Antivirový program

Antivirový program ( antivirus, nástroj antivirové ochrany [1] , nástroj pro detekci malwaru [1] ) je specializovaný program pro detekci počítačových virů , ale i nežádoucích (považovaných za škodlivé ) programů a obnovu souborů infikovaných (upravených) takovými programy a prevenci - zabránění napadení (úprav) souborů nebo operačního systému škodlivým kódem.

Historie

První antiviry se objevily na konci osmdesátých let, je obtížné jednoznačně určit dobu jejich výskytu. Průkopníky byli AntiVir a Dr. Solomon's Anti-Virus Toolkit vytvořený v roce 1988 a Symantec antivirus pro Macintosh byly uvedeny na trh o rok později.

Metody antivirové ochrany

K ochraně před viry se používají tři skupiny metod [2] :

1. Metody založené na analýze obsahu souborů (datových souborů i souborů s příkazovými kódy). Tato skupina zahrnuje skenování virových signatur a také kontrolu integrity a skenování podezřelých příkazů.
2. Metody založené na sledování chování programů při jejich provádění. Tyto metody spočívají v protokolování všech událostí, které ohrožují bezpečnost systému a vyskytují se buď při samotném provádění kontrolovaného kódu, nebo při jeho softwarové emulaci.
3. Metody regulace pořadí práce se soubory a programy. Tyto metody jsou administrativními bezpečnostními opatřeními.

Metoda skenování signatur ( analýza signatur , metoda signatury [1] ) je založena na vyhledávání souborů pro jedinečnou sekvenci bajtů — charakteristiku signatury konkrétního viru. Pro každý nově objevený virus analyzují specialisté antivirové laboratoře kód, na základě kterého je určena jeho signatura. Výsledný fragment kódu je umístěn do speciální databáze virových signatur, se kterou antivirový program pracuje. Výhodou této metody je relativně nízký podíl falešných poplachů a hlavní nevýhodou je zásadní nemožnost detekce nového viru v systému, pro který není v databázi antivirového programu signatura, proto včasná aktualizace je vyžadována databáze podpisů [2] .

Metoda kontroly integrity je založena na tom, že jakákoli neočekávaná a bezdůvodná změna dat na disku je podezřelou událostí, která vyžaduje zvláštní pozornost antivirového systému. Virus nutně zanechává důkazy o své přítomnosti (změny v datech existujících (zejména systémových nebo spustitelných) souborů, výskyt nových spustitelných souborů atd.). Skutečnost změny dat – porušení integrity  – lze snadno zjistit porovnáním kontrolního součtu (výběru), předem vypočítaného pro počáteční stav testovaného kódu, a kontrolního součtu (výběru) aktuálního stavu testovaného kódu. Pokud se neshodují, pak je narušena integrita a je důvod provést dodatečné ověření tohoto kódu, například skenováním virových signatur. Tato metoda funguje rychleji než metoda skenování podpisů, protože výpočet kontrolních součtů vyžaduje méně výpočtů než operace porovnávání bajtů po bajtech fragmentů kódu, navíc vám umožňuje detekovat stopy aktivity jakýchkoli virů, včetně neznámých ty, pro které zatím v databázi nejsou žádné podpisy [2] .

Metoda skenování podezřelých příkazů ( heuristické skenování , heuristická metoda [1] ) je založena na detekci řady podezřelých příkazů a (nebo) známek podezřelých sekvencí kódů v naskenovaném souboru (například příkaz formátu pevného disku popř. funkce, která se má vložit do běžícího procesu nebo spustitelného kódu). Poté je učiněn předpoklad o škodlivé povaze souboru a jsou podniknuty další kroky k jeho kontrole. Tato metoda má dobrou rychlost, ale poměrně často není schopna detekovat nové viry [2] .

