Recenze antivirových programů pro osobní uživatele. Rozdělení, charakteristika, příklady Uveďte jejich klasifikaci antivirů

Odeslat svou dobrou práci do znalostní báze je jednoduché. Použijte níže uvedený formulář

Studenti, postgraduální studenti, mladí vědci, kteří využívají znalostní základnu ve svém studiu a práci, vám budou velmi vděční.

Hostováno na http://www.allbest.ru/

Klasifikace antivirů

Antivirus je softwarový balíček speciálně navržený k ochraně, zachycení a odstranění počítačových virů a jiných škodlivých programů.

Moderní antivirové programy jsou schopny efektivně detekovat škodlivé objekty uvnitř programových souborů a dokumentů. V některých případech může antivirus odstranit tělo škodlivého objektu z infikovaného souboru a obnovit samotný soubor. Ve většině případů je antivirus schopen odstranit objekt škodlivého programu nejen z programového souboru, ale také ze souboru kancelářského dokumentu, aniž by narušil jeho integritu. Používání antivirových programů nevyžaduje vysokou kvalifikaci a je dostupné téměř každému uživateli počítače. V současnosti většina předních antivirových programů kombinuje ochranu v reálném čase (virový monitor) a ochranu na vyžádání (virový skener).

Klasifikace antivirů

V současné době neexistuje jednotný systém klasifikace antivirových programů.

Klasifikace antivirů podle způsobu provozu

Kaspersky Lab klasifikuje antiviry podle jejich provozního režimu:

Kontrola v reálném čase

Skenování v reálném čase neboli neustálé skenování zajišťuje kontinuitu antivirové ochrany. To je realizováno povinnou kontrolou škodlivosti všech akcí prováděných jinými programy i samotným uživatelem, bez ohledu na jejich původní umístění – ať už jde o váš pevný disk, externí paměťová média, jiné síťové zdroje nebo vlastní RAM. Také všechny nepřímé akce prostřednictvím třetích programů podléhají ověření.

Kontrola na vyžádání

V některých případech nemusí být neustále spuštěné skenování v reálném čase dostačující. Je možné, že infikovaný soubor byl zkopírován do počítače, který byl z důvodu velké velikosti vyloučen z neustálého skenování, a proto v něm nebyl virus detekován. Pokud se tento soubor na daném počítači nespustí, pak může virus zůstat bez povšimnutí a projevit se až po odeslání na jiný počítač.

U tohoto režimu se obvykle předpokládá, že uživatel osobně určí, které soubory, adresáře nebo diskové oblasti mají být zkontrolovány a čas, kdy je třeba takovou kontrolu provést - formou plánu nebo jednorázového ručního spuštění.

Klasifikace antivirů podle typu

Antivirové programy lze také klasifikovat podle typu:

Skenery (jiné názvy: fágy, polyfágy)

Princip fungování antivirových skenerů je založen na skenování souborů, sektorů a systémové paměti a vyhledávání v nich známých i nových (pro skener neznámých) virů. K hledání známých virů se používají tzv. „masky“. Virová maska je nějaká konstantní kódová sekvence specifická pro tento konkrétní virus. Pokud virus neobsahuje trvalou masku, nebo délka této masky není dostatečně velká, pak se používají jiné metody. Příkladem takové metody je algoritmický jazyk, který popisuje vše možné možnosti kód, se kterým se lze setkat při infekci tímto typem viru. Tento přístup používají některé antiviry k detekci polymorfních virů.

Mnoho skenerů také používá algoritmy „heuristického skenování“, tj. analýza posloupnosti příkazů v kontrolovaném objektu, sběr některých statistik a rozhodování pro každý kontrolovaný objekt.

Skenery lze také rozdělit do dvou kategorií – „univerzální“ a „specializované“. Univerzální skenery jsou navrženy tak, aby nalezly a neutralizovaly všechny typy virů bez ohledu na to operační systém pro které je skener určen. Specializované skenery jsou navrženy tak, aby neutralizovaly omezený počet virů nebo pouze jednu z nich, například makroviry.

Skenery se také dělí na „rezidentní“ (monitory) skenující „za běhu“ a „nerezidentní“ skenování systému. Data se porovnávají s daty. K nalezení viru ve vašem počítači tedy potřebujete, aby již „fungoval“, aby se projevily následky jeho činnosti. Tato metoda dokáže najít pouze známé viry, pro které byly dříve popsány fragmenty kódu nebo signatury. Je nepravděpodobné, že takovou ochranu lze nazvat spolehlivou.

Procesní analýza

virový program počítačový malware

Antivirové nástroje založené na analýze procesů fungují poněkud odlišně. "Heuristické analyzátory", jako ty popsané výše, analyzují data (na disku, v kanálu, v paměti atd.). Zásadní rozdíl je v tom, že analýza se provádí za předpokladu, že analyzovaný kód nejsou data, ale příkazy (v počítačích s von Neumannovou architekturou jsou data a příkazy nerozeznatelné, a proto je třeba předložit ten či onen předpoklad během analýzy.)

„Heuristický analyzátor“ vybere sekvenci operací, každé z nich přiřadí určité hodnocení „nebezpečí“ a na základě nastavené „nebezpečí“ rozhodne, zda je tato sekvence operací součástí škodlivého kódu. Samotný kód není spuštěn.

Dalším typem procesně založených antivirů jsou „blokátory chování“. V tomto případě je podezřelý kód prováděn krok za krokem, dokud není sada akcí iniciovaných kódem vyhodnocena jako „nebezpečné“ (nebo „bezpečné“) chování. V tomto případě je kód částečně spuštěn, protože dokončení škodlivého kódu lze detekovat jednoduššími metodami analýzy dat.

Technologie detekce virů

Technologie používané v antivirech lze rozdělit do dvou skupin:

Technologie analýzy podpisů

Analýza signatur je metoda detekce virů, která kontroluje přítomnost virových signatur v souborech. Analýza podpisů je nejznámější metodou detekce virů a používá se téměř ve všech moderních antivirech. K provedení kontroly potřebuje antivirus sadu virových signatur, která je uložena v antivirové databázi.

Vzhledem k tomu, že analýza signatur zahrnuje kontrolu souborů na přítomnost virových signatur, je potřeba pravidelně aktualizovat antivirovou databázi, aby byl antivirus aktuální. Samotný princip fungování analýzy signatur také určuje meze její funkčnosti - schopnost detekovat pouze známé viry - proti novým virům je skener signatur bezmocný.

Na druhou stranu přítomnost virových signatur implikuje možnost ošetření infikovaných souborů detekovaných analýzou signatur. Léčba však není přijatelná pro všechny viry – trojské koně a většinu červů nelze léčit kvůli jejich konstrukčním vlastnostem, protože jde o nedílné moduly vytvořené za účelem poškození.

Kompetentní implementace virové signatury umožňuje detekovat známé viry se 100% jistotou.

Technologie pravděpodobnostní analýzy

Technologie pravděpodobnostní analýzy se zase dělí do tří kategorií:

Heuristická analýza

Behaviorální analýza

Analýza kontrolního součtu

Heuristická analýza je technologie založená na pravděpodobnostních algoritmech, jejímž výsledkem je identifikace podezřelých objektů. Heuristická analýza kontroluje strukturu souboru a jeho shodu s virovými šablonami. Nejoblíbenější heuristickou technikou je kontrola obsahu souboru na modifikace již známých virových signatur a jejich kombinací. To pomáhá detekovat hybridy a nové verze dříve známých virů bez dodatečné aktualizace antivirové databáze.

Heuristická analýza se používá k detekci neznámých virů a v důsledku toho neočekává pozitiva.

Behaviorální analýza je technologie, ve které se o povaze kontrolovaného objektu rozhoduje na základě analýzy operací, které provádí. Behaviorální analýza má velmi úzké praktické využití, protože většinu akcí typických pro viry lze provádět běžnými aplikacemi. Behaviorální analyzátory skriptů a maker jsou nejznámější, protože odpovídající viry téměř vždy provádějí řadu podobných akcí.

Bezpečnostní funkce zabudované v systému BIOS lze také klasifikovat jako analyzátory chování. Při pokusu o provedení změn v MBR počítače analyzátor akci zablokuje a zobrazí příslušné upozornění pro uživatele.

Kromě toho mohou analyzátory chování sledovat pokusy o přímý přístup k souborům, změny zaváděcího záznamu disket, formátování pevné disky atd.

Behaviorální analyzátory ke své práci nepoužívají další objekty, jako jsou virové databáze, a v důsledku toho nejsou schopny rozlišit známé a neznámé viry – všechny podezřelé programy jsou a priori považovány za neznámé viry. Podobně vlastnosti fungování nástrojů, které implementují technologie analýzy chování, neimplikují léčbu.

Analýza kontrolního součtu je způsob, jak sledovat změny v objektech počítačového systému. Na základě analýzy charakteru změn - simultánnost, hromadný charakter, shodné změny délek souborů - lze usoudit, že systém je infikován. Analyzátory kontrolních součtů (nazývané také „auditoři změn“), stejně jako analyzátoři chování, nepoužívají při své práci další objekty a vydávají verdikt o přítomnosti viru v systému pouze metodou expertního hodnocení. Obdobné technologie se používají i v přístupových skenerech - při první kontrole je ze souboru odebrán kontrolní součet a umístěn do mezipaměti, před další kontrolou stejného souboru je kontrolní součet znovu odebrán, porovnán a pokud nedojde ke změnám, soubor je považován za neinfikovaný.

