개인 사용자를 위한 안티바이러스 프로그램 검토. 분류, 특성, 예 바이러스 백신 분류 제공

지식 기반에서 좋은 작업을 보내는 것은 간단합니다. 아래 양식을 사용하세요

연구와 업무에 지식 기반을 사용하는 학생, 대학원생, 젊은 과학자들은 매우 감사할 것입니다.

http://www.allbest.ru/에서 호스팅

바이러스 백신 분류

바이러스 백신은 컴퓨터 바이러스 및 기타 악성 프로그램을 보호, 차단 및 제거하도록 특별히 설계된 소프트웨어 패키지입니다.

최신 안티 바이러스 프로그램은 프로그램 파일 및 문서 내의 악성 개체를 효과적으로 탐지할 수 있습니다. 경우에 따라 바이러스 백신은 감염된 파일에서 악성 개체의 본문을 제거하여 파일 자체를 복원할 수 있습니다. 대부분의 경우 바이러스 백신은 무결성을 침해하지 않고 프로그램 파일뿐만 아니라 사무실 문서 파일에서도 악성 프로그램 개체를 제거할 수 있습니다. 안티바이러스 프로그램을 사용하려면 높은 자격이 필요하지 않으며 거의 모든 컴퓨터 사용자가 사용할 수 있습니다. 현재 대부분의 주요 안티바이러스 소프트웨어는 실시간 보호(바이러스 모니터)와 주문형 보호(바이러스 스캐너)를 결합합니다.

바이러스 백신 분류

현재 존재하지 않습니다 통합 시스템바이러스 백신 프로그램의 분류.

작동 모드에 따른 바이러스 백신 분류

Kaspersky Lab은 작동 모드에 따라 바이러스 백신을 분류합니다.

실시간 확인

실시간 검색 또는 상시 검색은 안티바이러스 보호의 연속성을 보장합니다. 이것은 하드 드라이브, 외부 저장 매체, 기타 네트워크 리소스 또는 자신의 RAM 등 원래 위치에 관계없이 다른 프로그램과 사용자 자신이 수행한 모든 작업에 대한 악의적인 검사를 의무적으로 수행하여 구현됩니다. 또한 제3자 프로그램을 통한 모든 간접 행위는 검증 대상입니다.

주문형 확인

어떤 경우에는 지속적으로 실행되는 실시간 검색만으로는 충분하지 않을 수 있습니다. 감염된 파일이 컴퓨터에 복사되었을 가능성이 있는데, 이는 용량이 커서 상시검사에서 제외되어 바이러스가 검출되지 않았을 가능성이 있습니다. 이 파일이 해당 컴퓨터에서 실행되지 않으면 바이러스가 눈에 띄지 않고 다른 컴퓨터로 보낸 후에만 나타날 수 있습니다.

이 모드의 경우 일반적으로 사용자가 검사할 파일, 디렉터리 또는 디스크 영역과 이러한 검사를 수행해야 하는 시간을 일정 또는 1회 수동 시작의 형태로 개인적으로 지정한다고 가정합니다.

유형별 바이러스 백신 분류

또한 바이러스 백신 프로그램은 유형별로 분류할 수 있습니다.

스캐너(다른 이름: 파지, 폴리파지)

안티바이러스 스캐너의 작동 원리는 파일, 섹터 및 시스템 메모리를 스캔하고 그 안에 있는 알려진 바이러스와 새로운(스캐너에 알려지지 않은) 바이러스 검색을 기반으로 합니다. 소위 "마스크"는 알려진 바이러스를 검색하는 데 사용됩니다. 바이러스 마스크는 특정 바이러스에 특정한 일정한 코드 시퀀스입니다. 바이러스에 영구 마스크가 포함되어 있지 않거나 이 마스크의 길이가 충분히 크지 않은 경우 다른 방법이 사용됩니다. 그러한 방법의 예는 모든 것을 설명하는 알고리즘 언어입니다. 가능한 옵션이러한 유형의 바이러스에 감염되었을 때 발생할 수 있는 코드입니다. 이 접근 방식은 일부 바이러스 백신에서 다형성 바이러스를 탐지하는 데 사용됩니다.

많은 스캐너는 또한 "휴리스틱 스캐닝" 알고리즘을 사용합니다. i. 검사된 개체의 명령 시퀀스 분석, 일부 통계 수집 및 검사된 각 개체에 대한 의사 결정.

스캐너는 "범용"과 "특수"의 두 가지 범주로 나눌 수도 있습니다. 범용 스캐너는 종류에 관계없이 모든 유형의 바이러스를 찾아 무력화하도록 설계되었습니다. 운영 체제스캐너가 설계되었습니다. 특수 스캐너는 제한된 수의 바이러스 또는 매크로 바이러스와 같은 한 종류의 바이러스만 무력화하도록 설계되었습니다.

스캐너는 또한 "즉석에서" 스캔하는 "상주"(모니터)와 시스템을 스캔하는 "비상주"로 나뉩니다. 데이터는 데이터와 비교됩니다. 따라서 컴퓨터에서 바이러스를 찾으려면 바이러스 활동의 결과가 나타나도록 이미 "작동"해야 합니다. 이 방법은 코드 조각이나 서명이 이전에 설명된 알려진 바이러스만 찾을 수 있습니다. 그러한 보호가 신뢰할 수 있다고 할 수는 없습니다.

공정 분석

바이러스 프로그램 컴퓨터 맬웨어

프로세스 분석을 기반으로 하는 안티바이러스 도구는 약간 다르게 작동합니다. 위에서 설명한 것과 같은 "휴리스틱 분석기"는 데이터(디스크, 채널, 메모리 등)를 분석합니다. 근본적인 차이점은 분석 중인 코드가 데이터가 아니라 명령이라는 가정 하에 분석이 수행된다는 점입니다(von Neumann 아키텍처를 사용하는 컴퓨터에서는 데이터와 명령을 구별할 수 없으므로 하나 또는 다른 가정이 제시되어야 합니다. 분석 중.)

"휴리스틱 분석기"는 일련의 작업을 선택하고 각각에 특정 "위험" 등급을 할당하고 "위험"의 총체에 따라 이 작업 시퀀스가 악성 코드의 일부인지 여부를 결정합니다. 코드 자체는 실행되지 않습니다.

프로세스 기반 바이러스 백신의 또 다른 유형은 "행동 차단기"입니다. 이 경우 의심스러운 코드는 코드에 의해 시작된 일련의 작업이 "위험한"(또는 "안전한") 동작으로 평가될 때까지 단계별로 실행됩니다. 이 경우 보다 간단한 데이터 분석 방법으로 악성코드의 완성 여부를 탐지할 수 있기 때문에 코드가 부분적으로 실행된다.

바이러스 탐지 기술

바이러스 백신에 사용되는 기술은 두 그룹으로 나눌 수 있습니다.

서명 분석 기술

서명 분석은 파일에 바이러스 서명이 있는지 확인하는 바이러스 탐지 방법입니다. 서명 분석은 바이러스를 탐지하는 가장 잘 알려진 방법이며 거의 모든 최신 바이러스 백신에 사용됩니다. 검사를 수행하려면 바이러스 백신 데이터베이스에 저장된 바이러스 서명 집합이 필요합니다.

시그니처 분석에는 파일에서 바이러스 시그니처 확인이 포함되기 때문에 안티바이러스 데이터베이스를 주기적으로 업데이트하여 안티바이러스를 최신 상태로 유지해야 합니다. 서명 분석의 바로 그 원리는 알려진 바이러스만 탐지하는 기능의 한계를 정의합니다. 서명 스캐너는 새로운 바이러스에 대해 무력합니다.

한편, 바이러스 시그니처가 존재한다는 것은 시그니처 분석으로 탐지된 감염 파일을 치료할 가능성을 의미한다. 그러나 모든 바이러스를 치료할 수 있는 것은 아닙니다. 트로이 목마와 대부분의 웜은 손상을 입히기 위해 생성된 통합 모듈이기 때문에 설계 특성으로 인해 치료할 수 없습니다.

바이러스 서명의 유능한 구현을 통해 알려진 바이러스를 100% 확실하게 탐지할 수 있습니다.

확률 분석 기술

확률 분석 기술은 차례로 세 가지 범주로 나뉩니다.

휴리스틱 분석

행동 분석

체크섬 분석

휴리스틱 분석은 확률적 알고리즘을 기반으로 하는 기술로, 그 결과 의심스러운 개체를 식별합니다. 휴리스틱 분석은 파일 구조와 바이러스 템플릿 준수 여부를 확인합니다. 가장 인기 있는 휴리스틱 기술은 이미 알려진 바이러스 서명과 그 조합의 수정 사항에 대해 파일 내용을 확인하는 것입니다. 이것은 안티바이러스 데이터베이스를 추가로 업데이트하지 않고도 이전에 알려진 바이러스의 하이브리드 및 새 버전을 탐지하는 데 도움이 됩니다.

휴리스틱 분석은 알려지지 않은 바이러스를 탐지하는 데 사용되며 결과적으로 양성을 기대하지 않습니다.

행동 분석은 검사 대상이 수행하는 작업에 대한 분석을 기반으로 검사 대상의 성격에 대한 결정을 내리는 기술입니다. 행동 분석은 일반적인 응용 프로그램에서 바이러스의 일반적인 작업을 대부분 수행할 수 있기 때문에 실제 응용 프로그램이 매우 좁습니다. 해당 바이러스는 거의 항상 여러 유사한 작업을 수행하기 때문에 스크립트 및 매크로의 행동 분석기가 가장 유명합니다.

BIOS에 내장된 보안 기능은 행동 분석기로 분류될 수도 있습니다. 컴퓨터의 MBR을 변경하려고 하면 분석기가 작업을 차단하고 해당 알림을 사용자에게 표시합니다.

또한 행동 분석기는 파일에 직접 액세스하려는 시도, 플로피 디스크의 부트 레코드 변경, 포맷을 추적할 수 있습니다. 하드 드라이브등.

행동 분석기는 바이러스 데이터베이스와 같은 추가 개체를 작업에 사용하지 않으므로 알려진 바이러스와 알려지지 않은 바이러스를 구별할 수 없습니다. 모든 의심스러운 프로그램은 사전에 알려지지 않은 바이러스로 간주됩니다. 마찬가지로 행동 분석 기술을 구현하는 도구 작동의 기능이 치료를 의미하지는 않습니다.

체크섬 분석은 컴퓨터 시스템 개체의 변경 사항을 추적하는 방법입니다. 동시성, 대량 특성, 파일 길이의 동일한 변경 등 변경 특성의 분석을 기반으로 시스템이 감염되었다고 결론지을 수 있습니다. 행동 분석기와 마찬가지로 체크섬 분석기("변경 감사기"라고도 함)는 작업에 추가 개체를 사용하지 않으며 전문가 평가 방법으로만 시스템에 바이러스가 있는지 여부를 판단합니다. 유사한 기술이 액세스 스캐너에 사용됩니다. 첫 번째 검사 중에 파일에서 체크섬을 가져와 캐시에 저장하고, 다음 동일한 파일을 검사하기 전에 체크섬을 다시 가져와서 비교하고, 변경 사항이 없으면 파일은 감염되지 않은 것으로 간주됩니다.

안티바이러스 컴플렉스는 동일한 안티바이러스 커널을 사용하는 안티바이러스 집합으로 컴퓨터 시스템의 안티바이러스 보안을 보장하는 것과 관련된 실용적인 문제를 해결하도록 설계되었습니다. 안티바이러스 컴플렉스에는 안티바이러스 데이터베이스를 업데이트하기 위한 도구도 포함되어 있습니다.

