Принципы работы антивируса
Антивирус – программа, ищущая вирусы, трояны, червей, бэкдоры и прочее нежелательное ПО на компьютере пользователя. Как правило антивирусы разрабатываются для семейства ОС Windows, что как бы намекает на следующие особенности этой операционки: а) большую распространенность, б) большую уязвимость к атакам, в) большую перспективность рынка антивирусов из-за высокой коммерциализации, г) увы, малую компьютерную грамотность её пользователей.
Антивирусы бывают платные и бесплатные. Подробно о плюсах и минусах обоих категорий мы говорить здесь не будем, замечу только лишь, что все не так однозначно, как может показаться на первый взгляд.
Если посмотреть со стороны на работу антивируса, его самого можно легко принять за вирус, но только со знаком плюс. Методы работы антивируса – слежение за сетевым трафиком, прослушивание портов, контроль служб, модификация и удаление файлов, сбор статистики и отправка данных разработчику ПО, изрядное потребление вычислительных мощностей… Разве что вывода из строя оборудования не хватает! Разумеется, все это направлено во благо пользователя и во имя сохранения его данных, но общая картина по меньшей мере любопытна. Кстати, именно из-за этой особенности крайне не рекомендуется устанавливать на одну машину сразу два антивируса. Мало того, что это без танцев с бубном редко кому удастся, так и последствия их совместной «работы» могут быть самыми причудливыми, вплоть до летальных для ОС.
В массовом сознании накрепко засел миф, что многие вирусы созданы самими антивирусными компаниями, точки над «i» в этом вопросе расставит неплохая статья здесь.
Разные антивирусы по-разному борются с вредоносным ПО. Все антивирусы могут обнаруживать вирусы, но, к сожалению, не все эффективно лечить. В состав антивируса могут входить несколько модулей, в зависимости от релиза и того, на что способна контора-разработчик антивируса. Модули могут быть следующие: модуль поиска нежелательного ПО, модуль анализа подозрительного поведения программ (эвристический модуль), карантинный модуль для изоляции подозрительных файлов, модуль обновлений – для поддержания актуальности новым угрозам, модуль «исцеления» зараженных файлов, брандмауэр, он же файрвол, и некоторые другие.
Антивирус не является панацеей! Это один из множества «бойцов», брошенных в бой с угрозами безопасности в бесконечной войне за информацию, причем не самый сильный. Никакой антивирус не дает 100% защиты в силу особенностей его функционирования.
К сожалению, большая часть работы антивируса направлена на устранение последствий «негигиеничной» рискованной, а иногда, увы, попросту неграмотной работы пользователя в Интернете, с внешними носителями данных и неизвестными приложениями.
Основные методы борьбы с вирусами
Сигнатурный метод обнаружения
Наверняка вы встречались с сообщениями антивируса, например, Антивируса Касперского, о том, что антивирусные базы устарели и их необходимо обновить. О каких базах идет речь?
Антивирусная лаборатория – разработчик антивируса – выявляет вирус, анализирует его, и выявляет так называемую сигнатуру. Сигнатура вируса (сигнатура атаки) – особый цифровой признак вредоносной программы, по которому её можно «узнать» и однозначно определить. Эти сигнатуры вносятся в базу данных, чье обновление регулярно скачивает пользователь вручную или по расписанию. Сообщение от антивируса об устаревании базы вирусов сигнализирует об ослаблении защиты и повышении вероятности подхватить какой-нибудь «свежак».
Достоинства этого метода:
Недостатки:
Эвристические методы обнаружения
Многие антивирусные программы содержат в себе модуль так называемого эвристического поиска вредоносных программ. Суть метода в анализе поведения всех запускаемых программ. Если в процессе работы системы вдруг обнаруживается «подозрительное» поведение приложения, то есть программа вдруг начинает делать то, что раньше не делала, то срабатывает тревога и эвристический модуль сообщает пользователю о потенциальной угрозе.
Достоинства метода:
Недостатки метода:
Брандмауэр или файрвол
Брандмауэр предназначен для защиты от сетевых угроз – из локальной сети и Интернета.
Этот модуль далеко не всегда входит в стандартный набор антивируса, зачастую брандмауэр разрабатывается, поставляется и продается как отдельная программа.
Многие программы для соединения с удаленными компьютерами или серверами могут использовать небезопасные методы, оставляя «дырки» и уязвимости для проникновения извне.
Суть работы брандмауэра в контроле как входящего, так и исходящего трафика путем ограничения возможности устанавливать соединения с определенными удаленными ресурсами. Самый наглядный метод защиты – белые и черные списки сетевых ресурсов.
«Черный» список сетевых ресурсов – это список, например, сайтов, куда заходить нельзя, а «белый» список – это список ресурсов, куда только и можно заходить. Как нетрудно заметить, метод белого списка значительно более безопасен, но и сильно ограничивает возможности пользователя и программ.
Достоинства брандмауэра:
Недостатки брандмауэра:
Что делает антивирус при обнаружении вируса
Мало кто задумывается о принципе работы антивирусного ПО. Зачастую его устанавливают, периодически обновляют, но на этом забота о программе заканчивается. Сам антивирус представляет собой средство борьбы с вирусами, троянами, программами-шпионами, червями, бекдорами и прочим мусором, который мы в огромных количествах черпаем из интернета.
Львиная доля подобных программ нацелена на ОС Windows. Во-первых, эта операционная система самая распространенная в мире. Во-вторых, уязвима к атакам и попыткам взлома из-за своей популярности. В-третьих, аудитория, использующая ОСь, не блещет особыми знаниями компьютерной грамотности. Для Linux и MacOS также есть шпионский софт, но он бесполезный от слова совсем.
Принцип работы антивирусов
Если разобраться, то любой продукт, будь то Касперский, Аваст, Нод 32 и не только, работает по тому же принципу, что и вирус:
Но система при этом работает довольно стабильно и быстро. Другое дело, что ставить параллельно два антивируса если и можно, то довольно глупо. Машина начнет адски тормозить, файлы двух программ станут воспринимать друг друга чем-то подозрительным, пытаясь «сожрать» один одного, остатки ПО будут качать недостающие фрагменты из сети и процесс повторится заново. Закончится все падением ОС.
Как антивирус защищает владельца
Если не вдаваться в подробности работы ПО, которые многим покажутся непонятными, хочется выделить 3 основных принципа действий антивирусов по отношению к шпионским программам:
В первом случае софт проверяет все места на HDD, ОЗУ и съемных носителях. Приоритет отдается тем участкам, которые чаще всего поражаются троянами (загрузочные сектора, исполняемые библиотеки, драйверы и т.д.). Если антивирус что-то находит – он автоматически оповещает пользователя.
Лечение может быть двух типов:
В первом случае ПО будет всячески пытаться восстановить работоспособность одного или нескольких файлов. Если ничего не получится – зараженные объекты удалятся с ПК навсегда. Целостность системы при этом может пострадать и ее придется восстанавливать.
На карантин файлы помещаются в том случае, если они ценны для вас, или содержат важные данные. В дальнейшем вы можете попытаться вылечить объект самостоятельно, или с помощью специалиста.
Профилактика – систематическое сканирование антивирусом в фоновом режиме. Вы можете и не подозревать о его работе (если ПК мощный и ресурсов достаточно). В этом режиме антивирус проверяет все открываемые программы, папки, файлы и не только. Если он обнаружит вирус или что-то подозрительное, сразу сообщит владельцу.
Методы обнаружения
На сегодняшний день различают 3 ключевых способа поиска различных червей и всего прочего мракобесия, которое портит ОС:
Сигнатуры
Принцип сигнатур следующий: антивирусная лаборатория выявляет новый вирус с последующим анализированием, выявляя сигнатуру – особый цифровой признак вредителя (вроде отпечатка пальца). Сигнатуры вносят в базу, которую скачивает пользователь при обновлении.
Достоинства в том, что метод надежный и используется очень давно. К тому же относительно быстрый.
Из недостатков хочется отметить огромное количество подобных троянов, которые имеют схожие сигнатуры. Из-за этого приходится разрабатывать шаблон, который вносится с базу, а затем на его основе разыскивается нежелательное ПО. При этом иногда возникают ложные срабатывания антивирусов, что периодически раздражает.
Эвристика
Многие программы имеют встроенный эвристический модуль поиска вирусов. Суть заключается в проверка всех программ и файлов, которые вы запускаете на ПК. Если антивирус обнаружил что-то сомнительное или подозрительное – он сразу же выдаст сообщение.
Достоинства в перспективности направления такого метода и способность реагировать на те угрозы, которых нет в базе сигнатур.
Недостаток заключается в «сырости», потому как нередки ложные срабатывания на безопасное ПО. Нередки случаи отключения модуля эвристики, который «раздражает», из-за чего система подвергает потенциальной угрозе. И данный метод довольно прожорлив к ресурсам ПК.
Брандмауэр
Фаерволы защищают сеть, т.е. локальные и глобальные подключения. Данный модуль зачастую является самостоятельным и продается в виде отдельной программы, либо уже встроен в систему (брандмауэр Windows тому пример). ПО контролирует входящий и исходящий трафик, ограничивая возможность соединяться с определенными ресурсами (белые и черные списки).
Из достоинств отметим возможность создать «свободный» интернет, работая исключительно со списком проверенных сайтов. Также можно установить на один из локальных шлюзов, создавая школьные или институтские сети узкой направленности (без соцсетей, мессенджеров и прочих «черных» сайтов).
Недостаток в сложности настроек. Чтобы создать действительно защищенную сеть, нужно хорошенько попотеть в сторону матчасти. Использование настроек «по умолчанию» делает брандмауэр огромным дырявым корытом.
Пресс-центр
Как работает антивирус: принцип работы антивирусных программ
Цифровая вакцина
Как работает антивирусная программа и почему она уже не только антивирусная.
В последние пару лет людям довелось лишний раз убедиться в своей явной уязвимости перед вирусами. Несмотря на все научно-технические достижения, полностью обезопасить себя от маленьких коварных врагов пока не удаётся. Единственным спасением остаются вакцины. Все эти утверждения справедливы и для цифрового мира. О принципах действия антивирусных программ — в нашей новой статье.
Что такое современный антивирус?
Антивирус в традиционном понимании — это программа для обнаружения, идентификации и устранения вирусов с компьютера или другого устройства.
Эволюция компьютерных вирусов происходила в том же направлении и с теми же темпами, что и развитие технологий обмена информацией. Большая часть вирусов написана под Microsoft Windows — самую популярную операционную систему в мире. Вслед за распространением интернета и мобильных устройств, киберпреступники ринулись в эти сферы и ожидаемо получили массу новых возможностей для атак, слежки и кражи личных данных пользователей. Но, как известно, на любое действие найдётся противодействие. Принцип работы антивирусных программ претерпел значительные изменения с момента их появления в конце 80-х годов. А борьба с вирусописателями вышла на новый уровень.
Строго говоря, классических вирусов, заражающих исполняемые файлы ОС и создающих свои копии в разных отделах диска, уже нет. Зато есть много других вредоносных программ (malware): трояны, черви, руткиты, эксплойты, шпионы, ботнеты, бэкдоры, рекламные приложения (один из самых распространенных видов) и другие.
Получается, что слово «антивирус» тоже не совсем корректное. Сегодня антивирусные программы работают не просто как сканеры, ищущие вирусы на диске. Теперь это многофункциональное комплексное решения для защиты от киберугроз на всех уровнях.
На чём основано действие антивирусной программы?
Для эффективной защиты от различных типов вредоносного ПО, антивирус использует несколько методов их обнаружения.
Сигнатурный метод или реактивная защита. Базовый и проверенный временем механизм. В его основе лежит сигнатура — набор уникальных характеристик вируса или семейства однотипных вирусов. Сигнатуры создаются вирусными аналитиками на основе анализа уже известных вредоносных программ и формируются в постоянно обновляемую антивирусную базу. Антивирусное ПО автоматически загружает свежие базы и сравнивает содержимое локальных и внешних файлов с данными из сигнатур. Принцип работы антивируса с сигнатурами позволят точно определить тип угрозы и понять как с ней бороться. Недостаток сигнатурного метода в том, что он бессилен против неизвестных и модифицированных вирусов, а также не способен анализировать подозрительную активность приложений.
Эвристический анализ или проактивная защита. Используется для предупреждения потенциальных угроз и решения задач, с которыми сигнатурный метод не справляется. Возможностей много:
Из чего состоит антивирусное ПО?
Принцип работы современных антивирусов заключается в комплексном подходе к вопросам кибербезопасности. У всех компаний разный состав модулей антивирусного ПО. Вот несколько основных:
Сканер. Ищет вредоносное ПО в оперативной памяти, загрузочных записях при включении, на локальных и внешних дисках, а также в системных файлах ОС. Может выполняться по расписанию, по запросу пользователя или при обращении к данным. Что делает антивирус, если находит угрозу в каком-то файле? Предоставляет пользователю несколько вариантов на выбор:
попытаться вылечить, удалив вредоносный код;
поместить в карантин, чтобы вылечить позже или удалить;
удалить, если вылечить не удалось;
получить отчёт, но больше ничего не делать;
Монитор. Отслеживает все манипуляции с файлами в режиме реального времени. Находит и обезвреживает вредоносное ПО до того, как оно успевает инфицировать систему.
Проактивная защита или HIPS. Анализирует в реальном времени поведение всех запущенных программ и файлов в системе. Выявляет нежелательную активность и вредоносные программы, включая эксплойты.
Файервол. Контролирует входящий трафик для защиты устройства от несанкционированного вторжения из локальной сети или интернета. Фильтрует подозрительный исходящий трафик. Этот модуль может выпускаться как отдельное ПО. Помните, что автоматический режим работы файервола не является оптимальным, поэтому лучше настраивать правила для программ и серверов.
Интернет. Мониторит весь веб-трафик пользователя, блокирует опасные и фишинговые страницы. Фильтрует спам, а также проверяет вложения и ссылки в электронной почте на наличие вредоносных программ и фишинга. Использует отдельный зашифрованный браузер с защитой от клавиатурных шпионов для безопасных онлайн-платежей. Позволяет настроить ограничения доступа к нежелательным категориям сайтов.
Принцип действия современной антивирусной программы подразумевает использование машинного обучения. Алгоритмы обнаружения вредоносного ПО быстро совершенствуются. С каждым годом появляется всё больше дополнительных инструментов кибербезопасности, которые оставляют всё меньше лазеек злоумышленникам.
Не пренебрегайте использованием антивирусного ПО и сами не болейте!
Как работают антивирусы. Методы детектирования вредоносных программ
Содержание статьи
Как работают современные антивирусные программы и какие методы используют злоумышленники для борьбы с ними? Об этом — сегодняшняя статья.
Как антивирусные компании пополняют базы?
Применительно к современным антивирусным технологиям само понятие «антивирус» — это скорее дань моде, нежели термин, правильно отражающий суть вещей. Классические файловые вирусы, то есть вредоносные программы, способные заражать исполняемые файлы или динамические библиотеки и распространяться без участия пользователя, сегодня очень большая редкость. Подавляющее большинство встречающихся сейчас в «дикой природе» вредоносов — это трояны, не способные ни к заражению файловых объектов, ни к саморепликации. Чуть реже в руки аналитиков попадаются черви: эти программы могут создавать свои копии на съемных носителях или сетевых дисках, «расползаться» по сети или каналам электронной почты, но файлы заражать не умеют. Все остальные традиционные категории вредоносного ПО отличаются друг от друга лишь базовым набором функций, но по своей архитектуре могут быть сведены к этим трем группам.
Как образцы вредоносов попадают в вирусные лаборатории? Каналов поступления новых семплов у антивирусных компаний традиционно несколько. Прежде всего, это онлайн-сервисы вроде VirusTotal, то есть серверы, на которых любой анонимный пользователь может проверить детектирование произвольного файла сразу десятком самых популярных антивирусных движков. Каждый загруженный образец вне зависимости от результатов проверки автоматически отправляется вендорам для более детального исследования.
Очевидно, что с подобных ресурсов в вирусные лаборатории прилетает огромный поток мусора, включая совершенно безобидные текстовые файлы и картинки, поэтому на входе он фильтруется специально обученными роботами и только после этого передается по конвейеру дальше. Этими же сервисами успешно пользуются небольшие компании, желающие сэкономить на содержании собственных вирусных лабораторий. Они тупо копируют в свои базы чужие детекты, из-за чего регулярно испытывают эпические фейлы, когда какой-нибудь вендор в шутку или по недоразумению поставит вердикт infected на тот или иной компонент такого антивируса, после чего тот радостно переносит в карантин собственную библиотеку и с грохотом валится, вызывая баттхерт у пользователей и истерический хохот у конкурентов.
Второй канал — «самотек», подозрительные файлы, которые пользователи передают в вирлаб через сайт антивирусной компании, по запросу службы поддержки или выгружают из карантина. Третий канал — ханипоты, специальные приманки для вирмейкеров в виде виртуальных серверов с открытыми наружу портами и логинами-паролями вроде root/root, куда некоторые ботоводы радостно заливают свои творения, дивясь криворукости админов. Наконец, четвертый путь — обмен базами между самими вендорами, но в последние годы в силу обострившейся конкуренции на рынке и сузившейся кормовой базы кооперация между антивирусными компаниями практически сошла на нет.
После того как семпл попадает в вирусную лабораторию, он сортируется по типу файла и исследуется автоматическими средствами аналитики, которые могут установить вердикт по формальным или техническим признакам — например, по упаковщику. И только если роботам раскусить вредоноса не удалось, он передается вирусным аналитикам для проведения инструментального или ручного анализа.
Анатомия антивируса
Антивирусные программы различных производителей включают в себя разное число компонентов, и даже более того, одна и та же компания может выпускать несколько версий антивируса, включающих определенный набор модулей и ориентированных на различные сегменты рынка. Например, некоторые антивирусы располагают компонентом родительского контроля, позволяющего ограничивать доступ несовершеннолетних пользователей компьютера к сайтам определенных категорий или регулировать время их работы в системе, а некоторые — нет. Так или иначе, обычно современные антивирусные приложения обладают следующим набором функциональных модулей:
В зависимости от версии и назначения антивирусной программы, она может включать в себя и другие функциональные модули, например компоненты для централизованного администрирования, удаленного управления.
Сигнатурное детектирование
Современные антивирусные программы используют несколько методик обнаружения вредоносных программ в различных их сочетаниях. Основная из них — это сигнатурное детектирование угроз.
Данный метод детектирования малвари основывается на создании так называемых сигнатур — уникальных цифровых идентификаторов файла, представляющих собой специальный набор байтов и получаемых на основе содержимого исследуемого файла. Фактически сигнатура — это своего рода «отпечаток пальцев» файла: с помощью сигнатуры можно однозначно идентифицировать тот или иной файл или приложение. Схожим образом устроены хеши файлов, например SHA-1 или SHA-256, — при этом под хешированием в данном случае понимается преобразование содержимого файла с использованием однонаправленной математической функции (алгоритма криптографического хеширования), в результате которого получается уникальный набор шестнадцатеричных символов. Однонаправленной такая функция называется потому, что получить из файла хеш очень просто, а вот восстановить из хеша исходный файл уже невозможно. Вирусная сигнатура устроена несколько сложнее: помимо хеша, она содержит еще целый ряд уникальных признаков файла.
Сигнатуры собираются в блок данных, называемый вирусными базами. Вирусные базы антивирусных программ периодически обновляются, чтобы добавить в них сигнатуры новых угроз, исследованных за истекшее с момента последнего обновления время.
Антивирусная программа исследует хранящиеся на дисках (или загружаемые из интернета) файлы и сравнивает результаты исследования с сигнатурами, записанными в антивирусной базе. В случае совпадения такой файл считается вредоносным. Данная методика сама по себе имеет значительный изъян: злоумышленнику достаточно изменить структуру файла на несколько байтов, и его сигнатура изменится. До тех пор пока новый образец вредоноса не попадет в вирусную лабораторию и его сигнатура не будет добавлена в базы, антивирус не сможет распознать и ликвидировать данную угрозу.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
По какому принципу антивирус находит «паразита»
Антивирус – это программа специфического типа, созданная для обнаружения, опознания и последующего устранения вредоносных кодов, программ, зараженных файлов, спам-рассылок и прочих неприятностей.
Все антивирусы осуществляют поиск вирусов по трем основным схемам. В большинстве антивирусных программ эти методики комбинируются для повышения эффективности. К ним относятся:
1. Поиск вируса по его сигнатуре. Это самый простой и действенный метод поиска вируса, который заложен в основу любого антивируса и применяется для поиска нежелательных программ чаще всех остальных способов. У всех вирусов есть свой уникальный программный код, также, как у людей отпечатки пальцев. Антивирус сравнивает все файлы ПК на наличие таких кодов, которые заложены в его базе данных и требуют регулярного обновления. Однако, у этого способа есть существенный минус – он не может находить вариации вируса. Это похоже на прививку от гриппа – вирус один, а его разновидностей неслыханное множество, и с каждым разом вариаций все больше. Второй существенный минус этого метода в том, что не все антивирусные компании справляются с базами данных. Новые вирусы появляются каждую минуту, и антивирусы просто не успевают обновлять свои хранилища. Третий серьезный недостаток – этот тип поиска вирусов отнимает большое количество времени, и иногда на проверку уходит около половины суток, что, согласитесь, не очень-то удобно.
2. Эвристический метод. Он распознает вирусы по сигнатуре. Сигнатура – это поведение вируса, его особенности строения и логика. Антивирус работает в поисках программ, которые имеют определенный набор команд, которые у антивируса есть в базе. Данный метод помогает находить вирусы, которые еще не успели причинить компьютеру вред. Очень часто антивирус находит вирус эвристическим методом, когда «зараза» дает сигнал, к примеру, включить мелодию или удалить папку. У этого способа обнаружения есть ряд минусов: Во-первых, он очень чувствителен и часто срабатывает без причины. Во-вторых, базы данных этого метода очень трудно обновлять из-за больших объемов методики. В-третьих, не всегда при обнаружении вируса его можно устранить.
3. Помещение вируса на «карантин» — не столько метод поиска, сколько проверка подозрительных программ. Антивирус имеет дело с «подозрительной» программой и помещает ее в безопасную область, где следит за ней. В пределах карантина если вирус и включится, то не сможет ничего передать или испортить. Под контролем вирус будет до тех пор, пока антивирус не решит, удалять его в связи с опасностью или отпустить, потому что вышла осечка.
