Сравнение антивирусных программ. Антивирусы для Windows (архив) Сравнительная характеристика антивирусных программ таблица
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
Программы-детекторы;
Программы-доктора или фаги;
Программы-ревизоры;
Программы-фильтры;
Программы-вакцины или иммунизаторы.
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелсвирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
1. попытки коррекции файлов с расширениями COM, EXE;
2. изменение атрибутов файла;
4. запись в загрузочные сектора диска;
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.
Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.
Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами.
Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.
Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.
AntiViral Toolkit Pro
AVP имеет удобный пользовательский интерфейс, большое количество настроек, выбираемых пользователем, а также одну из самых больших в мире антивирусных баз, что гарантирует надежную защиту от огромного числа самых разнообразных вирусов.
В ходе работы AVP сканирует следующие области:
Оперативную память.
Файлы, включая архивные и упакованные.
Системные сектора, содержащие Master Boot Record, загрузочный сектор (Boot-сектор) и таблицу разбиения диска (Partition Table).
AntiViral Toolkit Pro имеет ряд особенностей, характеризующих его работу:
Детектирование и удаление огромного числа самых разнообразных вирусов, в том числе полиморфных или самошифрующихся вирусов; стелс-вирусов или вирусов-невидимок; макро вирусов, заражающих документы Word и таблицы Excel;
Сканирование внутри упакованных файлов (модуль Unpacking Engine);
Сканирование внутри архивных файлов (модуль Extracting Engine);
Сканирование объектов на гибких, локальных, сетевых и CD-ROM дисках;
Эвристический модуль Code Analyzer, необходимый для детектирования неизвестных вирусов;
Поиск в режиме избыточного сканирования;
Проверка объектов на наличие в них изменений;
- «AVP Monitor» - резидентный модуль, находящийся постоянно в оперативной памяти компьютера и отслеживающий все файловые операции в системе. Позволяет обнаружить и удалить вирус до момента реального заражения системы в целом;
Удобный пользовательский интерфейс;
Создание, сохранение и загрузка большого количества различных настроек;
Механизм проверки целостности антивирусной системы;
Мощная система помощи;
AVP Центр Управления - программа-оболочка, позволяющая организовать эффективную антивирусную защиту на ПК.
Опишем некоторые из них.
AVP Monitor представляет собой резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет его на наличие вируса. Таким образом, он позволяет обнаружить и удалить вирус до момента реального заражения системы.
Главное окно AVP Monitor содержит 5 вкладок: «Общие», «Объекты», «Действия», «Настройки», «Статистика». Перемещаясь по вкладкам и выбирая нужные опции, Вы можете изменять настройки программы.
Чтобы все произведенные Вами действия по выбору опций вступили в силу, нужно нажать кнопку «Применить» (в этом случае окно AVP Monitor останется открытым) или кнопку «OK» (в этом случае окно свернется в иконку) которые находятся в нижней части окна.
Вкладка «Общие»
В верхней части вкладки «Общие» содержится различная информация о программе (номер версии, дата последнего обновления и количество известных программе вирусов, регистрационная информация, информация о разработчиках). Нажав кнопку «Техническая поддержка», Вы получите информацию о каналах, по которым осуществляется техническая поддержка для легальных пользователей программы.
В нижней части вкладки находится флажок «Включить», с помощью которого можно включать или выключать монитор.
Кнопка «Выгрузить AVP Monitor» позволяет завершить работу программы.
Вкладка «Объекты»
Эта вкладка позволяет выбирать типы файлов, которые будут проверяться.
Вы можете выбрать один из типов файлов:
Программы по формату - проверять на наличие вируса только программы, т.е. объекты, имеющие внутренний формат выполняемых файлов, а также все файлы, имеющие расширения: BAT.COM.EXE.OV*.SYS.BIN.PRG. VxD.DLL.OLE.;
Программы по расширению - проверять все выполняемые файлы, имеющие расширения: *.BAT, *.COM, *.EXE, *.OV*, *.SYS, и т.д.
Все файлы - проверять все файлы, независимо от их внутреннего формата;
По маске - проверять файлы по маскам, задаваемым пользователем. Маски нужно вписывать в поле ввода через запятую. Например: *.EXE, *.COM, *.DOC.
Вкладка «Действия»
Вкладка «Действия» позволяет задавать действия AVP Monitor при обнаружении зараженного объекта. Вы можете выбрать одно из следующих действий:
Запрашивать пользователя о действии - если Вы выберите эту опцию, то при каждой попытке обращения к зараженному объекту будет появляться синий экран, содержащий информацию об этом зараженном объекте, имя вируса и запрос на лечение объекта: «Попытаться удалить вирус?» Нажмите клавишу
Лечить зараженные объекты автоматически - лечение зараженных объектов будет производиться автоматически, т.е. без какого-либо запроса;
Удалять зараженные объекты автоматически - все зараженные объекты будут автоматически удаляться при обращении к ним. Если выбрать эту опцию, появится предупреждающее сообщение: «Вы действительно хотите удалить ВСЕ зараженные объекты?» Нажмите кнопку «Да» для подтверждения действия, или кнопку «Нет» для возврата в главное окно AVP Monitor;
Запретить доступ к объекту - доступ к зараженным объектам будет запрещен.
Вкладка «Настройки»
Эта вкладка предоставляет возможность подключения дополнительных механизмов поиска вирусов, а также возможность создания файла отчета. Вы можете поставить следующие флажки:
Предупреждения - включить добавочный механизм проверки. При этом будет выводиться предупреждающее сообщение, если сканируемый файл или сектор содержит измененный или поврежденный вирус, а также, если в памяти компьютера обнаружена подозрительная последовательность машинных инструкций;
Анализатор кода - включить эвристический механизм «Code Analyzer», позволяющий обнаруживать новые, еще не известные программе вирусы;
Файл отчета - создать файл отчета, в который будет заноситься информация об обнаруженных зараженных объектах. В поле ввода рядом с флажком нужно указать имя файла отчета (по умолчанию «Avpm_rep.txt»);
Ограничение размера, Kb: - ограничить размер файла отчета числом Килобайт, указанных в соответствующем поле ввода (по умолчанию - 500 Kb).
Вкладка «Статистика»
В этой вкладке отображается (и динамически обновляется) информация о количестве:
Проверенных объектов;
Инфицированных объектов;
Предупреждений;
Подозрений на вирус;
Вылеченных объектов;
Удаленных объектов;
А также следующая информация:
Последний зараженный объект: - имя последнего зараженного объекта (с указанием пути);
Имя последнего вируса: название последнего найденного вируса.
Последний проверенный объект: - имя последнего проверенного объекта (с указанием пути);
Программа AVP Центр Управления
Возможность получения сводной информации о составе установленных компонент и их версиях облегчает общение пользователя со службой технической поддержки «Лаборатории Касперского» и позволяет своевременно принять решение о необходимости обновления. Использование функции автоматического обновления обеспечивает регулярную загрузку актуальных версий компонент и пополнение базы данных информацией о новых вирусах.
С помощью программы AVP Центр Управления Вы можете планировать запуск антивирусных программ, входящих в состав пакета. Тем самым повышается эффективность работы и, в то же время, сохраняется высокая защищенность системы от вирусов.
Возможность автоматического запуска внешних программ позволяет использовать AVP Центр Управления и в качестве традиционного планировщика задач. При этом в большинстве случаев исчезает необходимость в использовании других средств автоматического запуска, что ведет к экономии ресурсов компьютера. Кроме того, обеспечивается точная взаимная синхронизация задач, связанных с антивирусной защитой системы и прочими задачами, что позволяет избежать конфликтов между ними.
AVP Центр Управления - это программная оболочка, предназначенная для запуска различных задач (приложений). С помощью этой программы Вы можете запускать приложения как вручную, так и автоматически по расписанию. В качестве задач выступают другие модули пакета антивирусных программ: AVP Сканер, AVP Монитор и Обновление AVP.
AVP сканер. Избыточное сканирование
Избыточное сканирование - это механизм полного сканирования содержимого исследуемых файлов вместо стандартной обработки только «точек входа» (т.е. тех мест, где начинается обработка программ системой).
Этот режим рекомендуется использовать, когда вирус не обнаружен, но в работе системы продолжаются «странные» проявления (частые «самостоятельные» перезагрузки, замедление работы некоторых программ и др.). В остальных случаях использование этого режима не рекомендуется, так как процесс сканирования замедляется в несколько раз и увеличивается вероятность ложных срабатываний при сканировании незараженных файлов.
Программа Обновление AVP
Программа Обновление AVP входит в состав пакета антивирусных программ AntiViral Toolkit Pro и предназначена для автоматизированного обновления базы данных, в которой хранится информация о вирусах, а также программных компонент пакета.
Обновление может осуществляться через Internet с использованием постоянного или Dial Up подключения, либо по локальной сети.
В условиях крупной корпоративной локальной сети затраты времени и трафик Internet могут быть существенно сокращены за счет организации централизованного обновления. При этом каждый пользователь избавляется от необходимости самостоятельно загружать файлы обновления через Internet - эта задача возлагается на сетевого администратора, который помещает их в специально отведенный каталог на жестком диске одного из компьютеров локальной сети (например, файлового сервера). В таком случае следует настроить программу Обновление AVP для обновления через локальную сеть.
Для регулярного автоматического обновления удобно организовать запуск программы Обновление AVP по расписанию средствами программы AVP Центр Управления. Для этого необходимо создать и настроить задачу управления автоматическим обновлением.
Краткая характеристика некоторых антивирусов Dr Solomon"s AntiVirus Toolkit
Достоинства: в целом самые лучшие результаты обнаружения и устранения вирусов.
Недостатки: весьма недешево; обновленные версии доступны только на дискетах, распространяемых по подписке.
Звание «Лучший выбор» получил Dr Solomon"s AntiVirus Toolkit, несмотря на высокую цену - 85 долл. Нашелся только один программный продукт - VirusScan фирмы McAfee, который в наших тестах устранил больше «диких» вирусов, чем Dr Solomon"s Toolkit. Благодаря толковому интерфейсу на экран по вашему распоряжению выводится любая нужная вам антивирусная функция, наряду с полной экранной энциклопедией всех известных вирусов и вызываемых ими последствий. Бродячие охотники за вирусами наверняка оценят также входящую в пакет загрузочную дискету Magic Bullet («Волшебная пуля»), которая позволяет быстро найти и уничтожить вирус в любой системе.
Недостатком данного пакета является невозможность сетевой загрузки новых данных о вирусах; число же обновленных версий ограничено четырьмя в год.
Компания сообщила нам о том, что скоро она станет продавать Toolkit только в наборе для пяти пользователей ценою в 349 долл. Однако с середины марта компания вывела на рынок новую, упрощенную версию, которая называется Dr Solomon"s AntiVirus и стоит 50 долл. Насколько можно судить по бета-версии, которую мы видели, этот новый пакет не в состоянии сканировать сетевые дисководы, но он сохраняет все те возможности, благодаря которым Toolkit столь удобен для персонального употребления, включая энциклопедию вирусов и дискету Magic Bullet (переименованную в SOS). Пользоваться интерфейсом стало проще, появилась возможность получения обновленных версий в режиме оперативного доступа, а стоимость ежемесячного обновления - 30 долл. в год. Мы еще не тестировали эту новую версию, но в ней использованы те же программные средства обнаружения вирусов, что и в Toolkit, так что она должна работать столь же хорошо.
В последнее время стремительно растет популярность другой анти-вирусной программы - Doctor Web. Dr. Web так же, как и Aidstest относится к классу детекторов - докторов, но в отличие от последнего, имеет так называемый «эвристический анализатор» - алгоритм, позволяющий обнаруживать неизвестные вирусы. «Лечебная паутина», как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Dr. Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогами.
Программа DoctorWeb предназначена для борьбы с полиморфными вирусами, способна обнаруживать изменения в собственном теле. С помощью мощного аналитического анализатора может распознавать заражение файлов неизвестными вирусами, в том числе в упакованных файлах.
Программой предусматривается возможность проведения эвристического анализа на трех уровнях. При этом исследуются файлы и системные области дисков с целью обнаружения неизвестных вирусов по характерным кодовым последовательностям.
Работа с программой может выполняться в режиме полноэкранного интерфейса с использованием меню и диалоговых окон или в режиме вызова из командной строки. Второй вариант предпочтителен при многократном регулярном использовании программы для контроля дискет. При этом для удобства команду запуска программы DoctorWeb включают в меню пользователя оболочки NortonCommander или в командный файл.
Управление режимами также как и в Aidstest осуществляется с помощью ключей. Пользователь может указать программе, тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H). Как и Aidstest Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), поддерживает работу с программно-аппаратным комплексом Sheriff (ключ /Z).
Но, конечно, главной особенностью «Лечебной паутины» является наличие эвристического анализатора, который подключается ключом /S. Баланса между скоростью и качеством можно добиться, указав ключи, уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr. Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при этом распаковка файлов будет произведена на текущем устройстве) или /U диск: (где диск: - устройство, на котором будет производиться распаковка), если дискета, с которой запущен Doctor Web защищена от записи. Многие программы упакованы таким способом, хотя пользователь может и не подозревать об этом. Если ключ /U не установлен, то Doctor Web может пропустить вирус, забравшийся в запакованную программу.
Важной функцией является контроль заражения тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что «Лечебная паутина» обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr. Web пытается воспрепятствовать оставшимся резидентным вирусам заразить тестируемые файлы.
Тестирование винчестера Dr. Web-ом занимает на много больше времени, чем Aidstest-ом, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы-производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr. Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку «винчестера» на вирусы с заданием максимального уровня эвристического анализа.
Так же как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить файлы, в которых она обнаружит вирус, так как нельзя исключить, что последовательность байт, принятая в антивирусе за шаблон может встретиться в здоровой программе. Если по завершении тестирования Dr. Web выдаст сообщения о том, что нашел вирусы, нужно запустить его с опцией /P (если эта опция не была указана) для того, чтобы посмотреть, какой файл заражен. После этого нужно скопировать файл на дискету или на электронный диск и попытаться удалить, указав «Лечебной паутине» ключ /F. При неудачном лечении следует поступить так же, как в аналогичной ситуации, описанной выше для программы Aidstes.
В рамках обзора антивирусных программ. Вот уже добрый десяток лет компания Symantec является признанным лидером практически во всех сегментах рынка программного обеспечения, где представлены её программы. Не стали исключением и антивирусные решения. Так Norton Antivirus по-прежнему остаётся продуктом номер один во всём мире по защите компьютера от вирусных атак, и новая версия программы лишь подтвердила сей факт. На ней мы и остановимся более подробно.
С первым и довольно весомым нововведением новоиспеченный пользователь программы сталкивается уже при установке. Так в Norton Antivirus 2004 включен специальный модуль Pre-Install scanner, позволяющий проверить и при необходимости оздоровить компьютер уже на стадии инсталляции. Таким образом, программа без проблем может быть установлена даже на зараженный компьютер. Второе важное новшество - это обновлённая защита программы от несанкционированного копирования. Отныне работу с Norton Antivirus придётся начинать с активации программы.
С помощью NortonAntiVirus можно: проверить на вирусы отдельные файлы, папки или диски; запланировать автоматический поиск вирусов в заданное время; по плану или в любой нужный момент выполнить обновление файлов описания вирусов с помощью функции LiveUpdate.
Сотрудники фирмы Symantec отслеживают сообщения о появлении новых вирусов. После идентификации нового вирусы информация о нем (сигнатура) заносится в файлы описания вирусов. Поэтому данные файлы рекомендуется обновлять не реже, чем раз в месяц.
Во время проверки дисков и файлов (в ручном или запланированном режиме) NortonAntiVirus ищет вирусы по этим сигнатурам. Если обнаружен файл, зараженный одним из этих вирусов, то NortonAntiVirus может устранить заражение автоматически.
Борьбу с вирусами Norton AntiVirus ведет следующим образом.
Выявляет проникшие в систему известные вирусы и уничтожает их (автозащита).
Преграждает вирусам путь в систему (автозащита и вакцинация).
Следит за подозрительными действиями, которые могут означать присутствие неизвестного вируса (автозащита с технологией вирусного датчика).
Перечисленные автоматические функции включены по умолчанию. В зависимости от степени риска в той среде, где используется компьютер, можно усилить или ослабить меры защиты путем настройки различных параметров Norton AntiVirus.
Кроме автоматического поиска вирусов средствами автозащиты, можно в любой момент начать ручной поиск или назначить его выполнение на определенное время.
NortonAntiVirus выдает сигналы тревоги при обнаружении:
Известного или неизвестного вируса;
Вирусоподобного действия (из числа тех, которые обычно совершаются вирусами при распространении или порче файлов);
Изменения вакцинации (когда файл либо не вакцинирован, либо подвергся изменению с момента последней вакцинации).
NortonAntiVirus может исправить большинство зараженных файлов. Однако если исправить файл не удается, его необходимо удалить с диска и затем заменить незараженной копией. Следует хранить оригинальные диски программ в безопасном месте и создавать резервные копии ценных файлов.
При проверке программных файлов NortonAntiVirus просматривает также документы и шаблоны MicrosoftWord и Excel. Хотя эти файлы не являются программными, в них могут легко проникать так называемые макровирусы.
Уничтожение вирусов.
Существует два способа уничтожения вирусов.
Исправление зараженного файла, загрузочной записи или главной загрузочной записи.
Удаление зараженного файла с диска и последующая замена его незараженной копией.
Рисунок 2.1 - Окно NortonAntiVirus
Ну, в остальном, по большому счёту, новая версия антивируса ничем не отличается от своего предшественника. Налицо всё тот же набор стандартных функций:
Автоматическое удаление вирусов, «червей» и различного рода «троянских» программ;
Проверка и обезоруживание входящей и исходящей электронной почты;
Выявление и блокировка вирусов в файлах, вложенных в сообщения службы передачи мгновенных сообщений;
Автоматическая загрузка обновлений системы антивирусной безопасности для защиты от новых угроз; технология Worm Blocking, позволяющая обнаруживать заражение «червями» (такими, как Nimda) в исходящих почтовых сообщениях;
Технологии Script Blocking и Worm Blocking, позволяющие выявить новые угрозы еще до того, как для них будут созданы описания вирусов;
Предусмотрены пошаговые инструкции для установки программы, в том числе, и на зараженные вирусами системы.
Не претерпел изменений и интерфейс программы, который по прежнему остаётся чрезвычайно удобным и, несмотря на свою англоязычность (русской версии я к моменту написания этой статьи, к сожалению, не нашёл), интуитивно понятным даже пользователю новичку.
Поставляется Norton Antivirus 2004 в двух различных вариантах. Для домашних пользователей предусмотрена стандартная версия, которая предлагается разработчиками на сайте по цене $49. Для среднего и малого бизнеса предназначается Norton Antivirus 2004 Professional, который имеет несколько дополнительных возможностей, в частности, поставляется с двумя лицензиями. Стоимость этой версии составляет $69. В заключение хотелось бы отметить, что компания Symantec в очередной раз подтвердила своё лидерство на рынке антивирусных программ, а Norton Antivirus по-прежнему остаётся самым популярным продуктом в этой сфере. Поэтому его смело можно рекомендовать абсолютно всем, для кого имеет значение защита и безопасность собственного компьютера.
Сравнительный анализ компьютерных вирусов
Постановка задачи практического исследования
Целью данной практической части дипломной работы является подбор наиболее часто используемых антивирусных программ. Для этого проанализирую следующие программы: Norton Antivirus, AVP, Doctor WEB.
Для этого я провел исследование, основанное на опросе учащихся и преподавателей нашего училища. Пользователям был задан такой вопрос: «Какой программой из перечисленных они пользуются чаще всего?»
Для этого я провел опрос учащихся и преподавателей нашего училища, которым был задан следующие вопросы:
1) «Какая программа наиболее эффективная?»
Результаты исследования будет представлены в виде графиков и диаграмм, отражающих процентное соотношение, полученных данных.
Для демонстрации своей работы мною будет разработана презентация, которая будет содержать основные положения моей работы и результаты исследования.
Анализ результатов практического исследования
Выше мною были обозначены этапы моего практического исследования, результаты которого можно представить следующим образом.
На вопрос: «Какой программой из перечисленных они пользуются чаще всего» были получены такие результаты
1) среди преподавателей
Таблица 2.1. - Процент использования программ преподавателей
Рисунок 2.2 - Процент использования программ преподавателей
2) среди учащихся
Таблица 2.2 Процент использования программ учащимися
Рисунок 2.3 - Процент использования программ учащимися
Сравнение антивирусных программ всегда было задачей не из легких. Ведь компании, создающие подобного рода продукты, всегда отличались своим рвением к усовершенствованию и постоянному обновлению своего программного обеспечения. Несмотря на это, одни антивирусы лучше справляются со своими задачами, а другие хуже.
У каждого из них есть свои достоинства и недостатки, но не каждый человек способен объективно оценить их работу и выбрать именно тот, который лучше подойдет для работы его компьютера.
Поэтому мы решили провести анализ наиболее востребованных на рынке антивирусных программ Kaspersky, ESET NOD32, McAfee, Symantec с целью дать Вам общее представление об их работе и помочь сделать правильный выбор для защиты Вашего персонального компьютера. Результаты анализа были отображены в виде таблицы для максимального восприятия разницы между тестируемыми программными средствами.
|
Поддержка сценария «запрет по умолчанию» с возможностью автоматического исключения из сценария необходимых для работы системы процессов и доверенных источников обновлений |
||||
|
Разрешение / блокировка программ: |
||||
|
Выбор из реестра программ |
||||
|
Выбор из реестра исполняемых файлов |
||||
|
Ввод метаданных исполняемых файлов |
||||
|
Ввод контрольных сумм исполняемых файлов (MD5, SHA1) |
||||
|
Ввод пути к исполняемым файлам (локального или UNC) |
||||
|
Выбор предустановленных категорий приложений |
||||
|
Разрешение/блокирование приложений для отдельных пользователей/групп пользователей Active Directory |
||||
|
Мониторинг и ограничение активности программ |
||||
|
Мониторинг и приоритезация уязвимостей |
||||
|
Разрешение/блокирование доступа к веб-ресурсам, оповещение об опасности: |
||||
|
Фильтрация ссылок |
||||
|
Фильтрация содержимого по предустановленным категориям |
||||
|
Фильтрация содержимого по типу данных |
||||
|
Интеграция с Active Directory |
||||
|
Разрешение/блокирование доступа к веб-ресурсам по расписанию |
||||
|
Формирование подробных отчетов об использовании ПК для доступа к веб-ресурсам |
||||
|
Контроль устройств на основании политик: |
||||
|
По типу порта/шине |
||||
|
По типу подключаемого устройства |
||||
|
По группам пользователей в Active Directory |
||||
|
Создание белых списков на основе серийных номеров устройств |
||||
|
Гибкое управление правами доступа к устройствам на чтение/запись с возможностью настройки расписания |
||||
|
Управление временными разрешениями на доступ |
||||
|
Сценарий «запрет по умолчанию», применяемый с учетом приоритетности |
Анализируя полученные данные, можно с уверенностью заявить, что со всеми задачами, такими как контроль программ, интернет-сайтов и устройств, справился только один антивирус -Касперский. Антивирус McAfee показал неплохие результаты в номинации “контроль устройств”, получив максимальную оценку, но, к сожалению, для веб-контроля и контроля программ он не является надежным.
Еще одним немаловажным анализом антивирусных программ стало их практическое исследование для определения качества защиты персональных компьютеров. Для проведения данного анализа были добавлены еще три антивирусные программы: Dr. Web, AVG, TrustPort, таким образом картина сравнения программ данного сегмента стала еще полнее. Для тестирования были задействованы 3837 зараженных файлов с различными экземплярами угроз, и то, как справились с ними тестируемые антивирусные программы, отображено в таблице ниже.
|
Касперский |
|||||
|
1 мин 10 сек |
|||||
|
5 мин 32 сек |
|||||
|
6 мин 10 сек |
|||||
|
1 мин 10 сек |
И снова первенство одержал антивирус Касперского, опередив своих конкурентов по такому важному показателю как процент определения угроз - более 96%. Но, как говорится, без ложки дегтя здесь не обошлось. Время, потраченное на поиск зараженных файлов и потребляемые ресурсы персонального компьютера, оказались самыми большими среди всех тестируемых продуктов.
Самыми быстрыми здесь оказались Dr. Web и ESET NOD32, затратившие на поиск вирусов чуть более одной минуты, с 77,3% и 50,8% обнаружения зараженных файлов соответственно. Что важней - процент определения вирусов или же время, затраченное на поиск - решать Вам. Но не забывайте, что безопасность Вашего компьютера должна быть превыше всего.
ESET NOD 32 показал самый худший результат по обнаружению угроз, всего лишь 50,8%, что является недопустимым результатом для ПК. Самым быстрым оказался TrustPort, а нетребовательным к ресурсам - AVG, но, к сожалению, низкий процент определения угроз этими антивирусными программами не может позволить им конкурировать с лидерами.
Исходя из результатов проведенных тестов, антивирус Касперского можно с уверенностью считать наилучшим вариантом для защиты Вашего компьютера, при условии, что на нем установлено достаточное количество оперативной памяти и хороший процессор. К тому же цена на продукт лаборатории Касперского не является самой высокой, что не может не радовать потребителей.
Мы живем в эпоху новых открытий и расцвета информационных технологий. Но с развитием технологий повышается риск попадания информации к злоумышленникам, поэтому повысилась потребность в защите данных. Именно поэтому повысился спрос на профессии, связанные с защитой информации и на программное обеспечение, которое несет такую же функцию. Эта статья посвящена именно второму.
Обнаружение вируса и возможность удаления
Предотвращает появление вирусов, троянов и червей, шпионских программ и рекламы, проверяет файлы автоматически и и по требованию пользователя, проверяет почтовые сообщения, проверяет интернет трафик, защищает интернет пейджеры, защищает от вредоносного программного обеспечения проверяет Java — и Visual Basic – скрипты. Постоянно проверяет файлы в автономном режиме, защищает от фишинговых сайтов.
NOD32 защищает от: вирусов, троянов, червей, фишинг — атак. ESET NOD32 базируется на технологии ThreatSense, которая обнаруживает новые опасные елементы в реальном времени, выполняя анализ выполняемых программ на вредоносный код, и предупреждает действия вирусных программ.
Проверка компьютера на вирусы во время демонстрации заставки на экране. Также происходит проверка на момент запуска, еще до загрузки операционной системы. Блокирует вредоносные скрипты. Удаляет шпионское программное обеспечение.
Удаляет распространенные вирусы;
Защищает в реальном времени;
Предотвращает появления на вашем компьютере разного рода червей, руткитов, вирусов, заражающих файлы, программ типа trojan, стелс — вирусов, вирусов, использующих полиморфизм (то есть формирование программного кода вируса во время его же выполнения), макровирусов, вирусов, повреждающих документы, скрипт- вирусов, шпионских программ, похитителей паролей, рекламного программного обеспечения, хакерских утилит, программ — люков, вредоносных скриптов и других вредных объектов, спама.
Обновление антивирусных баз
По графику или вручную обновляет антивирусные базы. Происходит копирование файлов обновлений, дальше антивирус автоматически использует скопированные базы и задействует их при проверке трафика.
Для обновления использует серверы — зеркала, также возможно создать зеркало внутри сети, что существенно разгрузит Интернет канал. Есть возможность обновляться с официальных серверов, но для этой услуги необходимо иметь логин пользователя и пароль, которые можно получить, если активировать свой номер продукта во время регистрации, соответственно, продукт надо приобрести.
Обновляет автоматически как антивирусные базы, так и саму программу. При наличии ключа, автоматически обновляется до последней версии.
Есть возможность как автоматического обновления, так и ручного. Для ручного обновления нужно перейти на вкладку «Обновить» на главном экране антивируса.
Обновления антивируса выпускаются немедленно вместе с выходом новых вирусов, поскольку новые угрозы графику не подлежат.
Простота использования
Антивирус Касперского не является трудным в использовании, но для пользователя неопытного он может показаться несколько сложным в понимании в силу разнообразия настроек.
Антивирус является простым в использовании, у начинающего пользователя не должно возникать проблем в процессе пользования программой.
В настройках программы есть возможность установить пароль на изменения. Поддержка около сорока языков интерфейса. Голосовые сообщения в случае, если программа обнаружила вирус или доступно обновление. В виде приятной мелочи, наличие тем интерфейса, чем не каждый антивирус может похвастаться.
Антивирус является достаточно простым для использования и понимания. Не имеет непонятных настроек и лишних параметров.
Интерфейс достаточно простой и понятный, несмотря на многочисленные настройки и опции программы.
Техническая поддержка
Круглосуточная техническая поддержка для домашних продуктов и техническая поддержка С. — Пт. 10:00 — 18:30 (GMT +3) при условии приобретения лицензионного продукта.
Техническая поддержка является круглосуточной. То есть пользователь может как позвонить, так и написать электронное письмо.
В техническую поддержку можно обратиться на официальном сайте при условии регистрации, или на русскоязычный форум программы.
Существует много различных антивирусных программ как отечественного, так и неотечественного происхождения. И для того, чтобы понять, какая из антивирусных программ лучше, проведем их сравнительный анализ. Для этого возьмем современные антивирусные программы, а также такие, которые наиболее часто используются пользователями ПК.
Рассмотрим более подробно такие антивирусы, как:
Kaspersky Internet Security;
Panda Antivirus 2013;
Из всех рассмотренных антивирусов наиболее дешевым является Panda Antivirus 2013, а самым дорогим NOD 32. Но это не значит, что Panda Antivirus 2013 хуже и об этом говорят остальные критерии. Три программы из четырех рассмотренных (Антивирус Касперского, Panda Antivirus, NOD 32) имеют более простой, функциональный и удобный интерфейс, чем Dr. Web, который имеет множество настроек, непонятных начинающему пользователю. В программе можно воспользоваться подробной справкой, которая объяснит назначение тех, или иных необходимых вам параметров.
Все программы предлагают надежную защиту от червей, традиционных вирусов, почтовых вирусов, шпионских программ, троянских программ и т.д. Проверка файлов в таких программах, как Dr. Web, NOD 32, осуществляется при запуске системы, а вот Антивирус Касперского проверяет файлы в момент обращения к ним. Антивирус Касперского, NOD 32 в отличие от всех остальных обладают продвинутой системой проактивной защиты, базирующейся на алгоритмах эвристического анализа; возможностью поставить пароль и, тем самым, защитить программу от вирусов, нацеленных на разрушение антивирусной защиты. Помимо этого Антивирус Касперского 2009 обладает поведенческим блокиратором. Panda Antivirus в отличие от всех остальных не поддерживает блокировку подозрительных веб-страниц или защиту личных данных. Все эти антивирусы имеют автоматическое обновление баз и планировщик задач. Также эти антивирусные программы полностью совместимы с Vista. Но все они кроме Panda Antivirus требуют, чтобы помимо них в системе не было других подобных программ. На основе этих данных составим таблицу.
Kaspersky Internet Security
Файловый Антивирус
Контролирует файловую систему компьютера. Он проверяет все открываемые, запускаемые и сохраняемые файлы на вашем компьютере и на всех присоединённых дисках. Каждое обращение к файлу перехватывается Kaspersky Internet Security и файл проверяется на присутствие известных вирусов. Дальнейшая работа с файлом возможна только в том случае, если файл не заражен или был успешно вылечен программой. Если файл по каким-либо причинам невозможно вылечить, он будет удалён (при этом его копия будет сохранена в резервном хранилище) или помещён на карантин.
Почтовый Антивирус
Проверяет все входящие и исходящие почтовые сообщения вашего компьютера. Он анализирует электронные письма на присутствие вредоносных программ. Письмо будет доступно адресату только в том случае, если оно не содержит опасных объектов. Кроме того, компонент анализирует почтовые сообщения на предмет фишинг-мошенничества.
Веб-антивирус
Перехватывает и блокирует выполнение скрипта, расположенного на веб-сайте, если он представляет угрозу. Строгому контролю также подвергается весь HTTP-трафик. Кроме того, компонент анализирует веб-страницы на предмет фишинг-мошенничества.
IM-антивирус
Обеспечивает безопасность работы с интернет-пейджерами. Компонент защищает информацию, поступающую на ваш компьютер по протоколам интернет-пейджеров. IM-антивирус обеспечивает безопасную работу со многими программами, предназначенными для быстрого обмена сообщениями.
Контроль программ
Регистрирует действия, совершаемые программами в системе, и регулирует деятельность программ, исходя из того, к какой группе компонент относит данную программу. Для каждой группы программ задан набор правил. Эти правила регламентируют доступ программ к различным ресурсам.
Сетевой экран
Обеспечивает безопасность вашей работы в локальных сетях и интернете. Компонент производит фильтрацию всей сетевой активности согласно правилам двух типов: правилам для программ и пакетным правилам.
Проактивная защита
Позволяет обнаружить новую вредоносную программу ещё до того, как она успеет нанести вред. Компонент основан на контроле и анализе поведения всех программ, установленных на вашем компьютере. На основании выполняемых действий Kaspersky Internet Security принимает решение о том, является программа потенциально опасной или нет. Таким образом, ваш компьютер защищён не только от уже известных вирусов, но и от новых, ещё не исследованных. Начиная с версии 2010, в состав Kaspersky Internet Security входит компонент "Монитор системы" (англ. System Watcher), являющийся по сути той же Проактивной защитой, но отличающийся возможностью обновления шаблонов поведения программ при обычном обновлении сигнатур программы. Начиная с версии 2013, Монитор системы и Проактивная защита объединены в один компонент, с общим названием "Монитор системы".
Защита от сетевых атак
Запускается при старте операционной системы и отслеживает во входящем трафике активность, характерную для сетевых атак. Обнаружив попытку атаки на компьютер, Kaspersky Internet Security блокирует любую сетевую активность атакующего компьютера в отношении вашего компьютера.
Анти-спам
Встраивается в установленный на вашем компьютере почтовый клиент и контролирует все поступающие почтовые сообщения на предмет спама. Все письма, содержащие спам, помечаются специальным заголовком. Предусмотрена также возможность настройки Анти-спама на обработку спама (автоматическое удаление, помещение в специальную папку и т. д.). Также компонент анализирует почтовые сообщения на предмет фишинг-мошенничества. Поддерживает настройку пользователем. Допускается пользовательская настройка запрещенного и разрешенного списка почтовых адресов и фраз. В состав всех версий Kaspersky Internet Security входит небольшая база черного списка фраз, расширенная в русифицированных версиях. База по умолчанию отключена, но легко включается пользователем в настройках Анти-СПАМа.
Мониторинг сети
Компонент, предназначенный для просмотра информации о сетевой активности в реальном времени.
Анти-фишинг
Компонент, встроенный в веб-антивирус, анти-спам и IM-антивирус, который позволяет проверять веб-адреса на принадлежность к спискам фишинговых и подозрительных веб-адресов.
Родительский контроль
Компонент программы, выполняющий функции контроля доступа пользователей компьютера к веб-ресурсам. Основной задачей Родительского контроля является ограничение доступа, в первую очередь, к веб-сайтам, предназначенным для взрослой аудитории, затрагивающим темы порнографии, оружия, наркотиков, провоцирующим жестокость, насилие и т. д., а также к веб-сайтам, которые являются потенциальной причиной потери времени (чаты, игровые ресурсы) или денег (интернет-магазины, аукционы).
Безопасная среда
Позволяет запускать приложения в безопасном для системы окружении (так называемая песочница). Это может быть использовано для запуска потенциально опасного ПО или для анонимного веб-серфинга. Начиная с версии 2013 компонент упразднен.
Проверка ссылок
Дополнение для браузеров Internet Explorer, Mozilla Firefox и Google Chrome, проверяющее ссылки на просматриваемой веб-странице на предмет заражения веб-страниц, на которые они ссылаются
Возможность установки на зараженную машину. Начиная с версии 8.0, установка производится новым защищенным инсталлятором, который противодействует всем видам вредоносного ПО, что позволяет корректно установить антивирус на зараженную систему. В процессе установки производится обновление вирусных баз и компонентов антивируса.
Origins Tracing -- алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор, дает возможность значительно повысить уровень детектирования ранее неизвестных вредоносных программ. Также используется в "Dr.Web для Android".
Подсистема Anti-rootkit API (ArkAPI), использующая универсальные алгоритмы нейтрализации угроз. Посредством этой системы происходит нейтрализация угроз всеми компонентами антивируса. Так же используется в лечащей утилите Dr.Web CureIt! 8.0.
Dr. Web Shield -- механизм борьбы с руткитами, реализованный в виде драйвера. Обеспечивает низкоуровневый доступ к вирусным объектам, скрывающимся в глубинах операционной системы.
Fly-code -- эмулятор с динамической трансляцией кода, реализующий механизм универсальной распаковки вирусов, защищённых от анализа и детектирования одним или цепочкой новых и/или неизвестных упаковщиков, крипторов и дропперов. Это позволяет распаковывать файлы, защищенные, к примеру, ASProtect, EXECryptor, VMProtect и тысячами других упаковщиков и протекторов, включая неизвестные антивирусу.
Поддержка большинства существующих форматов упакованных файлов и архивов, в том числе многотомных и самораспаковывающихся архивов.
Обновления вирусных баз производятся немедленно по мере выявления новых вирусов, до нескольких раз в час. Разработчики антивирусного продукта отказались от выпуска обновлений вирусных баз по какому-либо графику, поскольку вирусные эпидемии не подчиняются таковым.
Модуль самозащиты SelfPROtect, защищающий компоненты антивируса (файлы, ключи реестра, процессы и т.д.) от изменения и удаления вредоносным ПО.
Background Rootkit Scan - подсистема фонового сканирования и нейтрализации активных угроз. Данная подсистема находится в памяти в резидентном состоянии и осуществляет сканирование системы на предмет активных угроз и их нейтрализации в различных областях, например: объекты автозагрузки, запущенные процессы и модули, системные объекты, оперативная память, MBR/VBR дисков, системный BIOS компьютера.
Dr.Web Cloud - сервис облачной проверки ссылок в реальном времени на серверах компании "Доктор Веб", позволяющий антивирусу использовать наиболее свежую информацию о небезопасных ресурсах.
Кроссплатформенность -- используется единая вирусная база и единое ядро антивирусного сканера на разных платформах ОС.
Обнаружение и лечение сложных полиморфных, шифрованных вирусов и руткитов.
Компактная вирусная база и небольшой размер обновлений. Одна запись в вирусной базе позволяет определять до тысячи подобных вирусов.
Panda Antivirus 2013
Работа антивируса
Антивирус Panda Cloud работает, используя вычислительные способности локального компьютера и удалённых серверов Panda Security. В облаке антивирус пользуется системой Collective Intelligence, собирающей, анализирующей, категоризирующей и выполняющей лечение файлов. Все дефиниции вредоносного ПО находятся именно на удалённых серверах, избавляя пользователя от необходимости загружать обновления определений. На пользовательской стороне работает эвристический анализатор и инструменты постоянного сканирования, которые имеют три степени приоритета:
Мгновенное сканирование -- антивирус проверяет все активные процессы, программы и файлы.
Сканирование с упреждающей выборкой -- антивирус откладывает сканирование файлов, загруженных из Интернета или с внешних носителей, но не запущенных пользователем, на то время, пока не совершатся рутинные действия с высоким приоритетом. Если пользователь начнёт работать с данными файлами, то они будут перенесены в категорию для мгновенного сканирования.
Фоновое сканирование -- антивирус в фоновом режиме сканирует все файлы системы, пока пользователь не работает с компьютером.
При сканировании антивирус может создавать особые кэши, которые позволяют при повторном сканировании значительно сократить время проверки компьютера.
Сканер по запросу, который можно запустить вручную для проверки отдельных файлов или разделов диска. Этот модуль также может быть запущен в часы с наименьшей загрузкой с помощью планировщика.
Internet MONitor (IMON)
Резидентный сканер, работающий на уровне Winsock и препятствующий попаданию зараженных файлов на диски компьютера. Данный модуль проверяет HTTP-трафик и входящую почту, получаемую по протоколу POP3.
Данный модуль в версиях 2.х может конфликтовать с некоторыми службами Windows Server и с некоторыми межсетевыми экранами (например, Kerio WinRoute). При установке система исследуется на возможность конфликтов и, если существует вероятность конфликта, выводится сообщение, предлагающее отключить этот компонент.
E-mail MONitor (EMON)
Дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI, например, в Microsoft Outlook и Microsoft Exchange.
Document MONitor (DMON)
Использует запатентованный интерфейс Microsoft API для проверки документов Microsoft Office (включая Internet Explorer).
Состав версии 4.х
Модуль защиты от вирусов и шпионских программ
В этом модуле используется ядро сканирования на основе технологии ThreatSense. Ядро ThreatSense оптимизировано и улучшено в соответствии с требованиями новой архитектуры ESET Smart Security.
Персональный брандмауэр
Персональный брандмауэр отслеживает весь трафик между защищаемым компьютером и другими компьютерами сети.
Модуль защиты от нежелательной почты
Модуль защиты от нежелательной почты ESET фильтрует нежелательную почту, повышая уровень безопасности системы и удобство использования обмена данными по электронной почте.
Прочие компоненты:
ESET SysRescue позволяет пользователям создавать загрузочный носитель CD, DVD или USB с программой ESET Smart Security, который может запускаться независимо от операционной системы. Он предназначен главным образом для работы с трудноудаляемыми вирусами.
ESET SysInspector
Когда для отправки запроса в службу поддержки клиентов используется раздел «Справка и поддержка», можно добавить снимок состояния компьютера в ESET SysInspector.
Защита документов
Функция защиты документов сканирует документы Microsoft Office перед их открытием, а также проверяет файлы, автоматически загружаемые браузером Internet Explorer, например элементы Microsoft ActiveX.
Состав версии 5.x
Обеспечивают надежную защиту от Интернет-угроз и вредоносных программ в режиме реального времени.
Parental Control
Защищает Вашу семью от потенциально нежелательного веб-контента, блокируя определенные категории веб-сайтов.
Enhanced Media Control
Автоматическое сканирование всех USB-носителей, карт памяти, CD/DVD-дисков. Блокировка медиа носителей в зависимости от типа носителя, производителя, размера и других параметров.
Advanced HIPS Functionality
Позволяет настраивать поведение системы в целом и каждой её части. Пользователи могут установить правила для системной регистрации, процессов, приложений и файлов.
Обеспечивает автоматический переход в «беззвучный» режим во время работы в полноэкранном режиме.
Каждый из рассмотренных антивирусов по тем или иным показателям заслужил свою популярность, но абсолютно идеального решения для всех категорий пользователей не существует.
По моему мнению, наиболее полезными являются Антивирус Касперского 2009 и NOD 32, так как они обладают почти всеми требованиями, которыми должна обладать антивирусная программа. Это и интерфейс, и набор технических возможностей. В общем, в них есть то, что необходимо для того, чтобы обезопасить свой компьютер от вирусов.