또한, 안티바이러스 컴플렉스에는 안티바이러스 엔진을 사용하지 않는 행동 분석기 및 변경 감사자가 추가로 포함될 수 있습니다.

다음과 같은 유형의 안티바이러스 복합체가 있습니다.

워크스테이션 보호를 위한 안티바이러스 콤플렉스

파일 서버 보호를 위한 안티바이러스 콤플렉스

메일 시스템 보호를 위한 안티바이러스 콤플렉스

게이트웨이 보호를 위한 안티바이러스 콤플렉스.

Allbest.ru에서 호스팅

유사한 문서

컴퓨터 바이러스의 개념과 분류. 바이러스로부터 정보를 보호하는 기본 방법. 현대 개요 소프트웨어 도구컴퓨터의 안전한 작동을 위해 바이러스 백신 분류. Kaspersky Antivirus, Norton Antivirus, Dr. Weber, Eset NOD32.

학기 논문, 2015년 10월 26일 추가됨

바이러스 백신의 주요 작업 및 개인용 컴퓨터의 바이러스 백신 보호 수단. 바이러스의 작동 방식과 확산 방식. 악성 프로그램에 대한 보호 방법 및 기술. 컴퓨터에서 작업할 때의 일반 안전 요구 사항.

초록, 2016년 9월 22일 추가됨

컴퓨터 바이러스 및 바이러스 백신의 역사에 대한 연구. 악성 프로그램이 컴퓨터에 침투하는 주요 방법에 대한 연구. 바이러스 및 바이러스 백신 프로그램의 유형. 서명 기능의 특성화 및 안티바이러스 보호의 휴리스틱 방법.

초록, 2014년 8월 10일 추가됨

컴퓨터 바이러스에 대한 주요 보호 방법. 바이러스 발현의 주요 징후 : 프로그램 종료, 느린 컴퓨터 작동, 파일의 크기, 날짜 및 시간 변경. 바이러스의 발생 방법. 알려진 바이러스 백신의 특성.

프레젠테이션, 2011년 2월 12일 추가됨

컴퓨터 바이러스의 현상. 컴퓨터 바이러스의 분류. 바이러스 백신의 종류. PC를 보호하는 방법과 방법. 해커 공격에 맞서 싸우십시오. 무료 바이러스 백신 웹 서비스. 인터넷 보안의 기본. 바이러스 발생 시 조치.

초록, 2008년 8월 10일 추가됨

컴퓨터 바이러스의 개념 및 작용 메커니즘, 데이터 안전에 대한 위험 정의, 부정적인 영향을 방지하기 위한 조치. 효율적이고 중단 없는 작동을 위한 바이러스 백신 프로그램의 분류, 시스템 요구 사항 및 조건.

2010년 7월 17일에 추가된 논문

바이러스 백신 프로그램(바이러스 백신)의 기능 - 데이터를 저장하고 PC 성능을 최적화하기 위해 바이러스 및 다양한 종류의 맬웨어를 무력화하도록 설계된 컴퓨터 프로그램입니다. 바이러스 백신 프로그램의 분류 및 예.

초록, 2010년 3월 26일 추가됨

바이러스 백신을 사용하여 컴퓨터에서 바이러스를 효과적으로 탐지하고 무력화합니다. 바이러스 감염의 징후. 트로이 목마의 명백한 징후: 브라우저 설정 변경, 팝업 메시지, 인터넷에 무단으로 전화 걸기.

실험실 작업, 2013년 9월 13일 추가됨

컴퓨터 바이러스의 개념과 분류. 악성 프로그램, 그 종류에 대한 보호 방법. 컴퓨터 바이러스 감염의 징후. 정보 보안의 문제. MS Office 응용 프로그램 작업. 파일 바이러스, 해커 유틸리티 분석.

학기 논문, 2015년 1월 12일 추가됨

알려진 것과 유사한 컴퓨터 바이러스를 검색하고 의심스러운 작업을 수행하는 프로그램. 업데이트, 계획 및 관리 모듈. 안티바이러스 모듈, 업데이트, 정기 업데이트 및 검사에 대한 설정 구성.

이러한 프로그램은 필터, 감지기, 감사자, 의사 및 예방접종자의 다섯 가지 주요 그룹으로 분류할 수 있습니다.

바이러스 백신 필터- 프로그램이 디스크에 쓰려는 모든 시도와 디스크를 포맷하려는 모든 시도 및 기타 의심스러운 작업(예: CMOS 설정 변경 시도)을 사용자에게 알리는 상주 프로그램입니다. 이 작업을 허용할지 거부할지 묻는 메시지가 표시됩니다. 이러한 프로그램의 작동 원리는 해당 인터럽트 벡터의 차단을 기반으로 합니다. 프로그램 탐지기와 비교하여 이 클래스의 프로그램의 장점은 알려진 바이러스와 알려지지 않은 바이러스 모두에 대한 보편성이며 탐지기는 현재 프로그래머에게 알려진 특정 유형에 대해 작성되었습니다. 영구적인 코드가 없는 돌연변이 바이러스가 많이 출현한 지금은 특히 그렇습니다. 그러나 필터 프로그램은 DOS 로딩 초기 단계에서 BIOS에 직접 접근하는 바이러스와 백신이 실행되기 전에 활성화되는 BOOT 바이러스를 추적할 수 없습니다. . 일부 바이러스 백신 필터를 설치할 때 동일한 인터럽트를 사용하는 다른 상주 프로그램과 충돌이 있을 수 있으며 이는 단순히 작동을 멈춥니다.

우리나라에서 가장 많이 사용되는 탐지기 프로그램, 또는 오히려 결합하는 프로그램 탐지기와 의사. 이 클래스의 가장 유명한 대표자 - Aidstest, Doctor Web, MicroSoft AntiVirus는 아래에서 더 자세히 논의됩니다. 안티바이러스 탐지기는 특정 바이러스용으로 설계되었으며 바이러스 본체에 포함된 코드 시퀀스와 검사 중인 프로그램 코드를 비교한 결과를 기반으로 합니다. 많은 탐지기 프로그램을 사용하면 감염된 파일이나 디스크에서 바이러스를 제거하여 "치료"할 수도 있습니다(물론 치료는 탐지기 프로그램에 알려진 바이러스에 대해서만 지원됨). 이러한 프로그램은 빠르게 구식이 되고 새로운 유형의 바이러스를 감지할 수 없으므로 정기적으로 업데이트해야 합니다.

감사- 디스크의 파일 및 시스템 영역의 현재 상태를 분석하고 감사자의 데이터 파일 중 하나에 이전에 저장된 정보와 비교하는 프로그램입니다. 이것은 BOOT 섹터의 상태, FAT 테이블, 파일 길이, 생성 시간, 속성, 체크섬을 확인합니다. 인스펙터 프로그램의 메시지를 분석하여 사용자는 변경 사항이 바이러스에 의한 것인지 여부를 판단할 수 있습니다. 이러한 메시지를 발행할 때 프로그램의 길이와 같은 변경 원인이 바이러스가 아닐 수 있으므로 당황하지 않아야 합니다.

마지막 그룹에는 가장 비효과적인 바이러스 백신이 포함됩니다. 예방 접종자. 특정 바이러스의 특성을 백신 접종 중인 프로그램에 기록하여 바이러스가 이미 감염된 것으로 간주하도록 합니다.

우리 나라에서는 위에서 언급한 것처럼 탐지기와 의사의 기능을 결합한 안티바이러스 프로그램이 특히 인기를 얻고 있습니다. 그 중 가장 유명한 것은 D.N.의 AIDSTEST 프로그램입니다. 로진스키. 이 프로그램은 1988년에 발명된 이후 지속적으로 개선되고 확장되었습니다. 러시아에서는 거의 모든 IBM 호환 개인용 컴퓨터에 이 프로그램 버전 중 하나가 있습니다. 최신 버전 중 하나는 1500개 이상의 바이러스를 탐지합니다.

Aidtest는 코드를 변경하지 않는 일반적인(비다형성) 바이러스에 감염된 프로그램을 수정하도록 설계되었습니다. 이 제한은 이 프로그램이 식별 코드를 사용하여 바이러스를 검색한다는 사실 때문입니다. 그러나 동시에 매우 빠른 파일 검사 속도가 달성됩니다.

정상적인 기능을 위해 aidstest는 메모리에 프로그램 파일 쓰기를 차단하는 상주 바이러스 백신이 없어야 하므로 상주 프로그램 자체에 대한 언로드 옵션을 지정하거나 적절한 유틸리티를 사용하여 언로드해야 합니다.

Aidstest가 시작되면 RAM에 알려진 바이러스가 있는지 확인하고 무해하게 만듭니다. 이 경우 번식과 관련된 바이러스의 기능만 마비되고 다른 부작용이 남을 수 있습니다. 따라서 메모리의 바이러스 무력화가 끝난 후 프로그램은 다시 시작을 요청합니다. PC 운영자가 바이러스의 속성을 연구하는 시스템 프로그래머가 아닌 경우 반드시 이 조언을 따라야 합니다. "웜 재부팅" 중에 일부 바이러스가 지속될 수 있으므로 RESET 버튼으로 재부팅해야 하는 이유는 무엇입니까? 또한, 쓰기 방지된 플로피 디스크로 머신과 Aidstest를 시작하는 것이 좋습니다. 감염된 디스크에서 시작하면 바이러스가 자신을 메모리에 상주하여 기록하고 치료를 방지할 수 있기 때문입니다.

Aidstest는 알려진 바이러스에 대해 몸을 테스트하고 코드의 왜곡으로 알려지지 않은 바이러스 감염을 판단합니다. 이 경우 바이러스 백신이 패커에 의해 압축되는 경우와 같이 오경보가 발생할 수 있습니다. 이 프로그램에는 그래픽 인터페이스가 없으며 작동 모드는 키를 사용하여 설정됩니다. 경로를 지정하면 전체 디스크가 아닌 별도의 하위 디렉토리를 확인할 수 있습니다.

Aidstest 프로그램의 단점:

다형성 바이러스를 인식하지 못합니다.

알려지지 않은 바이러스를 찾을 수 있는 경험적 분석기가 장착되어 있지 않습니다.

아카이브에서 파일을 확인하고 처리하는 방법을 모릅니다.

EXEPACK, DIET, PKLITE 등과 같은 실행 파일의 패커가 처리하는 프로그램의 바이러스를 인식하지 못합니다.

Aidstest의 이점:

사용하기 쉬운;

매우 빠르게 작동합니다.

바이러스의 상당 부분을 인식합니다.

Adinf 감사 프로그램과 잘 통합됩니다.

거의 모든 컴퓨터에서 작동합니다.

최근에는 Dialog-Science에서 제공하는 또 다른 안티바이러스 프로그램인 Doctor Web의 인기가 급상승하고 있습니다. 이 프로그램은 I.A.에 의해 1994년에 만들어졌습니다. 다닐로프. 박사 Aidstest와 같은 웹은 탐지기(의사) 클래스에 속하지만 후자와는 달리 "휴리스틱 분석기"(알 수 없는 바이러스를 탐지할 수 있는 알고리즘)가 있습니다. 프로그램 이름을 영어로 번역한 '힐링 웹'은 자가 변형 돌연변이 바이러스의 침입에 대한 국내 프로그래머들의 대응이 됐다. 바이러스의 원래 버전에 있던 바이트는 그대로 유지됩니다. 이 프로그램은 러시아 연방 대통령의 정보 자원 총국과 "웹"의 두 번째로 큰 구매자인 "Inkombank"가 대형 라이센스(2000대의 컴퓨터용)를 취득했다는 사실에 의해 지원됩니다.

