Domov › Nastavení › Rychlé antiviry, které nezpomalují systém: celá recenze. Hodnocení programů pro ochranu počítače. Nové funkce a technologie

Rychlé antiviry, které nezpomalují systém: celá recenze. Hodnocení programů pro ochranu počítače. Nové funkce a technologie

Jednou z hlavních součástí každého antiviru je takzvaný antivirový „engine“ - modul zodpovědný za skenování objektů a detekci malware. Kvalita detekce malwaru a v důsledku toho i úroveň ochrany, kterou antivirus poskytuje, závisí na antivirovém jádru, na tom, jak je navržen, a jaké metody detekce a heuristiky používá.

Tento článek podrobně popisuje standardní technologie a některé originální přístupy různých vývojářů antivirů implementovaných v antivirovém jádru. Po cestě budou zváženy některé související technické problémy, které jsou nezbytné pro posouzení kvality antivirového enginu a objasnění technologií v něm používaných.

Dobrý nebo špatný "motor"?

Kvalita detekce. Jak dobře antivirus detekuje viry? Toto kritérium lze posoudit na základě výsledků různých testů, které provádí několik organizací a jsou obvykle prezentovány na webových zdrojích vývojáře.

Úroveň detekce heuristickými analyzátory. Bohužel je nemožné určit tento parametr bez testování na sbírce virů, ale můžete poměrně snadno určit, jaká je úroveň falešných poplachů pro konkrétní engine.

Falešně pozitivní sazba. Pokud u 100% neinfikovaných souborů antivirus hlásí, že detekoval možná infikovaný soubor, pak je to falešně pozitivní. Máme věřit takovému heuristickému analyzátoru, který obtěžuje uživatele falešnými poplachy? Koneckonců, kvůli velkému počtu falešných poplachů může uživatel přehlédnout skutečně nový virus.

Podpora velkého počtu balíčků a archivátorů. To je velmi důležitým faktorem, protože tvůrci malwaru často poté, co napsali virus, zabalili jej s několika nástroji pro zabalení spustitelných modulů a poté, co obdrželi několik různé viry, vypusťte je do světa. V podstatě všechny tyto viry jsou instancemi stejné varianty. Pro antivirový modul, který podporuje všechny nebo téměř všechny oblíbené nástroje pro balení, nebude obtížné identifikovat všechny tyto instance stejného viru a nazvat je stejným jménem pro jiné nástroje, bude nutné aktualizovat antivirovou databázi (; stejně jako čas, který antivirovým expertům zabere analýza instance viru).

Frekvence a velikost aktualizací antivirové databáze. Tyto možnosti jsou nepřímé znaky kvalitu motoru. Vzhledem k tomu, že časté vydávání aktualizací zajišťuje, že uživatel bude vždy chráněn před nově se objevujícími viry. Velikost aktualizace (a počet virů zjištěných v této aktualizaci) vypovídá o kvalitě provedení antivirové databáze a částečně i enginu.

Schopnost aktualizovat motor bez aktualizace samotného antivirový program. Někdy je pro detekci viru nutné aktualizovat nejen antivirovou databázi, ale i samotný „engine“. Pokud antivirus tuto funkci nepodporuje, může uživatel zůstat bez ochrany tváří v tvář novému viru. Kromě toho vám tato funkce umožňuje rychle vylepšit motor a opravit chyby v něm.

Antivirový "engine": existující technologie

S příchodem prvních počítačových virů programátoři rychle přišli na to, jak fungují, a vytvořili první antivirové programy. Od té doby uplynulo poměrně hodně času a moderní antiviry se od těch prvních antivirů liší, stejně jako se liší osobní počítač od kalkulačky.

V prvním odstavci tohoto článku byla uvedena poněkud „naivní“ definice antivirového „motoru“. Dále bude uvedena řada přesných definic a technologických popisů, které vám v konečném důsledku umožní plně porozumět struktuře a algoritmům antivirového enginu.

Anti-Virus Engine je softwarový modul, který je určen k detekci škodlivého softwaru. „Motor“ je hlavní součástí každého antivirového programu bez ohledu na jeho účel. Engine se používá jak v osobních produktech - osobní skener nebo monitor, tak v serverových řešeních - skener pro e-mail popř souborový server, firewall nebo proxy server. K detekci malwaru zpravidla většina „motorů“ implementuje následující technologie:

Vyhledávání podle "podpisů" (jedinečná sekvence bajtů);
Vyhledávání podle kontrolních součtů nebo CRC (kontrolní součet s jedinečnou posloupností bajtů);
Použití zmenšené masky;
kryptoanalýza;
Statistická analýza;
Heuristická analýza;
Emulace.

Podívejme se na každou z těchto metod podrobněji.

Hledat podle "podpisů"

Signatura je jedinečný „řetězec“ bajtů, který jedinečně charakterizuje konkrétní škodlivý program. Vyhledávání podpisů, v té či oné modifikaci, se používá k detekci virů a dalšího malwaru od prvních antivirových programů až po současnost. Nespornou výhodou vyhledávání signatur je rychlost provozu (samozřejmě pomocí speciálně vyvinutých algoritmů) a schopnost detekovat několik virů jednou signaturou. Nevýhoda - velikost signatury pro spolehlivou detekci musí být poměrně velká, minimálně 8-12 bajtů (obvykle se pro přesnou detekci používají mnohem delší signatury, až 64 bajtů), proto bude velikost antivirové databáze být docela velký. Navíc v poslední době malware napsaný v jazycích vysoká úroveň(C++, Delphi, Visual Basic), a takové programy mají samostatné části kódu, které se prakticky nemění (tzv. Run Time Library). Špatně zvolená signatura nevyhnutelně povede k falešné pozitivitě – detekci „čistého“, neinfikovaného souboru jako infikovaného virem. Jako řešení tohoto problému se navrhuje použít buď velmi velké podpisy, nebo použít detekci pro určité datové oblasti, například relokační tabulky nebo textové řetězce, což není vždy dobré.

Hledat podle kontrolních součtů (CRC)

Vyhledávání podle kontrolních součtů (CRC - cyclic redundancy check) je v podstatě modifikací vyhledávání podle signatur. Metoda byla vyvinuta, aby se předešlo hlavním nevýhodám vyhledávání podpisů – velikosti databáze a snížení pravděpodobnosti falešných poplachů. Podstatou metody je, že k hledání škodlivého kódu se bere nejen „referenční“ řádek - podpis, nebo spíše kontrolní součet tohoto řádku, ale také umístění podpisu v těle škodlivého programu. Umístění se používá, abyste nemuseli počítat kontrolní součty pro celý soubor. Místo 10-12 bajtů podpisu (minimum) se tedy použijí 4 bajty pro uložení kontrolního součtu a další 4 bajty pro umístění. Metoda hledání kontrolního součtu je však poněkud pomalejší než hledání podpisu.
Použití masek k detekci škodlivého kódu je poměrně často komplikováno přítomností šifrovaného kódu (tzv. polymorfní viry), protože buď není možné vybrat masku nebo masku. maximální velikost nesplňuje podmínku jednoznačné identifikace viru bez falešných poplachů.
Nemožnost výběru masky dostatečné velikosti v případě polymorfního viru lze snadno vysvětlit. Šifrováním svého těla virus zajišťuje, že většina jeho kódu v postiženém objektu je proměnná, a proto nemůže být vybrána jako maska. (Samošifrovací a polymorfní viry jsou podrobněji popsány v příloze na konci článku).
K detekci takových virů se používají následující metody: použití redukované masky, kryptoanalýza a statistická analýza. Podívejme se na tyto metody podrobněji.

Použití zmenšené masky

Při infikování objektů virus, který používá šifrování, převádí svůj kód na šifrovanou sekvenci dat:
S = F(T), kde
T - základní kód viru;
S - šifrované virové kódy;
F je funkce šifrování viru, náhodně vybraná z určité sady transformací (F).
Metoda redukované masky spočívá ve výběru transformace R zašifrovaných virových kódů S tak, že výsledek transformace (tj. nějaká sekvence dat S) nebude záviset na transformačních klíčích F, tzn.
S=F(T)
S" = R (S) = R (F (T)) = R" (T).
Při aplikaci transformace R na všechny možné varianty šifrového kódu S bude výsledek S" konstantní při konstantě T. Identifikace dotčených objektů se tedy provádí tak, že se zvolí S" jako redukovaná maska a aplikuje se transformace R na postižené předměty.

Kryptoanalýza

Tato metoda je následující: podle známého základní kód virus a pomocí známého zašifrovaného kódu (nebo „podezřelého“ kódu podobného zašifrovanému tělu viru) se obnoví klíče a algoritmus dešifrovacího programu. Tento algoritmus je poté aplikován na zašifrovanou část, což má za následek dešifrované tělo viru. Při řešení tohoto problému se musíte vypořádat se systémem rovnic.
Tato metoda zpravidla funguje mnohem rychleji a zabírá mnohem méně paměti než emulace virových instrukcí. Nicméně řešení podobné systémy je často velmi složitý úkol.
Kromě toho je hlavním problémem matematická analýza výsledné rovnice nebo výsledné soustavy rovnic. V mnoha ohledech se problém řešení soustav rovnic při obnově zašifrovaného těla viru podobá klasickému kryptografickému problému obnovy šifrovaného textu s neznámými klíči. Zde však tento úkol zní poněkud jinak: je nutné zjistit, zda daný zašifrovaný kód je výsledkem aplikace nějaké funkce známé až klíčům. Navíc je předem známo mnoho dat pro řešení tohoto problému: část šifrovaného kódu, část nešifrovaného kódu, možné varianty transformační funkce. Navíc je v analyzovaných kódech přítomen i samotný algoritmus této transformace a klíče. Existuje však významné omezení tento úkol musí být řešeny v rámci specifických hranic RAM a postup řešení by neměl trvat dlouho.

Statistická analýza

Používá se také k detekci polymorfních virů. Skener během své činnosti analyzuje četnost používání příkazů procesoru, sestavuje tabulku nalezených příkazů procesoru (operační kódy) a na základě těchto informací učiní závěr, že soubor je infikován virem. Tato metoda efektivní pro vyhledávání některých polymorfních virů, protože tyto viry používají omezenou sadu příkazů v decryptoru, zatímco „čisté“ soubory používají zcela jiné příkazy s jinou frekvencí. Například všechny programy pro MS-DOS často používají přerušení 21h (opcode CDh 21h), ale tento příkaz prakticky nikdy nenajdete v decryptoru polymorfních DOS virů.
Hlavní nevýhodou této metody je, že existuje řada složitých polymorfních virů, které využívají téměř všechny příkazy procesoru a od kopírování ke kopírování se sada použitých příkazů velmi mění, to znamená, že není možné detekovat virus pomocí vytvořené frekvence tabulka.

Heuristická analýza

Když počet virů přesáhl několik stovek, začali antiviroví experti přemýšlet o myšlence detekce malwaru, o jehož existenci antivirový program ještě nevěděl (neexistovaly žádné odpovídající signatury). V důsledku toho byly vytvořeny tzv. heuristické analyzátory. Heuristický analyzátor je sada rutin, které analyzují kód spustitelných souborů, maker, skriptů, paměti nebo spouštěcích sektorů za účelem detekce různých typů škodlivého kódu. počítačové programy. Existují dva principy fungování analyzátoru.

Statická metoda. Hledání běžných krátkých signatur, které jsou přítomny ve většině virů (tzv. „podezřelé“ příkazy). Velké množství virů například hledá viry pomocí masky *.EXE, otevře nalezený soubor, zapíše do něj otevřít soubor. Úkolem heuristiky je v tomto případě najít podpisy, které tyto akce odrážejí. Poté jsou nalezené signatury analyzovány, a pokud je nalezen určitý počet potřebných a dostatečných „podezřelých příkazů“, je rozhodnuto, že soubor je infikován. Velkou výhodou této metody je její snadná implementace a dobrá rychlost, ale úroveň detekce nového malwaru je poměrně nízká.

Dynamická metoda. Tato metoda se objevila současně se zavedením emulace příkazů procesoru do antivirových programů (emulátor je podrobněji popsán níže). Podstatou metody je emulace provádění programu a protokolování všech „podezřelých“ akcí programu. Na základě tohoto protokolu se rozhodne o možné infekci programu virem. Na rozdíl od statická metoda, dynamická metoda je náročnější na počítačové zdroje, nicméně úroveň detekce ano dynamická metoda mnohem vyšší.

Emulace

Technologie emulace programového kódu (neboli Sandboxing) byla reakcí na vznik velkého množství polymorfních virů. Myšlenkou této metody je emulovat provádění programu (jak infikovaného virem, tak „čistého“) ve speciálním „prostředí“, nazývaném také emulační vyrovnávací paměť nebo „sandbox“. Pokud do emulátoru vstoupí soubor infikovaný polymorfním virem, pak se po emulaci dešifrované tělo viru objeví ve vyrovnávací paměti, připravené k detekci standardních metod(podpis nebo vyhledávání CRC).
Moderní emulátory emulují nejen příkazy procesoru, ale také volání operačního systému. Úkol napsat plnohodnotný emulátor je poměrně pracný, nemluvě o tom, že při použití emulátoru musíte neustále sledovat akce každého příkazu. To je nezbytné, aby se zabránilo náhodnému spuštění destruktivních komponent virového algoritmu.
Zvláště je třeba poznamenat, že je nutné emulovat činnost virových instrukcí a ne je stopovat, protože při sledování viru je pravděpodobnost volání destruktivních instrukcí nebo kódů odpovědných za šíření viru příliš vysoká.

Databáze antivirového motoru

Databáze je nedílnou součástí antivirového jádra. Navíc, pokud předpokládáme, že dobře navržený „engine“ se tak často nemění, pak se antivirová databáze mění neustále, protože právě v antivirové databázi jsou signatury, kontrolní součty a speciální softwarové moduly pro detekci malwaru. . Jak víte, nové viry, síťoví červi a další škodlivé programy se objevují se záviděníhodnou frekvencí, a proto je velmi důležité, aby byla antivirová databáze aktualizována co nejčastěji. Pokud před pěti lety stačily týdenní aktualizace, dnes je prostě nutné dostávat aktualizace antivirové databáze alespoň denně.
Je také velmi důležité, co přesně je v antivirové databázi: existují pouze záznamy o virech nebo doplňkové? softwarové procedury. V druhém případě je mnohem jednodušší aktualizovat funkčnost antivirového enginu pouhou aktualizací databází.

Podpora pro "složité" vnořené objekty

Antivirové motory se za posledních několik let hodně změnily. Pokud první antiviry, aby mohly být považovány za prvotřídní program, musely pouze zkontrolovat systémovou paměť, spustitelné soubory a boot sektory, pak během několika let kvůli rostoucí popularitě speciální pomůcky balení spustitelných modulů byli vývojáři postaveni před úkol rozbalit zabalený soubor před jeho skenováním.
Pak nový problém – viry se naučily infikovat archivované soubory (a sami uživatelé často posílali infikované soubory v archivech). Antiviry se musely naučit zpracovávat i archivní soubory. V roce 1995 se objevil první makrovirus, který infikoval dokumenty Microsoft Word. Stojí za zmínku, že formát dokumentu používaný aplikací Microsoft Word je uzavřený a velmi složitý. Řádek antivirové společnosti Stále nevědí, jak takové soubory plně zpracovat.
Dnes díky obrovské oblibě e-mail, antivirové motory také zpracovávají jak databáze poštovních zpráv, tak zprávy samotné.

Detekční metody

Typický antivirový „engine“, který je implementován v každém antivirovém programu, využívá všechny potřebné technologie pro detekci malwaru: efektivní heuristický analyzátor, vysoce výkonný emulátor a především kompetentní a flexibilní architekturu subsystém detekce malwaru, umožňující použití všech výše uvedených metod detekce.
Téměř každý antivirový modul používá jako základní metodu detekci kontrolního součtu. Tato metoda byla zvolena na základě požadavku na minimalizaci velikosti antivirové databáze. Architektura enginu je však často tak flexibilní, že umožňuje použití kterékoli z výše uvedených metod detekce, což se dělá u některých zvláště složitých virů. To vám umožní dosáhnout vysoké úrovně detekce virů. Architektura antivirového enginu je podrobněji uvedena na schématu dále v textu.
Praktická aplikace metod detekce polymorfních virů (kryptoanalýza a statistická analýza, použití redukované masky a emulace) spočívá ve výběru metody, která je nejoptimálnější z hlediska rychlosti a velikosti požadované paměti. Kód většiny samošifrovacích virů lze poměrně snadno obnovit emulační procedurou. Pokud použití emulátoru není optimálním řešením, pak se kód viru obnoví pomocí podprogramu, který implementuje inverzní konverze- kryptoanalýza. Pro detekci virů, které nelze emulovat, a virů, pro které není možné sestrojit inverzní transformaci, se používá metoda konstrukce redukovaných masek.
V některých nejsložitějších případech se používá kombinace výše uvedených metod. Část dešifrovacího kódu je emulována a příkazy, které jsou skutečně zodpovědné za dešifrovací algoritmus, jsou extrahovány z dešifrovacího zařízení. Poté se na základě obdržených informací sestaví a vyřeší systém rovnic pro obnovu kódu viru a jeho detekci.
Kombinace metod se používá také při použití vícenásobného šifrování, kdy virus zašifruje své tělo několikrát různými šifrovacími algoritmy. Často se používá kombinovaná metoda obnovy informací nebo „čistá“ emulace dešifrovacího kódu z toho důvodu, že každý nový virus musí být analyzován a zařazen do antivirové databáze v co nejkratší době, která se ne vždy vejde do potřebné matematická analýza. A v důsledku toho musíme pro detekci viru používat těžkopádnější metody, přestože tyto metody jsou docela použitelné matematická analýza dešifrovací algoritmus.

Práce se "složitými" objekty

Antivirové motory podporují práci s velkým množstvím balíčků a archivačních formátů. Vývojáři málokdy zveřejňují kompletní (nebo alespoň dostatečně podrobný) seznam podporovaných formátů. Níže jsou oficiálně zveřejněny informace o podpoře „komplexních“ formátů v aplikaci Kaspersky Anti-Virus. V ostatních antivirových produktech by měl být seznam podporovaných formátů přibližně stejný.
Modul Kaspersky Anti-Virus podporuje práci s více než 400 různými nástroji pro balení spustitelných souborů, instalačních programů a archivátorů (celkem více než 900 modifikací, k květnu 2003). Mezi nimi:

Packery spustitelných souborů a šifrovací systémy. Nejoblíbenější z nich: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb, SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (několik verzí), WWPACK, ASPack (několik verzí), ASProtect (několik verzí), Astrum, BitArts, BJFnt, Cexe, Cheaters , Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (několik verzí), PCCShrink, PE-D- PELock, PEncrypt, PE-Pack (několik verzí), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
Podpora tolika balíčků a archivátorů vám umožňuje zkrátit čas na analýzu nových virů, což vede ke zvýšení rychlosti reakce na výskyt nového viru, a dosáhnout vysoké úrovně detekce již existujících virů. známé viry.

Archivátoři a instalátoři (celkem více než 60). Nejoblíbenější z nich: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (několik verzí), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, Effect Office.
Podpora velkého počtu typů archivátorů je zvláště důležitá pro skenování poštovních systémů, protože naprostá většina virů se posílá poštou v archivované podobě. Objekty se rozbalí bez ohledu na úroveň vnoření archivů. Pokud je například infikovaný soubor zabalen pomocí nástroje UPX a poté je soubor zabalen v archivu ZIP, který je zabalen v archivu CAB atd., pak by antivirový modul měl být stále schopen dosáhnout zdrojový soubor a detekovat virus.
Je třeba poznamenat, že takové úvahy nejsou v žádném případě teoretické. Proto je široce známý trojský program Backdoor.Rbot, který byl distribuován s mnoha různými programy (Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock , PESpin, TeLock, Molebox, Yoda, Ezip, Krypton atd.).
Algoritmus rozbalování archivu má obvykle dostatek inteligence, aby nerozbalil všemožné „archivní bomby“ - archivy malá velikost, ve kterém jsou zabaleny obrovské soubory (s velmi vysoký stupeň komprese) nebo několik identické soubory. Skenování takového archivu obvykle zabere spoustu času, ale moderní antivirové nástroje často takové „bomby“ rozpoznávají.

Mechanismus aktualizace antivirových databází a jejich velikost

Aktualizace antivirové databáze jsou obvykle vydávány několikrát denně. Někteří jsou schopni vydávat aktualizace jednou za hodinu, někteří - každé dvě hodiny. V každém případě, vzhledem k současné vysoké míře nebezpečí na internetu, toto časté aktualizace antivirové databáze jsou zcela oprávněné.
Velikost aktualizací svědčí o promyšlené architektuře antivirového enginu. Velikost pravidelných aktualizací od předních společností v oboru tedy zpravidla nepřesahuje 30 KB. Antivirové databáze přitom obvykle obsahují zhruba 70 % funkčnosti celého antivirového enginu. Jakákoli aktualizace antivirové databáze může přidat podporu pro nový balič nebo archivátor. Denní aktualizací antivirové databáze tak uživatel získává nejen nové postupy pro detekci nového malwaru, ale také aktualizaci celého antiviru. To umožňuje velmi pružně reagovat na situaci a zaručit uživateli maximální ochranu.

Heuristický analyzátor

Heuristický analyzátor, který je součástí téměř každého antiviru, využívá obě výše popsané metody analýzy – kryptoanalýzu a statistickou analýzu. Moderní heuristický analyzátor je od základu navržen tak, aby byl rozšiřitelný (na rozdíl od většiny heuristických analyzátorů první generace, které byly navrženy k detekci malwaru pouze ve spustitelných modulech).
V současné době vám heuristický analyzátor umožňuje detekovat škodlivé kódy ve spustitelných souborech, sektorech a paměti, stejně jako nové skriptové viry a malware pro Microsoft Office(a další programy, které používají VBA) a nakonec škodlivý kód napsaný v jazycích vyšší úrovně, jako je Microsoft Visual Basic.
Flexibilní architektura a kombinace různé metody umožňuje dosáhnout poměrně vysoké úrovně detekce nových škodlivých programů. Vývojáři zároveň vynakládají veškeré úsilí, aby počet falešných poplachů snížili na minimum. Produkty prezentované lídry v antivirovém průmyslu jen zřídka dělají chyby při detekci škodlivého kódu.

Schéma fungování antivirového enginu

Níže uvedený diagram popisuje přibližný algoritmus pro provoz antivirového jádra. Je třeba poznamenat, že k emulaci a vyhledávání známého a neznámého malwaru dochází současně.

Schéma fungování typického antivirového jádra na příkladu Kaspersky Anti-Virus

Jak již bylo zmíněno výše, při aktualizaci antivirové databáze jsou aktualizovány a doplněny také moduly pro rozbalení zabalených souborů a archivů, heuristický analyzátor a další moduly antivirového jádra.

Originální technologie v antivirových enginech

Téměř každý vývojář antivirové produkty implementuje některé ze svých vlastních technologií, díky nimž je program efektivnější a produktivnější. Některé z těchto technologií přímo souvisejí s konstrukcí „motoru“, protože výkon celého řešení často závisí na jeho provozu. Dále se budeme zabývat řadou technologií, které mohou výrazně urychlit ověřování objektů a zároveň zaručit uchování vysoká kvalita detekce a také zlepšit detekci a léčbu škodlivého softwaru v archivovaných souborech.
Začněme technologií iChecker. Tato technologie a její analogy jsou implementovány téměř ve všech moderní antivirus. Je třeba poznamenat, že iChecker je název navržený specialisty společnosti Kaspersky Lab. Odborníci například Panda Software nazývají UltraFast. Tato technologie umožňuje dosáhnout rozumné rovnováhy mezi spolehlivostí ochrany pracovních stanic (a zejména serverů) a využitím systémových prostředků chráněného počítače. Díky této technologii se výrazně zkracuje doba načítání (až o 30-40 %) operačního systému (ve srovnání s tradiční antivirovou ochranou) a doba spouštění aplikací s aktivní antivirovou ochranou. Tím je zajištěno, že všechny soubory na discích počítače byly zkontrolovány a nejsou infikovány. Hlavní myšlenkou této technologie je, že není třeba kontrolovat to, co se nezměnilo a již bylo zkontrolováno. Antivirové jádro udržuje speciální databázi, ve které jsou uloženy kontrolní součty všech zkontrolovaných (a neinfikovaných) souborů. Nyní, před odesláním souboru k ověření, „engine“ vypočítá a porovná kontrolní součet souboru s daty uloženými v databázi. Pokud se data shodují, znamená to, že soubor byl zkontrolován a opakovaná kontrola není nutná. Stojí za zmínku, že čas strávený výpočtem kontrolních součtů souborů je výrazně kratší než čas antivirové kontroly.
Zvláštní místo v práci antiviru zaujímá léčba archivovaných infikovaných objektů. Právě o tom bude řeč dále. iCure je technologie pro léčbu infikovaných souborů v archivech. Díky této technologii budou infikované objekty uvnitř archivovaných souborů úspěšně dezinfikovány (nebo smazány v závislosti na nastavení antiviru) bez použití externích archivačních utilit. Dnes většina antivirů podporuje následující typy archivů: ARJ, CAB, RAR, ZIP. Díky modulární architektuře a technologiím pro aktualizaci antivirového jádra může uživatel zpravidla snadno aktualizovat a rozšířit seznam podporovaných typů archivátorů bez restartování antiviru.
iArc je další technologie pro práci archivní soubory. Tato technologie je nezbytná pro práci s vícesvazkovými archivy. iArc umožňuje skenovat vícesvazkové archivy a detekovat viry, i když jsou zabaleny do vícesvazkového archivu, který bude také zabalen do vícesvazkového archivu.
Vícevláknové zpracování. Antivirový „engine“ je vícevláknový modul a dokáže současně zpracovávat (kontrolovat škodlivé kódy) několik objektů (soubory, sektory, skripty atd.).
Většina z výše uvedených technologií je v té či oné podobě implementována v každém moderním antivirovém produktu.

Polymorfní viry

V celém článku se často používaly termíny „polymorfní“ a „samošifrovací“ viry. Jak mělo být z předchozích diskusí zřejmé, právě tento typ škodlivého kódu měl silný vliv na vývoj antivirových technologií. Níže jsou uvedeny informace o polymorfních virech poskytnuté odborníky společnosti Kaspersky Lab.

Základní definice: samošifrování a polymorfismus. Používají je téměř všechny typy virů, aby se co nejvíce zkomplikovala procedura detekce virů. Polymorfní viry jsou poměrně obtížné odhalit viry, které nemají signaturu, to znamená, že neobsahují jediný konstantní úsek kódu. Ve většině případů dva vzorky stejného polymorfního viru nebudou mít jedinou shodu. Toho je dosaženo zašifrováním hlavního těla viru a úpravou dešifrovacího programu. Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují i další, poněkud exotické příklady polymorfismu: například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.
Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače

Nejjednodušším příkladem částečně polymorfního dešifrovače je následující sada příkazů, v důsledku čehož není při infikování různých souborů konstantní ani jeden bajt kódu samotného viru a jeho dešifrovače:

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z
MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP
MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit
_smyčka:
xxx byte ptr, reg_2 ; xor, add nebo sub
DEC reg_1
Jxx_loop ; ja nebo jnc
; Následuje šifrovaný kód a data viru

Komplexní polymorfní viry využívají podstatně více složité algoritmy ke generování kódu jejich dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupeny z infekce na infekci, naředěny příkazy, které nic nemění jako NOP, STI, CLI, STC, CLC atd.
Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možné režimy oslovování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows 95 EXE.
Výsledkem je, že na začátku souboru infikovaného podobným virem probíhá nábor zdánlivě nesmyslné instrukce. Je zajímavé, že některé kombinace, které jsou docela funkční, nejsou akceptovány proprietárními disassemblery (například kombinace CS:CS: nebo CS:NOP). A mezi tímto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu

Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dešifrovačích těchto virů. Toto rozdělení poprvé navrhl Dr. Alan Solomon, po nějaké době je Vesselin Bonchev rozšířil:

Úroveň 1: Viry, které mají určitou sadu dešifrovačů s konstantním kódem; když se nakazí, vyberou si jednoho z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: "Cheeba", "Slovensko", "Whale".

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je nestabilní.

Úroveň 3: Decryptor obsahuje nepoužité instrukce – „smetí“ jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.

Úroveň 5: Používají se všechny výše uvedené techniky, dešifrovací algoritmus není konstantní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.

Úroveň 6: Permutující viry. Hlavní kód viru podléhá změnám – je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedená klasifikace má své nevýhody, protože se provádí podle jediného kritéria - schopnosti detekovat virus pomocí dešifrovacího kódu pomocí standardní techniky virových masek:

Úroveň 1: k detekci viru stačí mít několik masek;
Úroveň 2: detekce masky pomocí „zástupných karet“;
Úroveň 3: detekce maskou po odstranění „odpadkových“ pokynů;
Úroveň 4: maska obsahuje několik možností pro možný kód, to znamená, že se stává algoritmickou;
Úroveň 5: neschopnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. Avšak v tomto viru byl algoritmus generování odpadků doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.
Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.
Objektivnější klasifikace by byla taková, ve které jsou kromě kritéria virových masek zahrnuty také další parametry, například:

Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače);
Použití speciálních technik, které znesnadňují emulaci antivirům;
Stálost dešifrovacího algoritmu;
Stálost délky dešifrovače.

Změna spustitelného kódu

Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.
Tato metoda se u komplexů používá méně často boot viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také smíchat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.
Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden ("Ply") náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „odpad“, nastaví nové hodnoty offsetu na datech ve svých montážních pokynech, změní konstanty, atd. Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

Poměrně často se na internetu objevují dotazy, který antivirus nejméně zatěžuje systém, který je vhodný pro slabý počítač a přitom bude plnohodnotně plnit svou hlavní funkci. Existuje mnoho různých hodnocení a seznamů, ale všechny se od sebe výrazně liší a nemohou poskytnout uživatelům jednoznačnou odpověď.

Dnes se tedy podíváme nejlepší antiviry, které nezatěžují systém, jsou vhodné pro slabé PC a sami si vyberete ten nejoptimálnější.

Při sestavování tohoto seznamu jsme vycházeli z následujících charakteristik:

Procesor: 0,5 – 1,5 GHz.
RAM: 128-256 MB.
Místo na pevném disku: 15-300 MB.

Dříve tu byl podobný článek o antiviry pro slabé stroje, ale v něm jsme analyzovali obránce, počínaje větším množstvím RAM (256MB-1GB) a procesorem (od 1,5GHz). Pokud váš počítač nebo notebook tyto specifikace překračuje, doporučujeme vám se s ním seznámit.

Všechna navrhovaná řešení mají své výhody a nevýhody a také se liší v požadavcích na systém. Podívejme se blíže na každý, jeho vlastnosti a funkce.

Internetová bezpečnost AhnLab V3

Korejský antivirus, který nejméně zatěžuje systém a poskytuje efektivní ochranu počítače při spotřebě minima systémových prostředků. Má všechny funkce pro zachování úplné bezpečnosti, chrání před malwarem a zabraňuje instalaci spywaru.

Program chrání váš notebook nebo PC v reálném čase, filtruje stránky s nebezpečným obsahem, přílohy v e-mailech a optimalizuje výkon systému. Nástroj funguje na cloudové technologii a vyznačuje se minimálním počtem falešných poplachů. Doplňková funkce TrueFind pomáhá včas odhalit odstranění i skrytých rootkitů.

Nástroj má následující systémové požadavky:

Procesor – od 0,5 GHz a výše.
RAM – od 256 MB.
Volné místo na disku – od 300 MB.
Podporuje OS od Windows XP po Windows 10.

Na základě dostupných údajů můžeme s jistotou říci, že antivirus nezpomaluje systém. Kromě toho nástroj odstraňuje nepoužívaná data a další odpad, aby zlepšil výkon a normalizoval práci.

ClamWin Free Antivirus

Další bezplatné řešení, které je volně dostupné na internetu. Bylo by správnější nazývat tento nástroj skenerem, protože nemá skener, který neustále kontroluje používané soubory. To znamená, že pokud chcete najít virus, musíte ručně spustit kontrolu souborů.

Program má přehledné rozhraní, bohatou funkčnost a řadu různých nastavení. K dispozici jsou také další funkce, jako je skenování ve vámi nastaveném čase, upozornění na detekci malwaru, automatické aktualizace databáze a snadná integrace do nabídky Windows ji činí dostupnější.

Pokud mluvíme o požadavcích na systém, jsou následující:

Procesor - 1,5 GHz.
HDD - 103 MB.
RAM - 256 MB.
Kompatibilní s Windows XP/Vista/7/8/10.

To znamená, že prezentovaný antivirový skener spotřebovává minimum zdrojů a v žádném případě nezpomaluje počítač.

SMADAV

Vynikající antivirus, který funguje jako dodatečná ochrana proti malwaru. Je to druhá linie obrany a je plně kompatibilní s jakýmikoli jinými antivirovými nástroji. Program používá heuristiku a behaviorální analýza co nejrychleji detekovat a eliminovat viry. To zajišťuje vysokou úroveň zabezpečení. Díky malému množství použitých zdrojů utilita nesnižuje výkon ani při aktivním používání.

Má celou řadu efektivní nástroje. Pro začátek stojí za to o tom mluvit standardní skenování, který se dodává ve 3 typech:

Rychle.
Kompletní.
Skenování systémové oblasti.

SMADAV je navíc vybaven editorem systému, pomocí kterého můžete vybírat specifické prvky, zobrazí se v "Start" a deaktivují se systémové aplikace. Za pozornost stojí také správce procesů, který umožňuje prohlížení běžící procesy a v případě potřeby je doplňte.

Systémové požadavky:

Procesor: Intel Pentium III nebo vyšší.
RAM - 256 MB.
Pevný disk - 100 MB.
Funguje na všech OS Windows.

Vzhledem ke svým vlastnostem se jedná o vynikající antivirový program, který nezpomaluje systém ani nesnižuje výkon počítače.

Webroot SecureAnywhere AntiVirus

Panda Antivirus zdarma

Cloudový antivirus s nízkou zátěží systému a spolehlivou ochranou v reálném čase. Program kombinuje dálkové a lokální antivirus, anti-rootkit a anti-spyware. Cloudový model nevyžaduje velké množství zdrojů a neovlivňuje funkčnost a výkon systému. Tento princip fungování navíc umožňuje efektivněji a rychleji detekovat a blokovat malware.

Je třeba si uvědomit, že antivirový program může zpomalit váš počítač pouze v případě, že není dostatek prostředků počítače pro jeho správnou funkci, takže při výběru bezpečnostního softwaru vždy vezměte v úvahu vlastnosti vašeho zařízení.

Podrobná videorecenze AVG Free

Antivirové motory.

Jednou z hlavních součástí každého antiviru je takzvaný antivirový „engine“ - modul zodpovědný za skenování objektů a detekci malwaru. Kvalita detekce malwaru a v důsledku toho i úroveň ochrany, kterou antivirus poskytuje, závisí na antivirovém jádru, na tom, jak je navržen, a jaké metody detekce a heuristiky používá.

Tento článek podrobně popisuje standardní technologie a některé originální přístupy různých vývojářů antivirů implementovaných v antivirovém jádru. Po cestě budou zváženy některé související technické problémy, které jsou nezbytné pro posouzení kvality antivirového enginu a objasnění technologií v něm používaných.

Dobrý nebo špatný "motor"?

Bohužel vývojáři antivirového softwaru velmi zřídka zveřejňují podrobnosti o implementaci svých motorů. Nepřímými znaky však můžete určit, zda je „motor“ dobrý nebo ne. Zde jsou hlavní kritéria, podle kterých můžete určit kvalitu antivirového motoru:
Kvalita detekce. Jak dobře antivirus detekuje viry? Toto kritérium lze posoudit na základě výsledků různých testů, které provádí několik organizací a jsou obvykle prezentovány na webových zdrojích vývojáře.

Úroveň detekce heuristickými analyzátory. Bohužel je nemožné určit tento parametr bez testování na sbírce virů, ale můžete poměrně snadno určit, jaká je úroveň falešných poplachů pro konkrétní engine.

Falešně pozitivní sazba. Pokud u 100% neinfikovaných souborů antivirus hlásí, že detekoval možná infikovaný soubor, pak je to falešně pozitivní. Máme věřit takovému heuristickému analyzátoru, který obtěžuje uživatele falešnými poplachy? Koneckonců, kvůli velkému počtu falešných poplachů může uživatel přehlédnout skutečně nový virus.

Podpora velkého počtu balíčků a archivátorů. To je velmi důležitý faktor, protože často tvůrci malwaru napíšou virus, zabalí jej s několika nástroji pro balení spustitelných modulů a poté, co obdrželi několik různých virů, je vypustí do světa. V podstatě všechny tyto viry jsou instancemi stejné varianty. Pro antivirový modul, který podporuje všechny nebo téměř všechny oblíbené nástroje pro balení, nebude obtížné identifikovat všechny tyto instance stejného viru a nazvat je stejným jménem pro jiné nástroje, bude nutné aktualizovat antivirovou databázi (; stejně jako čas, který antivirovým expertům zabere analýza instance viru).

Frekvence a velikost aktualizací antivirové databáze. Tyto parametry jsou nepřímými známkami kvality motoru. Vzhledem k tomu, že časté vydávání aktualizací zajišťuje, že uživatel bude vždy chráněn před nově se objevujícími viry. Velikost aktualizace (a počet virů zjištěných v této aktualizaci) vypovídá o kvalitě provedení antivirové databáze a částečně i enginu.

Schopnost aktualizovat motor bez aktualizace samotného antivirového programu. Někdy je pro detekci viru nutné aktualizovat nejen antivirovou databázi, ale i samotný „engine“. Pokud antivirus tuto funkci nepodporuje, může uživatel zůstat bez ochrany tváří v tvář novému viru. Kromě toho vám tato funkce umožňuje rychle vylepšit motor a opravit chyby v něm.

Antivirový "engine": existující technologie

V prvním odstavci tohoto článku byla uvedena poněkud „naivní“ definice antivirového „motoru“. Dále bude uvedena řada přesných definic a technologických popisů, které vám v konečném důsledku umožní plně porozumět struktuře a algoritmům antivirového enginu.

Anti-Virus Engine je softwarový modul, který je určen k detekci škodlivého softwaru. „Motor“ je hlavní součástí každého antivirového programu bez ohledu na jeho účel. Motor se používá jak v osobních produktech - osobní skener nebo monitor, tak v serverových řešeních - skener pro poštovní nebo souborový server, firewall nebo proxy server. K detekci malwaru zpravidla většina „motorů“ implementuje následující technologie:
Vyhledávání podle "podpisů" (jedinečná sekvence bajtů);
Vyhledávání podle kontrolních součtů nebo CRC (kontrolní součet s jedinečnou posloupností bajtů);
Použití zmenšené masky;
kryptoanalýza;
Statistická analýza;
Heuristická analýza;
Emulace.
Podívejme se na každou z těchto metod podrobněji.

Hledat podle "podpisů"

Signatura je jedinečný „řetězec“ bajtů, který jedinečně charakterizuje konkrétní škodlivý program. Vyhledávání podpisů, v té či oné modifikaci, se používá k detekci virů a dalšího malwaru od prvních antivirových programů až po současnost. Nespornou výhodou vyhledávání signatur je rychlost provozu (samozřejmě pomocí speciálně vyvinutých algoritmů) a schopnost detekovat několik virů jednou signaturou. Nevýhoda - velikost signatury pro spolehlivou detekci musí být poměrně velká, minimálně 8-12 bajtů (obvykle se pro přesnou detekci používají mnohem delší signatury, až 64 bajtů), proto bude velikost antivirové databáze být docela velký. V poslední době se navíc stále více rozšiřují škodlivé programy napsané v jazycích vyšší úrovně (C++, Delphi, Visual Basic) a takové programy mají samostatné části kódu, které se prakticky nemění (tzv. Run Time Library ). Špatně zvolená signatura nevyhnutelně povede k falešné pozitivitě – detekci „čistého“, neinfikovaného souboru jako infikovaného virem. Jako řešení tohoto problému se navrhuje použít buď velmi velké podpisy, nebo použít detekci pro určité datové oblasti, například relokační tabulky nebo textové řetězce, což není vždy dobré.

Hledat podle kontrolních součtů (CRC)

Vyhledávání podle kontrolních součtů (CRC - cyclic redundancy check) je v podstatě modifikací vyhledávání podle signatur. Metoda byla vyvinuta, aby se předešlo hlavním nevýhodám vyhledávání podpisů – velikosti databáze a snížení pravděpodobnosti falešných poplachů. Podstatou metody je, že k hledání škodlivého kódu se bere nejen „referenční“ řádek - podpis, nebo spíše kontrolní součet tohoto řádku, ale také umístění podpisu v těle škodlivého programu. Umístění se používá, abyste nemuseli počítat kontrolní součty pro celý soubor. Místo 10-12 bajtů podpisu (minimum) se tedy použijí 4 bajty pro uložení kontrolního součtu a další 4 bajty pro umístění. Metoda hledání kontrolního součtu je však poněkud pomalejší než hledání podpisu.
Použití masek k detekci škodlivého kódu je poměrně často komplikováno přítomností šifrovaného kódu (tzv. polymorfních virů), protože buď nelze masku vybrat, nebo maska maximální velikosti nesplňuje podmínku jednoznačně identifikaci viru bez falešně pozitivních výsledků.
Nemožnost výběru masky dostatečné velikosti v případě polymorfního viru lze snadno vysvětlit. Šifrováním svého těla virus zajišťuje, že většina jeho kódu v postiženém objektu je proměnná, a proto nemůže být vybrána jako maska. (Samošifrovací a polymorfní viry jsou podrobněji popsány v příloze na konci článku).
K detekci takových virů se používají následující metody: použití redukované masky, kryptoanalýza a statistická analýza. Podívejme se na tyto metody podrobněji.

Použití zmenšené masky

Kryptoanalýza

Tato metoda je následující: pomocí známého základního kódu viru a známého šifrovaného kódu (nebo „podezřelého“ kódu podobného zašifrovanému tělu viru) se obnoví klíče a algoritmus dešifrovacího programu. Tento algoritmus je poté aplikován na zašifrovanou část, což má za následek dešifrované tělo viru. Při řešení tohoto problému se musíte vypořádat se systémem rovnic.
Tato metoda zpravidla funguje mnohem rychleji a zabírá mnohem méně paměti než emulace virových instrukcí. Řešení takových systémů je však často velmi složitý úkol.
Kromě toho je hlavním problémem matematická analýza výsledné rovnice nebo výsledné soustavy rovnic. V mnoha ohledech se problém řešení soustav rovnic při obnově zašifrovaného těla viru podobá klasickému kryptografickému problému obnovy šifrovaného textu s neznámými klíči. Zde však tento úkol zní poněkud jinak: je nutné zjistit, zda daný zašifrovaný kód je výsledkem aplikace nějaké funkce známé až klíčům. Navíc je předem známo mnoho dat pro řešení tohoto problému: část šifrovaného kódu, část nešifrovaného kódu, možné varianty transformační funkce. Navíc je v analyzovaných kódech přítomen i samotný algoritmus této transformace a klíče. Existuje však značné omezení, že tento problém musí být vyřešen v rámci specifických hranic RAM a postup řešení by neměl trvat dlouho.

Statistická analýza

Používá se také k detekci polymorfních virů. Skener během své činnosti analyzuje četnost používání příkazů procesoru, sestavuje tabulku nalezených příkazů procesoru (operační kódy) a na základě těchto informací učiní závěr, že soubor je infikován virem. Tato metoda je účinná pro vyhledávání některých polymorfních virů, protože tyto viry používají omezenou sadu příkazů v decryptoru, zatímco „čisté“ soubory používají zcela jiné příkazy s jinou frekvencí. Například všechny programy pro MS-DOS často používají přerušení 21h (opcode CDh 21h), ale tento příkaz prakticky nikdy nenajdete v decryptoru polymorfních DOS virů.
Hlavní nevýhodou této metody je, že existuje řada složitých polymorfních virů, které využívají téměř všechny příkazy procesoru a od kopírování ke kopírování se sada použitých příkazů velmi mění, to znamená, že není možné detekovat virus pomocí vytvořené frekvence tabulka.

Heuristická analýza

Statická metoda. Hledání běžných krátkých signatur, které jsou přítomny ve většině virů (tzv. „podezřelé“ příkazy). Velké množství virů například hledá viry pomocí masky *.EXE, otevře nalezený soubor a zapíše do otevřeného souboru. Úkolem heuristiky je v tomto případě najít podpisy, které tyto akce odrážejí. Poté jsou nalezené signatury analyzovány, a pokud je nalezen určitý počet potřebných a dostatečných „podezřelých příkazů“, je rozhodnuto, že soubor je infikován. Velkou výhodou této metody je její snadná implementace a dobrá rychlost, ale úroveň detekce nového malwaru je poměrně nízká.

Dynamická metoda. Tato metoda se objevila současně se zavedením emulace příkazů procesoru do antivirových programů (emulátor je podrobněji popsán níže). Podstatou metody je emulace provádění programu a protokolování všech „podezřelých“ akcí programu. Na základě tohoto protokolu se rozhodne o možné infekci programu virem. Dynamická metoda je na rozdíl od statické metody náročnější na počítačové zdroje, nicméně úroveň detekce dynamické metody je mnohem vyšší.

Emulace

Technologie emulace programového kódu (neboli Sandboxing) byla reakcí na vznik velkého množství polymorfních virů. Myšlenkou této metody je emulovat provádění programu (jak infikovaného virem, tak „čistého“) ve speciálním „prostředí“, nazývaném také emulační vyrovnávací paměť nebo „sandbox“. Pokud se do emulátoru dostane soubor infikovaný polymorfním virem, tak se po emulaci v bufferu objeví dešifrované tělo viru připravené k detekci standardními metodami (podpis nebo CRC vyhledávání).
Moderní emulátory emulují nejen příkazy procesoru, ale také volání operačního systému. Úkol napsat plnohodnotný emulátor je poměrně pracný, nemluvě o tom, že při použití emulátoru musíte neustále sledovat akce každého příkazu. To je nezbytné, aby se zabránilo náhodnému spuštění destruktivních komponent virového algoritmu.
Zvláště je třeba poznamenat, že je nutné emulovat činnost virových instrukcí a ne je stopovat, protože při sledování viru je pravděpodobnost volání destruktivních instrukcí nebo kódů odpovědných za šíření viru příliš vysoká.

Databáze antivirového motoru

Databáze je nedílnou součástí antivirového jádra. Navíc, pokud předpokládáme, že dobře navržený „engine“ se tak často nemění, pak se antivirová databáze mění neustále, protože právě v antivirové databázi jsou signatury, kontrolní součty a speciální softwarové moduly pro detekci malwaru. . Jak víte, nové viry, síťoví červi a další škodlivé programy se objevují se záviděníhodnou frekvencí, a proto je velmi důležité, aby byla antivirová databáze aktualizována co nejčastěji. Pokud před pěti lety stačily týdenní aktualizace, dnes je prostě nutné dostávat aktualizace antivirové databáze alespoň denně.
Je také velmi důležité, co přesně je v antivirové databázi: jsou tam pouze záznamy o virech nebo doplňkových softwarových postupech. V druhém případě je mnohem jednodušší aktualizovat funkčnost antivirového enginu pouhou aktualizací databází.

Podpora pro "složité" vnořené objekty

Antivirové motory se za posledních několik let hodně změnily. Jestliže první antiviry, aby mohly být považovány za prvotřídní program, musely pouze kontrolovat systémovou paměť, spustitelné soubory a boot sektory, pak o pár let později, kvůli rostoucí oblibě speciálních utilit pro balení spustitelných modulů, vývojáři byli postaveni před úkol rozbalit zabalený soubor před jeho skenováním.
Pak nový problém – viry se naučily infikovat archivované soubory (a sami uživatelé často posílali infikované soubory v archivech). Antiviry se musely naučit zpracovávat i archivní soubory. V roce 1995 se objevil první makrovirus, který infikoval dokumenty Microsoft Word. Stojí za zmínku, že formát dokumentu používaný aplikací Microsoft Word je uzavřený a velmi složitý. Řada antivirových společností stále neví, jak takové soubory plně zpracovat.
Antivirové moduly dnes kvůli obrovské oblibě e-mailů zpracovávají jak databáze poštovních zpráv, tak i zprávy samotné.

Detekční metody

Typický antivirový „engine“, který je implementován v každém antivirovém programu, využívá všechny potřebné technologie pro detekci malwaru: efektivní heuristický analyzátor, vysoce výkonný emulátor a především kompetentní a flexibilní architekturu subsystém detekce malwaru, umožňující použití všech výše uvedených metod detekce.
Téměř každý antivirový modul používá jako základní metodu detekci kontrolního součtu. Tento způsob byl zvolen na základě požadavku na minimalizaci velikosti antivirových databází. Architektura enginu je však často tak flexibilní, že umožňuje použití kterékoli z výše uvedených metod detekce, což se dělá u některých zvláště složitých virů. To vám umožní dosáhnout vysoké úrovně detekce virů. Architektura antivirového enginu je podrobněji uvedena na schématu dále v textu.
Praktická aplikace metod detekce polymorfních virů (kryptoanalýza a statistická analýza, použití redukované masky a emulace) spočívá ve výběru metody, která je nejoptimálnější z hlediska rychlosti a velikosti požadované paměti. Kód většiny samošifrovacích virů lze poměrně snadno obnovit emulační procedurou. Pokud použití emulátoru není optimální řešení, pak se kód viru obnoví pomocí podprogramu, který implementuje inverzní transformaci – kryptoanalýzu. Pro detekci virů, které nelze emulovat, a virů, pro které není možné sestrojit inverzní transformaci, se používá metoda konstrukce redukovaných masek.
V některých nejsložitějších případech se používá kombinace výše uvedených metod. Část dešifrovacího kódu je emulována a příkazy, které jsou skutečně zodpovědné za dešifrovací algoritmus, jsou extrahovány z dešifrovacího zařízení. Poté se na základě obdržených informací sestaví a vyřeší systém rovnic pro obnovu kódu viru a jeho detekci.
Kombinace metod se používá také při použití vícenásobného šifrování, kdy virus zašifruje své tělo několikrát různými šifrovacími algoritmy. Často se používá kombinovaná metoda obnovy informací nebo „čistá“ emulace dešifrovacího kódu z toho důvodu, že každý nový virus musí být analyzován a zařazen do antivirové databáze v co nejkratší době, která se ne vždy vejde do potřebné matematická analýza. A v důsledku toho je třeba použít těžkopádnější metody pro detekci viru, přestože metody matematické analýzy dešifrovacího algoritmu jsou docela použitelné.

Práce se "složitými" objekty

Packery spustitelných souborů a šifrovací systémy. Nejoblíbenější z nich: Diet, AVPACK, COMPACK, Epack, ExeLock, ExePack, Expert, HackStop, Jam, LzExe, LzCom, PaquetBuilder, PGMPAK, PkLite, PackWin, Pksmart, Protect, ProtEXE, RelPack, Rerp, Rjcrush, Rucc, Scramb, SCRNCH, Shrink, Six-2-Four, Syspack, Trap, UCEXE, Univac, UPD, UPX (několik verzí), WWPACK, ASPack (několik verzí), ASProtect (několik verzí), Astrum, BitArts, BJFnt, Cexe, Cheaters , Dialect, DXPack, Gleam, CodeSafe, ELFCrypt, JDPack, JDProtect, INFTool, Krypton, Neolite, ExeLock, NFO, NoodleCrypt, OptLink, PCPEC, PEBundle, PECompact (několik verzí), PCCShrink, PE-D- PELock, PEncrypt, PE-Pack (několik verzí), PE-Protect, PE-Shield, Petite, Pex, PKLite32, SuperCede, TeLock, VBox, WWPack32, XLok, Yoda.
Podpora tolika balíčků a archivátorů umožňuje zkrátit dobu analýzy nových virů, což vede ke zvýšení rychlosti reakce na výskyt nového viru, a dosáhnout vysoké úrovně detekce již známých virů.

Archivátoři a instalátoři (celkem více než 60). Nejoblíbenější z nich: CAB, ARJ, ZIP, GZIP, Tar, AIN, HA, LHA, RAR, ACE, BZIP2, WiseSFX (několik verzí), CreateInstall, Inno Installer, StarDust Installer, MS Expand, GKWare Setup, SetupFactory, SetupSpecialist, NSIS, Astrum, PCInstall, Effect Office.
Podpora velkého počtu typů archivátorů je zvláště důležitá pro skenování poštovních systémů, protože naprostá většina virů se posílá poštou v archivované podobě. Objekty se rozbalí bez ohledu na úroveň vnoření archivů. Pokud je například infikovaný soubor zabalen s UPX a poté je soubor zabalen do archivu ZIP, který je zabalen do archivu CAB atd., pak by antivirový modul měl být stále schopen dosáhnout původního souboru a detekovat virus.
Je třeba poznamenat, že takové úvahy nejsou v žádném případě teoretické. Proto je široce známý trojský program Backdoor.Rbot, který byl distribuován s mnoha různými programy (Ezip, Exe32Pack, ExeStealth, PecBundle, PECompact, FSG, UPX, Morphine, ASPack, Petite, PE-Pack, PE-Diminisher, PELock , PESpin, TeLock, Molebox, Yoda, Ezip, Krypton atd.).
Algoritmus rozbalování archivu má obvykle dostatek inteligence, aby nerozbalil všemožné „archivní bomby“ – malé archivy, které obsahují velké soubory (s velmi vysokým kompresním poměrem) nebo několik stejných souborů. Skenování takového archivu obvykle zabere spoustu času, ale moderní antivirové nástroje často takové „bomby“ rozpoznávají.

Mechanismus aktualizace antivirových databází a jejich velikost

Aktualizace antivirové databáze jsou obvykle vydávány několikrát denně. Někteří jsou schopni vydávat aktualizace jednou za hodinu, někteří - každé dvě hodiny. V každém případě je při současné vysoké míře nebezpečí na internetu taková častá aktualizace antivirových databází zcela oprávněná.
Velikost aktualizací svědčí o promyšlené architektuře antivirového enginu. Velikost pravidelných aktualizací od předních společností v oboru tedy zpravidla nepřesahuje 30 KB. Antivirové databáze přitom obvykle obsahují zhruba 70 % funkčnosti celého antivirového enginu. Jakákoli aktualizace antivirové databáze může přidat podporu pro nový balič nebo archivátor. Denní aktualizací antivirové databáze tak uživatel získává nejen nové postupy pro detekci nového malwaru, ale také aktualizaci celého antiviru. To umožňuje velmi pružně reagovat na situaci a zaručit uživateli maximální ochranu.

Heuristický analyzátor

Heuristický analyzátor, který je součástí téměř každého antiviru, využívá obě výše popsané metody analýzy – kryptoanalýzu a statistickou analýzu. Moderní heuristický analyzátor je od základu navržen tak, aby byl rozšiřitelný (na rozdíl od většiny heuristických analyzátorů první generace, které byly navrženy k detekci malwaru pouze ve spustitelných modulech).
V současné době dokáže heuristický analyzátor detekovat škodlivý kód ve spustitelných souborech, sektorech a paměti, stejně jako nové skriptové viry a malware pro Microsoft Office (a další programy využívající VBA) a nakonec škodlivý kód napsaný v jazycích vyšší úrovně, jako je např. jako Microsoft Visual Basic.
Flexibilní architektura a kombinace různých metod nám umožňuje dosáhnout poměrně vysoké úrovně detekce nového malwaru. Vývojáři zároveň vynakládají veškeré úsilí, aby počet falešných poplachů snížili na minimum. Produkty prezentované lídry v antivirovém průmyslu jen zřídka dělají chyby při detekci škodlivého kódu.

Níže uvedený diagram popisuje přibližný algoritmus pro provoz antivirového jádra. Je třeba poznamenat, že k emulaci a vyhledávání známého a neznámého malwaru dochází současně.

Originální technologie v antiviru
"motory"

Téměř každý vývojář antivirových produktů implementuje některé ze svých vlastních technologií, díky nimž je program efektivnější a produktivnější. Některé z těchto technologií přímo souvisejí s konstrukcí „motoru“, protože výkon celého řešení často závisí na jeho provozu. Dále se budeme zabývat řadou technologií, které mohou výrazně urychlit kontrolu objektů a zároveň zaručit zachování vysoké kvality detekce a také zlepšit detekci a léčbu škodlivého softwaru v archivovaných souborech.
Začněme technologií iChecker. Tato technologie a její analogy jsou implementovány téměř v každém moderním antiviru. Je třeba poznamenat, že iChecker je název navržený specialisty společnosti Kaspersky Lab. Odborníci například Panda Software nazývají UltraFast. Tato technologie umožňuje dosáhnout rozumné rovnováhy mezi spolehlivostí ochrany pracovních stanic (a zejména serverů) a využitím systémových prostředků chráněného počítače. Díky této technologii se výrazně zkracuje doba načítání (až o 30-40 %) operačního systému (ve srovnání s tradiční antivirovou ochranou) a doba spouštění aplikací s aktivní antivirovou ochranou. Tím je zajištěno, že všechny soubory na discích počítače byly zkontrolovány a nejsou infikovány. Hlavní myšlenkou této technologie je, že není třeba kontrolovat to, co se nezměnilo a již bylo zkontrolováno. Antivirové jádro udržuje speciální databázi, ve které jsou uloženy kontrolní součty všech zkontrolovaných (a neinfikovaných) souborů. Nyní, před odesláním souboru k ověření, „engine“ vypočítá a porovná kontrolní součet souboru s daty uloženými v databázi. Pokud se data shodují, znamená to, že soubor byl zkontrolován a opakovaná kontrola není nutná. Stojí za zmínku, že čas strávený výpočtem kontrolních součtů souborů je výrazně kratší než čas antivirové kontroly.
Zvláštní místo v práci antiviru zaujímá léčba archivovaných infikovaných objektů. Právě o tom bude řeč dále. iCure je technologie pro léčbu infikovaných souborů v archivech. Díky této technologii budou infikované objekty uvnitř archivovaných souborů úspěšně dezinfikovány (nebo smazány v závislosti na nastavení antiviru) bez použití externích archivačních utilit. Dnes většina antivirů podporuje následující typy archivů: ARJ, CAB, RAR, ZIP. Díky modulární architektuře a technologiím pro aktualizaci antivirového jádra může uživatel zpravidla snadno aktualizovat a rozšířit seznam podporovaných typů archivátorů bez restartování antiviru.
iArc je další technologie pro práci s archivními soubory. Tato technologie je nezbytná pro práci s vícesvazkovými archivy. iArc umožňuje skenovat vícesvazkové archivy a detekovat viry, i když jsou zabaleny do vícesvazkového archivu, který bude také zabalen do vícesvazkového archivu.
Vícevláknové zpracování. Antivirový „engine“ je vícevláknový modul a dokáže současně zpracovávat (kontrolovat škodlivé kódy) několik objektů (soubory, sektory, skripty atd.).
Většina z výše uvedených technologií je v té či oné podobě implementována v každém moderním antivirovém produktu.

Polymorfní viry

Základní definice: samošifrování a polymorfismus. Používají je téměř všechny typy virů, aby se co nejvíce zkomplikovala procedura detekce virů. Polymorfní viry jsou poměrně obtížné odhalit viry, které nemají signaturu, to znamená, že neobsahují jediný konstantní úsek kódu. Ve většině případů dva vzorky stejného polymorfního viru nebudou mít jedinou shodu. Toho je dosaženo zašifrováním hlavního těla viru a úpravou dešifrovacího programu. Polymorfní viry zahrnují ty, které nelze detekovat (nebo jsou extrémně obtížné) pomocí takzvaných virových masek – úseků konstantního kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují i další, poněkud exotické příklady polymorfismu: například DOS virus „Bomber“ není zašifrován, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.
Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

Polymorfní dešifrovače

MOV reg_1, počet ; reg_1, reg_2, reg_3 jsou vybrány z
MOV reg_2, klíč ; AX,BX,CX,DX,SI,DI,BP
MOV reg_3, _offset ; počet, klíč, _offset se také mohou změnit
_smyčka:
xxx byte ptr, reg_2; xor, add nebo sub
DEC reg_1
Jxx_loop ; ja nebo jnc
; Následuje šifrovaný kód a data viru

Složité polymorfní viry používají mnohem složitější algoritmy pro generování kódu svých dešifrovačů: výše uvedené instrukce (nebo jejich ekvivalenty) jsou přeskupovány z infekce na infekci, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC, atd.
Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož může dešifrovač virů obsahovat operace SUB, ADD, XOR, ROR, ROL a další v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých lze nalézt téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG , JNZ, PUSH, POP ..) se všemi možnými režimy adresování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows 95 EXE.
Výsledkem je, že na začátku souboru infikovaného takovým virem je soubor zdánlivě nesmyslných pokynů. Je zajímavé, že některé kombinace, které jsou docela funkční, nejsou akceptovány proprietárními disassemblery (například kombinace CS:CS: nebo CS:NOP). A mezi tímto „nepořádkem“ příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP – instrukce, které skutečně „fungují“.

Úrovně polymorfismu

Úroveň 1: Viry, které mají určitou sadu dešifrovačů s konstantním kódem; když se nakazí, vyberou si jednoho z nich. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“. Příklady: "Cheeba", "Slovensko", "Whale".

Úroveň 2: Dešifrovač virů obsahuje jednu nebo více trvalých instrukcí, ale hlavní část je nestabilní.

Úroveň 3: Decryptor obsahuje nepoužité instrukce – „smetí“ jako NOP, CLI, STI atd.

Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.

Úroveň 5: Používají se všechny výše uvedené techniky, dešifrovací algoritmus není konstantní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.

Úroveň 6: Permutující viry. Hlavní kód viru podléhá změnám – je rozdělen do bloků, které se při infikování přeskupují v náhodném pořadí. Virus zůstává funkční. Takové viry nemusí být zašifrovány.

Výše uvedená klasifikace má své nevýhody, protože se provádí podle jediného kritéria - schopnosti detekovat virus pomocí dešifrovacího kódu pomocí standardní techniky virových masek:

Úroveň 1: k detekci viru stačí mít několik masek;
Úroveň 2: detekce masky pomocí „zástupných karet“;
Úroveň 3: detekce maskou po odstranění „odpadkových“ pokynů;
Úroveň 4: maska obsahuje několik možností pro možný kód, to znamená, že se stává algoritmickou;
Úroveň 5: neschopnost detekovat virus pomocí masky.

Nedostatečnost takového dělení se projevuje u viru 3. úrovně polymorfismu, který se nazývá „Level3“. Tento virus, který je jedním z nejsložitějších polymorfních virů, podle výše uvedeného rozdělení spadá do úrovně 3, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. Avšak v tomto viru byl algoritmus generování odpadků doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu dešifrovače.
Dělíme-li na úrovně z pohledu antivirů, které využívají systémy pro automatické dešifrování virového kódu (emulátory), tak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.
Objektivnější klasifikace by byla taková, ve které jsou kromě kritéria virových masek zahrnuty také další parametry, například:
Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače);
Použití speciálních technik, které znesnadňují emulaci antivirům;
Stálost dešifrovacího algoritmu;
Stálost délky dešifrovače.

Změna spustitelného kódu

Nejčastěji tuto metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se mění téměř úplně od infekce k infekci.
Tato metoda je méně často používána složitými zaváděcími viry. Takové viry vloží do boot sektorů jen poměrně krátkou proceduru, která přečte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup je vybrán z několika různých možností (které lze také smíchat s „prázdnými“ příkazy), příkazy jsou přeskupeny atd.
Tato technika je u souborových virů ještě méně obvyklá – musí totiž zcela změnit svůj kód, a to vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden ("Ply") náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus („TMC“) používá složitější metodu – pokaždé, když je infikován, virus vymění bloky svého kódu a dat, vloží „odpad“, nastaví nové hodnoty offsetu na datech ve svých montážních pokynech, změní konstanty, atd. Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – v kódu není žádná konstantní sada příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

(c) Frolov Alexander Vjačeslavovič, 2002
E-mail: [e-mail chráněný]
Web: http://www.frolov.pp.ru, http://www.datarecovery.ru

Vytvoření spolehlivě fungujícího informačního systému jakékoli úrovně složitosti je nemožné bez použití speciálních prostředků ochrany proti počítačovým virům. Taková ochrana je zvláště aktuální dnes, kdy všechno více počítačů síťově připojené a připojené k internetu. Špatné výpočty provedené při organizaci antivirové ochrany mohou vést nejen k dočasné poruše počítačové systémy ale také k nenapravitelné ztrátě dat.

Když je běžný antivir bezmocný

První viry se šířily prostřednictvím programových souborů a boot sektory diskety, takže není divu, že většina antivirových programů je určena právě pro skenování souborů. Dnes jsou hlavním kanálem pro šíření počítačových virů soubory kancelářské dokumenty přenášeny prostřednictvím e-mailu. Proto je kontrola souborů jedním z nejdůležitějších prostředků antivirové ochrany.

Ti z vás, kteří se omezují pouze na používání běžných souborových antivirů, jsou však vystaveni velkému riziku. Souborové antiviry nejsou schopny detekovat škodlivý kód např. v datových tocích procházejících internetovými kanály a v databázích informačních a výpočetních systémů.

Kromě souborových antivirů existují i specializované antivirové programy, které dokážou filtrovat datové toky procházející přes emailové servery, firewally a proxy servery. K dispozici antivirová řešení pro systémy správy dokumentů jako např IBM Lotus Notes a Microsoft Exchange.

Existuje však velké množství „nestandardních“ informační systémy, servery, služby a programy, pro jejichž ochranu nelze použít hotové antiviry. Jako příklad můžeme uvést různé účetní informační systémy, systémy automatizace dokladů a různé aktivity podniky, skladové a účetní systémy atd. Použití konvenčních antivirů k ochraně takových systémů může být neúčinné, protože K ukládání dokumentů používají spíše databáze než soubory.

Uvědomujíce si důležitost antivirové ochrany, hledají tvůrci informačních výpočetních systémů a internetových služeb různé způsoby, jak problém vyřešit pomocí konvenčních souborových antivirů. Například poštovní server Merak poštovní server(http://www.icewarp.com) může kontrolovat poštu procházející přes něj pomocí téměř jakéhokoli externího antivirového programu, který může dávkový režim. Během procesu kontroly jsou soubory příloh e-mailových zpráv zkopírovány do dočasných souborů, které jsou poté zkontrolovány antivirem.

Je třeba poznamenat, že použití dočasných souborů a externích antivirových programů nepředstavuje nejlepší řešení a v některých případech je taková technologie zcela nevhodná. Vytváření dočasných souborů plýtvá prostředky počítače, což zpomaluje zpracování dat. Dočasné soubory budou také velmi neúčinné pro kontrolu internetového provozu procházejícího přes firewally nebo proxy servery.

Licencování antivirového enginu

Mezitím mohou vývojáři softwaru vložit antivirový modul do svých vlastních programů a softwarové systémy. K tomu je třeba zakoupit licenci na antivirový engine a antivirové databáze od některé z antivirových společností.

Licence k použití antivirový engine ve svém vlastním vývoji jej tvůrci softwaru budou moci používat s maximální efektivitou. Antivirový modul lze zabudovat téměř do každého informačního systému nebo programu, který zpracovává dokumenty nebo soubory.

Jako tvůrce nástroje pro archivaci a zálohování dat můžete například skenovat všechny zkopírované soubory, s výjimkou počítačových virů ze vstupu do archivů dat nebo obnovy infikovaných souborů z tohoto archivu.

Vytváření vlastní službu Internet, jako je e-mailový server, firewall, proxy server, webová stránka pro distribuci sharewaru a bezplatné programy, Můžete jej účinně chránit před počítačovými viry. V takovém případě se nebudete muset uchylovat k různým trikům jako je vytváření dočasných souborů a připojování externích antivirových programů.

S licencí na používání antivirového jádra můžete dokonce vydat svůj vlastní antivirový program. Takový program bude kombinovat výkonné nástroje antivirové ochrany vyvinuté profesionály v této oblasti a další další funkce, který v běžných antivirech chybí. Dokáže implementovat například uživatelské rozhraní v jakémkoli národním jazyce, nést reklamu pro vaši společnost, provádět jakoukoli dodatečné kontroly nebo mají další schopnosti.

Příklady integrace antivirového jádra

Níže uvádíme některé úspěšné příklady integrace domácích antivirových enginů na základě licencí do různých programů a systémů.

Na základě dohody dosažené mezi JSC „DialogNauka“ (http://www.dials.ru) a jádrem FSUE „NPO Mashinostroeniya“ slavný antivirus Doctor Web byl použit k ochraně systému správy dokumentů založeného na vlastní technologie Sapiens (http://www.npomit.ru). Všechny informace uložené tímto systémem v databázi jsou kontrolovány antivirovým jádrem Doctor Web.

Jednou z činností FSUE „NPO Mashinostroeniya“ je vytváření informačních systémů pro federální úřady, veřejné organizace, veřejné a soukromé společnosti a také poskytování služeb na trhu informačních technologií. "NPO Mashinostroeniya" je hlavní vývojář integrovaného informačního a výpočetního systému (IICS) Ministerstva průmyslu a vědy Ruska a IICS Vysoké ekonomické školy státní univerzity.

Jako vývojáři informačních systémů pro zodpovědné použití NPO Mashinostroyenia poskytla antivirovou ochranu pro takové své vývojové projekty, jako je registrace a kontrola provádění dokumentů Sapiens, monitorování výpočetních zdrojů Sapiens, elektronický archiv dokumentace návrhu Sapiens.

Dalším úspěšným příkladem licencování antivirového jádra Doctor Web je antivirové skenování v e-mailovém systému DIONIS, který vytvořila tuzemská společnost FACTOR (http://www.rospac.ru/dion.htm). Tento systém je využíván zejména pro zpracování poštovní korespondence v rámci státního automatizovaného systému "Volby" a také na Ministerstvu daní a poplatků.

Pokud vyvíjíte webový projektor, můžete si díky vlastnictví licence na antivirový modul vytvořit vlastní antivirovou službu na internetu. Příkladem je antivirus Defender, který vytvořila americká společnost eAcceleration.com pomocí jádra Doctor Web. Tento antivirus je určen pro on-line kontrolu souborů (obr. 1).

Rýže. 1. Defender Antivirus z eAcceleration.com

Pravděpodobně mnozí z vás museli napsat CD-R nebo CD-RW. Tyto disky jsou velmi vhodné pro vytváření záložní kopie a archivy. německá společnost Ahead Software (http://www.nero.com) integroval antivirový modul Doctor Web do svého programu Nero Burning ROM (obr. 2). To vám umožní ušetřit vytvořené archivy před počítačovými viry bez instalace dalších antivirových programů. Nero Burning ROM dokáže aktualizovat antivirovou databázi přes internet, což je nezbytné pro účinnou antivirovou ochranu.

Rýže. 2. Vestavěná antivirová kontrola Program Nero Vypalování ROM

Na základě jádra Doctor Web vytvořila čínská společnost Kingsoft (http://www.iduba.net) vlastní antivirus iDuba.net (obr. 3).

Rýže. 3. iDuba.net antivirus s čínským uživatelským rozhraním

Na základě jádra Doctor Web byl vytvořen plugin pro populární e-mail The Netopýr!. Zajišťuje, že každá zpráva nebo příloha je zpracována na základě výsledku antivirové kontroly a poskytuje antivirovou ochranu poštovního systému, i když je rezidentní stráž deaktivována nebo není nainstalována. Antivirový modul kontroluje příchozí poštu při jejím přijetí i při otevření přílohy.

Známý domácí antivirový vývojář Kaspersky Lab také licencuje antivirové jádro Kaspersky Antivirus pro použití výrobci softwaru třetích stran.

Konkrétně je integrováno jádro Kaspersky Anti-Virus softwarový balík Antigen od Sybari Software. Tento komplex poskytuje plnou ochranu podnikových poštovních bran. Díky tomu se jedinečné technologie detekce a neutralizace virů společnosti Kaspersky Lab staly dostupnými pro tisíce podniků po celém světě, které používají Antigen.

V důsledku dohody dosažené mezi Kaspersky Lab (http://www.kaspersky.ru) a Ritlabs (http://www.ritlabs.com/ru) byly zavedeny funkce antivirového filtrování pro výše uvedené poštovní program The Bat! Díky spolupráci s Kaspersky Anti-Virus mohou uživatelé The Bat! jsou zajištěny automatickou antivirovou kontrolou veškeré příchozí a odchozí pošty ihned v okamžiku jejího doručení nebo odeslání.

Společnost Aladdin Knowledge Systems, jeden ze světových lídrů v oblasti ochrany počítačových dat, integrovala softwarové jádro Kaspersky Anti-Virus do svého komplexu eSafe. Uživatelé Aladdin eSafe tak získávají další výhody v oblasti detekce a léčby malwaru na základě pokročilého vývoje společnosti Kaspersky Lab.

Jádro Kaspersky Anti-Virus se také používá v antivirech F-Secure (Finsko), G-Data (Německo) a Vintage Solutions (Japonsko). Licenční smlouvy byly uzavřeny s Itamigo a Deerfield.com (UK).

Mezi další příklady patří antivirový engine izraelské společnosti CARMEL, který byl prodán Microsoft, stejně jako známá antivirová utilita MSAV, dodávaná jako součást operačního systému MS-DOS.

Co je součástí balení

Společnost DialogNauka CJSC prodává vývojáři třetích stran softwaru následující součásti jeho antivirových technologií:

Antivirový engine Doctor Web ve formě dynamicky propojované knihovny DRWEB32.DLL se sadou antivirových databází;
verze Doctor Web pro operační sál systémy Microsoft Windows bez uživatelského rozhraní (DrWeb32w a SpIDerGuard)

Antivirové jádro lze použít ve všech programech a systémech. Pokud jde o verze Doctor Web bez uživatelského rozhraní, jsou určeny především pro ty, kteří si chtějí vytvořit vlastní antivirový program.

Sada je dodávána s podrobným popisem softwarové rozhraní Antivirový engine Doctor Web, zdrojové kódy programu, který demonstruje práci s tímto rozhraním, a také zdrojové kódy jednoduchého antivirového programu DRW32EX.

V případě potřeby můžete získat zdrojové texty programu pro načtení a vyjmutí knihovny DRWEB32.DLL zkompilované v programovacím jazyce C Tento program může být vyžadován, pokud je antivirový modul určen k použití na systému, který ano nepodporuje formát zaváděcího modulu Win32 PE (antivirový engine Doctor Web je schopen jakékoli platformy IA-32 od Intel 386 a vyšší).

Pokud jde o společnost Kaspersky Lab, v závislosti na podmínkách smlouvy lze poskytnout buď pouze objekt COM, který implementuje funkce antivirového jádra, popř. kompletní sada zdrojové texty s dokumentací a příklady jejich použití. Dokonce je možné pravidelné školení o nových funkcích jádra.

Dnes, více než kdy jindy, antivirus software je nejen nejoblíbenější v bezpečnostním systému jakéhokoli operačního systému, ale také jednou z jeho hlavních součástí. A pokud dříve měl uživatel velmi omezený, skromný výběr, nyní takových programů najdete spoustu. Pokud se však podíváte na seznam „10 nejlepších antivirů“, všimnete si, že ne všechny jsou ekvivalentní z hlediska funkčnosti. Podívejme se na nejoblíbenější balíčky. Zároveň bude analýza zahrnovat jak placený, tak shareware (antivir na 30 dní) a volně distribuované aplikace. Ale nejdřív.

Top 10 antivirů pro Windows: testovací kritéria

Než začnete sestavovat hodnocení, měli byste se pravděpodobně seznámit se základními kritérii, která se při testování takového softwaru ve většině případů používají.

Přirozeně je prostě nemožné vzít v úvahu všechny známé balíčky. Nicméně mezi všemi těmi, které mají zajistit maximální ochranu počítačového systému v širokém slova smyslu, můžeme vyzdvihnout ty nejoblíbenější. Zároveň zohledníme jak oficiální hodnocení nezávislých laboratoří, tak recenze uživatelů, kteří ten či onen softwarový produkt používají v praxi. Kromě, mobilní programy neovlivní, zaměříme se na stacionární systémy.

Pokud jde o provádění základních testů, zpravidla zahrnují několik hlavních aspektů:

dostupnost placených a bezplatných verzí a omezení související s funkčností;
standardní rychlost skenování;
rychlá identifikace potenciálních hrozeb a schopnost je odstranit nebo umístit do karantény pomocí vestavěných algoritmů;
četnost aktualizace antivirových databází;
sebeobrana a spolehlivost;
dostupnost dalších funkcí.

Jak je vidět z výše uvedeného seznamu, kontrola fungování antivirového softwaru vám umožňuje určit silné a slabé stránky konkrétního produktu. Dále zvážím nejoblíbenější softwarové balíčky zahrnuté v Top 10 antivirů a také uvedu jejich hlavní charakteristiky, samozřejmě s ohledem na názory lidí, kteří je používají ve své každodenní práci.

softwarové produkty společnosti Kaspersky Lab

Nejprve se podívejme na softwarové moduly vyvinuté společností Kaspersky Lab, které jsou mimořádně populární v postsovětském prostoru.

Nelze zde vyzdvihnout pouze jeden program, protože mezi nimi lze najít i pravidelný Skener Kaspersky Antivirus a podobné moduly Internetová bezpečnost a přenosné nástroje jako Odstranění virů Nástroj a dokonce spouštěcí disky pro poškozené systémy Rescue Disc.

Okamžitě stojí za zmínku dvě hlavní nevýhody: za prvé, soudě podle recenzí, téměř všechny programy, až na vzácné výjimky, jsou placené nebo shareware, a za druhé, systémové požadavky jsou nepřiměřeně vysoké, což znemožňuje jejich použití v relativně slabých konfiguracích. . To přirozeně odstrašuje mnoho běžných uživatelů, ačkoli aktivační klíče pro Kaspersky Antivirus nebo Internet Security lze snadno najít na World Wide Web.

Na druhou stranu lze aktivační situaci napravit i jiným způsobem. Například klíče Kaspersky lze generovat pomocí speciálních aplikací, jako je Správce klíčů. Je pravda, že tento přístup je mírně řečeno nezákonný, nicméně jako východisko jej používá mnoho uživatelů.

Provozní rychlost při moderní auta je v průměrném rozsahu (z nějakého důvodu vzniká stále více těžkých verzí pro nové konfigurace), ale neustále aktualizované databáze, unikátní technologie pro identifikaci a odstraňování známých virů a potenciálně nebezpečné programy tady nahoře. Není divu, že Kapersky Laboratory je dnes lídrem mezi vývojáři bezpečnostního softwaru.

A ještě dvě slova o disku pro obnovu. Je svým způsobem unikátní, protože načte skener s grafickým rozhraním ještě před samotným spuštěním Windows, což vám umožní odstranit hrozby i z RAM.

Totéž platí pro přenosnou utilitu Virus Removal Tool, která dokáže sledovat jakoukoli hrozbu na infikovaném terminálu. Srovnat se dá jen s podobnou utilitou od Dr. Web.

Ochrana před Dr. Web

Před námi je další z nejsilnějších představitelů v oblasti bezpečnosti - slavný „Doctor Web“, který stál u zrodu vzniku veškerého antivirového softwaru od nepaměti.

Mezi obrovským množstvím programů můžete také najít standardní skenery, bezpečnostní nástroje pro surfování po internetu, přenosné nástroje a disky pro obnovu. Nemůžete vyjmenovat všechno.

Mezi hlavní faktory ve prospěch softwaru tohoto vývojáře patří vysoká rychlost, okamžitá detekce hrozeb s možností jejich úplného odstranění nebo izolace a také mírné zatížení systému jako celku. Obecně se z pohledu většiny uživatelů jedná o jakousi odlehčenou verzi Kaspersky. Pořád je tu něco zajímavého. Konkrétně se jedná o Dr. Webová katana. Předpokládá se, že se jedná o softwarový produkt nové generace. Zaměřuje se na využití „pískových“ technologií, tedy umístění hrozby do „cloudu“ nebo „sandboxu“ (jak to chcete nazvat) k analýze předtím, než pronikne do systému. Nicméně, když se na to podíváte, nejsou zde žádné zvláštní inovace, protože tato technika byla použita ve volném čase Panda antivirus. Podle mnoha uživatelů navíc Dr. Web Katana je něco jako Bezpečnostní prostor se stejnými technologiemi. Obecně však lze říci, že jakýkoli software od tohoto vývojáře je poměrně stabilní a výkonný. Není divu, že mnoho uživatelů takové balíčky preferuje.

programy ESET

Když už jsme u Top 10 antivirů, nemůžeme nezmínit ještě jeden nejjasnějším zástupcem v této oblasti - společnost ESET, která se proslavila tak slavným produktem jako je NOD32. O něco později se zrodil modul ESET Smart Zabezpečení.

Pokud vezmeme v úvahu tyto programy, můžeme poznamenat zajímavý bod. Chcete-li aktivovat plnou funkčnost libovolného balíčku, můžete udělat dvě věci. Jednak jde o získání oficiální licence. Na druhou stranu si můžete nainstalovat zkušební antivirus zdarma, ale aktivujte si ho každých 30 dní. Zajímavá je i situace s aktivací.

Jak poznamenávají naprosto všichni uživatelé, pro ESET Smart Security (nebo pro standardní antivirus) na oficiálních stránkách můžete najít volně distribuované klíče ve formě přihlašovacího jména a hesla. Donedávna bylo možné používat pouze tato data. Nyní se proces poněkud zkomplikoval: nejprve se musíte přihlásit a heslo na speciální webové stránce, převést je na licenční číslo a teprve poté je zadat do registračního pole v samotném programu. Pokud však těmto maličkostem nevěnujete pozornost, můžete si všimnout, že tento antivirus je jedním z nejlepších. Výhody zaznamenané uživateli:

virové databáze jsou aktualizovány několikrát denně,
identifikace hrozeb na nejvyšší úrovni,
nedochází ke konfliktům se systémovými komponentami (firewall),
balíček má nejsilnější sebeobranu,
nedochází k falešným poplachům atd.

Samostatně stojí za zmínku, že zatížení systému je minimální a použití modulu Anti-Theft dokonce umožňuje chránit data před krádeží nebo zneužitím pro osobní zisk.

AVG Antivirus

AVG Antivirus je placený software navržený tak, aby poskytoval komplexní zabezpečení počítačových systémů (k dispozici je také bezplatná, zkrácená verze). A ačkoli dnes tento balíček již nepatří mezi pět nejlepších, přesto vykazuje poměrně vysokou rychlost a stabilitu.

V zásadě je ideální pro domácí použití, protože má kromě rychlosti pohodlné rusifikované rozhraní a víceméně stabilní chování. Je pravda, že jak někteří uživatelé poznamenávají, někdy je schopen přehlédnout hrozby. A to neplatí pro viry jako takové, ale spíše pro spyware nebo reklamní „junk“ s názvem Malware and Adware. Vlastní modul programu, i když je široce inzerován, stále podle uživatelů vypadá poněkud nedokončený. A další firewall může často způsobit konflikty s „nativním“ firewallem Windows, pokud jsou oba moduly aktivní.

Balíček Avira

Avira je dalším členem rodiny antivirů. Od většiny podobných balíčků se zásadně neliší. Pokud si však o něm přečtete uživatelské recenze, můžete najít docela zajímavé příspěvky.

Mnoho lidí nedoporučuje používat bezplatnou verzi za žádných okolností, protože některé moduly v ní prostě chybí. Chcete-li zajistit spolehlivou ochranu, budete muset zakoupit placený produkt. Ale takový antivirus je vhodný pro verze 8 a 10, ve kterých samotný systém využívá spoustu prostředků a balíček je využívá na nejnižší úrovni. V zásadě se Avira nejlépe hodí řekněme pro levné notebooky a slabší počítače. Síťová instalace však nepřipadá v úvahu.

Cloudová služba Panda Cloud

Zdarma se svého času stalo téměř revolucí na poli antivirových technologií. Použití takzvaného „sandboxu“ k odeslání podezřelého obsahu k analýze předtím, než pronikne do systému, učinilo tuto aplikaci obzvláště oblíbenou mezi uživateli všech úrovní.

A právě s „pískovištěm“ je dnes tento antivirus spojen. Ano, skutečně tato technologie na rozdíl od jiných programů umožňuje zabránit pronikání hrozeb do systému. Jakýkoli virus si například nejprve uloží své tělo na pevný disk nebo do paměti RAM a teprve poté zahájí svou činnost. Zde se věc neřeší. Nejprve je podezřelý soubor odeslán do cloudové služby, kde je zkontrolován, a teprve poté může být uložen do systému. Pravda, podle očitých svědků to bohužel může zabrat poměrně dost času a zbytečně to zatěžuje systém. Na druhou stranu stojí za to si položit otázku, co je důležitější: zabezpečení nebo delší doba ověřování? Nicméně pro moderní konfigurace počítače s rychlostí připojení k internetu 100 Mbps nebo vyšší lze bez problémů používat. Mimochodem, jeho vlastní ochrana je poskytována právě prostřednictvím „cloudu“, který někdy vyvolává kritiku.

Antivirový skener Avast Pro

Nyní pár slov o dalším významném zástupci Mezi mnoha uživateli je poměrně populární, ale i přes přítomnost stejného sandboxu, anti-spywaru, síťového skeneru, firewallu a virtuálního účtu bohužel Avast Pro Antivirus překonává. hlavní ukazatele výkonu, funkčnosti a spolehlivosti jednoznačně ztrácí na takové giganty, jako jsou softwarových produktů Kaspersky Lab nebo aplikace, které používají Technologie Bitdefender, i když vykazuje vysokou rychlost skenování a nízkou spotřebu zdrojů.

Uživatele na tomto produktu láká především to, že bezplatná verze balíčku je maximálně funkční a příliš se neliší od placeného softwaru. Tento antivirus navíc funguje na všech verzích Windows včetně Windows 10 a funguje skvěle i na zastaralých strojích.

360 bezpečnostních balíčků

Před námi je pravděpodobně jeden z nejrychlejších antivirů naší doby - 360 Security, vyvinutý čínskými specialisty. Obecně platí, že všechny produkty označené „360“ se vyznačují záviděníhodnou rychlostí provozu (stejný internetový prohlížeč 360 Safety Browser).

Přes svůj hlavní účel má program přídavné moduly eliminovat zranitelnosti operačního systému a optimalizovat jej. Ale ani rychlost provozu, ani bezplatná distribuce se nedají srovnávat s falešnými poplachy. V seznamu programů, které mají nejvyšší ukazatele podle tohoto kritéria, zaujímá tento software jedno z prvních míst. Podle mnoha odborníků vznikají konflikty na systémové úrovni kvůli dalším optimalizátorům, jejichž působení se protíná s prováděním úkolů samotného OS.

Softwarové produkty založené na technologiích Bitdefender

Dalším „starým mužem“ mezi nejznámějšími ochránci operačních systémů je Bitdefender. Bohužel v roce 2015 přišla o dlaň s produkty Kaspersky Lab, přesto v antivirovém módu takříkajíc patří k trendsetterům.

Když se podíváte trochu pozorněji, všimnete si toho mnoho moderní programy(stejný balíček 360 Security) v různých variantách jsou vyrobeny právě na základě těchto technologií. Přes bohatou funkční základnu má i své nedostatky. Za prvé, ruský antivirus (rusifikovaný) Bitdefender nenajdete, protože v přírodě vůbec neexistuje. Zadruhé, i přes využití nejnovějšího technologického vývoje z hlediska ochrany systému bohužel vykazuje příliš vysoký počet falešných poplachů (to je mimochodem podle odborníků typické pro celou skupinu programů vytvořených na bázi tzv. Bitdefender). Přítomnost dalších komponent optimalizace a jejich vlastních firewallů obecně neovlivňuje chování takových antivirů k lepšímu. Rychlost této aplikace ale upřít nelze. Kromě toho se pro ověřování používá P2P, ale neexistuje ověřování e-mailů v reálném čase, což se mnoha lidem nelíbí.

Antivirus od společnosti Microsoft

Další aplikací, která se vyznačuje svým záviděníhodným provozem s rozumem i bez něj, je vlastním produktem Microsoft nazval Security Essentials.

Tento balíček je zařazen do Top 10 antivirů zřejmě jen proto, že je určen výhradně pro systémy Windows, což znamená, že nezpůsobuje absolutně žádné konflikty na systémové úrovni. Kromě toho, kdo jiný, když ne specialisté z Microsoftu, zná všechny bezpečnostní díry a zranitelnosti vlastních operačních systémů. Mimochodem, zajímavým faktem je, že počáteční sestavení Windows 7 a Windows 8 měla MSE jako standard, ale pak z nějakého důvodu tuto sadu opustili. Pro Windows se však může stát nejjednodušším řešením z hlediska zabezpečení, i když nelze počítat s žádnou speciální funkcí.

aplikace McAfee

Co se týče této aplikace, vypadá docela zajímavě. Největší oblibu si však získal v oblasti aplikací na mobilních zařízeních se všemi druhy blokování, na stolních počítačích se však tento antivirus nechová o nic hůř.

Program disponuje nízkoúrovňovou podporou P2P sítí při sdílení souborů Instant Messengeru a nabízí i 2úrovňovou ochranu, ve které mají hlavní roli moduly WormStopper a ScriptStopper. Celkově však podle spotřebitelů funkční sada je na průměrné úrovni a samotný program je zaměřen spíše na identifikaci spywaru, počítačových červů a trojských koní a zabránění průniku spustitelných skriptů či škodlivých kódů do systému.

Kombinované antiviry a optimalizátory

Zde byly samozřejmě brány v úvahu pouze ty, které jsou zařazeny do Top 10 antivirů. Pokud mluvíme o jiném softwaru tohoto druhu, můžeme si všimnout některých balíčků obsahujících antivirové moduly ve svých sadách.

Čemu dát přednost?

Všechny antiviry mají přirozeně určité podobnosti a rozdíly. Co nainstalovat? Zde je třeba vycházet z potřeb a úrovně poskytované ochrany. Zpravidla, firemní klientelu stojí za to koupit něco výkonnějšího se schopností instalace sítě(Kaspersky, Dr. Web, ESET). Pokud jde o domácí použití, zde si uživatel vybere, co potřebuje (v případě potřeby můžete dokonce najít antivirus na rok - bez registrace nebo nákupu). Ale pokud se podíváte na uživatelské recenze, je lepší nainstalovat Panda Cloud, a to i přes určité dodatečné zatížení systému a dobu testování v karanténě. Tady je ale úplná záruka, že hrozba do systému žádným způsobem nepronikne. Každý si však může svobodně vybrat, co přesně potřebuje. Pokud aktivace není obtížná, prosím: Produkty ESET fungují na domácích systémech dobře. Ale používat optimalizátory s antivirovými moduly jako hlavní prostředek ochrany je vysoce nežádoucí. Není také možné říci, který program je na prvním místě: existuje tolik uživatelů, tolik názorů.

Oblíbené v kategorii: