlo hlavním nevýhodám vyhledávání podpisů – velikosti databáze a snížení pravděpodobnosti falešných poplachů. Podstatou metody je, že k hledání škodlivého kódu se bere nejen „referenční“ řádek - podpis, nebo spíše kontrolní součet tohoto řádku, ale také umístění podpisu v těle škodlivého programu. Umístění se používá, abyste nemuseli počítat kontrolní součty pro celý soubor. Místo 10-12 bajtů podpisu (minimum) se tedy použijí 4 bajty pro uložení kontrolního součtu a další 4 bajty pro umístění. Metoda hledání kontrolního součtu je však poněkud pomalejší než hledání podpisu.
Použití masek k detekci škodlivého kódu je poměrně často komplikováno přítomností šifrovaného kódu (tzv. polymorfních virů), protože buď nelze masku vybrat, nebo maska ​​maximální velikosti nesplňuje podmínku jednoznačně identifikace viru bez falešných poplachů.
Nemožnost výběru masky dostatečné velikosti v případě polymorfního viru lze snadno vysvětlit. Šifrováním svého těla virus zajišťuje, že většina jeho kódu v postiženém objektu je proměnná, a proto nemůže být vybrána jako maska. (Samošifrovací a polymorfní viry jsou podrobněji popsány v příloze na konci článku).
K detekci takových virů se používají následující metody: použití redukované masky, kryptoanalýza a statistická analýza. Podívejme se na tyto metody podrobněji.

Použití zmenšené masky

Při infikování objektů virus, který používá šifrování, převádí svůj kód na šifrovanou sekvenci dat:
S = F(T), kde
T - základní kód viru;
S - šifrované virové kódy;
F je funkce šifrování viru, náhodně vybraná z určité sady transformací (F).
Metoda redukované masky spočívá ve výběru transformace R zašifrovaných virových kódů S tak, že výsledek transformace (tj. nějaká sekvence dat S) nebude záviset na transformačních klíčích F, tzn.
S=F(T)
S" = R (S) = R (F (T)) = R" (T).
Při aplikaci transformace R na všechny možné varianty šifrového kódu S bude výsledek S" konstantní při konstantě T. Identifikace dotčených objektů se tedy provádí tak, že se zvolí S" jako redukovaná maska ​​a aplikuje se transformace R na postižené předměty.

Kryptoanalýza

Tato metoda je následující: pomocí známého základního kódu viru a známého šifrovaného kódu (nebo „podezřelého“ kódu podobného zašifrovanému tělu viru) se obnoví klíče a algoritmus dešifrovacího programu. Tento algoritmus je poté aplikován na zašifrovanou část, výsledkem je dešifrované tělo viru. Při řešení tohoto problému se musíte vypořádat se systémem rovnic.
Tato metoda zpravidla funguje mnohem rychleji a zabírá mnohem méně paměti než emulace virových instrukcí. Řešení takových systémů je však často velmi složitý úkol.
Kromě toho je hlavním problémem matematická analýza výsledné rovnice nebo výsledné soustavy rovnic. V mnoha ohledech se problém řešení soustav rovnic při obnově zašifrovaného těla viru podobá klasickému kryptografickému problému obnovy šifrovaného textu s neznámými klíči. Zde však tento úkol zní poněkud jinak: je nutné zjistit, zda daný zašifrovaný kód je výsledkem aplikace nějaké funkce známé až klíčům. Navíc je předem známo mnoho dat pro řešení tohoto problému: část šifrovaného kódu, část nešifrovaného kódu, možné varianty transformační funkce. Navíc je v analyzovaných kódech přítomen i samotný algoritmus této transformace a klíče. Existuje však značné omezení, že tento problém musí být vyřešen v rámci specifických hranic RAM a postup řešení by neměl trvat dlouho.