Aidtest와 마찬가지로 모드 제어는 키를 사용하여 수행됩니다. 사용자는 프로그램에 전체 디스크와 개별 하위 디렉토리 또는 파일 그룹을 모두 테스트하거나 디스크 확인을 거부하고 RAM만 테스트하도록 지시할 수 있습니다. 차례로 기본 메모리만 테스트하거나 확장 메모리도 테스트할 수 있습니다. Aidstest와 마찬가지로 Doctor Web은 작업에 대한 보고서를 작성하고 키릴 문자 생성기를 로드하고 보안관 하드웨어 및 소프트웨어 시스템으로 작업을 지원할 수 있습니다.

하드 드라이브 테스트 Dr. Web-om은 Aidtest-ohm보다 훨씬 더 많은 시간이 걸리므로 모든 사용자가 매일 모든 것을 확인하는 데 그렇게 많은 시간을 할애할 수는 없습니다. 하드 드라이브. 이러한 사용자는 외부에서 가져온 플로피 디스크를 보다 주의 깊게 확인하는 것이 좋습니다. 플로피 디스크에 있는 정보가 아카이브에 있는 경우(최근에는 프로그램과 데이터가 이 형식으로만 컴퓨터에서 컴퓨터로 전송됩니다. Borland와 같은 소프트웨어 회사도 제품을 패키징하는 경우), 하드 드라이브의 별도 디렉터리에 압축을 풀어야 합니다. 그리고 즉시, 지체 없이 Dr. 웹, 드라이브 이름 대신 이 하위 디렉토리의 전체 경로를 매개변수로 제공합니다. 그러나 최대 수준의 휴리스틱 분석 작업으로 바이러스에 대한 "하드 드라이브"의 전체 검사를 수행하려면 적어도 2주에 한 번은 필요합니다.

Aidstest의 경우와 마찬가지로 초기 테스트 중에 프로그램이 바이러스를 감지한 파일을 치료하도록 허용해서는 안 됩니다. 건강한 프로그램.

Aidstest와 달리 Dr. 편물:

다형성 바이러스를 인식합니다.

휴리스틱 분석기가 장착되어 있습니다.

아카이브의 파일을 확인하고 처리할 수 있습니다.

LZEXE, PKLITE, DIET로 포장된 파일뿐만 아니라 CPAV로 백신 접종된 파일을 테스트할 수 있습니다.

Dialog-Science는 DOS용 DrWeb의 다양한 버전을 제공합니다. 아시다시피 DOS에는 전통적으로 두 가지 버전이 있습니다. 16비트그리고 32비트(후자는 DOS/386용 Doctor Web, DrWeb386이라고도 함). 이러한 이름(16비트 및 32비트)은 DOS용 버전 간의 차이점의 본질을 완전히 반영하지만 이름에서 직접적으로는 전문가에게만 명확합니다. 32비트 버전에만 모든 기능, Doctor Web의 다른 최신 버전(특히 Windows용 버전)에 내재되어 있습니다.

16비트 버전은 운영 체제에서 부과하는 사용 가능한 메모리 양에 대한 제한으로 인해 오늘날 가장 중요한 "기능" 중 일부가 없으며 특히 여기에 포함되지 않습니다. 메모리 제한, 포함할 수 없음):

현대 유형의 알려진 바이러스를 "서비스"하기 위한 모듈(특히 매크로 및 스텔스 바이러스에 대해 이야기하고 있음)

최신 유형의 알려지지 않은 바이러스를 탐지하기 위한 휴리스틱 분석기 모듈;

최신 유형의 아카이브 및 패키지된 Windows 프로그램 등의 압축을 풀기 위한 모듈

따라서 16비트 버전은 32비트 버전과 동일한 바이러스 데이터베이스(VDB 파일)를 사용하지만 일부 모듈이 없으면 해당 바이러스를 처리할 수 없습니다.

또한 동일한 이유로 16비트 버전은 일부 최신 소프트웨어 및 하드웨어를 지원하지 않아 불안정하거나 올바르지 않을 수 있습니다.

32비트 버전은 완전히 작동하고 다른 이름인 Doctor Web for DOS/386에서 볼 수 있듯이 프로세서가 386 이상인 컴퓨터에서 DOS로 실행하면서 사용할 수 있으므로 버전이 필요한 모든 사용자는 DOS용 Doctor Web에서는 정확히 그녀를 사용해야 합니다.

16비트 버전의 경우 32비트 버전이 작동하지 않는 86/286 플랫폼에 여전히 많은 구형 시스템이 있기 때문에 계속 릴리스됩니다.

(바이러스 백신 소프트웨어 보호)

흥미로운 소프트웨어 제품은 AVSP 안티바이러스입니다. 이 프로그램은 탐지기, 의사 및 감사관을 결합하며 상주 필터의 일부 기능(읽기 전용 속성이 있는 파일에 쓰기 금지)도 있습니다. 안티 바이러스는 알려진 바이러스와 알려지지 않은 바이러스를 모두 치료할 수 있으며 사용자는 후자의 치료 방법을 프로그램에 알릴 수 있습니다. 또한 AVSP는 자가 수정 및 스텔스 바이러스(스텔스)를 치료할 수 있습니다.

AVSP를 시작하면 프로그램 상태에 대한 정보와 메뉴가 있는 창 시스템이 나타납니다. 아주 편안한 문맥 힌트 시스템, 각 메뉴 항목에 대한 설명을 제공합니다. F1 키를 사용하여 고전적으로 호출되며 항목에서 항목으로 이동할 때 변경됩니다. 또한 Windows 및 "Half-axes"(OS / 2) 시대의 중요하지 않은 이점은 마우스 지원입니다. AVSP 인터페이스의 중요한 단점은 해당 문자가 있는 키를 눌러 메뉴 항목을 선택하는 기능이 없다는 것입니다. 그러나 ALT와 이 번호에 해당하는 숫자를 눌러 항목을 선택하는 기능으로 인해 다소 상쇄됩니다. 안건.

AVSP 패키지에는 다음이 포함됩니다. 상주 드라이버 AVSP.SYS, 대부분의 보이지 않는 바이러스(Ghost-1963 또는 DIR와 같은 바이러스 제외)를 탐지하고 작업 기간 동안 바이러스를 비활성화하고 읽기 전용 파일 수정을 금지합니다.

AVSP.SYS의 또 다른 기능은 AVSP.EXE가 실행되는 동안 상주 바이러스 비활성화그러나 바이러스와 함께 드라이버는 다른 상주 프로그램도 비활성화합니다. AVSP를 처음 실행할 때 알려진 바이러스에 대해 시스템을 테스트해야 합니다. RAM, BOOT 섹터 및 파일을 확인합니다. 경우에 따라 알려지지 않은 바이러스에 의해 손상된 파일을 복구할 수도 있습니다. 파일 크기, 체크섬, 바이러스 존재 여부 또는 이 모든 항목에 대한 검사를 설치할 수 있습니다. 또한 정확히 확인할 항목(부트 섹터, 메모리 또는 파일)을 지정할 수도 있습니다. 대부분의 바이러스 백신 프로그램과 마찬가지로 여기에서 사용자는 속도와 품질 중에서 선택할 수 있습니다. 고속 검사의 핵심은 전체 파일을 검사하는 것이 아니라 시작 부분만 검사한다는 것입니다. 따라서 대부분의 바이러스를 찾을 수 있습니다. 바이러스가 중간에 작성되거나 파일이 여러 바이러스에 감염된 경우(이 경우 "오래된" 바이러스가 "젊은 바이러스"에 의해 중간에 밀려난 것처럼 보임) 프로그램은 이를 인식하지 못합니다. 따라서 특히 AVSP에서 품질 테스트는 고속 테스트보다 시간이 많이 걸리지 않기 때문에 품질 최적화를 설정해야 합니다.

새로운 바이러스를 자동으로 탐지할 때 AVSP는 많은 실수를 할 수 있습니다. 따라서 패턴을 자동으로 감지할 때 그것이 정말 바이러스인지, 그리고 이 패턴이 정상적인 프로그램에서 발견되는지 여부를 확인하는 데 너무 게으르지 않아야 합니다.

AVSP 프로세스 중에 알려진 바이러스가 감지되면 Aidstest 및 Dr. 웹: 파일을 디스크에 복사하고 백업 플로피에서 재부팅하고 AVSP를 실행합니다. 또한 AVSP.SYS 드라이버는 메인 프로그램이 Stealth 바이러스를 치료하는 데 도움이 되므로 메모리에 로드하는 것이 좋습니다.

또 다른 유용한 기능은 내장 디스어셈블러. 도움을 받아 파일에 바이러스가 있는지 또는 디스크 검사 중에 AVSP 가양성이 발생했는지 알 수 있습니다. 또한 감염 방법, 바이러스 원리, 파일의 교체된 바이트를 "숨긴" 위치(이 유형의 바이러스를 처리하는 경우)를 알아낼 수 있습니다. 이 모든 것을 통해 바이러스 제거 절차를 작성하고 손상된 파일을 복원할 수 있습니다. 다른 것 유용한 기능- 범죄인 인도 변화의 시각적 지도. 변경 맵을 사용하면 이러한 변경 사항이 바이러스에 해당하는지 여부를 평가할 수 있을 뿐만 아니라 분해 중에 바이러스 본체에 대한 검색 영역을 좁힐 수 있습니다.

AVSP 프로그램에는 스텔스 바이러스("보이지 않는")를 무력화하기 위한 두 가지 알고리즘이 있으며 둘 다 메모리에 활성 바이러스가 있는 경우에만 작동합니다. 다음은 이러한 알고리즘이 구현될 때 발생하는 일입니다. 모든 파일이 데이터 파일에 복사된 다음 지워집니다. SYSTEM 속성을 가진 파일만 저장됩니다. Adinf에서 Stealths를 제거하는 프로세스는 훨씬 간단합니다.

AVSP 프로그램은 또한 부트 섹터의 상태를 모니터링합니다. 플로피 디스크의 BOOT 섹터가 감염되어 바이러스 백신으로 치료할 수 없으면 부팅 코드를 지워야 합니다. 플로피 디스크는 비시스템이 되지만 데이터는 손실되지 않습니다. 당신은 윈체스터와 함께 할 수 없습니다. 하드 디스크의 BOOT 섹터 중 하나에서 변경 사항이 감지되면 AVSP는 이를 일부 파일에 저장한 다음 바이러스 제거를 시도합니다.

마이크로소프트 안티바이러스

최신 버전의 MS-DOS(예: 6.22)에는 MSAV(Microsoft Antivirus)가 포함됩니다. 이 바이러스 백신은 탐지기-의사 및 감사자 모드에서 작동할 수 있습니다. MSAV는 MS-Windows 스타일 인터페이스마우스가 자연스럽게 지원됩니다. 잘 구현됨 컨텍스트 도움말:어떤 상황에서도 거의 모든 메뉴 항목에 대한 힌트가 있습니다. 메뉴 항목에 대한 액세스는 보편적으로 구현됩니다. 이를 위해 커서 키, 키 키(F1-F9), 항목 이름 문자 중 하나에 해당하는 키 및 마우스를 사용할 수 있습니다. 프로그램을 사용할 때의 심각한 불편은 파일에 대한 데이터가 있는 테이블을 하나의 파일에 저장하지 않고 모든 디렉터리에 흩어지게 한다는 것입니다.

시작되면 프로그램은 자체 문자 생성기를 로드하고 현재 디스크의 디렉토리 트리를 읽은 후 주 메뉴로 종료합니다. 시작 시 디렉토리 트리를 즉시 읽는 이유는 명확하지 않습니다. 결국 사용자는 현재 디스크를 확인하고 싶지 않을 수 있습니다.

첫 번째 검사 중에 MSAV는 실행 파일이 포함된 각 디렉터리에 CHKLIST.MS 파일을 만들고 이 파일에 크기, 날짜, 시간, 특성 및 제어되는 파일의 체크섬에 대한 정보를 기록합니다. 후속 검사 중에 프로그램은 파일을 CHKLIST.MS 파일의 정보와 비교합니다. 크기와 날짜가 변경된 경우 프로그램은 이에 대해 사용자에게 알리고 다음 단계: 정보 업데이트(업데이트), CHKLIST.MS(수리)의 데이터에 따라 날짜 및 시간 설정, 변경 사항에 주의하지 않고 계속 주어진 파일(계속), 검사를 중단합니다(중지).

옵션 메뉴에서 원하는 대로 프로그램을 구성할 수 있습니다. 여기에서 보이지 않는 바이러스(Anti-Stealth)에 대한 검색 모드를 설정하고, 실행 파일뿐만 아니라 모든 파일을 확인하고(모든 파일 확인), CHKLIST.MS 테이블 생성을 허용하거나 금지할 수 있습니다(새 체크섬 생성). 또한 파일로 수행한 작업에 대한 보고서를 저장하는 모드를 설정할 수 있습니다. 백업 생성 옵션을 설정하면 감염된 파일에서 바이러스를 제거하기 전에 해당 복사본이 VIR 확장자로 저장됩니다.

주 메뉴에서 F9 키를 눌러 MSAV에 알려진 바이러스 목록을 볼 수 있습니다. 그러면 바이러스 이름이 있는 창이 나타납니다. 바이러스에 대한 자세한 정보를 보려면 커서를 해당 이름으로 이동하고 ENTER를 누르십시오. 이름의 첫 글자를 입력하여 관심 있는 바이러스로 빠르게 이동할 수 있습니다. 바이러스에 대한 정보는 적절한 메뉴 항목을 선택하여 프린터로 출력할 수 있습니다.

(고급 디스크인포스코프)

ADinf는 감사 프로그램 클래스에 속합니다. 이 프로그램은 D.Yu에 의해 만들어졌습니다. 1991년 모스토프

ADinf 프로그램 제품군은 MS-DOS, MS-Windows 3.xx, Windows 95/98 및 Windows NT/2000 운영 체제를 실행하는 개인용 컴퓨터에서 실행되도록 설계된 디스크 감사 프로그램입니다. 프로그램 작업은 하드 드라이브에서 발생하는 변경 사항에 대한 정기적인 모니터링을 기반으로 합니다. 바이러스가 나타나면 ADinf는 파일 시스템 및/또는 디스크 부트 섹터에 대한 수정 사항을 기반으로 바이러스를 감지하고 사용자에게 알립니다. 안티바이러스 스캐너와 달리 ADinf는 작업에 특정 바이러스의 "초상화"(서명)를 사용하지 않습니다. 따라서 ADinf는 해독제가 아직 발견되지 않은 새로운 바이러스를 탐지하는 데 특히 효과적입니다.

특히 ADinf는 운영 체제 기능을 사용하여 디스크를 제어하지 않는다는 점에 유의해야 합니다. 섹터별로 디스크 섹터를 읽고 파일 시스템의 구조를 독립적으로 구문 분석하여 소위 스텔스 바이러스를 탐지할 수 있습니다.

시스템에 Adinf 힐링 유닛이 설치된 경우( ADinf 치유법 기준 치수 ), 이 탠덤은 감지할 수 있을 뿐만 아니라 나타난 감염을 성공적으로 제거할 수도 있습니다. 테스트 결과 ADinf Cure Module은 97%의 바이러스에 성공적으로 대처하여 바이트 정확도로 손상된 파일을 복구할 수 있는 것으로 나타났습니다.

ADinf의 유용한 속성은 바이러스 퇴치에만 국한되지 않습니다. 실제로 ADinf는 디스크에 있는 정보의 안전성을 모니터링하고 파일 시스템의 미세한 변경, 즉 시스템 영역의 변경, 파일 변경, 디렉토리 생성 및 삭제, 생성, 삭제, 이름 변경 등을 감지할 수 있는 시스템입니다. 및 디렉토리에서 카탈로그로 파일을 이동하는 단계를 포함합니다. 통제된 정보의 구성은 유연하게 구성되어 필요한 것만 통제할 수 있습니다.

프로그램의 첫 번째 버전은 1991년에 출시되었으며 그 이후로 ADinf는 러시아와 구 소련 국가에서 당연히 가장 인기 있는 감사관이 되었습니다. 오늘날 ADinf의 합법 및 불법 사용자 수를 계산하는 것은 이미 어렵습니다. ADinf가 포함된 Dialog-Science Anti-Virus Kit의 기업 가입자 2,500명 이상이 ADinf로 컴퓨터를 보호합니다. ADinf 프로그램은 GOST R 인증 시스템, 국방부의 정보 보안 인증 시스템 및 대통령 산하 국가 기술위원회의 인증에서 인증서를 받았습니다. 러시아 연방(Dialog-Science Anti-Virus Kit의 일부로). 이 프로그램은 지속적으로 개선되고 있으며 항상 최신 기술의 최첨단에 있습니다.

처음에 ADinf 감사자는 MS-DOS 운영 체제용으로 개발되었습니다. 이후 버전의 프로그램은 Windows 3.xx 및 Windows 95/98/NT용으로 출시되었습니다. 이제 다양한 운영 체제에 대해 호환 가능한 감사 제품군이 있습니다. 오늘날 모든 ADinf 변종은 Windows 95/98 파일 시스템, 긴 파일 및 디렉터리 이름을 지원하고 실행 파일의 내부 구조를 구문 분석합니다. Windows 파일 95/98 및 NT.

따라서 Adinf 프로그램은 다음과 같습니다.

작업 속도가 빠릅니다.

메모리에서 바이러스에 성공적으로 저항할 수 있습니다.

바이러스가 가로챌 수 있는 DOS 시스템 인터럽트를 사용하지 않고 BIOS를 통해 섹터별로 디스크를 읽어 디스크를 제어할 수 있습니다.

드라이브당 최대 32,000개의 파일을 처리할 수 있습니다.

사용자가 컴퓨터가 Stealth 바이러스에 감염되었는지 여부를 분석해야 하는 AVSP와 달리 먼저 하드 드라이브에서 부팅한 다음 참조 플로피 디스크에서 부팅하며 ADinf에서는 이 작업이 자동으로 발생합니다.

다른 바이러스 백신과 달리 Advanced Diskinfoscope는 쓰기 방지된 참조 플로피 디스크에서 부팅할 필요가 없습니다. 하드 드라이브에서 로드할 때 보호 신뢰성은 떨어지지 않습니다.

ADinf는 AVSP와 달리 텍스트가 아닌 그래픽 모드로 구현되는 잘 실행된 친숙한 인터페이스를 가지고 있습니다.

ADinf를 시스템에 설치할 때 기본 파일 ADINF.EXE의 이름과 테이블의 이름을 변경할 수 있으며 사용자는 모든 이름을 지정할 수 있습니다. 이것은 최근에 안티바이러스를 "사냥"하는 많은 바이러스가 나타났기 때문에 매우 유용한 기능입니다(예: Aidstest 프로그램을 변경하여 DialogueScience 시작 화면 대신 "Lozinsky는 stump'), ADinf 포함 및 그 이상을 포함합니다.

다양한 운영 체제에 대한 여러 버전의 Adinf 감사자가 있습니다. 그들 각각에는 고유 한 특성이 있습니다.

감사 ADinf MS-DOS 및 Windows 95/98 운영 체제용으로 설계되었습니다. 이것은 1991년에 만들어진 첫 번째 버전의 감사자의 개발입니다. 오늘날 ADinf는 알려진 바이러스와 알려지지 않은 새로운 바이러스를 모두 탐지하는 가장 안정적인 도구입니다. 이것은 컴퓨터의 BIOS를 통해 섹터를 직접 읽어 파일 시스템을 확인하는 세계 유일의 감사자입니다.

감사 Windows용 ADinf Windows 3.xx 운영 체제용으로 설계되었습니다. 이 프로그램 버전은 ADinf 감사자의 모든 속성에 편리한 그래픽 사용자 인터페이스를 추가합니다.

감사 ADinf 프로 MS-DOS, Windows 3.xx 및 Windows 95/98 운영 체제 환경에서 데이터베이스 또는 문서와 같은 특히 중요한 정보의 안전을 제어하도록 설계되었습니다. 이 프로그램 버전의 기능은 잘 알려진 러시아 회사 LAN-Crypto에서 개발한 64비트 해시 기능을 사용하여 파일 무결성을 제어하는 것입니다. 이 해시 기능을 사용하면 우발적인 파일 변경이나 바이러스로 인한 변경을 감지할 수 있을 뿐만 아니라 디스크의 데이터를 의도적으로 자동으로 수정하는 것도 불가능합니다.

감사 ADinf32 운영을 위한 32비트 다중 스레드 응용 프로그램입니다. 윈도우 시스템최신 사용자 인터페이스가 있는 95/98 및 Windows NT. 이 버전의 프로그램에는 다른 옵션의 모든 장점이 있을 뿐만 아니라 그에 비해 많은 새로운 기능이 포함되어 있습니다.

Adinf 프로그램은 Dialog-Science의 DSAV 키트의 다른 프로그램과 잘 통합되어 있습니다. 예를 들어, Adinf는 디스크에 새 파일 및 변경된 파일 목록을 생성하는 반면 Aidstest 및 DrWeb은 이 목록에서 파일을 확인할 수 있으므로 이러한 프로그램의 실행 시간이 크게 단축됩니다.

(바이러스 백신 툴킷 프로)

이 프로그램은 ZAO Kaspersky Lab에서 만들었습니다. AVP는 가장 진보된 바이러스 탐지 메커니즘 중 하나를 가지고 있습니다. 오늘날 AVP는 실질적으로 서구의 대응물보다 열등하지 않습니다.

AVP는 인터넷을 통해 바이러스 백신 데이터베이스를 업데이트하는 기능, 감염된 파일의 자동 검색 및 치료를 위한 매개변수를 설정하는 기능과 같은 최대 서비스를 사용자에게 제공합니다. AVP 웹사이트의 업데이트는 거의 매주 나타나며 데이터베이스에는 거의 40,000개에 달하는 바이러스에 대한 설명이 포함되어 있습니다.

AVP는 몇 가지 중요한 모듈로 구성됩니다.

1) AVP 스캐너 체크 무늬 하드 드라이브바이러스 감염을 위해. 프로그램이 한 행의 모든 파일을 검사하는 전체 검색을 설정할 수 있으며 보관된 파일을 검사하는 모드도 설정할 수 있습니다. AVP의 주요 장점 중 하나는 매크로 바이러스와의 싸움. 사용자는 형식으로 작성된 문서의 특수 모드를 선택할 수 있습니다. 마이크로 소프트 오피스. 바이러스 또는 감염된 파일을 탐지한 후 AVP는 파일에서 바이러스 제거, 감염된 파일 자체 삭제 또는 특정 폴더로 이동 등 선택할 수 있는 몇 가지 옵션을 제공합니다.
2) AVP 감시 장치. 이 프로그램은 다음과 같은 경우 자동으로 로드됩니다. 윈도우 시작. AVP Monitor는 컴퓨터에서 실행된 모든 파일과 열려 있는 문서를 자동으로 확인하여 바이러스 공격이 발생할 경우 사용자에게 알려줍니다. 또한 대부분의 경우 AVP Monitor는 단순히 감염된 파일이 시작되는 것을 막고 실행을 차단합니다. 프로그램의 이 기능은 예를 들어 활성 인터넷 사용자와 같이 많은 새 파일을 지속적으로 처리하는 사람들에게 매우 유용합니다. ).
3) AVP 조사관 - AVP 키트의 마지막이자 매우 중요한 모듈로 알려지지 않은 바이러스도 잡을 수 있습니다. "Inspector"는 파일 크기 변경을 제어하는 방법을 사용합니다. 파일에 침투하면 바이러스는 필연적으로 볼륨을 증가시키고 "검사자"는 쉽게 탐지합니다.

위의 모든 것 외에도 소위 AVP 제어 센터 - AVP 컴플렉스의 모든 프로그램에 대한 "제어판". 이 프로그램의 가장 중요한 기능은 내장된 작업 스케줄러입니다. 신속한 확인(및 필요한 경우 시스템 처리) 자동 모드, 사용자의 참여 없이 사용자가 지정한 시간에.

1992년 Eugene Kaspersky는 작동 원리(기능 정의)에 따라 다음과 같은 바이러스 백신 분류를 사용했습니다.

Ø 스캐너 (구식 버전 - "폴리파지", "탐지기") - 바이러스의 서명(또는 해당 체크섬)을 저장하는 서명 데이터베이스를 통해 바이러스의 존재를 확인합니다. 효과는 바이러스 데이터베이스의 관련성과 휴리스틱 분석기의 존재 여부에 따라 결정됩니다.

Ø 감사 (IDS에 가까운 클래스) - 파일 시스템의 상태를 기억하여 향후 변경 사항을 분석할 수 있습니다.

Ø 야경꾼 (상주 모니터 또는 필터 ) - 잠재적으로 위험한 작업을 추적하여 사용자에게 작업을 허용/금지하도록 적절한 요청을 발행합니다.

Ø 백신 (면역제 ) - 백신이 만들어지는 바이러스가 이미 감염된 파일로 간주하도록 이식된 파일을 변경합니다. 바이러스의 가능성이 수십만 개에 달하는 현대의 상황에서는 이 접근 방식을 적용할 수 없습니다.

최신 바이러스 백신은 위의 모든 기능을 결합합니다.

바이러스 백신은 다음과 같이 나눌 수도 있습니다.

가정용 제품:

실제로 바이러스 백신;

결합 제품(예: 안티스팸, 방화벽, 안티루트킷 등이 기존 안티바이러스에 추가됨)

기업 제품:

서버 안티바이러스;

워크스테이션의 바이러스 백신("엔드포인트").

바이러스 백신 프로그램을 공유하면 서로를 잘 보완하므로 좋은 결과를 얻을 수 있습니다.

외부 소스에서 오는 데이터 확인 탐지기 프로그램. 이 데이터를 확인하는 것을 잊어버리고 감염된 프로그램을 실행했다면 워치독 프로그램에 포착될 수 있다. 사실, 두 경우 모두 이러한 안티바이러스 프로그램에 알려진 바이러스가 안정적으로 탐지됩니다. 이것은 경우의 80-90%를 넘지 않습니다.

- 야경꾼알 수 없는 바이러스가 매우 뻔뻔하게 행동하는 경우에도 탐지할 수 있습니다(하드 드라이브를 포맷하거나 시스템 파일을 변경해 보십시오). 그러나 일부 바이러스는 이러한 제어를 우회할 수 있습니다.

바이러스가 탐지기 또는 파수꾼에 의해 탐지되지 않은 경우 활동 결과는 프로그램 - 감사자.

일반적으로 감시 프로그램은 컴퓨터에서 지속적으로 실행되어야 하며 외부 소스(파일 및 디스켓)에서 오는 데이터를 확인하기 위해 감지기를 사용해야 하며 디스크의 변경 사항을 감지하고 분석하기 위해 하루에 한 번 감사자를 실행해야 합니다. 이 모든 것은 정기적인 데이터 백업과 결합되어야 하며 바이러스 감염 가능성을 줄이기 위한 예방 조치를 사용해야 합니다.

모든 안티바이러스 프로그램은 컴퓨터를 "속도를 늦추지만" 바이러스의 유해한 영향에 대한 신뢰할 수 있는 치료법입니다.

거짓 안티바이러스(거짓 안티바이러스).

2009년에 다양한 안티바이러스 공급업체가 새로운 유형의 안티바이러스(rogue 안티바이러스 또는 rogueware)의 광범위한 사용을 보고하기 시작했습니다. 실제로 이러한 프로그램은 바이러스 백신이 전혀 아니거나(즉, 맬웨어와 싸울 수 없음) 심지어 바이러스(데이터를 훔치는 신용 카드등.).

악성 안티바이러스는 사용자를 속여 돈을 갈취하는 데 사용됩니다. 가짜 바이러스 백신으로 PC를 감염시키는 한 가지 방법은 다음과 같습니다. 사용자는 "감염된" 사이트로 이동하여 "컴퓨터에서 바이러스가 발견되었습니다."와 같은 경고 메시지가 표시됩니다. 그런 다음 사용자에게 무료 프로그램(가짜 안티바이러스)을 다운로드하여 바이러스를 제거하라는 메시지가 표시됩니다. 설치 후 거짓 바이러스 백신은 PC를 검사하고 컴퓨터에서 많은 바이러스를 감지한다고 가정합니다. 맬웨어를 제거하기 위해 가짜 바이러스 백신은 유료 버전의 프로그램을 구매할 것을 제안합니다. 충격을 받은 사용자는 비용을 지불하고($50 ~ $80) 가짜 바이러스 백신은 존재하지 않는 바이러스로부터 PC를 치료합니다.

SIM, 플래시 카드 및 USB 장치의 바이러스 백신

오늘날 생산되는 휴대폰은 다양한 인터페이스와 데이터 전송 기능을 갖추고 있습니다. 사용자는 작은 장치를 연결하기 전에 보호 방법을 주의 깊게 연구해야 합니다.

USB 장치 또는 SIM의 바이러스 백신과 같은 하드웨어와 같은 보호 방법이 소비자에게 더 적합합니다. 휴대 전화. 휴대폰에 바이러스 백신 프로그램을 설치하는 방법에 대한 기술적 평가 및 검토는 해당 휴대폰의 다른 합법적인 응용 프로그램에 영향을 줄 수 있는 검사 프로세스로 간주되어야 합니다.

바이러스 백신 프로그램소용량 메모리 영역에 안티바이러스가 내장된 SIM에서 휴대폰 사용자의 PIN과 정보를 보호하여 안티맬웨어/바이러스 보호를 제공합니다. 플래시 카드의 바이러스 백신을 통해 사용자는 정보를 교환하고 이러한 제품을 다양한 하드웨어 장치와 사용할 수 있을 뿐만 아니라 이 데이터를 다양한 통신 채널을 사용하여 다른 장치로 보낼 수 있습니다.

바이러스 백신, 모바일 장치 및 혁신적인 솔루션

앞으로 휴대폰이 바이러스에 감염될 가능성이 있습니다. 이 분야의 점점 더 많은 개발자가 바이러스와 싸우고 휴대전화를 보호하기 위해 바이러스 백신 프로그램을 제공합니다. 에 모바일 기기바이러스 제어에는 다음과 같은 유형이 있습니다.

– 프로세서 제한 사항

– 메모리 제한;

– 이러한 모바일 장치의 서명을 식별하고 업데이트합니다.

결론:안티바이러스 프로그램(안티바이러스)은 원래 악성 개체나 감염된 파일을 탐지 및 치료하고 파일이나 운영 체제가 악성 코드에 감염되는 것을 방지하는 프로그램입니다. 바이러스 백신 프로그램의 작동 원리에 따라 다음과 같은 바이러스 백신 분류가 있습니다. 감사자(IDS에 가까운 클래스) 파수꾼(상주 모니터 또는 필터); 백신(예방접종).

결론

최근 몇 년간 컴퓨터 기술의 발전은 경제, 무역 및 통신의 발전에 기여했을 뿐만 아니라; 효과적인 정보 교환을 제공할 뿐만 아니라 컴퓨터 범죄 가해자에게 고유한 툴킷도 제공했습니다. 컴퓨터화 과정이 심화될수록 컴퓨터 범죄의 성장은 더욱 현실화되고, 현대 사회컴퓨터 범죄의 경제적 결과를 느낄 뿐만 아니라 컴퓨터화에 점점 더 의존하게 됩니다. 이러한 모든 측면은 정보 보호에 점점 더 많은 관심을 기울일 필요가 있습니다. 추가 개발현장의 입법적 틀 정보 보안. 조치의 전체 복합체는 국가 정보 자원의 보호로 축소되어야 합니다. 정보 자원의 형성 및 사용에서 발생하는 관계의 규제; 생성 및 사용 정보 기술; 정보 처리에 참여하는 주체의 정보 및 권리 보호; 또한 법률에서 사용되는 기본 개념을 정의합니다.

교도소 시스템 보안 및 호송 조직학과 부교수

기술 과학 후보자

내부 서비스 V.G. 중령 자루스키

바이러스로부터의 보호를 위해서는 일반적인 정보보호 및 예방조치가 매우 중요하지만 전문적인 프로그램의 사용이 필요합니다. 이러한 프로그램은 여러 유형으로 나눌 수 있습니다.

? 탐지 프로그램은 디스크의 파일에 알려진 바이러스에 대한 특정 바이트 조합(서명)이 포함되어 있는지 확인하고 이를 사용자(VirusScan/SCAN/McAfee Associates)에게 보고합니다.
? 닥터 프로그램 또는 파지는 서식지(감염된 파일)의 복원 여부와 상관없이 감염된 프로그램에서 바이러스의 몸체를 "물어내어" 감염된 프로그램을 "치료"합니다. SCAN 프로그램의 치료 모듈인 CLEAN 프로그램입니다.
? 의사 탐지 프로그램(Lozinsky의 Aidstest, Danilov의 Doctor Web, MSAV, Norton Antivirus, Kaspersky의 AVP)은 디스크에서 알려진 바이러스의 존재를 탐지하고 감염된 파일을 치료할 수 있습니다. 오늘날 가장 일반적인 바이러스 백신 프로그램 그룹입니다.

가장 간단한 경우 바이러스에 대한 디스크 내용을 확인하는 명령은 다음과 같습니다. aidstest / switch1 / switch 2 / switch 3 /---

? 필터 프로그램(파수꾼)은 PC의 RAM에 있으며 바이러스가 증식하고 피해를 입히는 데 사용되는 운영 체제 호출을 가로채 사용자에게 보고합니다.
- 메인 OS COMMAND.COM 파일을 손상시키려는 시도;
- 일부 프로그램이 디스크에 복사를 시도하고 있다는 메시지가 표시되는 동안 디스크에 직접 쓰기를 시도합니다(이전 레코드가 삭제됨).
- 디스크 포맷,
- 메모리에 프로그램의 상주 배치.

이러한 작업 중 하나의 시도를 감지하면 필터 프로그램은 사용자에게 상황에 대한 설명을 제공하고 사용자가 확인하도록 요구합니다. 사용자는 이 작업을 활성화하거나 비활성화할 수 있습니다. 바이러스의 동작 특성에 대한 제어는 해당 인터럽트의 핸들러를 교체하여 수행됩니다. 이러한 프로그램의 단점은 침입성(예를 들어 감시자는 실행 파일을 복사하려는 시도에 대해 경고를 발행함), 다른 소프트웨어와의 충돌 가능성, 일부 바이러스에 의한 감시 장치 우회를 포함합니다. 필터의 예: Anti4us, Vsafe, 디스크 모니터.

오늘날 의사 탐지기 클래스의 많은 프로그램에는 DR Web, AVP, Norton Antivirus와 같은 필터(감시자)와 같은 상주 모듈도 있습니다. 따라서 이러한 프로그램은 의사-검출기-저장소로 분류될 수 있습니다.

? 하드웨어 및 소프트웨어 안티바이러스 도구(하드웨어 및 소프트웨어 복합 보안관). 감시 프로그램과 동등한 수준의 하드웨어 및 소프트웨어 바이러스 백신 도구는 시스템에 바이러스가 침투하는 것을 보다 안정적으로 보호합니다. 이러한 컴플렉스는 마더보드에 마이크로 회로 형태로 설치된 하드웨어와 디스크에 기록되는 소프트웨어의 두 부분으로 구성됩니다. 하드웨어 부분(컨트롤러)은 디스크에 대한 모든 쓰기 작업을 추적하고, 소프트웨어 부분은 RAM에 상주하여 모든 정보 입력/출력 작업을 추적합니다. 그러나 이러한 도구를 사용할 가능성은 디스크 컨트롤러, 모뎀 또는 네트워크 카드와 같이 PC에서 사용되는 추가 장비의 구성 측면에서 신중한 고려가 필요합니다.
? 감사 프로그램(Adinf/Advanced Disk infoscope/경화 블록 ADinf Cure Module Bridge 포함). 프로그램 감사인은 두 단계의 작업을 수행합니다. 첫째, 프로그램 및 디스크 시스템 영역(부트 섹터 및 하드 디스크 파티션 테이블이 있는 섹터를 논리 파티션에 저장)의 상태에 대한 정보를 저장합니다. 현재 디스크의 프로그램 및 시스템 영역은 감염되지 않은 것으로 가정합니다. 그런 다음 시스템 영역 및 디스크를 원본과 비교할 때 불일치가 발견되면 사용자에게 보고합니다. 감사 프로그램은 보이지 않는(STEALTH) 바이러스를 탐지할 수 있습니다. 파일의 길이를 확인하는 것만으로는 충분하지 않으며 일부 바이러스는 감염된 파일의 길이를 변경하지 않습니다. 보다 안정적인 검사는 전체 파일을 읽고 해당 체크섬(비트별로)을 계산하는 것입니다. 체크섬이 동일하게 유지되도록 전체 파일을 변경하는 것은 거의 불가능합니다. 감사자의 사소한 단점은 보안을 위해 AUTOEXEC.BAT 파일에서 매일 호출하는 것과 같이 정기적으로 사용해야 한다는 사실입니다. 그러나 의심의 여지가 없는 장점은 검사 속도가 빠르고 검사가 필요하지 않다는 것입니다. 잦은 업데이트버전. 6개월 전에도 감사 버전은 최신 바이러스를 안정적으로 탐지하고 제거합니다.
? 프로그램 백신 또는 예방접종(CPAV). 백신 프로그램은 프로그램의 작동에 영향을 주지 않는 방식으로 프로그램과 디스크를 수정하지만, 백신을 접종하는 바이러스는 이러한 프로그램과 디스크가 이미 감염된 것으로 간주합니다. 이러한 프로그램은 충분히 효율적이지 않습니다.

일반적으로 바이러스로부터 보호하는 전략은 다단계 "계층화된" 방어로 정의할 수 있습니다. 구조적으로는 이렇게 보일 수 있습니다. 바이러스에 대한 "방어"의 정찰 수단은 바이러스 존재에 대해 새로받은 소프트웨어를 결정할 수있는 탐지기 프로그램에 해당합니다. 방어의 최전선에는 컴퓨터 메모리에 상주하는 필터 프로그램이 있습니다. 이러한 프로그램은 바이러스의 작동을 가장 먼저 보고할 수 있습니다. "방어"의 두 번째 단계는 감사 프로그램으로 구성됩니다. 감사관은 최전선 방어선을 통해 "유출"한 경우에도 바이러스의 공격을 감지합니다. 닥터 프로그램은 감염된 프로그램의 복사본이 아카이브에 없는 경우 감염된 프로그램을 복원하는 데 사용되지만 항상 올바르게 치료되는 것은 아닙니다. 의사-감사인은 바이러스의 공격을 감지하고 감염된 프로그램을 치료하고 치료의 정확성을 제어합니다. 가장 깊은 방어 계층은 액세스 제어 수단입니다. 바이러스 및 오작동 프로그램이 PC에 침투하더라도 중요한 데이터를 손상시키는 것을 허용하지 않습니다. "전략적 준비금"에는 정보의 보관 사본과 소프트웨어 제품이 포함된 "참조" 디스켓이 들어 있습니다. 손상된 경우 정보를 복구할 수 있습니다.

각 바이러스 유형의 유해한 영향은 매우 다양할 수 있습니다. 여기에는 중요한 파일이나 BIOS "펌웨어"까지 삭제하고, 암호와 같은 개인 정보를 특정 주소로 전송하고, 승인되지 않은 이메일을 구성하고 일부 사이트에 대한 공격이 포함됩니다. 휴대 전화를 통해 유료 번호로 전화 걸기를 시작할 수도 있습니다. 숨겨진 관리 유틸리티(백도어)는 전체 컴퓨터 제어 권한을 공격자에게 이전할 수도 있습니다. 다행히도 이러한 모든 문제는 성공적으로 처리될 수 있으며 이 싸움의 주요 무기는 물론 바이러스 백신 소프트웨어가 될 것입니다.

카스퍼스키 안티 바이러스. 아마도 "Kaspersky Anti-Virus"는 러시아에서 이러한 유형의 가장 유명한 제품이며 "Kaspersky"라는 이름은 악성 코드와의 대명사가 되었습니다. 같은 이름의 연구소는 보안 소프트웨어의 새 버전을 지속적으로 출시할 뿐만 아니라 컴퓨터 사용자 간의 교육 작업도 수행합니다. Kaspersky Anti-Virus의 최신 9번째 버전은 이전 릴리스와 마찬가지로 필요한 모든 유틸리티를 하나의 창에 결합하는 간단하고 최대한 투명한 인터페이스를 제공합니다. 설치 마법사와 직관적인 메뉴 옵션 덕분에 초보 사용자도 이 제품을 설정할 수 있습니다. 사용된 알고리즘의 힘은 전문가들도 만족할 것입니다. 탐지된 각 바이러스에 대한 자세한 설명은 프로그램에서 직접 인터넷의 해당 페이지를 호출하면 확인할 수 있습니다.

박사 편물. Kaspersky Anti-Virus에 필적하는 인기 있는 또 다른 러시아 바이러스 백신은 Dr. 편물. 평가판에는 흥미로운 기능이 있습니다. 인터넷을 통한 필수 등록이 필요합니다. 한편으로 이것은 매우 좋습니다. 등록 직후 안티 바이러스 데이터베이스가 업데이트되고 사용자는 서명에 대한 최신 데이터를 받습니다. 반면에 체험판을 오프라인으로 설치하는 것은 불가능하며, 경험에서 알 수 있듯이 불안정한 연결로 인한 문제는 불가피하다.

Panda Antivirus + Firewall 2007. Panda Antivirus + Firewall 2007은 컴퓨터 보안 분야의 포괄적인 솔루션입니다. 안티바이러스 프로그램 외에도 네트워크 활동을 모니터링하는 방화벽이 포함되어 있습니다. 메인 프로그램 창의 인터페이스는 "자연스러운" 녹색 톤으로 설계되었지만 시각적인 매력에도 불구하고 메뉴 탐색 시스템이 불편하게 구성되어 있으며 초보자 사용자는 설정에서 혼동을 일으킬 수 있습니다.

Panda 패키지에는 다음과 같은 여러 원본 솔루션이 한 번에 포함되어 있습니다. 독점 기술알려지지 않은 위협 탐지 TruePrevent는 가장 진보된 휴리스틱 알고리즘을 기반으로 합니다. 컴퓨터 취약점을 찾는 유틸리티에 주목할 가치가 있습니다. 보안 시스템의 "구멍" 위험을 평가하고 필요한 업데이트를 다운로드하도록 제안합니다.

Norton Antivirus 2005. 유명한 회사 Symantec 제품의 주요 인상 - Norton Antivirus 2005 컴퓨팅 시스템. 사용자 작업에 대한 Norton Antivirus 2005 인터페이스의 응답이 눈에 띄게 지연됩니다. 또한 설치하는 동안 운영 체제 버전에 다소 엄격한 요구 사항을 부과하고 인터넷 익스플로러. Dr.Web과 달리 Norton Antivirus는 설치하는 동안 바이러스 데이터베이스의 필수 업데이트를 요구하지 않지만 전체 작동 시간 동안 바이러스 데이터베이스가 오래되었음을 알려줍니다.

맥아피 바이러스스캔. 흥미로운 안티바이러스 제품인 McAfee VirusScan은 개발자에 따르면 세계 1위 스캐너로, 유사한 응용 프로그램 중에서 배포 크기(40MB 이상)가 크기 때문에 테스트 대상으로 선택되었습니다. 이 값이 광범위한 기능으로 인한 것이라고 가정하고 설치를 진행한 결과 안티바이러스 스캐너 외에도 방화벽과 하드 드라이브를 청소하고 하드 드라이브에서 개체 제거를 보장하는 유틸리티가 포함되어 있음을 발견했습니다. 드라이브(파일 분쇄기).

6장과 7장에 대한 질문

1. 정보 보안 도구 및 기술 개발 단계.
2. 표준 보안 모델의 구성요소.
3. 보안 위협의 출처 및 분류.
4. 정보 보안에 대한 의도하지 않은 위협.
5. 정보 보안에 대한 고의적 위협.
6. 정보유출경로의 분류
7. 정보 보안 문제의 규제.
8. 정보 보호 국가 시스템의 구조.
9. 정보보호의 방법 및 수단
10. 데이터 보안 위협의 분류.
11. 바이러스로부터 정보를 보호하는 방법.
12. 무결성 관리 방법.
13. 컴퓨터 바이러스의 분류.
14. 바이러스에 대한 보호 수단.
15. 예방적 항바이러스 조치.
16. 소프트웨어 안티바이러스 제품의 분류.

안티바이러스 보호는 기업 부문에서 IT 인프라의 정보 보안을 보장하기 위한 가장 일반적인 수단입니다. 그러나 Kaspersky Lab이 분석 회사인 B2B International과 함께 수행한 연구(2013년 가을)에 따르면 러시아 기업의 74%만이 안티바이러스 보호 솔루션을 사용합니다.

보고서는 또한 단순한 안티바이러스로 기업을 보호하는 사이버 위협이 폭발적으로 증가함에 따라 러시아 기업이 점점 더 복잡한 보호 도구를 사용하고 있다고 밝혔습니다. 주로 이러한 이유로 이동식 미디어에서 데이터 암호화 도구 사용이 7%(24%) 증가했습니다. 또한 기업은 이동식 장치에 대한 보안 정책을 더욱 기꺼이 구분하게 되었습니다. IT 인프라의 다른 부분에 대한 액세스 수준의 차별화도 증가했습니다(49%). 동시에 중소기업은 이동식 장치 제어(35%) 및 애플리케이션 제어(31%)에 더 많은 관심을 기울입니다.

연구원들은 또한 소프트웨어의 새로운 취약점이 지속적으로 발견되었음에도 불구하고 러시아 기업들이 여전히 정기적인 소프트웨어 업데이트에 충분한 주의를 기울이지 않는다는 사실을 발견했습니다. 게다가 패치 조직의 수도 작년보다 59%로 줄었습니다.

최신 안티 바이러스 프로그램은 프로그램 파일 및 문서 내의 악성 개체를 효과적으로 탐지할 수 있습니다. 경우에 따라 바이러스 백신은 감염된 파일에서 악성 개체의 본문을 제거하여 파일 자체를 복원할 수 있습니다. 대부분의 경우 바이러스 백신은 무결성을 침해하지 않고 프로그램 파일뿐만 아니라 사무실 문서 파일에서도 악성 프로그램 개체를 제거할 수 있습니다. 안티 바이러스 프로그램의 사용은 높은 자격을 요구하지 않으며 거의 모든 컴퓨터 사용자가 사용할 수 있습니다.

대부분의 안티바이러스 프로그램은 실시간 보호(바이러스 모니터)와 주문형 보호(바이러스 스캐너)를 결합합니다.

안티바이러스 등급

2019년: Android용 바이러스 백신의 3분의 2가 쓸모가 없었습니다.

2019년 3월, 안티바이러스 소프트웨어 테스트를 전문으로 하는 오스트리아 연구소인 AV-Comparatives는 이러한 대부분의 Android 프로그램이 무용지물임을 보여주는 연구 결과를 발표했습니다.

Google Play 스토어의 공식 카탈로그에 있는 23개의 바이러스 백신만이 100%의 경우에 맬웨어를 정확하게 인식합니다. 나머지 소프트웨어는 모바일 위협에 대응하지 않거나 절대적으로 안전한 애플리케이션을 사용합니다.

전문가들은 250개의 안티바이러스를 연구했으며 그 중 80%만이 맬웨어의 30% 이상을 탐지할 수 있다고 보고했습니다. 따라서 170개의 응용 프로그램이 테스트에 실패했습니다. 테스트를 통과한 제품은 주로 Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro, Trustwave 등 대형 제조업체의 솔루션이었습니다.

실험의 일환으로 연구원들은 별도의 장치(에뮬레이터 없이)에 각 바이러스 백신 응용 프로그램을 설치하고 장치를 자동화하여 브라우저를 실행하고 맬웨어를 다운로드한 다음 설치했습니다. 각 장치는 2018년에 가장 널리 퍼진 Android 바이러스 2,000개에 대해 테스트되었습니다.

AV-Comparatives의 계산에 따르면 대부분의 Android 바이러스 백신 솔루션은 위조품입니다. 수십 개의 응용 프로그램이 거의 동일한 인터페이스를 가지고 있으며 해당 응용 프로그램의 제작자는 작동하는 바이러스 스캐너를 작성하는 것보다 광고를 표시하는 데 분명히 더 관심이 있습니다.

일부 바이러스 백신은 "허용 목록"에 포함되지 않은 모든 응용 프로그램에서 위협을 "확인"합니다. 이 때문에 개발자들이 "화이트리스트"에서 해당 파일을 언급하는 것을 잊었기 때문에 매우 일화적인 많은 경우에 개발자가 자신의 파일 때문에 경보를 발령했습니다.

2017: Microsoft Security Essentials는 최악의 바이러스 백신 중 하나로 인식됩니다.

2017년 10월, 독일 안티바이러스 연구소 AV-Test는 종합적인 안티바이러스 테스트 결과를 발표했습니다. 연구에 따르면 악의적인 활동으로부터 보호하도록 설계된 Microsoft의 독점 소프트웨어는 제 기능을 수행하는 데 거의 최악입니다.

2017년 7~8월에 실시한 테스트 결과에 따르면, AV-Test 전문가들은 카스퍼스키 인터넷 시큐리티(Kaspersky Internet Security)를 Windows 7용 최고의 바이러스 백신으로 선정했으며, 보호 수준, 성능 및 사용 용이성 평가에서 18점을 받았습니다.

상위 3개에는 트렌드마이크로 인터넷 시큐리티와 비트디펜더 인터넷 시큐리티가 포함되어 각각 17.5점을 받았습니다. 연구에 포함된 다른 바이러스 백신 회사의 제품 위치는 아래 그림에서 확인할 수 있습니다.

많은 스캐너는 또한 발견적 스캐닝 알고리즘을 사용합니다. i. 검사된 개체의 명령 시퀀스 분석, 일부 통계 수집 및 검사된 각 개체에 대한 의사 결정.

스캐너는 범용 및 특수의 두 가지 범주로 나눌 수도 있습니다. 범용 스캐너는 스캐너가 작동하도록 설계된 운영 체제에 관계없이 모든 유형의 바이러스를 검색하고 무력화하도록 설계되었습니다. 특수 스캐너는 제한된 수의 바이러스 또는 매크로 바이러스와 같은 한 종류의 바이러스만 무력화하도록 설계되었습니다.

스캐너는 또한 즉석에서 스캔하는 상주(모니터)와 요청 시에만 시스템을 확인하는 비 상주로 나뉩니다. 일반적으로 상주 스캐너는 바이러스 출현에 즉시 반응하기 때문에 보다 안정적인 시스템 보호를 제공하는 반면, 비 상주 스캐너는 다음 실행 중에만 바이러스를 식별할 수 있습니다.

CRC 스캐너

CRC 스캐너의 작동 원리는 디스크에 있는 파일/시스템 섹터에 대한 CRC 합계(체크섬) 계산을 기반으로 합니다. 이러한 CRC 합계는 파일 길이, 마지막 수정 날짜 등과 같은 기타 정보와 함께 바이러스 백신 데이터베이스에 저장됩니다. 다음에 CRC 스캐너가 실행될 때 실제 계산된 값으로 데이터베이스에 포함된 데이터를 확인합니다. 데이터베이스에 기록된 파일 정보가 실제 값과 일치하지 않으면 CRC 스캐너는 파일이 수정되었거나 바이러스에 감염되었음을 알립니다.

CRC 스캐너는 시스템에 바이러스가 나타나는 순간에는 잡을 수 없지만 바이러스가 컴퓨터 전체에 퍼진 후 일정 시간이 지난 후에야 탐지할 수 있습니다. CRC 스캐너는 데이터베이스에 이러한 파일에 대한 정보가 없기 때문에 새 파일(이메일, 플로피 디스크, 백업에서 복원된 파일 또는 아카이브에서 파일 압축 풀기)에서 바이러스를 감지할 수 없습니다. 또한 CRC 스캐너의 이러한 약점을 이용하여 새로 생성된 파일만 감염시켜 보이지 않는 상태로 유지하는 바이러스가 주기적으로 나타납니다.

차단기

안티바이러스 차단기는 바이러스가 위험한 상황을 차단하고 사용자에게 이를 알리는 상주 프로그램입니다. 바이러스에 위험한 호출에는 실행 파일 쓰기를 위한 열기 호출, 디스크의 부트 섹터 또는 하드 드라이브의 MBR 쓰기, 프로그램이 상주 상태로 유지하려는 시도 등이 포함됩니다. 재생산의 시간.

차단제의 장점은 번식의 가장 초기 단계에서 바이러스를 탐지하고 차단하는 능력을 포함합니다. 단점은 차단기의 보호를 우회하는 방법의 존재와 다수의 오탐(false positive)을 포함합니다.

면역제

예방 접종은 감염 보고 예방 접종과 감염 차단 예방 접종의 두 가지 유형으로 나뉩니다. 첫 번째 파일은 일반적으로 파일 끝에 기록되며(파일 바이러스 원칙에 따라) 파일이 실행될 때마다 변경 사항이 있는지 확인합니다. 이러한 면역기의 단점은 단 하나지만 치명적입니다. 스텔스 바이러스 감염을 보고할 수 없다는 것입니다. 따라서 이러한 면역제와 차단제는 현재 실제로 사용되지 않습니다.

두 번째 유형의 예방 접종은 특정 유형의 바이러스에 의한 공격으로부터 시스템을 보호합니다. 디스크의 파일은 바이러스가 이미 감염된 파일을 가져오는 방식으로 수정됩니다. 상주하는 바이러스로부터 보호하기 위해 바이러스의 복사본을 모방하는 프로그램이 컴퓨터의 메모리에 입력됩니다. 시작될 때 바이러스는 우연히 발견되어 시스템이 이미 감염되었다고 생각합니다.

알려진 모든 바이러스에 대해 파일을 면역화하는 것은 불가능하기 때문에 이러한 유형의 면역화는 보편적일 수 없습니다.

시간 변동성을 기반으로 한 바이러스 백신 분류

Valery Konyavsky에 따르면 바이러스 백신 도구는 데이터 분석과 프로세스 분석이라는 두 개의 큰 그룹으로 나눌 수 있습니다.

데이터 분석

데이터 분석에는 감사자와 폴리파지가 포함됩니다. 감사자는 컴퓨터 바이러스 및 기타 악성 프로그램 활동의 결과를 분석합니다. 변경해서는 안 되는 데이터의 변경 결과가 표시됩니다. 감사자 입장에서 악성 프로그램의 활동을 나타내는 것은 데이터 변경 사실입니다. 즉, 감사인은 데이터의 무결성을 제어하고 무결성을 위반하는 경우 컴퓨터 환경에 맬웨어가 있는지 여부를 결정합니다.

폴리파지는 다르게 작용합니다. 데이터 분석을 기반으로 악성 코드 조각(예: 서명으로)을 식별하고 이를 기반으로 악성 프로그램의 존재에 대한 결론을 내립니다. 바이러스에 감염된 데이터를 삭제하거나 치료하면 맬웨어 실행의 부정적인 결과를 방지하는 데 도움이 됩니다. 따라서 정적 분석을 기반으로 역학에서 발생하는 결과가 방지됩니다.

감사자와 다세포의 작업 방식은 거의 동일합니다. 데이터(또는 체크섬)를 하나 이상의 참조 샘플과 비교하는 것입니다. 데이터는 데이터와 비교됩니다. 따라서 컴퓨터에서 바이러스를 찾으려면 활동의 결과가 나타나도록 이미 작동해야 합니다. 이 방법은 코드 조각이나 서명이 이전에 설명된 알려진 바이러스만 찾을 수 있습니다. 그러한 보호가 신뢰할 수 있다고 할 수는 없습니다.

공정 분석

프로세스 분석을 기반으로 하는 안티바이러스 도구는 약간 다르게 작동합니다. 위에서 설명한 것과 같은 휴리스틱 분석기는 데이터(디스크, 채널, 메모리 등)를 분석합니다. 근본적인 차이점은 분석 중인 코드가 데이터가 아니라 명령이라는 가정 하에 분석이 수행된다는 점입니다(von Neumann 아키텍처를 사용하는 컴퓨터에서는 데이터와 명령을 구별할 수 없으므로 하나 또는 다른 가정이 제시되어야 합니다. 분석 중.)

휴리스틱 분석기는 일련의 작업을 선택하고 각 작업에 특정 위험 등급을 할당하며 전체 위험에 따라 이 작업 시퀀스가 악성 코드의 일부인지 여부를 결정합니다. 코드 자체는 실행되지 않습니다.

프로세스 분석을 기반으로 하는 다른 유형의 안티바이러스 도구는 행동 차단기입니다. 이 경우 의심스러운 코드는 코드에 의해 시작된 일련의 작업이 위험한(또는 안전한) 동작으로 평가될 때까지 단계별로 실행됩니다. 이 경우 보다 간단한 데이터 분석 방법으로 악성코드의 완성 여부를 탐지할 수 있기 때문에 코드가 부분적으로 실행된다.

바이러스 탐지 기술

바이러스 백신에 사용되는 기술은 두 그룹으로 나눌 수 있습니다.

서명 분석 기술
확률 분석 기술

서명 분석 기술

바이러스 서명의 유능한 구현을 통해 알려진 바이러스를 100% 확실하게 탐지할 수 있습니다.

확률 분석 기술

확률 분석 기술은 차례로 세 가지 범주로 나뉩니다.

휴리스틱 분석
행동 분석
체크섬 분석

휴리스틱 분석

휴리스틱 분석은 알려지지 않은 바이러스를 탐지하는 데 사용되며 결과적으로 치료가 필요하지 않습니다. 이 기술앞에 있는 바이러스를 100% 판별할 수 없으며 모든 확률 알고리즘과 마찬가지로 오탐으로 죄를 짓습니다.

행동 분석

또한 행동 분석기는 파일에 직접 액세스하려는 시도, 플로피 디스크의 부트 레코드 변경, 하드 드라이브 포맷 등을 추적할 수 있습니다.

체크섬 분석

체크섬 분석은 컴퓨터 시스템 개체의 변경 사항을 추적하는 방법입니다. 동시성, 대량 특성, 파일 길이의 동일한 변경 등 변경 특성의 분석을 기반으로 시스템이 감염되었다고 결론지을 수 있습니다. 행동 분석기와 마찬가지로 체크섬 분석기(변경 감사기라고도 함)는 작업에 추가 개체를 사용하지 않으며 전문가 평가 방법으로만 시스템에 바이러스가 있는지 여부를 판단합니다. 유사한 기술이 액세스 스캐너에 사용됩니다. 첫 번째 검사 중에 파일에서 체크섬을 가져와 캐시에 저장하고, 다음 동일한 파일을 검사하기 전에 체크섬을 다시 가져와서 비교하고, 변경 사항이 없으면 파일은 감염되지 않은 것으로 간주됩니다.

안티바이러스 복합체

안티바이러스 컴플렉스 - 컴퓨터 시스템의 안티바이러스 보안을 보장하는 데 있어 실질적인 문제를 해결하도록 설계된 동일한 안티바이러스 엔진 또는 엔진을 사용하는 안티바이러스 세트입니다. 안티바이러스 컴플렉스에는 안티바이러스 데이터베이스를 업데이트하기 위한 도구도 포함되어 있습니다.

또한, 안티바이러스 컴플렉스에는 안티바이러스 엔진을 사용하지 않는 행동 분석기 및 변경 감사자가 추가로 포함될 수 있습니다.

다음과 같은 유형의 안티바이러스 복합체가 있습니다.

워크스테이션 보호를 위한 안티바이러스 콤플렉스
파일 서버 보호를 위한 안티바이러스 콤플렉스
메일 시스템 보호를 위한 안티바이러스 콤플렉스
게이트웨이 보호를 위한 안티바이러스 콤플렉스.

클라우드 대 기존 데스크톱 바이러스 백신: 무엇을 선택해야 합니까?

(Webroot.com 리소스에 따르면)

안티바이러스 도구의 현대 시장은 주로 데스크탑 시스템을 위한 전통적인 솔루션으로, 시그니처 기반 방법을 기반으로 구축된 보호 메커니즘입니다. 안티바이러스 보호의 다른 방법은 휴리스틱 분석을 사용하는 것입니다.

기존 안티바이러스 소프트웨어의 문제

최근 몇 년 동안 전통적인 안티바이러스 기술은 여러 가지 요인으로 인해 점점 덜 효과적이 되었고 빠르게 쓸모 없게 되었습니다. 시그니처로 식별되는 바이러스 위협의 수는 이미 너무 많아 사용자 컴퓨터에서 시그니처 데이터베이스를 적시에 100% 업데이트하는 것이 비현실적인 작업인 경우가 많습니다. 해커와 사이버 범죄자들은 제로데이 바이러스 위협의 확산을 가속화하기 위해 봇넷 및 기타 기술을 점점 더 많이 사용하고 있습니다. 또한 표적 공격 시 해당 바이러스의 시그니처가 생성되지 않습니다. 마지막으로 새로운 안티바이러스 탐지 기술이 사용됩니다: 맬웨어 암호화, 서버 측 다형성 바이러스 생성, 바이러스 공격 품질의 예비 테스트.

기존의 안티바이러스 보호는 대부분 "일반 클라이언트" 아키텍처에 구축됩니다. 이는 클라이언트 컴퓨터에 많은 프로그램 코드가 설치되어 있음을 의미합니다. 들어오는 데이터를 확인하고 바이러스 위협의 존재를 감지합니다.

이 접근 방식에는 여러 가지 단점이 있습니다. 첫째, 맬웨어를 검색하고 서명을 일치시키려면 상당한 계산 부하가 필요하며, 이는 사용자로부터 "제거"됩니다. 결과적으로 컴퓨터의 생산성이 저하되고 바이러스 백신의 작동이 적용된 작업의 병렬 실행을 방해하는 경우가 있습니다. 때때로 사용자 시스템의 부하가 너무 커서 사용자가 안티바이러스 프로그램을 꺼서 잠재적인 바이러스 공격에 대한 장벽을 제거합니다.

둘째, 사용자 컴퓨터에서 업데이트할 때마다 수천 개의 새 서명을 전송해야 합니다. 전송되는 데이터의 양은 일반적으로 시스템당 하루에 5MB 정도입니다. 데이터 전송은 네트워크 속도를 늦추고 추가 시스템 리소스를 전환하며 다음 작업을 수행해야 합니다. 시스템 관리자트래픽을 제어합니다.

셋째, 로밍 또는 고정된 작업 장소를 벗어나 있는 사용자는 제로 데이 공격에 대해 무방비 상태입니다. 업데이트된 서명 부분을 받으려면 원격으로 액세스할 수 없는 VPN 네트워크에 연결해야 합니다.

클라우드에서 안티바이러스 보호

클라우드에서 안티바이러스 보호로 전환하면 솔루션 아키텍처가 크게 변경됩니다. "경량" 클라이언트가 사용자의 컴퓨터에 설치되며 주요 기능은 새 파일을 검색하고 해시 값을 계산하며 데이터를 클라우드 서버로 보내는 것입니다. 클라우드에서는 수집된 서명의 대규모 데이터베이스에서 본격적인 비교가 수행됩니다. 이 데이터베이스는 안티바이러스 회사에서 전송한 데이터로 지속적으로 적시에 업데이트됩니다. 클라이언트는 감사 결과가 포함된 보고서를 받습니다.

따라서 안티바이러스 보호의 클라우드 아키텍처에는 다음과 같은 많은 이점이 있습니다.

사용자 컴퓨터의 계산량은 씩 클라이언트에 비해 무시할 수 있으므로 사용자의 생산성이 떨어지지 않습니다.
네트워크 대역폭에 대한 안티바이러스 트래픽의 치명적인 영향은 없습니다. 데이터의 압축된 부분이 전송되어야 하며, 여기에는 수십 개의 해시 값만 포함되며 평균 일일 트래픽은 120KB를 초과하지 않습니다.
클라우드 스토리지에는 사용자 컴퓨터에 저장된 것보다 훨씬 더 큰 서명 배열이 포함되어 있습니다.
클라우드에서 사용되는 서명 비교 알고리즘은 로컬 스테이션 수준에서 사용되는 단순화된 모델보다 훨씬 더 지능적이며, 더 높은 성능으로 인해 데이터 비교에 더 적은 시간이 소요됩니다.
클라우드 기반 바이러스 백신 서비스는 바이러스 백신 연구소, 보안 개발자, 기업 및 개인 사용자로부터 받은 실제 데이터와 함께 작동합니다. 제로 데이 위협은 사용자 컴퓨터에 액세스해야 하므로 지연 없이 인식과 동시에 차단됩니다.
로밍 중이거나 주요 작업장에 액세스할 수 없는 사용자는 인터넷 액세스와 동시에 제로 데이 공격으로부터 보호받습니다.
시스템 관리자의 부담이 줄어듭니다. 사용자의 컴퓨터에 안티바이러스 소프트웨어를 설치하고 서명 데이터베이스를 업데이트하는 데 시간을 할애할 필요가 없습니다.

기존 안티바이러스가 실패하는 이유

최신 악성 코드는 다음을 수행할 수 있습니다.

회사를 위한 특수 대상 바이러스를 생성하여 바이러스 백신 트랩 우회
안티바이러스는 서명을 생성하기 전에 다형성을 사용하여 회피하고 동적 DNS 및 URL을 사용하여 트랜스코딩합니다.

회사를 위한 타겟 생성
다형성
누구에게도 알려지지 않은 코드 - 서명 없음

방어하기 어렵다

2011년의 고속 바이러스 백신

러시아 독립 정보 및 분석 센터 Anti-Malware.ru가 2011년 5월에 발표한 또 다른 결과 비교 테스트성능 및 시스템 리소스 소비에 대해 가장 많이 사용되는 20가지 바이러스 백신.

이 테스트의 목적은 컴퓨터에서 사용자의 일반적인 작업에 가장 적은 영향을 미치는 개인용 바이러스 백신을 보여주고 작업 속도를 낮추며 최소량의 시스템 리소스를 소비하는 것입니다.

안티바이러스 모니터(실시간 스캐너) 중에서 Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro 및 Dr.Web과 같은 전체 제품 그룹이 매우 높은 성능을 보였습니다. 이러한 안티바이러스가 탑재되어 테스트 컬렉션 복사 속도가 벤치마크에 비해 20% 미만이었습니다. 안티바이러스 모니터 BitDefender, PC Tools, Outpost, F-Secure, Norton 및 Emsisoft도 30-50% 범위 내로 성능 면에서 높은 결과를 보였습니다. 안티바이러스 모니터 BitDefender, PC Tools, Outpost, F-Secure, Norton 및 Emsisoft도 30-50% 범위 내로 성능 면에서 높은 결과를 보였습니다.

동시에 실제 조건에서 Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost 및 PC Tools는 후속 검사의 최적화로 인해 훨씬 더 빠를 수 있습니다.

Avira 바이러스 백신은 최고의 주문형 검색 속도를 보여주었습니다. 그 뒤에는 Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus 및 Outpost가 있었습니다. 첫 번째 스캔의 속도면에서 이러한 바이러스 백신은 리더보다 약간 열등한 동시에 반복되는 스캔을 최적화하기 위한 강력한 기술을 보유하고 있습니다.

바이러스 백신 속도의 또 다른 중요한 특성은 사용자가 자주 사용하는 응용 프로그램 작업에 미치는 영향입니다. 그 중 다섯 가지가 테스트를 위해 선택되었습니다: Internet Explorer, Microsoft 오피스 워드, Microsoft Outlook, Adobe Acrobat Reader 및 Adobe Photoshop. 이들의 출시에 있어 가장 작은 둔화는 사무 프로그램안티바이러스 Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost 및 G Data를 보여주었습니다.