Antivirový komplex je sada antivirů, které používají stejné antivirové jádro nebo jádra, určená k řešení praktických problémů při zajišťování antivirové bezpečnosti počítačových systémů. Součástí antivirového komplexu jsou i nástroje pro aktualizaci antivirových databází.

Antivirový komplex může navíc obsahovat analyzátory chování a auditory změn, které nepoužívají antivirový modul.

Existují následující typy antivirových komplexů:

Antivirový komplex pro ochranu pracovních stanic

Antivirový komplex pro ochranu souborových serverů

Antivirový komplex pro ochranu poštovních systémů

Antivirový komplex pro ochranu bran.

Hostováno na Allbest.ru

Podobné dokumenty

Pojem a klasifikace počítačových virů. Základní metody ochrany informací před viry. Přehled moderní softwarové nástroje pro bezpečný provoz vašeho počítače. Klasifikace antivirů. Kaspersky Antivirus, Norton Antivirus, Dr. Weber, Eset NOD32.

semestrální práce, přidáno 26.10.2015

Hlavní úkoly antivirů a prostředky antivirové ochrany osobního počítače. Jak viry fungují a jak se šíří. Metody a technologie ochrany před škodlivými programy. Obecné bezpečnostní požadavky při práci na počítači.

abstrakt, přidáno 22.09.2016

Studie o historii počítačových virů a antivirů. Studium hlavních způsobů pronikání škodlivých programů do počítače. Typy virů a antivirových programů. Charakterizace vlastností signatury a heuristických metod antivirové ochrany.

abstrakt, přidáno 10.08.2014

Hlavní metody ochrany před počítačovými viry. Hlavní známky projevu virů: ukončení programů, pomalý provoz počítače, změny velikosti, data a času souborů. Způsoby výskytu virů. Charakteristika známých antivirů.

prezentace, přidáno 12.2.2011

Fenomén počítačových virů. Klasifikace počítačových virů. Typy antivirů. Jak a před čím chránit PC. Bojujte proti útokům hackerů. Bezplatné antivirové webové služby. Základy internetové bezpečnosti. Akce v případě viru.

abstrakt, přidáno 10.08.2008

Pojem a mechanismus působení počítačových virů, definice jejich nebezpečnosti pro bezpečnost dat, opatření k prevenci negativních dopadů. Klasifikace antivirových programů, jejich systémové požadavky a podmínky pro efektivní, nepřetržitý provoz.

práce, přidáno 17.07.2010

Vlastnosti antivirových programů (antivirů) - počítačové programy určené k neutralizaci virů a různých druhů malwaru za účelem úspory dat a optimalizace výkonu počítače. Klasifikace a příklady antivirových programů.

abstrakt, přidáno 26.03.2010

Použití antivirů k účinné detekci virů v počítači a jejich neutralizaci. Známky virové infekce. Zjevné projevy trojských koní: změna nastavení prohlížeče, vyskakovací zprávy, neoprávněné vytáčení internetu.

laboratorní práce, přidáno 13.09.2013

Pojem a klasifikace počítačových virů. Metody ochrany před škodlivými programy, jejich odrůdy. Známky infekce počítačovým virem. Problém informační bezpečnosti. Práce s aplikacemi MS Office. Analýza souborových virů, hackerské nástroje.

semestrální práce, přidáno 01.12.2015

Programy pro vyhledávání počítačových virů podobných těm známým a provádění podezřelých akcí. Modul aktualizace, plánování a řízení. Konfigurace nastavení pro antivirové moduly, aktualizace, pravidelné aktualizace a kontroly.

Tyto programy lze rozdělit do pěti hlavních skupin: filtry, detektory, auditoři, lékaři a vakcinátoři.

Antivirové filtry- Jedná se o rezidentní programy, které upozorňují uživatele na všechny pokusy programu o zápis na disk, a ještě více o jeho formátování, a také další podezřelé akce (například pokusy o změnu nastavení CMOS). To vás vyzve k povolení nebo zamítnutí této akce. Princip fungování těchto programů je založen na zachycení odpovídajících vektorů přerušení. Výhodou programů této třídy oproti programům-detektorům je univerzálnost ve vztahu ke známým i neznámým virům, přičemž detektory jsou psány pro konkrétní typy, které programátor v tuto chvíli zná. To platí zejména nyní, kdy se objevilo mnoho mutantních virů, které nemají trvalý kód. Filtrační programy však nedokážou sledovat viry, které přímo přistupují do BIOSu, stejně jako BOOT viry, které jsou aktivovány ještě před spuštěním antiviru, v počáteční fázi načítání DOSu otázky zabírají uživateli hodně času a lezou mu na nervy . Při instalaci některých antivirových filtrů může docházet ke konfliktům s jinými rezidentními programy, které používají stejná přerušení, které jednoduše přestanou fungovat.

U nás nejpoužívanější detektorové programy nebo spíše programy, které se kombinují detektor a lékař. Nejznámější představitelé této třídy - Aidstest, Doctor Web, MicroSoft AntiVirus budou podrobněji popsány níže. Antivirové detektory jsou určeny pro konkrétní viry a jsou založeny na porovnání sekvence kódů obsažených v těle viru s kódy kontrolovaných programů. Mnoho detekčních programů také umožňuje „ošetřit“ infikované soubory nebo disky odstraněním virů z nich (samozřejmě léčba je podporována pouze u virů známých programu detektoru). Takové programy je třeba pravidelně aktualizovat, protože rychle zastarávají a nemohou detekovat nové typy virů.

auditoři- jedná se o programy, které analyzují aktuální stav souborů a systémových oblastí disku a porovnávají jej s informacemi dříve uloženými v jednom z datových souborů auditora. Tím se kontroluje stav BOOT sektoru, FAT tabulky, dále délka souborů, čas jejich vytvoření, atributy, kontrolní součet. Analýzou zpráv inspekčního programu se uživatel může rozhodnout, zda jsou změny způsobeny virem nebo ne. Při vydávání takových zpráv bychom neměli panikařit, protože příčinou změn, například délky programu, nemusí být virus.

Poslední skupina zahrnuje nejúčinnější antiviry - očkovači. Do očkovaného programu zapisují charakteristiky konkrétního viru, aby jej virus považoval za již infikovaný.

V naší zemi, jak je uvedeno výše, získaly oblibu zejména antivirové programy, které kombinují funkce detektorů a lékařů. Nejznámější z nich je program AIDSTEST od D.N. Ložinský. Tento program byl vynalezen v roce 1988 a od té doby je neustále vylepšován a rozšiřován. V Rusku má téměř každý osobní počítač kompatibilní s IBM některou z verzí tohoto programu. Jedna z nejnovějších verzí detekuje přes 1500 virů.

Aidstest je určen k opravě programů infikovaných běžnými (nepolymorfními) viry, které nemění svůj kód. Toto omezení je způsobeno tím, že tento program vyhledává viry pomocí identifikačních kódů. Zároveň je však dosaženo velmi vysoké rychlosti kontroly souborů.

Pro své normální fungování Aidstest vyžaduje, aby v paměti nebyly žádné rezidentní antiviry, které blokují zápis do programových souborů, takže by měly být uvolněny buď zadáním volby unload pro samotný rezidentní program, nebo pomocí příslušného nástroje.

Po spuštění Aidstest zkontroluje RAM, zda neobsahuje viry, které jsou mu známé, a zneškodní je. V tomto případě jsou paralyzovány pouze funkce viru spojené s reprodukcí, zatímco ostatní vedlejší účinky mohou zůstat. Proto program po ukončení neutralizace viru v paměti vydá požadavek na restart. Touto radou byste se rozhodně měli řídit, pokud operátor PC není systémový programátor studující vlastnosti virů. Proč byste měli restartovat pomocí tlačítka RESET, protože během „teplého restartu“ mohou některé viry přetrvávat. Navíc je lepší spouštět stroj a Aidstest s disketou chráněnou proti zápisu, protože při spuštění z infikovaného disku se virus může zapsat do paměti jako rezidentní a zabránit dezinfekci.

Aidstest testuje své tělo na známé viry a také posuzuje jeho infekci neznámým virem podle deformací v jeho kódu. V tomto případě jsou možné případy falešných poplachů, například když je antivirus komprimován balíčkem. Program nemá grafické rozhraní a jeho režimy činnosti se nastavují pomocí kláves. Zadáním cesty můžete zkontrolovat ne celý disk, ale samostatný podadresář.

Nevýhody programu AIDStest:

Nerozpozná polymorfní viry;

Není vybaven heuristickým analyzátorem, který mu umožňuje najít neznámé viry;

Neví, jak kontrolovat a zacházet se soubory v archivech;

Nerozpozná viry v programech zpracovávaných packery spustitelných souborů jako EXEPACK, DIET, PKLITE atd.

Výhody AIDStestu:

Snadné použití;

Funguje velmi rychle;

Rozpozná významnou část virů;

Dobře integrován s programem auditu Adinf;

Funguje na téměř každém počítači.

V poslední době rychle roste obliba dalšího antivirového programu Doctor Web, který nabízí Dialog-Science. Tento program byl vytvořen v roce 1994 I.A. Danilov. Dr. Web, stejně jako Aidstest, patří do třídy detektorů - lékařů, ale na rozdíl od nich má takzvaný "heuristický analyzátor" - algoritmus, který umožňuje detekovat neznámé viry. „Healing web“, jak je název programu přeložen z angličtiny, se stal odpovědí domácích programátorů na invazi samomodifikačních mutantních virů, které při množení upravují své tělo tak, že v něm není jediný charakteristický bajt řetězec, který byl přítomen v původní verzi viru. Tento program je podpořen skutečností, že velkou licenci (pro 2000 počítačů) získalo Generální ředitelství informačních zdrojů prezidenta Ruské federace a druhý největší nákupčí "webu" - "Inkombank".

Ovládání režimů, stejně jako v Aidtest, se provádí pomocí kláves. Uživatel může programu sdělit, aby testoval jak celý disk, tak jednotlivé podadresáře či skupiny souborů, nebo odmítnout kontrolu disků a testovat pouze RAM. Testovat zase můžete buď pouze základní paměť, nebo navíc i tu rozšířenou. Stejně jako Aidstest může Doctor Web vytvořit zprávu o práci, načíst generátor znaků azbuky, podporovat práci s hardwarovým a softwarovým systémem Sheriff.

Testování pevného disku Dr. Web-om zabere mnohem více času než Aidstest-ohm, takže ne každý uživatel si může dovolit trávit tolik času každodenní kontrolou všeho pevný disk. Takovým uživatelům může být doporučeno, aby pečlivěji kontrolovali diskety přinesené zvenčí. Pokud jsou informace na disketě archivovány (a v poslední době se programy a data přenášejí ze stroje na stroj pouze v této podobě; své produkty balí i softwarové společnosti jako Borland), měli byste je rozbalit do samostatného adresáře na pevném disku a ihned , bez prodlení spusťte Dr. Web, přičemž jako parametr místo názvu jednotky uvedete úplnou cestu k tomuto podadresáři. A přesto je nutné alespoň jednou za dva týdny provést kompletní skenování "pevného disku" na viry s úkolem maximální úrovně heuristické analýzy.

Stejně jako v případě Aidstest byste během počátečního testování neměli dovolit programu dezinfikovat soubory, ve kterých detekuje virus, protože nelze vyloučit, že sekvenci bajtů akceptovaných antivirem jako vzor lze nalézt v zdravý program.

Na rozdíl od AIDStestu, Dr. web:

rozpozná polymorfní viry;

vybavené heuristickým analyzátorem;

umí kontrolovat a ošetřovat soubory v archivech;

umožňuje testovat soubory očkované CPAV, stejně jako zabalené s LZEXE, PKLITE, DIET.

Dialog-Science nabízí různé verze DrWeb pro DOS. Jak víte, existují dvě verze pro DOS, které se tradičně nazývají 16bitový a 32bitový(druhý se také nazývá Doctor Web pro DOS/386, DrWeb386). Tyto názvy (16-bit a 32-bit) plně odrážejí podstatu rozdílu mezi verzemi pro DOS, ale přímo z názvů je to zřejmé pouze specialistům. Pouze 32bitová verze má vše funkčnost, který je vlastní jiným moderním verzím Doctor Web (zejména verzím pro Windows).

16bitová verze z důvodu omezení velikosti dostupné paměti vynucené operačním systémem nemá dnes některé extrémně důležité „funkce“, zejména v ní nejsou zahrnuty (a vzhledem k naznačeným omezením paměti , nelze je zahrnout):

moduly pro "obsluhu" známých virů moderních typů (zejména mluvíme o makro a stealth virech);

moduly heuristických analyzátorů pro detekci neznámých virů moderních typů;

moduly pro rozbalování moderních typů archivů a balených programů Windows atd.

Ačkoli tedy 16bitová verze používá stejnou virovou databázi (soubory VDB) jako 32bitové verze, absence určitých modulů znemožňuje zpracování odpovídajících virů.

Navíc ze stejných důvodů 16bitová verze nepodporuje některý moderní software a hardware, což může způsobit její nestabilitu nebo nesprávnost.

Vzhledem k tomu, že 32bitová verze je plně funkční a jak je patrné z jejího dalšího názvu - Doctor Web pro DOS/386, lze ji používat při běhu v DOSu na počítačích s procesorem alespoň 386, všichni uživatelé, kteří potřebují verzi z Doctor Web pro DOS je lepší používat přesně ji.

Pokud jde o 16bitovou verzi, ta se nadále vydává, protože na platformě 86/286 stále existuje flotila starých strojů, kde 32bitová verze nemůže fungovat.

(ochrana antivirového softwaru)

Zajímavým softwarovým produktem je antivirus AVSP. Tento program kombinuje detektor, lékaře a auditora a má dokonce některé funkce rezidentního filtru (zákaz zápisu do souborů s atributem POUZE PRO ČTENÍ). Antivirus umí léčit známé i neznámé viry a uživatel sám může program informovat o způsobu jejich léčby. Kromě toho může AVSP léčit sebemodifikující se a Stealth viry (stealth).

Po spuštění AVSP se objeví systém oken s nabídkami a informacemi o stavu programu. Velmi pohodlný systém kontextových nápověd, který poskytuje vysvětlení každé položky nabídky. Volá se klasicky, klávesou F1 a mění se při přechodu z položky na položku. Také ne nepodstatnou výhodou v naší době Windows a "půlos" (OS / 2) je podpora myši. Významnou nevýhodou rozhraní AVSP je chybějící možnost výběru položek menu stisknutím klávesy s odpovídajícím písmenem, i když to je poněkud kompenzováno možností vybrat položku stisknutím ALT a číslem odpovídajícím číslu tohoto položka.

Balíček AVSP také obsahuje rezidentní ovladač AVSP.SYS, který umožňuje detekovat většinu neviditelných virů (kromě virů jako Ghost-1963 nebo DIR), deaktivovat viry po dobu jejich působení a také zakazuje upravovat soubory POUZE PRO ČTENÍ.

Další funkcí AVSP.SYS je deaktivace rezidentních virů při spuštěném AVSP.EXE spolu s viry však ovladač deaktivuje i některé další rezidentní programy. Při prvním spuštění AVSP byste měli otestovat svůj systém na známé viry. Tím se zkontroluje RAM, BOOT sektor a soubory. V některých případech můžete dokonce obnovit soubory poškozené neznámým virem. Můžete nainstalovat kontroly velikosti souborů, jejich kontrolních součtů, přítomnosti virů v nich nebo toho všeho dohromady. Můžete také určit, co přesně se má kontrolovat (zaváděcí sektor, paměť nebo soubory). Stejně jako u většiny antivirových programů, i zde má uživatel možnost vybrat si mezi rychlostí a kvalitou. Podstatou vysokorychlostní kontroly je, že se nekontroluje celý soubor, ale pouze jeho začátek; tak je možné zjistit většinu virů. Pokud je virus zapsán uprostřed nebo je soubor infikován několika viry (v tomto případě se zdá, že „staré“ viry jsou zatlačeny doprostřed „mladými“), program si toho nevšimne. Proto by měla být nastavena optimalizace kvality, zejména proto, že testování kvality v AVSP nezabere o moc více času než vysokorychlostní testování.

Při automatické detekci nových virů může AVSP udělat mnoho chyb. Při automatické detekci vzoru byste tedy neměli být líní zkontrolovat, zda se skutečně jedná o virus a zda se tento vzor najde ve zdravých programech.

Pokud je během procesu AVSP detekován známý virus, pak by měly být provedeny stejné kroky jako při práci s Aidstest a Dr. Web: zkopírujte soubor na disk, restartujte ze záložní diskety a spusťte AVSP. Je také žádoucí, aby byl ovladač AVSP.SYS nahrán do paměti, protože pomáhá hlavnímu programu dezinfikovat Stealth viry.

Další užitečnou funkcí je vestavěný disassembler. S jeho pomocí můžete zjistit, zda se v souboru nenachází virus nebo zda při kontrole disku nedošlo k falešně pozitivnímu AVSP. Kromě toho se můžete pokusit zjistit způsob infekce, princip viru a také místo, kam „skryl“ nahrazené bajty souboru (pokud se jedná o tento typ viru). To vše vám umožní napsat postup odstranění virů a obnovit poškozené soubory. Další užitečná funkce- vydání vizuální mapa změn. Mapa změn umožňuje vyhodnotit, zda tyto změny odpovídají viru či nikoli, a také zúžit oblast hledání těla viru během demontáže.

Program AVSP má dva algoritmy pro neutralizaci stealth virů ("neviditelných") a oba fungují pouze v případě, že je v paměti aktivní virus. Zde je to, co se stane, když jsou tyto algoritmy implementovány: všechny soubory jsou zkopírovány do datových souborů a poté vymazány. Ukládají se pouze soubory s atributem SYSTEM. V Adinfu je proces odstraňování Stealthů mnohem jednodušší.

Program AVSP také sleduje stav boot sektorů. Pokud je BOOT sektor na disketě infikován a antivirus jej nedokáže vyléčit, měli byste vymazat zaváděcí kód. Disketa se stane nesystémovou, ale data se neztratí. To s Winchesterem neuděláš. Pokud jsou v jednom ze BOOT sektorů pevného disku zjištěny změny, AVSP nabídne uložení do nějakého souboru a pokusí se virus odstranit.

Microsoft Antivirus

Moderní verze MS-DOS (např. 6.22) obsahují Microsoft Antivirus (MSAV). Tento antivirus může pracovat v režimech detektor-lékař a auditor. MSAV má Rozhraní ve stylu MS-Windows myš je přirozeně podporována. Dobře implementováno kontextová nápověda: existuje nápověda pro téměř každou položku nabídky a pro každou situaci. Přístup k položkám nabídky je implementován univerzálně: k tomu můžete použít kurzorové klávesy, klávesové klávesy (F1-F9), klávesy odpovídající jednomu z písmen názvu položky a také myš. Vážnou nepříjemností při používání programu je, že tabulky s daty o souborech neukládá do jednoho souboru, ale rozhazuje je do všech adresářů.

Po spuštění program načte vlastní generátor znaků a načte adresářový strom aktuálního disku, načež se vrátí do hlavní nabídky. Není jasné, proč číst adresářový strom ihned při spuštění: uživatel přece nemusí chtít kontrolovat aktuální disk.

MSAV při první kontrole vytvoří v každém adresáři soubory CHKLIST.MS obsahující spustitelné soubory, do kterých zapíše informace o velikosti, datu, čase, atributech a také kontrolní součet kontrolovaných souborů. Při následných kontrolách program porovná soubory s informacemi v souborech CHKLIST.MS. Pokud se velikost a datum změnily, program o tom uživatele informuje a zeptá se Další kroky: aktualizovat informace (Aktualizovat), nastavit datum a čas v souladu s údaji v CHKLIST.MS (Oprava), pokračovat bez ohledu na změny v daný soubor(Pokračovat), přerušit kontrolu (Stop).

V nabídce Možnosti můžete program nakonfigurovat podle potřeby. Zde můžete nastavit režim vyhledávání neviditelných virů (Anti-Stealth), zkontrolovat všechny (nejen spustitelné) soubory (Check All Files) a také povolit nebo zakázat vytváření tabulek CHKLIST.MS (Create New Checksums). Kromě toho lze nastavit režim ukládání zprávy o provedené práci do souboru. Pokud nastavíte možnost Vytvořit zálohu, pak před odstraněním viru z infikovaného souboru bude jeho kopie uložena s příponou VIR.

Z hlavní nabídky můžete stisknutím klávesy F9 zobrazit seznam virů známých MSAV. Zobrazí se okno s názvy virů. Chcete-li zobrazit podrobnější informace o viru, přesuňte kurzor na jeho název a stiskněte ENTER. K viru, který vás zajímá, můžete rychle přejít zadáním prvních písmen jeho názvu. Informace o viru lze odeslat na tiskárnu výběrem příslušné položky nabídky.

(Pokročilý Diskinfoscope)

ADinf patří do třídy auditorských programů. Tento program vytvořil D.Yu. Mostov v roce 1991

Rodina programů ADinf jsou auditoři disků navržení pro provoz na osobních počítačích s operačními systémy MS-DOS, MS-Windows 3.xx, Windows 95/98 a Windows NT/2000. Práce programů je založena na pravidelném sledování změn vyskytujících se na pevných discích. Pokud se objeví virus, ADinf jej detekuje na základě změn, které provede v souborovém systému a/nebo boot sektoru disku a informuje o tom uživatele. Na rozdíl od antivirových skenerů ADinf při své práci nepoužívá „portréty“ (podpisy) konkrétních virů. Proto je ADinf zvláště účinný při detekci nových virů, na které dosud nebylo nalezeno žádné protijed.

Je třeba zvláště poznamenat, že ADinf nepoužívá funkce operačního systému k ovládání disků. Čte sektor po sektoru disku a nezávisle analyzuje strukturu souborového systému, což mu umožňuje detekovat tzv. stealth viry.

Pokud je v systému nainstalována léčebná jednotka Adinf ( ADinf Lék modul ), pak je tento tandem schopen nejen detekovat, ale také úspěšně odstranit infekci, která se objevila. Testování ukázalo, že ADinf Cure Module si dokáže úspěšně poradit s 97 % virů a obnovuje poškozené soubory s přesností na bajty.

Užitečné vlastnosti ADinf se neomezují pouze na boj s viry. ADinf je ve skutečnosti systém, který vám umožňuje sledovat bezpečnost informací na discích a detekovat jakékoli, i nepatrné změny v souborovém systému, konkrétně změny v systémových oblastech, změny souborů, vytváření a mazání adresářů, vytváření, mazání, přejmenování a přesouvání souborů z adresáře do katalogu. Skladba kontrolovaných informací je flexibilně konfigurována, což vám umožňuje ovládat pouze to, co potřebujete.

První verze programu byla vydána v roce 1991 a od té doby je ADinf zaslouženě nejoblíbenějším auditorem v Rusku a zemích bývalého SSSR. Dnes je již obtížné spočítat počet legálních a nelegálních uživatelů ADinf. Více než 2 500 firemních předplatitelů sady Dialog-Science Anti-Virus Kit, která obsahuje ADinf, s ní chrání své počítače. Program ADinf získal certifikáty v Certifikačním systému GOST R, Certifikačním systému bezpečnosti informací Ministerstva obrany a Certifikát Státní technické komise pod vedením prezidenta republiky. Ruská Federace(jako součást sady Dialog-Science Anti-Virus Kit). Program je neustále vylepšován a je vždy na špičce moderních technologií.

Zpočátku byl ADinf auditor vyvinut pro operační systém MS-DOS. Pozdější verze programu byly vydány pro Windows 3.xx a Windows 95/98/NT. Nyní existuje rodina kompatibilních auditorů pro různé operační systémy. Všechny varianty ADinf dnes podporují souborové systémy Windows 95/98, dlouhé názvy souborů a adresářů a analyzují vnitřní strukturu spustitelných souborů. soubory Windows 95/98 a NT.

Takže program Adinf:

má vysokou rychlost práce;

schopen úspěšně odolávat virům v paměti;

umožňuje ovládat disk čtením podle sektorů prostřednictvím systému BIOS a bez použití přerušení systému DOS, která může zachytit virus;

zvládne až 32 000 souborů na jednotku;

na rozdíl od AVSP, ve kterém musí uživatel analyzovat, zda je počítač infikován virem Stealth, nejprve zavést systém z pevného disku a poté z referenční diskety, v ADinf tato operace probíhá automaticky;

na rozdíl od jiných antivirů Advanced Diskinfoscope nevyžaduje bootování z referenční diskety chráněné proti zápisu. Při načítání z pevného disku se spolehlivost ochrany nesnižuje;

ADinf má dobře provedené přátelské rozhraní, které je na rozdíl od AVSP implementováno nikoli v textovém, ale v grafickém režimu;

při instalaci ADinf do systému je možné změnit název hlavního souboru ADINF.EXE a název tabulek, přičemž uživatel může zadat libovolný název. To je velmi užitečná funkce, protože v poslední době se objevilo mnoho virů, které „loví“ antiviry (například existuje virus, který změní program Aidstest tak, že místo úvodní obrazovky DialogueScience napíše: „Lozinsky je pahýl”), včetně a mimo ADinf.

Existuje několik verzí auditora Adinf pro různé operační systémy. Každý z nich má své vlastní vlastnosti.

auditor ADinf určeno pro operační systémy MS-DOS a Windows 95/98. Jedná se o vývoj první verze auditora, vytvořené již v roce 1991. Dnes je ADinf nejspolehlivějším nástrojem pro detekci známých i nových neznámých virů. Toto je jediný auditor na světě, který kontroluje systém souborů čtením sektorů přímo přes BIOS počítače.

auditor ADinf pro Windows určeno pro operační systém Windows 3.xx. Tato verze programu přidává pohodlné grafické uživatelské rozhraní ke všem vlastnostem auditora ADinf.

auditor ADinf Pro je určen pro kontrolu bezpečnosti zvláště cenných informací, jako jsou databáze nebo dokumenty, v prostředí operačních systémů MS-DOS, Windows 3.xx a Windows 95/98. Rysem této verze programu je použití 64bitové hashovací funkce pro kontrolu integrity souborů, vyvinuté známou ruskou společností LAN-Crypto. Použití této hašovací funkce zaručuje nejen detekci náhodných změn souborů nebo změn způsobených viry, ale také znemožňuje záměrně tiše modifikovat data na disku.

auditor ADinf32 je 32bitová vícevláknová aplikace pro provoz Systémy Windows 95/98 a Windows NT s moderním uživatelským rozhraním. Tato verze programu má nejen všechny výhody ostatních možností, ale oproti nim obsahuje i spoustu novinek.

Je třeba poznamenat, že program Adinf je dobře integrován s ostatními programy sady DSAV od Dialog-Science. Například Adinf vytváří seznam nových a změněných souborů na disku, zatímco Aidstest a DrWeb mohou soubory z tohoto seznamu kontrolovat, což výrazně zkracuje dobu běhu těchto programů.

(AntiViral Toolkit Pro)

Tento program byl vytvořen společností ZAO Kaspersky Lab. AVP má jeden z nejpokročilejších mechanismů detekce virů. Dnes není AVP prakticky v žádném případě horší než západní protějšky.

AVP poskytuje uživatelům maximální služby – možnost aktualizace antivirových databází přes internet, možnost nastavení parametrů pro automatickou kontrolu a dezinfekci infikovaných souborů. Aktualizace na webu AVP se objevují téměř každý týden a databáze obsahuje popisy téměř 40 000 virů.

AVP se skládá z několika důležitých modulů:

1) AVP skener kontroly pevné disky pro virovou infekci. Lze nastavit úplné vyhledávání, při kterém program zkontroluje všechny soubory za sebou, a také nastavit režim kontroly archivovaných souborů. Jednou z hlavních výhod AVP je boj proti makrovirům. Uživatel si může vybrat speciální režim, ve kterém jsou dokumenty vytvořeny ve formátu Microsoft Office. Po zjištění virů nebo infikovaných souborů nabízí AVP několik možností na výběr: odstranění virů ze souborů, odstranění samotných infikovaných souborů nebo jejich přesunutí do speciální složky.
2) AVP monitor. Tento program se automaticky načte, když Spuštění Windows. AVP Monitor automaticky kontroluje všechny soubory spuštěné v počítači a otevřené dokumenty a v případě napadení virem na to uživatele upozorní. Navíc ve většině případů AVP Monitor jednoduše zabrání spuštění infikovaného souboru a zablokuje jeho spuštění. Tato funkce programu je velmi užitečná pro ty, kteří neustále řeší spoustu nových souborů, například pro aktivní uživatele internetu (protože není možné spouštět AVP každých pět minut pro kontrolu stažených souborů, AVP Monitor přichází na pomoc zde ).
3) AVP Inspektor - poslední a velmi důležitý modul AVP kitu, který umožňuje chytit i neznámé viry. "Inspector" používá metodu pro řízení změn velikosti souboru. Při infiltraci souboru virus nevyhnutelně zvětší svůj objem a „inspektor“ jej snadno odhalí.

Kromě všeho výše uvedeného existuje ještě tzv AVP Control Center - "ovládací panel" pro všechny programy komplexu AVP. Nejdůležitější funkcí tohoto programu je vestavěný Plánovač úloh, který vám to umožňuje okamžitá kontrola(a v případě potřeby - a ošetření systému) v automatický režim, bez účasti uživatele, avšak v době jím určené.

Eugene Kaspersky v roce 1992 použil následující klasifikaci antivirů v závislosti na jejich principu fungování (definující funkčnost):

Ø Skenery (zastaralá verze - "polyfágy", "detektory") - určují přítomnost viru pomocí databáze signatur, která uchovává signatury (nebo jejich kontrolní součty) virů. Jejich účinnost je dána relevanci virové databáze a přítomností heuristického analyzátoru.

Ø auditoři (třída blízká IDS) - zapamatovat si stav souborového systému, což umožňuje analyzovat změny v budoucnu.

Ø hlídač (rezidentní monitory nebo filtry ) - sledovat potenciálně nebezpečné operace a vystavit uživateli příslušný požadavek na povolení/zakázaní operace.

Ø Vakcíny (imunizátory ) - změnit naroubovaný soubor tak, aby virus, proti kterému se vakcína vyrábí, již považoval soubor za infikovaný. V moderních podmínkách, kdy se počet možných virů měří ve stovkách tisíc, není tento přístup použitelný.

Moderní antiviry kombinují všechny výše uvedené funkce.

Antiviry lze také rozdělit na:

Produkty pro domácí uživatele:

Vlastně antiviry;

Ke klasickému antiviru přibyly kombinované produkty (například antispam, firewall, anti-rootkit atd.);

Firemní produkty:

Serverové antiviry;

Antiviry na pracovních stanicích ("koncový bod").

Sdílení antivirových programů poskytuje dobré výsledky, protože se dobře doplňují:

Data pocházející z externích zdrojů jsou kontrolována detektorový program. Pokud byla tato data zapomenuta zkontrolovat a infikovaný program byl spuštěn, může být hlídacím programem zachycen. Pravda, v obou případech jsou viry známé těmto antivirovým programům spolehlivě detekovány. To není více než 80-90% případů.

- hlídač dokáže detekovat i neznámé viry, pokud se chovají velmi drze (zkuste zformátovat pevný disk nebo provést změny v systémových souborech). Některé viry však mohou takové kontroly obejít.

Pokud nebyl virus detekován detektorem nebo hlídačem, pak výsledky jeho činnosti zjistí program - auditor.

Na počítači by měly být zpravidla neustále spuštěny hlídací programy, detektory by měly být používány ke kontrole dat přicházejících z externích zdrojů (souborů a disket) a jednou denně by měli být spouštěni auditoři pro detekci a analýzu změn na discích. To vše by mělo být spojeno s pravidelným zálohováním dat a používáním preventivních opatření ke snížení pravděpodobnosti virové infekce.

Jakýkoli antivirový program "zpomaluje" počítač, ale je spolehlivým lékem na škodlivé účinky virů.

Falešné antiviry (falešné antiviry).

V roce 2009 začali různí dodavatelé antivirů hlásit rozšířené používání nového typu antiviru – rogue antivirus nebo rogueware. Ve skutečnosti tyto programy buď nejsou vůbec antiviry (to znamená, že nejsou schopny bojovat s malwarem), nebo dokonce viry (kradou data kreditní karty atd.).

Nepoctivé antiviry se používají k vymáhání peněz z uživatelů podvodem. Jedním ze způsobů, jak infikovat počítač falešným antivirem, je následující. Uživatel je přesměrován na "infikovanou" stránku, která mu zobrazí varovnou zprávu jako: "Ve vašem počítači byl nalezen virus." Poté je uživatel vyzván ke stažení bezplatného programu (falešný antivirus) k odstranění viru. Falešný antivir po instalaci prohledá PC a v počítači prý odhalí spoustu virů. K odstranění malwaru nabízí falešný antivirus ke koupi placenou verzi programu. Šokovaný uživatel zaplatí (částky od 50 do 80 USD) a falešný antivirus vyčistí PC od neexistujících virů.

Antiviry na SIM, flash kartách a USB zařízeních

Dnes vyráběné mobilní telefony mají širokou škálu rozhraní a možností přenosu dat. Uživatelé by si měli pečlivě prostudovat způsoby ochrany před připojením jakýchkoli malých zařízení.

Pro spotřebitele jsou vhodnější metody ochrany, jako je hardware, možná antiviry na zařízeních USB nebo na SIM mobilní telefony. Technické hodnocení a přezkoumání toho, jak nainstalovat antivirový program do mobilního telefonu, by mělo být považováno za proces skenování, který může ovlivnit další legitimní aplikace v tomto telefonu.

Antivirové programy na SIM s antivirem zabudovaným do paměťové zóny s malou kapacitou poskytují ochranu proti malwaru/virům tím, že chrání PIN a uživatelské informace telefonu. Antiviry na flash kartách umožňují uživateli vyměňovat si informace a používat tyto produkty s různými hardwarovými zařízeními a také odesílat tato data do jiných zařízení pomocí různých komunikačních kanálů.

Antiviry, mobilní zařízení a inovativní řešení

V budoucnu je možné, že se mobilní telefony nakazí virem. Stále více vývojářů v této oblasti nabízí antivirové programy pro boj s viry a ochranu mobilních telefonů. V mobilní zařízení Existují následující typy antivirové kontroly:

– omezení procesoru;

– limit paměti;

– identifikaci a aktualizaci podpisů těchto mobilních zařízení.

Závěr: Antivirový program (antivirus) je původně program pro detekci a léčbu škodlivých objektů nebo infikovaných souborů a také pro prevenci - zabránění napadení souboru nebo operačního systému škodlivým kódem. V závislosti na principu fungování antivirových programů existuje následující klasifikace antivirů: skenery (zastaralá verze - "polyfágy", "detektory"); auditoři (třída blízká IDS); hlídač (rezidentní monitory nebo filtry); vakcíny (imunizátory).

ZÁVĚR

Pokrok ve výpočetní technice v posledních letech přispěl nejen k rozvoji ekonomiky, obchodu a komunikací; poskytla efektivní výměnu informací, ale také poskytla pachatelům počítačových trestných činů unikátní sadu nástrojů. Čím intenzivnější je proces informatizace, tím reálnější se stává růst počítačové kriminality moderní společnost pociťuje nejen ekonomické důsledky počítačových zločinů, ale stává se také stále více závislým na informatizaci. Všechny tyto aspekty nutí věnovat stále větší pozornost ochraně informací, další vývoj legislativní rámec v oboru informační bezpečnost. Celý komplex opatření by měl být redukován na ochranu státních informačních zdrojů; k úpravě vztahů vznikajících při tvorbě a využívání informačních zdrojů; vytvoření a použití informační technologie; ochrana informací a práv subjektů účastnících se informačních procesů; stejně jako definování základních pojmů používaných v legislativě.

Docent katedry organizace bezpečnosti a konvojů ve vězeňském systému

kandidát technických věd

podplukovník vnitřní služby V.G. Zárubský

Přestože obecná ochrana informací a preventivní opatření jsou pro ochranu před viry velmi důležité, je nutné použití specializovaných programů. Tyto programy lze rozdělit do několika typů:

? Detekční programy zkontrolují, zda soubory na disku neobsahují specifickou kombinaci bajtů (podpis) pro známý virus, a nahlásí to uživateli (VirusScan/SCAN/McAfee Associates).
? Lékařské programy nebo fágy „léčí“ infikované programy „vykousnutím“ těla viru z infikovaných programů, a to jak s obnovením biotopu (infikovaného souboru), tak bez něj – léčebným modulem programu SCAN je program CLEAN.
? Programy Doctor-detector (Lozinsky's Aidstest, Danilov's Doctor Web, MSAV, Norton Antivirus, Kaspersky's AVP) jsou schopny detekovat přítomnost známého viru na disku a vyléčit infikovaný soubor. Dnes nejrozšířenější skupina antivirových programů.

V nejjednodušším případě vypadá příkaz pro kontrolu obsahu disku na přítomnost virů takto: aidstest / switch1 / switch 2 / switch 3 /---

? Filtrační programy (hlídači) jsou umístěny v paměti RAM počítače a zachycují volání operačního systému, které viry používají k reprodukci a poškození, a hlásí je uživateli:
- pokus o poškození hlavního souboru OS COMMAND.COM;
- pokus o přímý zápis na disk (předchozí záznam je smazán), přičemž se zobrazí zpráva, že se nějaký program pokouší zkopírovat na disk;
- formátování disku,
- rezidentní umístění programu v paměti.

Po zjištění pokusu o jednu z těchto akcí poskytne filtrační program uživateli popis situace a požádá jej o potvrzení. Uživatel může tuto operaci povolit nebo zakázat. Řízení akcí charakteristických pro viry se provádí výměnou obslužných rutin odpovídajících přerušení. Mezi nevýhody těchto programů patří rušivost (hlídač např. vydá upozornění na pokus o zkopírování spustitelného souboru), možné konflikty s jiným softwarem, obcházení hlídacích psů některými viry. Příklady filtrů: Anti4us, Vsafe, Disk Monitor.

Je třeba poznamenat, že dnes má mnoho programů třídy lékař-detektor také rezidentní modul - filtr (hlídač), například DR Web, AVP, Norton Antivirus. Takové programy lze tedy klasifikovat jako lékař-detektor-úložiště.

? Hardwarové a softwarové antivirové nástroje (Hardwarový a softwarový komplex Sheriff). Na úrovni hlídacích programů jsou hardwarové a softwarové antivirové nástroje, které poskytují spolehlivější ochranu před pronikáním viru do systému. Tyto komplexy se skládají ze dvou částí: hardwaru, který je nainstalován ve formě mikroobvodu na základní desce, a softwaru, který je zaznamenán na disku. Hardwarová část (řadič) sleduje všechny operace zápisu na disk, softwarová část, která je umístěna v paměti RAM, sleduje všechny operace vstupu/výstupu informací. Možnost použití těchto nástrojů však vyžaduje pečlivé zvážení z hlediska konfigurace dalších zařízení používaných na PC, jako jsou řadiče disků, modemy nebo síťové karty.
? Auditorské programy (Adinf/Advanced Disk infoscope/s vytvrzovacím blokem ADinf Cure Module Bridge). Program-auditoři mají dvě fáze práce. Nejprve ukládají informace o stavu programů a systémových oblastí disku (zaváděcí sektor a sektor s tabulkou rozdělení pevného disku do logických oddílů). Předpokládá se, že v tuto chvíli nejsou programy a systémové oblasti disků infikovány. Poté při porovnávání systémových oblastí a disků s původními, pokud je zjištěna nesrovnalost, je hlášena uživateli. Auditorské programy jsou schopny detekovat neviditelné (STEALTH) viry. Kontrola délky souboru nestačí, některé viry délku infikovaných souborů nemění. Spolehlivější kontrolou je přečíst celý soubor a vypočítat jeho kontrolní součet (bit po bitu). Změnit celý soubor tak, aby jeho kontrolní součet zůstal stejný, je téměř nemožné. Mezi drobné nevýhody auditorů patří to, že pro zabezpečení je třeba je pravidelně používat, např. denně volat ze souboru AUTOEXEC.BAT. Ale jejich nespornou výhodou je vysoká rychlost kontrol a skutečnost, že nevyžadují časté aktualizace verze. Verze auditora i před šesti měsíci spolehlivě detekují a odstraňují moderní viry.
? Programové vakcíny nebo imunizátory (CPAV). Očkovací programy upravují programy a disky tak, aby to neovlivnilo činnost programů, ale virus, proti kterému se očkování provádí, považuje tyto programy a disky za již infikované. Tyto programy nejsou dostatečně účinné.

Konvenčně lze strategii ochrany před virem definovat jako víceúrovňovou „vrstvenou“ obranu. Strukturálně by to mohlo vypadat takto. Prostředky průzkumu v "obraně" proti virům odpovídají detekčním programům, které umožňují určit nově přijatý software na přítomnost virů. V popředí obrany jsou filtrovací programy, které jsou rezidentní v paměti počítače. Tyto programy mohou být první, které ohlásí působení viru. Druhý stupeň „obrany“ tvoří programy auditu. Auditoři odhalují útok viru, i když se mu podařilo „proniknout“ přes přední linii obrany. Programy Doctor se používají k obnově infikovaných programů, pokud kopie infikovaného programu není v archivu, ale ne vždy se vyléčí správně. Lékaři-auditoři detekují útok viru a léčí infikované programy a kontrolují správnost léčby. Nejhlubší vrstvou obrany je prostředek kontroly přístupu. Neumožňují virům a nefunkčním programům, i když pronikly do PC, zkazit důležitá data. "Strategická rezerva" obsahuje archivní kopie informací a "referenční" diskety se softwarovými produkty. Umožňují vám obnovit informace, pokud jsou poškozené.

Škodlivé účinky každého typu viru mohou být velmi různorodé. To zahrnuje mazání důležitých souborů nebo dokonce „firmwaru“ systému BIOS a přenos osobních informací, jako jsou hesla, na konkrétní adresu, organizování neoprávněných e-mailů a útoků na některé stránky. Je také možné začít volat přes mobilní telefon na placená čísla. Skryté administrační nástroje (backdoor) mohou dokonce přenést plnou kontrolu nad počítačem na útočníka. Naštěstí se se všemi těmito trablemi lze úspěšně vypořádat a hlavní zbraní v tomto boji bude samozřejmě antivirový software.

Kaspersky Anti-Virus. Možná je „Kaspersky Anti-Virus“ nejznámějším produktem tohoto typu v Rusku a jméno „Kaspersky“ se stalo synonymem pro bojovníka proti škodlivým kódům. Stejnojmenná laboratoř nejen neustále vydává nové verze svého bezpečnostního softwaru, ale provádí také vzdělávací činnost mezi uživateli počítačů. Nejnovější, devátá verze Kaspersky Anti-Virus, stejně jako předchozí verze, obsahuje jednoduché a maximálně transparentní rozhraní, které kombinuje všechny potřebné nástroje v jednom okně. Díky průvodci instalací a intuitivním možnostem nabídky může tento produkt nastavit i začínající uživatel. Síla použitých algoritmů uspokojí i profesionály. Podrobný popis každého z detekovaných virů lze nalézt zavoláním příslušné stránky na internetu přímo z programu.

Dr. Web. Dalším populárním ruským antivirem, který konkuruje Kaspersky Anti-Virus v popularitě, je Dr. Web. Jeho zkušební verze má zajímavou funkci: vyžaduje povinnou registraci přes internet. To je na jednu stranu velmi dobré – ihned po registraci se aktualizují antivirové databáze a uživatel dostává nejnovější data o signaturách. Na druhou stranu je nemožné nainstalovat zkušební verzi offline a jak ukázala zkušenost, problémy s nestabilním připojením jsou nevyhnutelné.

Panda Antivirus + Firewall 2007. Panda Antivirus + Firewall 2007 je komplexní řešení v oblasti počítačové bezpečnosti - kromě antivirového programu obsahuje firewall, který monitoruje síťovou aktivitu. Rozhraní hlavního okna programu je navrženo v „přirozených“ zelených tónech, ale i přes vizuální přitažlivost je systém navigace v menu postaven nepohodlně a začínající uživatel se může v nastavení zmást.

Balíček Panda obsahuje několik originálních řešení najednou, jako např proprietární technologie detekce neznámých hrozeb TruePrevent, založený na nejpokročilejších heuristických algoritmech. Za pozornost stojí nástroj pro vyhledávání zranitelností počítače - vyhodnocuje nebezpečí „děr“ v bezpečnostním systému a nabízí stažení potřebných aktualizací.

Norton Antivirus 2005. Hlavní dojem z produktu slavné společnosti Symantec - Norton Antivirus 2005 výpočetní systémy. Odezva rozhraní Norton Antivirus 2005 na akce uživatele je znatelně zpožděna. Během instalace navíc klade poměrně přísné požadavky na verze operačního systému a internet Explorer. Norton Antivirus na rozdíl od Dr.Web nevyžaduje povinnou aktualizaci virových databází při instalaci, ale připomene vám, že jsou po celou dobu provozu zastaralé.

McAfee VirusScan. Vybrali jsme McAfee VirusScan, zajímavý antivirový produkt, který je podle jeho vývojářů světovou jedničkou. Za předpokladu, že tato hodnota je způsobena širokou funkčností, pokračovali jsme v instalaci a zjistili jsme, že kromě antivirového skeneru obsahuje firewall a také nástroje pro čištění pevného disku a zaručené odstranění objektů z pevného disku. disk (skartovačka).

Otázky ke kapitolám 6 a 7

1. Etapy vývoje nástrojů a technologií informační bezpečnosti.
2. Komponenty standardního bezpečnostního modelu.
3. Zdroje bezpečnostních hrozeb a jejich klasifikace.
4. Neúmyslné ohrožení bezpečnosti informací.
5. Záměrné ohrožení bezpečnosti informací.
6. Klasifikace kanálů úniku informací.
7. Regulace problémů informační bezpečnosti.
8. Struktura státního systému ochrany informací.
9. Metody a prostředky ochrany informací.
10. Klasifikace hrozeb bezpečnosti dat.
11. Metody ochrany informací před viry.
12. Metody řízení integrity.
13. Klasifikace počítačových virů.
14. Prostředky ochrany proti virům.
15. Preventivní antivirová opatření.
16. Klasifikace softwarových antivirových produktů.

Antivirová ochrana je nejběžnějším opatřením pro zajištění informační bezpečnosti IT infrastruktury v podnikovém sektoru. Podle studie společnosti Kaspersky Lab společně s analytickou společností B2B International (podzim 2013) však řešení antivirové ochrany používá pouze 74 % ruských společností.

Zpráva také uvádí, že na pozadí explozivního růstu kybernetických hrozeb, proti kterým jsou společnosti chráněny jednoduchými antiviry, ruské podniky stále více využívají komplexní ochranné nástroje. Z velké části z tohoto důvodu vzrostlo používání nástrojů pro šifrování dat na vyměnitelných médiích o 7 % (24 %). Společnosti jsou navíc ochotnější vymezovat bezpečnostní zásady pro vyměnitelná zařízení. Zvýšila se také diferenciace úrovně přístupu k různým částem IT infrastruktury (49 %). Malé a střední podniky přitom věnují větší pozornost kontrole vyměnitelných zařízení (35 %) a kontrole aplikací (31 %).

Vědci také zjistili, že navzdory neustálému objevování nových zranitelností v softwaru ruské společnosti stále nevěnují náležitou pozornost pravidelným aktualizacím softwaru. A co víc, počet záplatovacích organizací se oproti minulému roku snížil na pouhých 59 %.

Většina antivirových programů kombinuje ochranu v reálném čase (virový monitor) a ochranu na vyžádání (virový skener).

Antivirové hodnocení

2019: Dvě třetiny antivirů pro Android byly k ničemu

V březnu 2019 zveřejnila AV-Comparatives, rakouská laboratoř specializující se na testování antivirového softwaru, výsledky studie, která prokázala nepoužitelnost většiny těchto programů pro Android.

Pouze 23 antivirů umístěných v oficiálním katalogu obchodu Google Play přesně rozpozná malware ve 100 % případů. Zbytek softwaru buď na mobilní hrozby nereaguje, nebo jim bere absolutně bezpečné aplikace.

Odborníci studovali 250 antivirů a uvedli, že pouze 80 % z nich dokáže detekovat více než 30 % malwaru. V testu tak neprošlo 170 aplikací. Produkty, které prošly testy, byla především řešení od velkých výrobců, mezi které patří Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro a Trustwave.

V rámci experimentu vědci nainstalovali každou antivirovou aplikaci na samostatné zařízení (bez emulátoru) a automatizovali zařízení tak, aby spouštěla prohlížeč, stahovala a následně instalovala malware. Každé zařízení bylo v roce 2018 testováno proti 2 000 nejrozšířenějších virů Android.

Podle výpočtů AV-Comparatives je většina antivirových řešení pro Android padělky. Desítky aplikací mají téměř identické rozhraní a jejich tvůrci zjevně více zajímá zobrazování reklam než psaní funkčního antivirového skeneru.

Některé antiviry „vidí“ hrozbu v jakékoli aplikaci, která není zahrnuta v jejich „bílé listině“. Kvůli tomu v řadě velmi neoficiálních případů vyvolali poplach kvůli jejich vlastním souborům, protože je vývojáři zapomněli uvést na „bílé listině“.

2017: Microsoft Security Essentials je uznáván jako jeden z nejhorších antivirů

Německá antivirová laboratoř AV-Test zveřejnila v říjnu 2017 výsledky komplexního antivirového testování. Podle studie je proprietární software společnosti Microsoft určený k ochraně před škodlivými aktivitami téměř nejhorší ve své práci.

Podle výsledků testů provedených v červenci až srpnu 2017 experti AV-Test označili Kaspersky Internet Security za nejlepší antivirus pro Windows 7, který získal 18 bodů za ochranu, výkon a snadnost použití.

Mezi první tři patřily Trend Micro Internet Security a Bitdefender Internet Security, které získaly každý 17,5 bodu. Postavení produktů dalších antivirových společností, které byly zahrnuty do studie, lze nalézt na ilustracích níže:

Mnoho skenerů také používá heuristické skenovací algoritmy, tj. analýza posloupnosti příkazů v kontrolovaném objektu, sběr některých statistik a rozhodování pro každý kontrolovaný objekt.

Skenery lze také rozdělit do dvou kategorií – univerzální a specializované. Univerzální skenery jsou navrženy tak, aby vyhledávaly a neutralizovaly všechny typy virů bez ohledu na operační systém, ve kterém je skener navržen. Specializované skenery jsou navrženy tak, aby neutralizovaly omezený počet virů nebo pouze jednu z nich, například makroviry.

Skenery se také dělí na rezidentní (monitory), které skenují za chodu, a nerezidentní, které kontrolují systém pouze na vyžádání. Rezidentní skenery zpravidla poskytují spolehlivější ochranu systému, protože okamžitě reagují na výskyt viru, zatímco nerezidentní skener je schopen virus identifikovat až při jeho dalším spuštění.

CRC skenery

Princip činnosti skenerů CRC je založen na výpočtu součtů CRC (kontrolních součtů) pro soubory / systémové sektory přítomné na disku. Tyto součty CRC jsou pak uloženy v antivirové databázi, stejně jako některé další informace: délky souborů, data jejich poslední úpravy atd. Při příštím spuštění CRC skenery zkontrolují data obsažená v databázi se skutečně napočítanými hodnotami. Pokud se informace o souboru zaznamenané v databázi neshodují se skutečnými hodnotami, pak skenery CRC signalizují, že soubor byl upraven nebo infikován virem.

CRC skenery nejsou schopny zachytit virus v okamžiku, kdy se objeví v systému, ale udělají to až po nějaké době, poté, co se virus rozšíří po celém počítači. CRC skenery nemohou detekovat virus v nových souborech (v e-mailu, na disketách, v souborech obnovených ze zálohy nebo při rozbalování souborů z archivu), protože jejich databáze nemají informace o těchto souborech. Navíc se periodicky objevují viry, které tuto slabinu CRC skenerů využívají, infikují pouze nově vytvořené soubory a zůstávají pro ně tak neviditelné.

Blokátory

Antivirové blokátory jsou rezidentní programy, které zachycují virově nebezpečné situace a upozorňují na ně uživatele. Mezi virově nebezpečná volání patří volání k otevření pro zápis do spustitelných souborů, zápis do boot sektorů disků nebo MBR pevného disku, pokusy programů zůstat rezidentní atd., tedy volání, která jsou typická pro viry na doba reprodukce.

Mezi výhody blokátorů patří jejich schopnost detekovat a zastavit virus v nejranější fázi jeho reprodukce. Mezi nevýhody patří existence způsobů, jak obejít ochranu blokátorů a velké množství falešných poplachů.

Imunizátory

Imunizátory se dělí na dva typy: imunizátory hlásící infekci a imunizátory blokující infekci. První se většinou zapisují na konec souborů (podle principu souborového viru) a při každém spuštění souboru se kontroluje, zda nedošlo ke změnám. Nevýhoda takových imunizátorů je jen jedna, ale smrtelná: absolutní nemožnost hlásit infekci stealth virem. Proto se takové imunizátory, stejně jako blokátory, v současnosti prakticky nepoužívají.

Druhý typ imunizace chrání systém před napadením konkrétním typem viru. Soubory na discích jsou upraveny tak, že je virus bere za již infikované. K ochraně před rezidentním virem je do paměti počítače vložen program, který napodobuje kopii viru. Po spuštění na něj virus narazí a věří, že systém je již infikován.

Tento typ imunizace nemůže být univerzální, protože je nemožné imunizovat soubory proti všem známým virům.

Klasifikace antivirů na základě časové variability

Podle Valeryho Konyavského lze antivirové nástroje rozdělit do dvou velkých skupin – analyzující data a analyzující procesy.

Analýza dat

Analýza dat zahrnuje auditory a polyfágy. Auditoři analyzují důsledky činnosti počítačových virů a jiných škodlivých programů. Důsledky se projeví ve změně dat, která by se měnit neměla. Právě skutečnost změny dat se z pohledu auditora podepisuje na činnosti škodlivých programů. Jinými slovy, auditoři kontrolují integritu dat a při porušení integrity rozhodují o přítomnosti malwaru v počítačovém prostředí.

Polyfágy se chovají jinak. Na základě analýzy dat identifikují fragmenty škodlivého kódu (například podle jeho podpisu) a na základě toho učiní závěr o přítomnosti škodlivých programů. Smazání nebo dezinfekce dat infikovaných virem pomáhá předcházet negativním důsledkům spouštění malwaru. Na základě analýzy ve statice je tak zabráněno následkům vznikajícím v dynamice.

Schéma práce auditorů i polyfágů je téměř stejné - porovnávat data (nebo jejich kontrolní součet) s jedním nebo více referenčními vzorky. Data se porovnávají s daty. K nalezení viru ve vašem počítači tedy potřebujete, aby již fungoval, aby se projevily následky jeho činnosti. Tato metoda dokáže najít pouze známé viry, pro které byly dříve popsány fragmenty kódu nebo signatury. Je nepravděpodobné, že takovou ochranu lze nazvat spolehlivou.

Procesní analýza

Antivirové nástroje založené na analýze procesů fungují poněkud odlišně. Heuristické analyzátory, jako ty popsané výše, analyzují data (na disku, v kanálu, v paměti atd.). Zásadní rozdíl je v tom, že analýza se provádí za předpokladu, že analyzovaný kód nejsou data, ale příkazy (v počítačích s von Neumannovou architekturou jsou data a příkazy nerozeznatelné, a proto je třeba předložit ten či onen předpoklad během analýzy.)

Heuristický analyzátor vybere posloupnost operací, každé z nich přiřadí určité hodnocení nebezpečnosti a na základě souhrnu nebezpečí rozhodne, zda je tato posloupnost operací součástí škodlivého kódu. Samotný kód není spuštěn.

Dalším typem antivirových nástrojů založených na analýze procesů jsou behaviorální blokátory. V tomto případě je podezřelý kód spouštěn krok za krokem, dokud není sada akcí iniciovaných kódem vyhodnocena jako nebezpečné (nebo bezpečné) chování. V tomto případě je kód částečně spuštěn, protože dokončení škodlivého kódu lze detekovat jednoduššími metodami analýzy dat.

Technologie detekce virů

Technologie používané v antivirech lze rozdělit do dvou skupin:

Technologie analýzy podpisů
Technologie pravděpodobnostní analýzy

Technologie analýzy podpisů

Kompetentní implementace virové signatury umožňuje detekovat známé viry se 100% jistotou.

Technologie pravděpodobnostní analýzy

Technologie pravděpodobnostní analýzy se zase dělí do tří kategorií:

Heuristická analýza
Behaviorální analýza
Analýza kontrolního součtu

Heuristická analýza

Heuristická analýza se používá k detekci neznámých virů a v důsledku toho nezahrnuje léčbu. Tato technologie není schopen 100% určit virus před sebou nebo ne, a jako každý pravděpodobnostní algoritmus hřeší s falešně pozitivními výsledky.

Behaviorální analýza

Kromě toho mohou analyzátory chování sledovat pokusy o přímý přístup k souborům, změny spouštěcího záznamu disket, formátování pevných disků atd.

Analýza kontrolního součtu

Analýza kontrolního součtu je způsob, jak sledovat změny v objektech počítačového systému. Na základě analýzy charakteru změn - simultánnost, hromadný charakter, shodné změny délek souborů - lze usoudit, že systém je infikován. Analyzátory kontrolních součtů (nazývané také auditoři změn), stejně jako analyzátoři chování, nepoužívají při své práci další objekty a vydávají verdikt o přítomnosti viru v systému výhradně prostřednictvím vzájemného hodnocení. Obdobné technologie se používají i v přístupových skenerech - při první kontrole je ze souboru odebrán kontrolní součet a umístěn do mezipaměti, před další kontrolou stejného souboru je kontrolní součet znovu odebrán, porovnán a pokud nedojde ke změnám, soubor je považován za neinfikovaný.

Antivirové komplexy

Antivirový komplex - sada antivirů, které používají stejné antivirové jádro nebo jádra, určená k řešení praktických problémů při zajišťování antivirové bezpečnosti počítačových systémů. Součástí antivirového komplexu jsou i nástroje pro aktualizaci antivirových databází.

Antivirový komplex může navíc obsahovat analyzátory chování a auditory změn, které nepoužívají antivirový modul.

Existují následující typy antivirových komplexů:

Antivirový komplex pro ochranu pracovních stanic
Antivirový komplex pro ochranu souborových serverů
Antivirový komplex pro ochranu poštovních systémů
Antivirový komplex pro ochranu bran.

Cloud vs tradiční desktopový antivirus: který byste si měli vybrat?

(Podle zdroje Webroot.com)

Moderní trh antivirových nástrojů představuje především tradiční řešení pro desktopové systémy, jejichž ochranné mechanismy jsou postaveny na základě metod založených na signaturách. Alternativní metodou antivirové ochrany je použití heuristické analýzy.

Problémy s tradičním antivirovým softwarem

Tradiční antivirové technologie jsou v posledních letech stále méně účinné a rychle zastarávají v důsledku řady faktorů. Počet virových hrozeb identifikovaných jejich signaturami je již tak vysoký, že zajistit včasnou 100% aktualizaci databází signatur na počítačích uživatelů je často nereálný úkol. Hackeři a kyberzločinci stále častěji využívají botnety a další technologie k urychlení šíření virových hrozeb zero-day. Kromě toho se během cílených útoků nevytvářejí signatury odpovídajících virů. Konečně jsou aplikovány nové technologie detekce virů: šifrování malwaru, vytváření polymorfních virů na straně serveru, předběžné testování kvality virového útoku.

Tradiční antivirová ochrana je nejčastěji postavena v architektuře „tlustého klienta“. To znamená, že na klientském počítači je nainstalováno velké množství programového kódu. Kontroluje příchozí data a zjišťuje přítomnost virových hrozeb.

Tento přístup má řadu nevýhod. Za prvé, skenování malwaru a odpovídajících signatur vyžaduje značnou výpočetní zátěž, která je „odebrána“ uživateli. V důsledku toho klesá produktivita počítače a provoz antiviru někdy narušuje paralelní provádění aplikovaných úloh. Někdy je zatížení systému uživatele tak patrné, že uživatelé vypnou antivirové programy, čímž odstraní bariéru potenciálnímu virovému útoku.

Za druhé, každá aktualizace na počítači uživatele vyžaduje přenos tisíců nových podpisů. Množství přenesených dat se obvykle pohybuje v řádu 5 MB za den na stroj. Přenos dat zpomaluje síť, odvádí další systémové zdroje, vyžaduje zapojení správci systému k řízení provozu.

Za třetí, uživatelé, kteří jsou na roamingu nebo jsou mimo své pevné pracoviště, jsou náchylní k útokům zero-day. Aby obdrželi aktualizovanou část podpisů, musí se připojit k síti VPN, která pro ně není vzdáleně přístupná.

Antivirová ochrana z cloudu

Při přechodu na antivirovou ochranu z cloudu se výrazně mění architektura řešení. Na počítači uživatele je nainstalován „odlehčený“ klient, jehož hlavní funkcí je vyhledávání nových souborů, výpočet hodnot hash a odesílání dat na cloudový server. V cloudu se provádí úplné srovnání na velké databázi shromážděných podpisů. Tato databáze je neustále a včas aktualizována daty přenášenými antivirovými společnostmi. Klient obdrží zprávu s výsledky auditu.

Cloudová architektura antivirové ochrany má tedy řadu výhod:

objem výpočtů na počítači uživatele je ve srovnání s tlustým klientem zanedbatelný, takže produktivita uživatele neklesá;
antivirový provoz nemá žádný katastrofický dopad na šířku pásma sítě: má být odeslána kompaktní část dat obsahující pouze několik desítek hash hodnot, průměrný denní provoz nepřesahuje 120 KB;
cloudové úložiště obsahuje obrovské pole podpisů, mnohem větší než ty uložené na počítačích uživatelů;
algoritmy porovnávání signatur používané v cloudu jsou výrazně inteligentnější než zjednodušené modely používané na úrovni lokální stanice a díky vyššímu výkonu zabere porovnávání dat méně času;
cloudové antivirové služby pracují se skutečnými daty získanými od antivirových laboratoří, vývojářů zabezpečení, firemních a soukromých uživatelů; zero-day hrozby jsou blokovány současně s jejich rozpoznáním, bez zpoždění způsobeného potřebou získat přístup k počítačům uživatelů;
uživatelé, kteří jsou na roamingu nebo nemají přístup na svá hlavní pracoviště, dostávají ochranu před útoky zero-day současně s přístupem na internet;
zatížení systémových administrátorů je sníženo: nemusí trávit čas instalací antivirového softwaru na počítačích uživatelů a také aktualizací databází signatur.

Proč tradiční antiviry selhávají

Moderní škodlivý kód může:

Obejít antivirové pasti vytvořením speciálního cílového viru pro společnost
Než antivirus vytvoří podpis, vyhne se použití polymorfismu, překódování pomocí dynamického DNS a URL

Vytvoření cíle pro společnost
Polymorfismus
Kód nikomu neznámý – žádný podpis

Těžko se bránit

Vysokorychlostní antiviry z roku 2011

Ruské nezávislé informační a analytické centrum Anti-Malware.ru zveřejnilo v květnu 2011 výsledky dalšího srovnávací test 20 nejoblíbenějších antivirů pro výkon a spotřebu systémových prostředků.

Účelem tohoto testu je ukázat, které osobní antiviry mají nejmenší dopad na typické operace uživatele na počítači, méně „zpomalují“ jeho práci a spotřebovávají minimální množství systémových prostředků.

Mezi antivirovými monitory (skenery v reálném čase) vykazovala velmi vysoký výkon celá skupina produktů, mezi nimi Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro a Dr.Web. S těmito antiviry na palubě bylo zpomalení kopírování testovací kolekce méně než 20 % ve srovnání s benchmarkem. Antivirové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft také vykázaly vysoké výsledky z hlediska výkonu, spadající do rozmezí 30-50 %. Antivirové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft také vykázaly vysoké výsledky z hlediska výkonu, spadající do rozmezí 30-50 %.

Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost a PC Tools zároveň mohou být v reálných podmínkách výrazně rychlejší díky své optimalizaci po kontrole.

Nejlepší rychlost skenování na vyžádání ukázal antivirus Avira. Trochu za ním byly Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus a Outpost. Pokud jde o rychlost prvního skenování, tyto antiviry jsou jen o něco horší než lídr, zároveň mají všechny ve svém arzenálu výkonné technologie pro optimalizaci opakovaných skenů.

Další důležitou vlastností rychlosti antiviru je jeho dopad na práci aplikací, se kterými uživatel často pracuje. Do testu bylo vybráno pět z nich: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader a Adobe Photoshop. Nejmenší zpomalení při spouštění těchto kancelářské programy ukázal antiviry Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost a G Data.