Statistická analýza

Používá se také k detekci polymorfních virů. Skener během své činnosti analyzuje četnost používání příkazů procesoru, sestavuje tabulku nalezených příkazů procesoru (operační kódy) a na základě těchto informací učiní závěr, že soubor je infikován virem. Tato metoda je účinná pro vyhledávání některých polymorfních virů, protože tyto viry používají omezenou sadu příkazů v decryptoru, zatímco „čisté“ soubory používají zcela jiné příkazy s jinou frekvencí. Například všechny programy pro MS-DOS často používají přerušení 21h (opcode CDh 21h), ale tento příkaz prakticky nikdy nenajdete v decryptoru polymorfních DOS virů.
Hlavní nevýhodou této metody je, že existuje řada složitých polymorfních virů, které využívají téměř všechny příkazy procesoru a od kopírování ke kopírování se sada použitých příkazů velmi mění, to znamená, že není možné detekovat virus pomocí vytvořené frekvence tabulka.

Heuristická analýza

Když počet virů přesáhl několik stovek, začali antiviroví experti přemýšlet o myšlence detekce malwaru, o jehož existenci antivirový program zatím neví (neexistují žádné odpovídající signatury). V důsledku toho byly vytvořeny tzv. heuristické analyzátory. Heuristický analyzátor je sada rutin, které analyzují kód spustitelných souborů, maker, skriptů, paměti nebo spouštěcích sektorů za účelem detekce různých typů škodlivých počítačových programů. Existují dva principy fungování analyzátoru.

Statická metoda. Hledání běžných krátkých signatur, které jsou přítomny ve většině virů (tzv. „podezřelé“ příkazy). Velké množství virů například hledá viry pomocí masky *.EXE, otevře nalezený soubor a zapíše do otevřeného souboru. Úkolem heuristiky je v tomto případě najít podpisy, které tyto akce odrážejí. Poté jsou nalezené signatury analyzovány, a pokud je nalezen určitý počet potřebných a dostatečných „podezřelých příkazů“, je rozhodnuto, že soubor je infikován. Velkou výhodou této metody je její snadná implementace a dobrá rychlost, ale úroveň detekce nového malwaru je poměrně nízká.

Dynamická metoda. Tato metoda se objevila současně se zavedením emulace příkazů procesoru do antivirových programů (emulátor je podrobněji popsán níže). Podstatou metody je emulace provádění programu a protokolování všech „podezřelých“ akcí programu. Na základě tohoto protokolu se rozhodne o možné infekci programu virem. Dynamická metoda je na rozdíl od statické metody náročnější na počítačové zdroje, nicméně úroveň detekce dynamické metody je mnohem vyšší.

Emulace

Technologie emulace programového kódu (neboli Sandboxing) byla reakcí na vznik velkého množství polymorfních virů. Myšlenkou této metody je emulovat provádění programu (jak infikovaného virem, tak „čistého“) ve speciálním „prostředí“, nazývaném také emulační vyrovnávací paměť nebo „sandbox“. Pokud se do emulátoru dostane soubor infikovaný polymorfním virem, tak se po emulaci v bufferu objeví dešifrované tělo viru připravené k detekci standardními metodami (podpis nebo CRC vyhledávání).
Moderní emulátory emulují nejen příkazy procesoru, ale také volání operačního systému. Úkol napsat plnohodnotný emulátor je poměrně pracný, nemluvě o tom, že při použití emulátoru musíte neustále sledovat akce každého příkazu. To je nezbytné, aby se zabránilo náhodnému spuštění destruktivních komponent virového algoritmu.
Zvláště je třeba poznamenat, že je nutné emulovat činnost virových instrukcí a ne je stopovat, protože při sledování viru je pravděpodobnost volání destruktivních instrukcí nebo kódů odpovědných za šíření viru příliš vysoká.