Způsob sledování chování programů se zásadně liší od dříve zmíněných způsobů skenování obsahu souborů. Tato metoda je založena na analýze chování spuštěných programů, srovnatelné s dopadením zločince „za ruku“ na místě činu. Antivirové nástroje tohoto typu často vyžadují aktivní účast uživatele, který je vyzván k rozhodování v reakci na četná systémová varování, z nichž značná část se později může ukázat jako falešné poplachy. Frekvence falešných poplachů (podezření na virus pro neškodný soubor nebo přeskočení škodlivého souboru) při překročení určité prahové hodnoty činí tuto metodu neúčinnou a uživatel může přestat reagovat na varování nebo zvolit optimistickou strategii (povolit všechny akce všem spuštěným programy nebo tuto funkci antivirového nástroje deaktivujte). Při použití antivirových systémů, které analyzují chování programů, vždy existuje riziko spuštění příkazů virového kódu, které mohou poškodit chráněný počítač nebo síť. K odstranění tohoto nedostatku byla později vyvinuta metoda emulace (imitace) , která umožňuje spustit testovaný program v uměle vytvořeném (virtuálním) prostředí, které se často nazývá sandbox ( sandbox ), bez nebezpečí poškození informačního prostředí. . Použití metod pro analýzu chování programů prokázalo jejich vysokou účinnost při odhalování známých i neznámých škodlivých programů [2] .

Nečestné antiviry

V roce 2009 začala aktivní distribuce nepoctivých antivirů.  – software, který není antivirový (to znamená, že nemá skutečnou funkčnost proti malwaru), ale vydává se za něj. Ve skutečnosti mohou být nepoctivé antiviry jak programy určené k oklamání uživatelů a zisku v podobě plateb za „ošetření systému před viry“, tak obyčejný škodlivý software.

Speciální antiviry

V listopadu 2014 vydala mezinárodní organizace pro lidská práva Amnesty International antivirový program Detect , který je určen k detekci malwaru distribuovaného vládními agenturami za účelem špehování občanských aktivistů a politických oponentů. Antivirus podle tvůrců provádí hlubší sken pevného disku než klasické antiviry [3] [4] .

Účinnost antivirů

Analytická společnost Imperva zveřejnila v rámci projektu Hacker Intelligence Initiative studii [5] [6] , která ukazuje nízkou účinnost většiny antivirů v reálných podmínkách.

Antiviry podle výsledků různých syntetických testů vykazují průměrnou účinnost kolem 97 %, tyto testy se však provádějí na databázích stovek tisíc vzorků, z nichž drtivá většina (možná asi 97 %) se již nepoužívá pro útoky.

Otázkou je, jak účinné jsou antiviry proti nejpalčivějším hrozbám. K zodpovězení této otázky Imperva a studenti Tel Avivské univerzity získali 82 vzorků nejnovějšího malwaru z ruských podzemních fór a otestovali jej proti databázi VirusTotal, tedy proti 42 antivirovým enginům. Výsledek byl katastrofální.

1. Účinnost antivirů proti nově zkompilovanému malwaru se ukázala být menší než 5 %. To je zcela logický výsledek, protože tvůrci virů je vždy testují proti databázi VirusTotal.
2. Od objevení se viru do začátku jeho rozpoznání antiviry uplyne až čtyři týdny. Takový ukazatel dosahují "elitní" antiviry a u jiných antivirů může doba dosáhnout až 9-12 měsíců. Například na začátku studie 9. února 2012 byl testován čerstvý vzorek falešného instalátoru Google Chrome. Po skončení studie 17. listopadu 2012 jej detekovalo pouze 23 ze 42 antivirů.
3. Antiviry s nejvyšším procentem detekce malwaru mají také vysoké procento falešných poplachů.
4. I když lze studii jen stěží nazvat objektivní, jelikož vzorek malwaru byl příliš malý, lze předpokládat, že antiviry jsou proti čerstvým kybernetickým hrozbám zcela nevhodné.

Klasifikace antivirových programů

Antivirové programy se dělí podle jejich provedení (blokovací nástroje) [1] na:

• software;
• software a hardware.

Na základě umístění v paměti s náhodným přístupem [1] přidělte:

• rezidentní (svou práci zahajují při startu operačního systému, jsou neustále v paměti počítače a automaticky kontrolují soubory);
• nerezidentní (spouštěné na žádost uživatele nebo v souladu s harmonogramem pro ně stanoveným).

Podle typu (způsobu) ochrany proti virům se rozlišují:

• Detekční programy neboli skenery [1] nalézají viry v paměti RAM na interních a (nebo) externích médiích a při zjištění viru zobrazí zprávu.
• Lékařské programy (fágy [1] , polyfágy [1] ) vyhledávají infikované soubory a „léčí“ je. Mezi tímto typem programů jsou polyfágy, které jsou schopny odstraňovat různé typy virů, nejznámější z polyfágových antivirů Norton AntiVirus , Doctor Web , Kaspersky Antivirus .
• Vakcinační programy (imunizátory [1] ) imunizují systém (soubory, adresáře) blokováním působení virů [1] .
• Auditorské programy [1] jsou z hlediska ochrany před viry nejspolehlivější. Auditoři si pamatují počáteční stav programů, adresářů, systémových oblastí disku do doby, než byl počítač infikován (zpravidla na základě výpočtu kontrolních součtů [1] ), poté porovnávají aktuální stav s počátečním a zobrazují nalezené změny na displeji.
• Monitorovací programy začínají svou práci při startu operačního systému, jsou neustále v paměti počítače a automaticky kontrolují soubory na principu „tady a teď“.
• Filtrační programy (hlídací psi) detekují virus v rané fázi, než se začne množit.
• Watchdogy jsou malé, rezidentní programy, jejichž účelem je detekovat akce, které jsou charakteristické pro viry.

Hlavní typy antivirových programů

• Detekční programy zajišťují vyhledávání a detekci virů v RAM a na externích médiích a při detekci vydávají odpovídající zprávu. Existují univerzální a specializované detektory .
• Lékařské programy (fágy) nejen najdou virem infikované soubory, ale také je „vyléčí“, to znamená, že odstraní tělo virového programu ze souboru a vrátí soubory do původního stavu. Na začátku své práce hledají fágové viry v RAM, ničí je a teprve poté přistupují k „léčbě“ souborů. Mezi fágy se rozlišují polyfágy, tedy lékařské programy určené k vyhledávání a ničení velkého množství virů. Vzhledem k tomu, že se neustále objevují nové viry, detekční programy a lékařské programy rychle zastarávají a je nutné pravidelně aktualizovat jejich verze.
• Auditorské programy patří mezi nejspolehlivější prostředky ochrany před viry. Auditoři si pamatují počáteční stav programů, adresářů a systémových oblastí disku, když počítač není infikován virem, a pak pravidelně nebo na žádost uživatele porovnávají aktuální stav s původním. Zjištěné změny se zobrazí na obrazovce monitoru. Stavy se porovnávají zpravidla ihned po načtení operačního systému. Při porovnávání se kontroluje délka souboru, cyklický řídicí kód (kontrolní součet souboru), datum a čas úpravy a další parametry.
• Filtrační programy (watchmen) jsou malé rezidentní programy určené k detekci podezřelých akcí během provozu počítače, které jsou charakteristické pro viry.
• Očkovací programy (imunizátory)  jsou rezidentní programy, které zabraňují infekci souborů. Vakcíny se používají, pokud neexistují žádné lékařské programy, které by tento virus „léčily“. Očkování je možné pouze proti známým virům. Vakcína upraví program nebo disk tak, že to neovlivní jejich práci a virus je bude vnímat jako infikované, a proto se nezakoření. Významnou nevýhodou takových programů je jejich omezená schopnost zabránit infekci velkým množstvím různých virů.

Poznámky

1. ↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 Yazov Yu. K., Solovyov S. V. Ochrana informací v informačních systémech před neoprávněným přístupem. Výhoda. - Voroněž: Quarta, 2015. - S. 357. - 440 s. - 232 výtisků.  - ISBN 978-5-93737-107-2 .
2. ↑ 1 2 3 4 5 Olifer V.G., Olifer N.A. Počítačové sítě. Principy, technologie, protokoly: Učebnice pro vysoké školy. - 4. vyd. - Petrohrad. : Peter, 2010. - S. 871-875. — 944 s. - 4500 výtisků.  - ISBN 978-5-49807-389-7 .
3. ↑ AI vyvinula program, který zachrání novináře před kybernetickým dohledem . Získáno 14. 5. 2015. Archivováno z originálu 18. 5. 2015. (neurčitý)
4. ↑ BBC: „Jak zastavit vlády, aby vás špehovaly“ . Získáno 23. listopadu 2014. Archivováno z originálu 23. listopadu 2014. (neurčitý)
5. ↑ výzkum . Získáno 13. června 2017. Archivováno z originálu 24. listopadu 2017. (neurčitý)
6. ↑ Imperva: antiviry jsou vyhozené peníze - "Hacker" . Datum přístupu: 13. června 2017. (neurčitý)