Databáze antivirového motoru

Databáze je nedílnou součástí antivirového jádra. Navíc, pokud předpokládáme, že dobře navržený „engine“ se tak často nemění, pak se antivirová databáze mění neustále, protože právě v antivirové databázi jsou signatury, kontrolní součty a speciální softwarové moduly pro detekci malwaru. . Jak víte, nové viry, síťoví červi a další škodlivé programy se objevují se záviděníhodnou frekvencí, a proto je velmi důležité, aby byla antivirová databáze aktualizována co nejčastěji. Pokud před pěti lety stačily týdenní aktualizace, dnes je prostě nutné dostávat aktualizace antivirové databáze alespoň denně.
Je také velmi důležité, co přesně je v antivirové databázi: jsou tam pouze záznamy o virech nebo doplňkových softwarových postupech. V druhém případě je mnohem jednodušší aktualizovat funkčnost antivirového enginu pouhou aktualizací databází.

Podpora pro "složité" vnořené objekty

Antivirové motory se za posledních několik let hodně změnily. Jestliže první antiviry, aby mohly být považovány za prvotřídní program, musely pouze kontrolovat systémovou paměť, spustitelné soubory a boot sektory, pak o pár let později, kvůli rostoucí oblibě speciálních utilit pro balení spustitelných modulů, vývojáři byli postaveni před úkol rozbalit zabalený soubor před jeho skenováním.
Pak nový problém – viry se naučily infikovat archivované soubory (a sami uživatelé často posílali infikované soubory v archivech). Antiviry se musely naučit zpracovávat i archivní soubory. V roce 1995 se objevil první makrovirus, který infikoval dokumenty Microsoft Word. Stojí za zmínku, že formát dokumentu používaný aplikací Microsoft Word je uzavřený a velmi složitý. Řada antivirových společností stále neví, jak takové soubory plně zpracovat.
Antivirové moduly dnes kvůli obrovské oblibě e-mailů zpracovávají jak databáze poštovních zpráv, tak i zprávy samotné.

Detekční metody

Typický antivirový „engine“, který je implementován v každém antivirovém programu, využívá všechny potřebné technologie pro detekci malwaru: efektivní heuristický analyzátor, vysoce výkonný emulátor a především kompetentní a flexibilní architekturu subsystém detekce malwaru, umožňující použití všech výše uvedených metod detekce.
Téměř každý antivirový modul používá jako základní metodu detekci kontrolního součtu. Tento způsob byl zvolen na základě požadavku na minimalizaci velikosti antivirových databází. Architektura enginu je však často tak flexibilní, že umožňuje použití kterékoli z výše uvedených metod detekce, což se dělá u některých zvláště složitých virů. To vám umožní dosáhnout vysoké úrovně detekce virů. Architektura antivirového enginu je podrobněji uvedena na schématu dále v textu.
Praktická aplikace metod detekce polymorfních virů (kryptoanalýza a statistická analýza, použití redukované masky a emulace) spočívá ve výběru nejoptimálnější metody z hlediska rychlosti a velikosti potřebné paměti. Kód většiny samošifrovacích virů lze poměrně snadno obnovit emulační procedurou. Pokud použití emulátoru není optimální řešení, pak se kód viru obnoví pomocí podprogramu, který implementuje inverzní transformaci – kryptoanalýzu. Pro detekci virů, které nelze emulovat, a virů, pro které není možné sestrojit inverzní transformaci, se používá metoda konstrukce redukovaných masek.
V některých nejsložitějších případech se používá kombinace výše uvedených metod. Část dešifrovacího kódu je emulována a příkazy, které jsou ve skutečnosti zodpovědné za dešifrovací algoritmus, jsou extrahovány z dešifrovacího zařízení. Poté se na základě obdržených informací sestaví a vyřeší systém rovnic pro obnovu kódu viru a jeho detekci.
Kombinace metod se používá také při použití vícenásobného šifrování, kdy virus zašifruje své tělo několikrát různými šifrovacími algoritmy. Často se používá kombinovaná metoda obnovy informací nebo „čistá“ emulace dešifrovacího kódu z toho důvodu, že každý nový virus musí být analyzován a zařazen do antivirové databáze v co nejkratší době, která se ne vždy vejde do potřebné matematická analýza. A v důsledku toho je třeba použít těžkopádnější metody pro detekci viru, přestože metody matematické analýzy dešifrovacího algoritmu jsou docela použitelné.

Práce se "složitými" objekty

Antivirové motory podporují práci s velkým množstvím balíčků a archivačních formátů. Vývojáři málokdy zveřejňují kompletní (nebo alespoň dostatečně podrobný) seznam podporovaných formátů. Níže jsou oficiálně zveřejněné informace o podpoře „komplexních“ formátů v aplikaci Kaspersky Anti-Virus. V ostatních antivirových produktech by měl být seznam podporovaných formátů přibližně stejný.
Modul Kaspersky Anti-Virus podporuje práci s více než 400 různými nástroji pro balení spustitelných souborů, instalátorů a archivátorů (celkem více než 900 modifikací, k květnu 2003). Mezi nimi:

Packery spustitelných souborů a šifrovací systémy. Nejoblíbenější z nich: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb, SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (několik verzí), WWPACK, ASPack (několik verzí), ASProtect (několik verzí), Astrum, BitArts, BJFnt, Cexe, Cheaters , Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (několik verzí), PCCShrink, PE-D- PELock, PEncrypt, PE-Pack (několik verzí), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
Podpora tolika balíčků a archivátorů umožňuje zkrátit dobu analýzy nových virů, což vede ke zvýšení rychlosti reakce na výskyt nového viru a dosáhnout vysoké úrovně detekce již známých virů.

Archivátoři a instalátoři (celkem více než 60). Nejoblíbenější z nich: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (několik verzí), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, Effect Office.
Podpora velkého počtu typů archivátorů je zvláště důležitá pro skenování poštovních systémů, protože naprostá většina virů se posílá poštou v archivované podobě. Objekty se rozbalí bez ohledu na úroveň vnoření archivů. Pokud je například infikovaný soubor zabalen s UPX a poté je soubor zabalen v archivu ZIP, který je zabalen v archivu CAB atd., pak by antivirový modul měl být stále schopen dosáhnout původního souboru a detekovat virus.
Je třeba poznamenat, že takové úvahy nejsou v žádném případě teoretické. Proto je široce známý trojský program Backdoor.Rbot, který byl distribuován s mnoha různými programy (Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock , PESpin, TeLock, Molebox, Yoda, Ezip, Krypton atd.).
Algoritmus rozbalování archivu má obvykle dostatek inteligence, aby nerozbalil všemožné „archivní bomby“ – malé archivy, které obsahují velké soubory (s velmi vysokým kompresním poměrem) nebo několik stejných souborů. Skenování takového archivu obvykle zabere spoustu času, ale moderní antivirové nástroje často takové „bomby“ rozpoznávají.

Mechanismus aktualizace antivirových databází a jejich velikost

Aktualizace antivirové databáze jsou obvykle vydávány několikrát denně. Někteří jsou schopni vydávat aktualizace jednou za hodinu, někteří - každé dvě hodiny. V každém případě je při současné vysoké míře nebezpečí na internetu taková častá aktualizace antivirových databází zcela oprávněná.
Velikost aktualizací svědčí o promyšlené architektuře antivirového enginu. Velikost pravidelných aktualizací od předních společností v oboru tedy zpravidla nepřesahuje 30 KB. Antivirové databáze přitom obvykle obsahují zhruba 70 % funkčnosti celého antivirového enginu. Jakákoli aktualizace antivirové databáze může přidat podporu pro nový balič nebo archivátor. Denní aktualizací antivirové databáze tak uživatel získává nejen nové postupy pro detekci nového malwaru, ale také aktualizaci celého antiviru. To umožňuje velmi pružně reagovat na situaci a zaručit uživateli maximální ochranu.

Heuristický analyzátor

Heuristický analyzátor, který je součástí téměř každého antiviru, využívá obě výše popsané metody analýzy – kryptoanalýzu a statistickou analýzu. Moderní heuristický analyzátor je od základu navržen tak, aby byl rozšiřitelný (na rozdíl od většiny heuristických analyzátorů první generace, které byly navrženy k detekci malwaru pouze ve spustitelných modulech).
V současné době vám heuristický analyzátor umožňuje detekovat škodlivý kód ve spustitelných souborech, sektorech a paměti, stejně jako nové skriptové viry a malware pro Microsoft Office (a další programy využívající VBA) a konečně škodlivý kód napsaný v jazycích vyšší úrovně. , jako je Microsoft Visual Basic.
Flexibilní architektura a kombinace různých metod nám umožňuje dosáhnout poměrně vysoké úrovně detekce nového malwaru. Vývojáři zároveň vynakládají veškeré úsilí, aby počet falešných poplachů snížili na minimum. Produkty prezentované lídry v antivirovém průmyslu jen zřídka dělají chyby při detekci škodlivého kódu.

Níže uvedený diagram popisuje přibližný algoritmus pro provoz antivirového jádra. Je třeba poznamenat, že k emulaci a vyhledávání známého a neznámého malwaru dochází současně.

Jak již bylo zmíněno výše, při aktualizaci antivirové databáze jsou aktualizovány a doplněny také moduly pro rozbalení zabalených souborů a archivů, heuristický analyzátor a další moduly antivirového jádra.

Originální technologie v antiviru
"motory"

Téměř každý vývojář antivirových produktů implementuje některé ze svých vlastních technologií, díky nimž je program efektivnější a produktivnější. Některé z těchto technologií přímo souvisejí s konstrukcí „motoru“, protože výkon celého řešení často závisí na jeho provozu. Dále se budeme zabývat řadou technologií, které mohou výrazně urychlit kontrolu objektů a zároveň zaručit zachování vysoké kvality detekce a také zlepšit detekci a léčbu škodlivého softwaru v archivovaných souborech.
Začněme technologií iChecker. Tato technologie a její analogy jsou implementovány téměř v každém moderním antiviru. Je třeba poznamenat, že iChecker je název navržený specialisty společnosti Kaspersky Lab. Odborníci například Panda Software nazývají UltraFast. Tato technologie umožňuje dosáhnout rozumné rovnováhy mezi spolehlivostí ochrany pracovních stanic (a zejména serverů) a využitím systémových prostředků chráněného počítače. Díky této technologii se výrazně zkracuje doba načítání (až o 30-40 %) operačního systému (ve srovnání s tradiční antivirovou ochranou) a doba spouštění aplikací s aktivní antivirovou ochranou. Tím je zajištěno, že všechny soubory na discích počítače byly zkontrolovány a nejsou infikovány. Hlavní myšlenkou této technologie je, že není třeba kontrolovat to, co se nezměnilo a již bylo zkontrolováno. Antivirové jádro udržuje speciální databázi, ve které jsou uloženy kontrolní součty všech zkontrolovaných (a neinfikovaných) souborů. Nyní, před odesláním souboru k ověření, „engine“ vypočítá a porovná kontrolní součet souboru s daty uloženými v databázi. Pokud se data shodují, znamená to, že soubor byl zkontrolován a opakovaná kontrola není nutná. Stojí za zmínku, že čas strávený výpočtem kontrolních součtů souborů je výrazně kratší než čas antivirové kontroly.
Zvláštní místo v práci antiviru zaujímá léčba archivovaných infikovaných objektů. Právě o tom bude řeč dále. iCure je technologie pro léčbu infikovaných souborů v archivech. Díky této technologii budou infikované objekty uvnitř archivovaných souborů úspěšně dezinfikovány (nebo smazány v závislosti na nastavení antiviru) bez použití externích archivačních utilit. Dnes většina antivirů podporuje následující typy archivů: ARJ, CAB, RAR, ZIP. Díky modulární architektuře a technologiím pro aktualizaci antivirového jádra může uživatel zpravidla snadno aktualizovat a rozšířit seznam podporovaných typů archivátorů bez restartování antiviru.
iArc je další technologie pro práci s archivními soubory. Tato technologie je nezbytná pro práci s vícesvazkovými archivy. iArc umožňuje skenovat vícesvazkové archivy a detekovat viry, i když jsou zabaleny do vícesvazkového archivu, který bude také zabalen do vícesvazkového archivu.
Vícevláknové zpracování. Antivirový „engine“ je vícevláknový modul a dokáže současně zpracovávat (kontrolovat škodlivé kódy) několik objektů (soubory, sektory, skripty atd.).
Většina z výše uvedených technologií je v té či oné podobě implementována v každém moderním antivirovém produktu.

Polymorfní viry

V celém článku se často používaly termíny „polymorfní“ a „samošifrovací“ viry. Jak mělo být z předchozích diskusí zřejmé, právě tento typ škodlivého kódu měl silný vliv na vývoj antivirových technologií. Níže jsou uvedeny informace o polymorfních virech poskytnuté odborníky společnosti Kaspersky Lab.

Základní definice: samošifrování a polymorfismus. Používají je téměř všechny typy virů, aby se co nejvíce zkomplikovala procedura detekce virů. Polymorfní viry jsou poměrně obtížné detekovat viry, které nemají signaturu, to znamená, že neobsahují jediný konstantní úsek kódu. Ve většině případů dva vzorky stejného polymorfního viru nebudou mít jedinou shodu. Toho je dosaženo zašifrováním hlavního těla viru a úpravou dešifrovacího programu. Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují i ​​další, poněkud exotické příklady polymorfismu: například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.
Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače

Nejjednodušším příkladem částečně polymorfního dešifrovače je následující sada příkazů, v důsledku čehož není při infikování různých souborů konstantní ani jeden bajt kódu samotného viru a jeho dešifrovače:

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z
MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP
MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit
_smyčka:
xxx byte ptr, reg_2; xor, add nebo sub
DEC reg_1
Jxx_loop ; ja nebo jnc
; Následuje šifrovaný kód a data viru

Složité polymorfní viry používají mnohem složitější algoritmy pro generování kódu svých dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupovány z infekce na infekci, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC, atd.
Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možnými režimy adresování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows 95 EXE.
Výsledkem je, že na začátku souboru infikovaného takovým virem je soubor zdánlivě nesmyslných pokynů. Je zajímavé, že některé kombinace, které jsou docela funkční, nejsou akceptovány proprietárními disassemblery (například kombinace CS:CS: nebo CS:NOP). A mezi touto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu

Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dešifrovačích těchto virů. Toto rozdělení poprvé navrhl Dr. Alan Solomon, po nějaké době je Vesselin Bonchev rozšířil:

Úroveň 1: Viry, které mají určitou sadu dešifrovačů s konstantním kódem; když se nakazí, vyberou si jednoho z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: "Cheeba", "Slovensko", "Whale".

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je nestabilní.

Úroveň 3: Dešifrovač obsahuje nepoužité instrukce - "smetí" jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.

Úroveň 5: Používají se všechny výše uvedené techniky, dešifrovací algoritmus není konstantní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.

Úroveň 6: Permutující viry. Hlavní kód viru podléhá změnám – je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedená klasifikace má své nevýhody, protože se provádí podle jediného kritéria - schopnosti detekovat virus pomocí dešifrovacího kódu pomocí standardní techniky virových masek:

Úroveň 1: k detekci viru stačí mít několik masek;
Úroveň 2: detekce masky pomocí „zástupných karet“;
Úroveň 3: detekce maskou po odstranění „odpadkových“ pokynů;
Úroveň 4: maska ​​obsahuje několik možných možností kódu, to znamená, že se stává algoritmickou;
Úroveň 5: neschopnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. Avšak v tomto viru byl algoritmus generování odpadků doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.
Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.
Objektivnější klasifikace by byla taková, ve které jsou kromě kritéria virových masek zahrnuty také další parametry, například:
Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače);
Použití speciálních technik, které znesnadňují emulaci antivirům;
Stálost dešifrovacího algoritmu;
Stálost délky dešifrovače.

Změna spustitelného kódu

Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.
Tato metoda je méně často používána složitými zaváděcími viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také kombinovat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.
Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „odpad“, nastaví nové hodnoty offsetu na datech ve svých montážních pokynech, změní konstanty, atd. Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru