Das Konzept eines Antivirenprogramms, Klassifizierung von Antivirenprogrammen. Antivirenprogramme. Klassifizierung von Viren. Anzeichen von Viren

Die beliebtesten und effektivsten Antivirenprogramme sind Antivirenscanner (Detektorprogramme) und CRC-Scanner (Prüfer). Es gibt auch Antivirenblocker und Immunisatoren.

Scanner. Das Funktionsprinzip von Antivirenscannern basiert auf der Überprüfung von Dateien, Sektoren und Systemspeicher und Suche nach bekannten und neuen (dem Scanner unbekannten) Viren. Zur Suche nach bekannten Viren werden sogenannte „Masken“ verwendet. Die Maske eines Virus ist eine konstante Codesequenz, die für diesen bestimmten Virus spezifisch ist. Wenn das Virus keine permanente Maske enthält oder die Länge dieser Maske nicht lang genug ist, werden andere Methoden eingesetzt. Ein Beispiel für eine solche Methode ist eine algorithmische Sprache, die alles beschreibt Möglichkeiten Code, der bei einer Infektion mit einem Virus dieses Typs auftreten kann. Dieser Ansatz wird von einigen Antivirenprogrammen verwendet, um polymorphe Viren zu erkennen.

Viele Scanner verwenden auch „heuristische Scan“-Algorithmen, d. h. sie analysieren die Befehlsfolge im gescannten Objekt, sammeln einige Statistiken und treffen eine Entscheidung für jedes gescannte Objekt. Weil das Heuristisches Scannen Da es sich bei der Suche nach Viren um eine weitgehend probabilistische Methode handelt, gelten für sie viele Gesetze der Wahrscheinlichkeitstheorie. Je höher beispielsweise der Prozentsatz der erkannten Viren ist, desto höher ist die Anzahl falsch positiver Ergebnisse.

Scanner können auch in zwei Kategorien unterteilt werden – „universell“ und „spezialisiert“. Universelle Scanner Entwickelt, um alle Arten von Viren zu suchen und zu neutralisieren, unabhängig vom Betriebssystem, für das der Scanner konzipiert ist. Spezialisierte Scanner sind darauf ausgelegt, eine begrenzte Anzahl von Viren oder nur eine Virenklasse, beispielsweise Makroviren, zu neutralisieren.

Scanner werden außerdem in „Resident“ (Monitore) unterteilt, die im laufenden Betrieb scannen, und „Nicht-Resident“, die das System nur auf Anfrage scannen. In der Regel bieten „residente“ Scanner einen zuverlässigeren Systemschutz, da sie sofort auf das Auftreten eines Virus reagieren, während ein „nicht residenter“ Scanner den Virus erst beim nächsten Start identifizieren kann.

Zu den Vorteilen von Scannern aller Art gehört ihre Vielseitigkeit, zu den Nachteilen ihre Größe Antiviren-Datenbanken, die Scanner speichern und auffüllen müssen, und die relativ geringe Geschwindigkeit bei der Suche nach Viren.

CRC-Scanner. Das Funktionsprinzip von CRC-Scannern basiert auf der Berechnung von CRC-Summen (Prüfsummen) für Dateien/Systemsektoren, die auf der Festplatte vorhanden sind. Diese CRC-Werte werden dann zusammen mit einigen anderen Informationen in der Antiviren-Datenbank gespeichert: Dateilängen, Datum der letzten Änderung usw. Beim anschließenden Start vergleichen CRC-Scanner die in der Datenbank enthaltenen Daten mit den tatsächlich berechneten Werten. Wenn die in der Datenbank erfassten Dateiinformationen nicht mit den tatsächlichen Werten übereinstimmen, signalisieren CRC-Scanner, dass die Datei geändert oder mit einem Virus infiziert wurde.

CRC-Scanner, die Anti-Stealth-Algorithmen verwenden, reagieren auf fast 100 % der Viren sofort, nachdem Änderungen auf dem Computer auftreten. Ein charakteristischer Nachteil dieser Antivirenprogramme ist die Unfähigkeit, einen Virus vom ersten Moment an zu erkennen, bis Änderungen am Computer vorgenommen werden. CRC-Scanner können keinen Virus in neuen Dateien erkennen (in Email, auf Disketten, in wiederherstellbaren Dateien oder beim Entpacken von Dateien aus einem Archiv), da ihre Datenbanken keine Informationen über diese Dateien enthalten.

Detektorprogramme Sie suchen im RAM und in den Dateien nach einer Signatur, die für einen bestimmten Virus charakteristisch ist, und geben bei Fund eine entsprechende Meldung aus. Der Nachteil davon Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Blocker. Antivirenblocker sind residente Programme, die „virengefährliche“ Situationen abfangen und den Benutzer darüber informieren. Zu den „virengefährlichen“ zählen Aufrufe von open zum Schreiben in ausführbare Dateien, zum Schreiben in den Bootsektor der Festplatte usw., die für Viren zum Zeitpunkt ihrer Reproduktion typisch sind.

Zu den Vorteilen von Blockern gehört ihre Fähigkeit, einen Virus im frühesten Stadium seiner Reproduktion zu erkennen und zu blockieren, was übrigens in Fällen, in denen ein seit langem bekannter Virus ständig aktiviert wird, sehr nützlich sein kann.

Immunisatoren. Immunisatoren werden in zwei Typen unterteilt: Immunisatoren, die eine Infektion melden, und Immunisatoren, die eine Infektion durch jede Art von Virus blockieren.

Arztprogramme oder Phagen, und auch Impfprogramme Mit Viren infizierte Dateien nicht nur finden, sondern auch „behandeln“, d. h. Entfernen Sie den Hauptteil des Virenprogramms aus der Datei und geben Sie die Dateien an zurück der Ausgangszustand. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören diese und beginnen erst dann mit der „Säuberung“ der Dateien. Unter den Phagen werden Polyphagen unterschieden, d.h. Arztprogramme zur Suche und Zerstörung einer großen Anzahl von Viren. Die bekanntesten davon: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Da ständig neue Viren auftauchen, veralten Detektorprogramme und Arztprogramme schnell und es sind regelmäßige Versionsaktualisierungen erforderlich.

Auditor-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Ausgangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen ihn dann regelmäßig oder auf Wunsch des Benutzers Aktuellen Zustand mit dem Original. Erkannte Änderungen werden auf dem Monitorbildschirm angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Steuercode (Dateiprüfsumme), Datum und Uhrzeit der Änderung sowie weitere Parameter überprüft. Auditor-Programme verfügen über hochentwickelte Algorithmen, erkennen Tarnviren und können sogar Änderungen in der Version des überprüften Programms von den durch den Virus vorgenommenen Änderungen bereinigen. Zu den Prüfprogrammen gehört das in Russland weit verbreitete Adinf-Programm.

Programme filtern oder "Wächter" sind kleine residente Programme, die dazu dienen, verdächtige Aktionen während des Computerbetriebs zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:

· versucht, Dateien mit COM- und EXE-Erweiterungen zu korrigieren

· Dateiattribute ändern

Direktes Schreiben auf die Festplatte an einer absoluten Adresse

· Schreiben in die Bootsektoren der Festplatte

Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der „Wächter“ eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie in der Lage sind, einen Virus im frühesten Stadium seiner Existenz vor der Replikation zu erkennen. Sie „bereinigen“ jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme verwenden, beispielsweise Phagen. Zu den Nachteilen von Watchdog-Programmen gehören ihre „Aufdringlichkeit“ (sie warnen beispielsweise ständig vor jedem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software. Ein Beispiel für ein Filterprogramm ist das Programm Vsafe, das Teil des MS Windows-Dienstprogrammpakets ist.

Impfungen oder Immunisierungsmittel– Hierbei handelt es sich um residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden eingesetzt, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Festplatte so, dass der Betrieb nicht beeinträchtigt wird und der Virus es als infiziert wahrnimmt und daher keine Wurzeln schlägt. Derzeit haben Impfprogramme nur begrenzten Nutzen.

Die rechtzeitige Erkennung vireninfizierter Dateien und Datenträger sowie die vollständige Vernichtung erkannter Viren auf jedem Computer tragen dazu bei, die Ausbreitung einer Virenepidemie auf andere Computer zu verhindern.

Einstufung.

Antivirenprodukte können nach mehreren Kriterien klassifiziert werden, z. B. nach den verwendeten Antivirenschutztechnologien, der Produktfunktionalität und den Zielplattformen.

Gemäß den verwendeten Antiviren-Schutztechnologien:

Klassische Antivirenprodukte (Produkte, die nur die Signaturerkennungsmethode verwenden)
Proaktive Antivirenschutzprodukte (Produkte, die ausschließlich proaktive Antivirenschutztechnologien verwenden);
Kombinierte Produkte (Produkte, die sowohl klassische, signaturbasierte als auch proaktive Schutzmethoden nutzen)

Nach Produktfunktionalität:

Antivirenprodukte (Produkte, die nur Virenschutz bieten)
Kombinationsprodukte (Produkte, die mehr als nur Schutz bieten). Schadsoftware, aber auch Spam-Filterung, Verschlüsselung und Datensicherung und andere Funktionen)

Nach Zielplattform:

Antivirenprodukte für Windows-Betriebssysteme
Antivirenprodukte für *NIX-Betriebssysteme (zu dieser Familie gehören BSD, Linux usw.)
Antivirenprodukte für die MacOS-Betriebssystemfamilie
Antivirenprodukte für mobile Plattformen ( Windows Mobil, Symbian, iOS, BlackBerry, Android, Windows Phone 7 usw.)

Antivirenprodukte für Unternehmensanwender können auch nach Schutzobjekten klassifiziert werden:

Antivirenprodukte zum Schutz von Workstations
Antivirenprodukte zum Schutz von Datei- und Terminalservern
Antivirenprodukte zum Schutz von E-Mail- und Internet-Gateways
Antivirenprodukte zum Schutz von Virtualisierungsservern
usw.

Eigenschaften von Antivirenprogrammen.

Antivirenprogramme werden unterteilt in: Detektorprogramme, Arztprogramme, Prüfprogramme, Filterprogramme, Impfprogramme.

Detektorprogramme suchen und erkennen Viren im RAM und auf externen Medien und geben bei Erkennung eine entsprechende Meldung aus. Es gibt universelle und spezialisierte Detektoren.

Universelle Detektoren verwenden bei ihrer Arbeit die Überprüfung der Unveränderlichkeit von Dateien durch Zählen und Vergleichen mit einem Prüfsummenstandard. Der Nachteil universeller Detektoren besteht darin, dass die Ursachen für Dateibeschädigungen nicht ermittelt werden können.

Spezialisierte Detektoren suchen nach bekannten Viren anhand ihrer Signatur (einem wiederholten Codeabschnitt). Der Nachteil solcher Detektoren besteht darin, dass sie nicht alle bekannten Viren erkennen können.

Ein Detektor, der mehrere Viren erkennen kann, wird Polydetektor genannt.

Der Nachteil solcher Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Arztprogramme (Phagen) finden mit Viren infizierte Dateien nicht nur, sondern „behandeln“ sie auch, d. h. Entfernen Sie den Hauptteil des Virenprogramms aus der Datei und versetzen Sie die Dateien in ihren ursprünglichen Zustand. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören diese und beginnen erst dann mit der „Säuberung“ der Dateien. Unter den Phagen werden Polyphagen unterschieden, d.h. Arztprogramme zur Suche und Zerstörung einer großen Anzahl von Viren.

Da ständig neue Viren auftauchen, veralten Detektorprogramme und Arztprogramme schnell und erfordern regelmäßige Aktualisierungen ihrer Versionen.

Audit-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Ausgangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem Originalzustand. Erkannte Änderungen werden auf dem Videomonitor angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Steuercode (Dateiprüfsumme), Datum und Uhrzeit der Änderung sowie weitere Parameter überprüft.

Auditor-Programme verfügen über ziemlich entwickelte Algorithmen, erkennen Tarnviren und können sogar Änderungen in der Version des überprüften Programms von durch den Virus vorgenommenen Änderungen unterscheiden.

Filterprogramme (Watchmen) sind kleine residente Programme, die dazu dienen, verdächtige Aktionen während des Computerbetriebs zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:

Versucht, Dateien mit COM- und EXE-Erweiterungen zu korrigieren;

Dateiattribute ändern;

Direktes Schreiben auf die Festplatte an der absoluten Adresse;

Impfstoffe (Immunisatoren) sind residente Programme, die verhindern, dass Dateien infiziert werden. Impfstoffe werden eingesetzt, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Festplatte so, dass der Betrieb nicht beeinträchtigt wird und der Virus es als infiziert wahrnimmt und daher keine Wurzeln schlägt. Derzeit haben Impfprogramme nur begrenzten Nutzen.

Ein wesentlicher Nachteil solcher Programme ist ihre begrenzte Fähigkeit, eine Infektion durch eine große Anzahl verschiedener Viren zu verhindern.

Beispiele für Antivirenprogramme

Bei der Auswahl eines Antivirenprogramms muss nicht nur der Prozentsatz der Virenerkennung berücksichtigt werden, sondern auch die Fähigkeit, neue Viren zu erkennen, die Anzahl der Viren in der Antivirendatenbank, die Häufigkeit ihrer Aktualisierungen und das Vorhandensein zusätzlicher Viren Funktionen.

Derzeit sollte ein seriöses Antivirenprogramm mindestens 25.000 Viren erkennen können. Das bedeutet nicht, dass sie alle „frei“ sind. Tatsächlich existieren die meisten von ihnen entweder nicht mehr oder befinden sich in Labors und werden nicht verteilt. In Wirklichkeit gibt es 200 bis 300 Viren, von denen nur wenige Dutzend eine Gefahr darstellen.

Es gibt viele Antivirenprogramme. Schauen wir uns die berühmtesten davon an.

Norton AntiVirus 4.0 und 5.0 (Hersteller: Symantec).

Eines der bekanntesten und beliebtesten Antivirenprogramme. Der Prozentsatz der Virenerkennung ist sehr hoch (nahe 100 %). Das Programm verwendet einen Mechanismus, der es Ihnen ermöglicht, neue unbekannte Viren zu erkennen.

Die Benutzeroberfläche von Norton AntiVirus umfasst eine LiveUpdate-Funktion, mit der Sie sowohl das Programm als auch eine Reihe von Virensignaturen über das Web mit einem einzigen Klick aktualisieren können. Der Antiviren-Assistent liefert detaillierte Informationen über den erkannten Virus und bietet Ihnen außerdem die Möglichkeit, den Virus zu entfernen oder zu entfernen automatischer Modus, oder genauer gesagt, durch eine Schritt-für-Schritt-Anleitung, die es Ihnen ermöglicht, jeden Schritt zu sehen, der während des Entfernungsprozesses ausgeführt wird.

Antiviren-Datenbanken werden sehr oft aktualisiert (manchmal erscheinen Updates mehrmals pro Woche). Es gibt einen Residentmonitor.

Der Nachteil dieses Programms ist die Komplexität der Einrichtung (obwohl GrundeinstellungenÄnderungen sind praktisch nicht erforderlich).

Dr. Solomon's AntiVirus (Hersteller: Dr. Solomon's Software).

Gilt als einer der am meisten beste Antivirenprogramme(Eugene Kaspersky sagte einmal, dass dies der einzige Konkurrent seines AVP sei). Erkennt nahezu 100 % aller bekannten und neuen Viren. Eine große Anzahl an Funktionen, Scanner, Monitor, Heuristiken und alles, was Sie brauchen, um Viren erfolgreich zu bekämpfen.

McAfee VirusScan (Hersteller: „McAfee Associates“)

Dies ist eines der bekanntesten Antivirenpakete. Es entfernt Viren sehr gut, aber VirusScan ist bei der Erkennung neuer Arten von Dateiviren schlechter als andere Pakete. Die Installation erfolgt schnell und einfach mit den Standardeinstellungen, kann aber an Ihre Bedürfnisse angepasst werden. Sie können alle Dateien oder nur Softwaredateien scannen oder den Scanvorgang auf komprimierte Dateien ausweiten oder nicht. Es verfügt über viele Funktionen für die Arbeit mit dem Internet.

.Dr.Web (Hersteller: Dialogue Science)

Beliebtes inländisches Antivirenprogramm. Es erkennt Viren gut, aber seine Datenbank enthält viel weniger davon als andere Antivirenprogramme.

Antiviral Toolkit Pro (Hersteller: Kaspersky Lab).

Dieses Antivirenprogramm gilt weltweit als eines der zuverlässigsten. Trotz seiner Benutzerfreundlichkeit verfügt es über das gesamte nötige Arsenal zur Bekämpfung von Viren. Heuristischer Mechanismus, redundantes Scannen, Scannen von Archiven und gepackten Dateien – dies ist keine vollständige Liste seiner Fähigkeiten.

Kaspersky Lab überwacht das Auftreten neuer Viren genau und veröffentlicht umgehend Updates für seine Antiviren-Datenbanken. Es gibt einen residenten Monitor zur Überwachung ausführbarer Dateien.

Evgeny Kaspersky verwendete 1992 die folgende Klassifizierung von Antivirenprogrammen in Abhängigkeit von ihrem Funktionsprinzip (Bestimmung der Funktionalität):

Ø Scanner (veraltete Version – „Polyphagen“, „Detektoren“) – Bestimmen Sie das Vorhandensein eines Virus mithilfe einer Signaturdatenbank, in der Signaturen (oder deren Prüfsummen) von Viren gespeichert sind. Ihre Wirksamkeit wird durch die Relevanz der Virendatenbank und das Vorhandensein eines heuristischen Analysators bestimmt.

Ø Wirtschaftsprüfer (eine Klasse in der Nähe von IDS) – Merken Sie sich den Status des Dateisystems, was es ermöglicht, Änderungen in der Zukunft zu analysieren.

Ø Wächter (Resident-Monitore oder Filter ) – überwacht potenziell gefährliche Vorgänge und sendet dem Benutzer eine entsprechende Aufforderung, den Vorgang zu erlauben/verbieten.

Ø Impfungen (Immunisierungsmittel ) – die gepfropfte Datei so ändern, dass der Virus, gegen den gepfropft wird, die Datei bereits als infiziert betrachtet. Unter modernen Bedingungen, wenn die Anzahl möglicher Viren in Hunderttausenden liegt, ist dieser Ansatz nicht anwendbar.

Moderne Antivirenprogramme vereinen alle oben genannten Funktionen.

Antivirenprogramme können auch unterteilt werden in:

Produkte für Heimanwender:

Eigentlich Antivirenprogramme;

Kombinierte Produkte (z. B. Antispam, Firewall, Anti-Rootkit usw. werden dem klassischen Antivirenprogramm hinzugefügt);

Unternehmensprodukte:

Server-Antivirenprogramme;

Antivirenprogramme auf Workstations („Endpunkt“).

Das Teilen von Antivirenprogrammen führt zu guten Ergebnissen, da sie sich gut ergänzen:

Daten aus externen Quellen werden überprüft Detektorprogramm. Wenn Sie vergessen haben, diese Daten zu überprüfen und ein infiziertes Programm gestartet wurde, kann es von einem Schutzprogramm abgefangen werden. In beiden Fällen werden die diesen Antivirenprogrammen bekannten Viren zwar zuverlässig erkannt. Dies macht nicht mehr als 80-90 % der Fälle aus.

- Wächter kann sogar unbekannte Viren erkennen, wenn sie sich sehr arrogant verhalten (versuchen, sie zu formatieren). Festplatte oder Änderungen an Systemdateien vornehmen). Einige Viren können diese Kontrolle jedoch umgehen.

Wenn der Virus nicht von einem Detektor oder Wächter erkannt wurde, werden die Ergebnisse seiner Aktivität erkannt Programm - Auditor.

In der Regel sollten Watchdog-Programme ständig auf dem Computer laufen, Detektoren zur Überprüfung von Daten aus externen Quellen (Dateien und Disketten) eingesetzt werden und Auditoren einmal täglich gestartet werden, um Änderungen auf Datenträgern zu erkennen und zu analysieren. All dies muss mit regelmäßigen Datensicherungen und dem Einsatz vorbeugender Maßnahmen kombiniert werden, um die Wahrscheinlichkeit einer Ansteckung mit einem Virus zu verringern.

Jedes Antivirenprogramm „verlangsamt“ den Betrieb des Computers, ist aber ein zuverlässiges Mittel gegen die schädlichen Auswirkungen von Viren.

Falsche Antivirenprogramme (falsche Antivirenprogramme).

Im Jahr 2009 begannen verschiedene Antiviren-Hersteller über die weit verbreitete Verwendung einer neuen Art von Antivirenprogrammen zu berichten – gefälschte Antivirenprogramme oder Rogueware. Tatsächlich handelt es sich bei diesen Programmen entweder überhaupt nicht um Antivirenprogramme (das heißt, sie sind nicht in der Lage, Malware zu bekämpfen) oder es handelt sich sogar um Viren (sie stehlen Kreditkartendaten usw.).

Gefälschte Antivirenprogramme werden verwendet, um durch Täuschung Geld von Benutzern zu erpressen. Eine Möglichkeit, einen PC mit einem falschen Antivirenprogramm zu infizieren, ist wie folgt. Der Benutzer landet auf einer „infizierten“ Website und erhält eine Warnmeldung wie: „Auf Ihrem Computer wurde ein Virus entdeckt.“ Anschließend wird der Benutzer zum Herunterladen aufgefordert kostenloses Programm(falsches Antivirenprogramm), um den Virus zu entfernen. Nach der Installation scannt das falsche Antivirenprogramm den PC und erkennt angeblich viele Viren auf dem Computer. Um Malware zu entfernen, bietet ein gefälschtes Antivirenprogramm den Kauf einer kostenpflichtigen Version des Programms an. Der schockierte Benutzer zahlt (Beträge zwischen 50 und 80 US-Dollar) und das gefälschte Antivirenprogramm reinigt den PC von nicht vorhandenen Viren.

Antivirenprogramme auf SIM, Flash-Karten usw USB-Geräte

Heutzutage hergestellte Mobiltelefone verfügen über eine Vielzahl von Schnittstellen und Möglichkeiten zur Datenübertragung. Verbraucher sollten die Schutzmethoden sorgfältig prüfen, bevor sie kleine Geräte anschließen.

Für Verbraucher sind Schutzmethoden wie Hardware, möglicherweise Antivirenprogramme auf USB-Geräten oder auf der SIM-Karte besser geeignet Mobiltelefone. Eine technische Bewertung und Überprüfung der Installation eines Antivirenprogramms auf einem Mobiltelefon sollte als Scanvorgang betrachtet werden, der sich auf andere auswirken kann rechtliche Anwendungen auf diesem Telefon.

Antivirenprogramme auf der SIM-Karte mit integriertem Virenschutz in einem kleinen Speicherbereich bieten Schutz vor Malware/Viren und schützen gleichzeitig die PIN und die Informationen des Telefonbenutzers. Antivirenprogramme auf Flash-Karten geben dem Benutzer die Möglichkeit, Informationen auszutauschen und diese Produkte mit verschiedenen Hardwaregeräten zu verwenden sowie diese Daten über verschiedene Kommunikationskanäle an andere Geräte zu senden.

Antivirenprogramme, mobile Geräte und innovative Lösungen

In Zukunft ist es möglich, dass Mobiltelefone mit einem Virus infiziert werden. Immer mehr Entwickler in diesem Bereich bieten Antivirenprogramme zur Virenbekämpfung und zum Schutz von Mobiltelefonen an. IN mobile Geräte Es gibt folgende Arten der Virenbekämpfung:

– Prozessorbeschränkungen;

– Speicherbeschränkung;

– Identifizierung und Aktualisierung der Signaturen dieser Mobilgeräte.

Abschluss: Antivirenprogramm (Antivirus) – ursprünglich ein Programm zur Erkennung und Behandlung schädlicher Objekte oder infizierter Dateien sowie zur Prävention – zur Verhinderung einer Infektion einer Datei oder eines Betriebssystems Schadcode. Abhängig vom Funktionsprinzip von Antivirenprogrammen gibt es die folgende Klassifizierung von Antivirenprogrammen: Scanner (veraltete Version - „Polyphagen“, „Detektoren“); Wirtschaftsprüfer (IDS-nahe Klasse); Wächter (Wächter oder Filter); Impfstoffe (Immunisierungsmittel).

ABSCHLUSS

Erfolge in Computertechnologien haben in den letzten Jahren nicht nur zur Entwicklung von Wirtschaft, Handel und Kommunikation beigetragen; sorgte für einen effektiven Informationsaustausch, stellte aber auch einzigartige Werkzeuge für Personen bereit, die Computerkriminalität begehen. Je intensiver der Computerisierungsprozess ist, desto realer wird das Wachstum der Computerkriminalität moderne Gesellschaft nicht nur die wirtschaftlichen Folgen von Computerkriminalität zu spüren bekommen, sondern auch zunehmend von der Computerisierung abhängig werden. All diese Aspekte zwingen uns, dem Schutz von Informationen immer mehr Aufmerksamkeit zu schenken. weitere Entwicklung rechtlicher Rahmen in diesem Bereich Informationssicherheit. Das gesamte Maßnahmenspektrum sollte auf den Schutz staatlicher Informationsressourcen reduziert werden; zur Regelung der Beziehungen, die bei der Bildung und Nutzung von Informationsressourcen entstehen; Erstellung und Nutzung Informationstechnologien; Schutz der Informationen und Rechte der beteiligten Subjekte Informationsprozesse; sowie die Definition der grundlegenden Konzepte, die in der Gesetzgebung verwendet werden.

Außerordentlicher Professor der Abteilung für Sicherheitsorganisation und Transport im Strafvollzugssystem

Kandidat der technischen Wissenschaften

Oberstleutnant des Internen Dienstes V.G. Zarubsky

Die beliebtesten und effektivsten Antivirenprogramme sind Antivirenscanner und CRC-Scanner (Auditoren). Es gibt auch Antivirenblocker und Immunisatoren.

Scanner. Das Funktionsprinzip von Antivirenscannern basiert darauf, Dateien, Sektoren und den Systemspeicher zu überprüfen und nach bekannten und neuen (dem Scanner unbekannten) Viren zu durchsuchen. Zur Suche nach bekannten Viren werden sogenannte „Masken“ verwendet. Die Maske eines Virus ist eine konstante Codesequenz, die für diesen bestimmten Virus spezifisch ist. Wenn das Virus keine permanente Maske enthält oder die Länge dieser Maske nicht lang genug ist, werden andere Methoden eingesetzt. Ein Beispiel für eine solche Methode ist eine algorithmische Sprache, die alle möglichen Codevarianten beschreibt, die bei einer Infektion mit einem ähnlichen Virustyp auftreten können. Dieser Ansatz wird von einigen Antivirenprogrammen verwendet, um polymorphe Viren zu erkennen.

Viele Scanner verwenden auch „heuristische Scan“-Algorithmen, d. h. sie analysieren die Befehlsfolge im gescannten Objekt, sammeln einige Statistiken und treffen eine Entscheidung für jedes gescannte Objekt. Da es sich beim heuristischen Scannen um eine weitgehend probabilistische Methode zur Virensuche handelt, gelten für sie viele Gesetze der Wahrscheinlichkeitstheorie. Je höher beispielsweise der Prozentsatz der erkannten Viren ist, desto höher ist die Anzahl falsch positiver Ergebnisse.

Scanner können auch in zwei Kategorien unterteilt werden – „universell“ und „spezialisiert“. Universelle Scanner dienen dazu, alle Arten von Viren zu suchen und zu neutralisieren, unabhängig vom Betriebssystem, für das der Scanner konzipiert ist. Spezialisierte Scanner sind darauf ausgelegt, eine begrenzte Anzahl von Viren oder nur eine Virenklasse, beispielsweise Makroviren, zu neutralisieren.

Scanner werden außerdem in „Resident“ (Monitore) unterteilt, die im laufenden Betrieb scannen, und „Nicht-Resident“, die das System nur auf Anfrage scannen. „Residente“ Scanner bieten in der Regel einen zuverlässigeren Systemschutz, da sie sofort auf das Auftreten eines Virus reagieren, während ein „nicht residenter“ Scanner den Virus erst beim nächsten Start identifizieren kann.

Zu den Vorteilen von Scannern aller Art gehört ihre Vielseitigkeit, zu den Nachteilen zählen die Größe der Antiviren-Datenbanken, die Scanner speichern und aktualisieren müssen, sowie die relativ geringe Geschwindigkeit der Virensuche.

CRC-Scanner mit Anti-Stealth-Algorithmen reagieren auf fast 100 % der Viren sofort, nachdem Änderungen auf dem Computer auftreten. Ein charakteristischer Nachteil dieser Antivirenprogramme ist die Unfähigkeit, einen Virus vom ersten Moment an zu erkennen, bis Änderungen am Computer vorgenommen werden. CRC-Scanner können einen Virus in neuen Dateien (in E-Mails, auf Disketten, in wiederherstellbaren Dateien oder beim Entpacken von Dateien aus einem Archiv) nicht erkennen, da ihre Datenbanken keine Informationen über diese Dateien enthalten.

Blocker. Antivirenblocker sind residente Programme, die „virengefährliche“ Situationen abfangen und den Benutzer darüber informieren. Zu den „virengefährlichen“ Aufrufen gehören Aufrufe zum Schreiben in ausführbare Dateien, zum Schreiben in den Bootsektor der Festplatte usw., die für Viren im Moment der Reproduktion typisch sind.

Immunisatoren. Immunisatoren werden in zwei Typen unterteilt: Immunisatoren, die eine Infektion melden, und Immunisatoren, die eine Infektion durch jede Art von Virus blockieren.

Diese Programme können in fünf Hauptgruppen eingeteilt werden: Filter, Detektoren, Auditoren, Ärzte und Impfprogramme.

Antivirenfilter- Dies sind residente Programme, die den Benutzer über alle Versuche eines Programms informieren, auf eine Festplatte zu schreiben, geschweige denn diese zu formatieren, sowie über andere verdächtige Aktionen (z. B. Versuche, die CMOS-Einstellungen zu ändern). Sie werden aufgefordert, diese Aktion zuzulassen oder abzulehnen. Das Funktionsprinzip dieser Programme basiert auf dem Abfangen der entsprechenden Interrupt-Vektoren. Der Vorteil von Programmen dieser Klasse gegenüber Detektorprogrammen ist ihre Vielseitigkeit sowohl im Hinblick auf bekannte als auch unbekannte Viren, während Detektoren für bestimmte, bekannte Viren geschrieben werden. dieser Moment Ansichten an den Programmierer. Dies gilt insbesondere jetzt, wo viele mutierte Viren aufgetaucht sind, die keinen permanenten Code haben. Filterprogramme können jedoch keine Viren verfolgen, die direkt auf das BIOS zugreifen, sowie BOOT-Viren, die bereits vor dem Start des Antivirenprogramms in der Anfangsphase des DOS-Ladens aktiviert werden. Zu den Nachteilen gehört auch die häufige Ausgabe von Anfragen zur Ausführung eines Vorgangs: Antworten auf Fragen nehmen dem Benutzer viel Zeit in Anspruch und gehen ihm auf die Nerven. Bei der Installation einiger Antivirenfilter kann es zu Konflikten mit anderen residenten Programmen kommen, die dieselben Interrupts verwenden, die einfach nicht mehr funktionieren.

Die am weitesten verbreiteten in unserem Land sind Detektorprogramme, oder vielmehr Programme, die kombinieren Detektor und Arzt. Auf die bekanntesten Vertreter dieser Klasse – Aidstest, Doctor Web, MicroSoft AntiVirus – wird im Folgenden näher eingegangen. Antiviren-Detektoren sind für bestimmte Viren konzipiert und basieren auf dem Vergleich der im Virenkörper enthaltenen Codesequenz mit den Codes der gescannten Programme. Viele Detektorprogramme ermöglichen es Ihnen auch, infizierte Dateien oder Datenträger zu „säubern“, indem Sie Viren von ihnen entfernen (natürlich wird die Behandlung nur für Viren unterstützt, die dem Detektorprogramm bekannt sind). Solche Programme müssen regelmäßig aktualisiert werden, da sie schnell veraltet sind und neue Virentypen nicht erkennen können.

Wirtschaftsprüfer- Dies sind Programme, die den aktuellen Zustand von Dateien und Systembereichen der Festplatte analysieren und ihn mit Informationen vergleichen, die zuvor in einer der Datendateien des Prüfers gespeichert wurden. Dabei werden der Status des BOOT-Sektors, der FAT-Tabelle sowie die Länge der Dateien, deren Erstellungszeit, Attribute und Prüfsumme überprüft. Durch die Analyse der Meldungen des Prüfprogramms kann der Benutzer entscheiden, ob die Änderungen durch einen Virus verursacht wurden oder nicht. Bei Meldungen dieser Art sollten Sie nicht in Panik geraten, da die Ursache für Änderungen, beispielsweise in der Länge des Programms, möglicherweise gar kein Virus ist.

Die letzte Gruppe umfasst die ineffektivsten Antivirenprogramme – Impflinge. Sie schreiben die Anzeichen eines bestimmten Virus in das Impfprogramm, sodass das Virus es als bereits infiziert betrachtet.

In unserem Land erfreuen sich, wie oben erwähnt, besonders beliebte Antivirenprogramme, die die Funktionen von Detektoren und Ärzten vereinen. Das bekannteste davon ist das AIDSTEST-Programm von D.N. Lozinsky. Dieses Programm wurde 1988 erfunden und seitdem ständig verbessert und erweitert. In Russland verfügt fast jeder IBM-kompatible Personalcomputer über eine der Versionen dieses Programms. Einer von letzte Version erkennt mehr als 1500 Viren.

Das Aidstest-Programm wurde entwickelt, um Programme zu reparieren, die mit gewöhnlichen (nicht polymorphen) Viren infiziert sind, die ihren Code nicht ändern. Diese Einschränkung ist darauf zurückzuführen, dass dieses Programm anhand von Identifikationscodes nach Viren sucht. Gleichzeitig wird aber eine sehr hohe Geschwindigkeit bei der Dateiprüfung erreicht.

Für die normale Funktion von Aidstest ist es erforderlich, dass sich im Speicher keine residenten Antivirenprogramme befinden, die das Schreiben blockieren Programmdateien Sie sollten daher entladen werden, indem Sie entweder die Entladeoption für das residente Programm selbst angeben oder das entsprechende Dienstprogramm verwenden.

Beim Start überprüft Aidstest den Arbeitsspeicher auf ihm bekannte Viren und neutralisiert diese. In diesem Fall werden nur die mit der Fortpflanzung verbundenen Funktionen des Virus gelähmt, während andere Nebenwirkungen bestehen bleiben können. Nachdem der Virus im Speicher neutralisiert wurde, gibt das Programm daher eine Aufforderung zum Neustart aus. Sie sollten diesen Rat unbedingt befolgen, wenn der PC-Betreiber dies nicht tut Systemprogrammierer der die Eigenschaften von Viren untersucht. Sie sollten jedoch einen Neustart mit der RESET-Taste durchführen, da bei einem „Warmneustart“ einige Viren bestehen bleiben können. Darüber hinaus ist es besser, das Gerät und Aidstest mit einer schreibgeschützten Diskette auszuführen, da der Virus beim Ausführen von einer infizierten Diskette in den Speicher schreiben und die Behandlung beeinträchtigen kann.

Aidstest testet seinen Körper auf das Vorhandensein bekannter Viren und beurteilt außerdem anhand von Verzerrungen in seinem Code, ob er mit einem unbekannten Virus infiziert ist. In diesem Fall sind Fälle von Fehlalarmen möglich, beispielsweise wenn das Antivirenprogramm von einem Packager komprimiert wird. Das Programm verfügt über keine grafische Oberfläche und seine Betriebsarten werden über Tasten eingestellt. Durch die Angabe des Pfades können Sie nicht die gesamte Festplatte, sondern ein separates Unterverzeichnis überprüfen.

Nachteile des Aidstest-Programms:

Erkennt keine polymorphen Viren;

Es ist nicht mit einem heuristischen Analysator ausgestattet, der es ihm ermöglicht, ihm unbekannte Viren zu finden;

Weiß nicht, wie man Dateien in Archiven überprüft und desinfiziert;

Erkennt keine Viren in Programmen, die von ausführbaren Dateipackern wie EXEPACK, DIET, PKLITE usw. verarbeitet werden.

Vorteile von Aidstest:

Einfach zu verwenden;

Funktioniert sehr schnell;

Erkennt einen erheblichen Teil der Viren;

Gut integriert in das Adinf-Auditprogramm;

Funktioniert auf fast jedem Computer.

IN In letzter Zeit Die Popularität eines anderen Antivirenprogramms, Doctor Web, das von der Firma Dialog-Nauka angeboten wird, nimmt rasant zu. Dieses Programm wurde 1994 von I.A. erstellt. Danilow. DR. Web gehört wie Aidstest zur Klasse der Arztdetektoren, verfügt aber im Gegensatz zu letzteren über einen sogenannten „heuristischen Analysator“ – einen Algorithmus, mit dem Sie unbekannte Viren erkennen können. „Healing Web“, wie der Name des Programms aus dem Englischen übersetzt wird, wurde zur Reaktion einheimischer Programmierer auf die Invasion selbstmodifizierender mutierter Viren, die bei der Vermehrung ihren Körper so verändern, dass keine einzige charakteristische Bytekette entsteht in der ursprünglichen Version des Virus vorhanden war, bleibt bestehen. Dieses Programm wird durch die Tatsache gestützt, dass die Hauptdirektion für Informationsressourcen unter dem Präsidenten der Russischen Föderation eine große Lizenz (für 2000 Computer) erworben hat und der zweitgrößte Käufer des „Webs“ die Inkombank war.

Die Modi werden wie bei Aidtest über Tasten gesteuert. Der Benutzer kann das Programm anweisen, sowohl die gesamte Festplatte als auch einzelne Unterverzeichnisse oder Dateigruppen zu testen, oder das Scannen von Festplatten verweigern und nur den RAM testen. Sie können wiederum entweder nur den Basisspeicher oder zusätzlich den Erweiterungsspeicher testen. Wie Aidstest kann Doctor Web einen Arbeitsbericht erstellen, einen Generator für kyrillische Zeichen laden und die Arbeit mit dem Software- und Hardwarekomplex Sheriff unterstützen.

Festplattenprüfung Dr. Der webbasierte Test dauert viel länger als der Aidstest, daher kann es sich nicht jeder Benutzer leisten, jeden Tag so viel Zeit damit zu verbringen, alles zu überprüfen Festplatte. Diesen Benutzern kann empfohlen werden, von außerhalb mitgebrachte Disketten sorgfältiger zu prüfen. Wenn die Informationen auf einer Diskette in einem Archiv liegen (und neuerdings werden Programme und Daten nur noch in dieser Form von Maschine zu Maschine übertragen; auch produzierende Unternehmen Software, zum Beispiel Borland, ihre Produkte verpacken), sollten Sie es in ein separates Verzeichnis auf Ihrer Festplatte entpacken und sofort und ohne Verzögerung Dr. starten. Web und gibt als Parameter anstelle des Festplattennamens den vollständigen Pfad zu diesem Unterverzeichnis an. Dennoch müssen Sie mindestens alle zwei Wochen einen vollständigen Scan der Festplatte auf Viren durchführen und dabei die maximale Stufe der heuristischen Analyse festlegen.

Ebenso wie bei Aidstest sollten Sie dem Programm beim ersten Test nicht erlauben, Dateien zu desinfizieren, in denen es einen Virus entdeckt, da nicht ausgeschlossen werden kann, dass die im Antivirenprogramm als Muster akzeptierte Bytefolge in einem zu finden ist gesundes Programm.

Im Gegensatz zu Aidstest bietet der Dr. Netz:

erkennt polymorphe Viren;

ausgestattet mit einem heuristischen Analysator;

kann Dateien in Archiven überprüfen und desinfizieren;

ermöglicht das Testen von mit CPAV geimpften sowie mit LZEXE, PKLITE, DIET verpackten Dateien.

Das Unternehmen „Dialog-Nauka“ bietet verschiedene Versionen DrWeb-Programme für DOS. Wie Sie wissen, gibt es für DOS zwei Versionen, die traditionell so genannt werden 16-Bit Und 32-Bit(Letzteres wird auch Doctor Web für DOS/386, DrWeb386 genannt). Diese Namen (16- und 32-Bit) spiegeln den Kern des Unterschieds zwischen den DOS-Versionen vollständig wider, aber direkt aus den Namen ist er nur für Spezialisten ersichtlich. Nur die 32-Bit-Version hat alles Funktionalität in anderen modernen Versionen von Doctor Web (insbesondere Versionen für Windows) inhärent.

Die 16-Bit-Version verfügt heute aufgrund der vom Betriebssystem auferlegten Beschränkungen des verfügbaren Speichers über einige äußerst wichtige „Fähigkeiten“ nicht; insbesondere sind sie nicht darin enthalten (und aufgrund der angegebenen Speicherbeschränkungen kann nicht einbezogen werden):

„Wartungs“-Module für bekannte Viren moderne Typen(insbesondere sprechen wir von Makro- und Stealth-Viren);

heuristische Analysemodule zur Erkennung unbekannter moderner Viren;

Module zum Entpacken moderner Archivtypen und gepackter Windows-Programme usw.

Obwohl die 16-Bit-Version dieselbe Virendatenbank (VDB-Dateien) wie die 32-Bit-Versionen verwendet, ist es aufgrund des Fehlens einiger Module nicht möglich, die entsprechenden Viren zu verarbeiten.

Darüber hinaus unterstützt die 16-Bit-Version aus den gleichen Gründen einige moderne Software und Hardware nicht, was sie instabil oder fehlerhaft machen kann.

Da die 32-Bit-Version voll funktionsfähig ist und, wie aus dem anderen Namen Doctor Web für DOS/386 hervorgeht, alle Benutzer, die Doctor benötigen, unter DOS auf Computern mit einem Prozessor von mindestens 386 arbeiten können Die Webversion für DOS sollte genau hier verwendet werden.

Die 16-Bit-Version wird weiterhin veröffentlicht, da es auf der 86/286-Plattform immer noch eine Flotte alter Maschinen gibt, auf denen die 32-Bit-Version nicht funktionieren kann.

(Schutz vor Virensoftware)

Ein interessantes Softwareprodukt ist AVSP Antivirus. Dieses Programm kombiniert einen Detektor, einen Arzt und einen Prüfer und verfügt sogar über einige residente Filterfunktionen (die das Schreiben in Dateien mit dem READ-only-Attribut verbieten). Antivirus kann sowohl bekannte als auch unbekannte Viren behandeln und informiert Sie über die Behandlungsmethode aktuelles Programm Der Benutzer kann es erkennen. Darüber hinaus kann AVSP selbstmodifizierende und Stealth-Viren behandeln.

Wenn Sie AVSP starten, erscheint ein Fenstersystem mit Menüs und Informationen zum Programmstatus. Sehr angenehm kontextbezogenes Hinweissystem, das Erklärungen zu jedem Menüpunkt enthält. Der Aufruf erfolgt klassisch mit der F1-Taste und ändert sich beim Wechsel von Artikel zu Artikel. Ein weiterer wichtiger Vorteil in unserem Zeitalter von Windows und OS/2 ist die Mausunterstützung. Ein wesentlicher Nachteil der AVSP-Schnittstelle ist die fehlende Möglichkeit, Menüelemente durch Drücken einer Taste mit dem entsprechenden Buchstaben auszuwählen. Dies wird jedoch etwas durch die Möglichkeit ausgeglichen, ein Element durch Drücken von ALT und der entsprechenden Nummer auszuwählen Artikel.

Das AVSP-Paket enthält außerdem residenter Treiber AVSP.SYS, mit dem Sie die meisten unsichtbaren Viren erkennen können (mit Ausnahme von Viren wie Ghost-1963 oder DIR), Viren für die Dauer ihres Betriebs deaktivieren und außerdem die Änderung von NUR-READ-Dateien verbieten.

Eine weitere Funktion von AVSP.SYS ist Deaktivieren residenter Viren, während AVSP.EXE ausgeführt wird Allerdings deaktiviert der Treiber neben Viren auch einige andere residente Programme. Wenn Sie AVSP zum ersten Mal starten, sollten Sie Ihr System auf bekannte Viren testen. Gleichzeitig wird es überprüft Rom, BOOT-Sektor und Dateien. In einigen Fällen können Sie sogar Dateien wiederherstellen, die durch einen unbekannten Virus beschädigt wurden. Sie können die Dateigröße, ihre Prüfsummen, das Vorhandensein von Viren oder alles zusammen überprüfen. Sie können auch angeben, was genau überprüft werden soll (Bootsektor, Speicher oder Dateien). Wie bei den meisten Antivirenprogrammen hat der Benutzer auch hier die Möglichkeit, zwischen Geschwindigkeit und Qualität zu wählen. Der Kern der Hochgeschwindigkeitsprüfung besteht darin, dass nicht die gesamte Datei gescannt wird, sondern nur deren Anfang; In diesem Fall können die meisten Viren erkannt werden. Wenn ein Virus in die Mitte geschrieben wird oder die Datei mit mehreren Viren infiziert ist (während die „alten“ Viren von den „jungen“ sozusagen in die Mitte geschoben werden), bemerkt das Programm dies nicht. Daher sollte eine Qualitätsoptimierung installiert werden, insbesondere da in AVSP hochwertige Tests nicht viel mehr Zeit in Anspruch nehmen als schnelle Tests.

AVSP kann bei der automatischen Erkennung neuer Viren viele Fehler machen. Wenn Sie also ein Muster automatisch erkennen, sollten Sie sich die Zeit nehmen, zu prüfen, ob es sich wirklich um einen Virus handelt und ob dieses Muster in fehlerfreien Programmen auftritt.

Wenn AVSP während des Vorgangs einen bekannten Virus erkennt, sollten Sie die gleichen Maßnahmen ergreifen wie bei der Zusammenarbeit mit Aidstest und Dr. Web: Kopieren Sie die Datei auf die Festplatte, starten Sie von der Sicherungsdiskette neu und starten Sie AVSP. Es ist außerdem ratsam, den AVSP.SYS-Treiber in den Speicher zu laden, da er das Hauptprogramm bei der Behandlung von Stealth-Viren unterstützt.

Eine weitere nützliche Funktion ist eingebauter Disassembler. Mit seiner Hilfe können Sie herausfinden, ob sich in der Datei ein Virus befindet oder ob AVSP bei der Überprüfung der Festplatte ein falsches Positiv verursacht hat. Darüber hinaus können Sie versuchen, die Infektionsmethode, das Funktionsprinzip des Virus sowie den Ort herauszufinden, an dem er die ersetzten Bytes der Datei „versteckt“ hat (wenn es sich um diesen Virustyp handelt). All dies ermöglicht es Ihnen, ein Virenentfernungsverfahren zu schreiben und beschädigte Dateien wiederherzustellen. Noch eine nützliche Funktion- Ausgabe visuelle Karte der Veränderungen. Mit der Änderungskarte können Sie beurteilen, ob diese Änderungen mit dem Virus übereinstimmen oder nicht, und den Suchbereich für den Viruskörper während der Demontage eingrenzen.

Das AVSP-Programm verfügt über zwei Algorithmen zur Neutralisierung von Stealth-Viren („unsichtbar“), und beide funktionieren nur, wenn sich ein aktiver Virus im Speicher befindet. Folgendes passiert, wenn diese Algorithmen implementiert werden: Alle Dateien werden in Datendateien kopiert und dann gelöscht. Es werden nur Dateien mit dem SYSTEM-Attribut gespeichert. In Adinf ist das Entfernen von Stealths viel einfacher.

Das AVSP-Programm überwacht auch den Status der Bootsektoren. Wenn der BOOT-Sektor auf einer Diskette infiziert ist und das Antivirenprogramm ihn nicht beheben kann, sollten Sie den Boot-Code löschen. Die Diskette wird nicht mehr systemrelevant, die Daten gehen jedoch nicht verloren. Mit einer Festplatte ist das nicht möglich. Wenn in einem der BOOT-Sektoren der Festplatte Änderungen festgestellt werden, bietet AVSP an, diese in einer Datei zu speichern und dann zu versuchen, den Virus zu entfernen.

Microsoft Antivirus

Moderne Versionen von MS-DOS (z. B. 6.22) enthalten ein Antivirenprogramm Microsoft-Programm Antivirus (MSAV). Dieses Antivirenprogramm kann im Detektor-Arzt- und Auditor-Modus arbeiten. MSAV hat Schnittstelle im MS-Windows-Stil Selbstverständlich wird auch die Maus unterstützt. Gut umgesetzt Kontexthilfe: Für fast jeden Menüpunkt und für jede Situation gibt es einen Hinweis. Der Zugriff auf Menüpunkte ist universell implementiert: Hierzu können Sie die Cursortasten, Tasten (F1-F9), Tasten, die einem der Buchstaben des Elementnamens entsprechen, sowie die Maus verwenden. Ein schwerwiegender Nachteil bei der Verwendung des Programms besteht darin, dass Tabellen mit Dateidaten nicht in einer Datei gespeichert werden, sondern über alle Verzeichnisse verteilt werden.

Beim Start lädt das Programm seinen eigenen Zeichengenerator, liest den Verzeichnisbaum der aktuellen Festplatte und kehrt anschließend zum Hauptmenü zurück. Es ist nicht klar, warum der Verzeichnisbaum sofort beim Start gelesen werden sollte: Schließlich möchte der Benutzer möglicherweise nicht die aktuelle Festplatte überprüfen.

Bei der ersten Prüfung erstellt MSAV in jedem Verzeichnis, das ausführbare Dateien enthält, CHKLIST.MS-Dateien, in die es Informationen über Größe, Datum, Uhrzeit, Attribute sowie die Prüfsumme der kontrollierten Dateien schreibt. Bei nachfolgenden Prüfungen vergleicht das Programm die Dateien mit den Informationen in den CHKLIST.MS-Dateien. Wenn sich Größe und Datum geändert haben, informiert das Programm den Benutzer darüber und fragt nach Weitere Maßnahmen: Informationen aktualisieren (Update), Datum und Uhrzeit entsprechend den Daten in CHKLIST.MS einstellen (Reparatur), fortfahren, unabhängig von Änderungen in Diese Datei(Weiter), Prüfung unterbrechen (Stopp).

Im Optionsmenü können Sie das Programm nach Ihren Wünschen konfigurieren. Hier können Sie den Modus so einstellen, dass nach unsichtbaren Viren gesucht wird (Anti-Stealth), alle (nicht nur ausführbaren) Dateien überprüft werden (Alle Dateien prüfen) und auch die Erstellung von CHKLIST.MS-Tabellen zugelassen oder deaktiviert werden soll (Neue Prüfsummen erstellen). Darüber hinaus können Sie den Modus zum Speichern eines Berichts über die geleistete Arbeit in einer Datei festlegen. Wenn Sie die Option „Backup erstellen“ aktivieren, wird vor dem Entfernen des Virus aus der infizierten Datei eine Kopie davon mit der Erweiterung „VIR“ gespeichert.

Im Hauptmenü können Sie die Liste der dem MSAV-Programm bekannten Viren anzeigen, indem Sie die Taste F9 drücken. Daraufhin wird ein Fenster mit den Namen der Viren angezeigt. Um detailliertere Informationen über den Virus anzuzeigen, müssen Sie den Cursor auf seinen Namen bewegen und die Eingabetaste drücken. Sie können schnell zum gewünschten Virus navigieren, indem Sie die ersten Buchstaben seines Namens eingeben. Über den entsprechenden Menüpunkt können Informationen über den Virus auf dem Drucker ausgegeben werden.

(Erweitertes Diskinfoscope)

ADinf gehört zur Klasse der Audit-Programme. Dieses Programm wurde von D.Yu. Mostow im Jahr 1991

Bei der ADinf-Programmfamilie handelt es sich um Festplattenprüfer, die für die Arbeit entwickelt wurden persönliche Computer regiert durch Betriebssysteme MS-DOS, MS-Windows 3.xx, Windows 95/98 und Windows NT/2000. Die Programme basieren auf der regelmäßigen Überwachung von Änderungen auf Festplatten. Wenn ein Virus auftritt, erkennt ADinf ihn anhand der Änderungen am Dateisystem und/oder am Bootsektor der Festplatte und informiert den Benutzer darüber. Im Gegensatz zu Antivirenscannern verwendet ADinf bei seiner Arbeit keine „Porträts“ (Signaturen) bestimmter Viren. Daher ist ADinf besonders effektiv für die Erkennung neuer Viren, für die noch kein Gegenmittel erfunden wurde.

Besonders zu beachten ist, dass ADinf keine Betriebssystemfunktionen zur Festplattenüberwachung nutzt. Es liest die Festplatte Sektor für Sektor und analysiert selbstständig die Dateisystemstruktur, wodurch sogenannte Stealth-Viren erkannt werden können.

Wenn die Adinf-Behandlungseinheit im System installiert ist ( ADinf Heilung Modul ), dann ist dieses Tandem in der Lage, neu auftretende Infektionen nicht nur zu erkennen, sondern auch erfolgreich zu beseitigen. Tests haben gezeigt, dass das ADinf Cure Module 97 % der Viren erfolgreich wiederherstellen kann beschädigte Dateien mit Byte-Präzision.

Die nützlichen Eigenschaften von ADinf beschränken sich nicht nur auf die Bekämpfung von Viren. Im Wesentlichen ist ADinf ein System, mit dem Sie die Sicherheit von Informationen auf Datenträgern überwachen und alle, auch subtilen Änderungen im Dateisystem erkennen können, nämlich Änderungen in Systembereichen, Dateiänderungen, Erstellen und Löschen von Verzeichnissen, Erstellen, Löschen, Umbenennen und Verschieben von Dateien aus einem Verzeichnis in einen Katalog. Die Zusammenstellung der kontrollierten Informationen ist flexibel konfigurierbar, sodass Sie nur das steuern können, was benötigt wird.

Die erste Version des Programms wurde 1991 veröffentlicht und seitdem ist ADinf zu Recht der beliebteste Auditor in Russland und den Ländern der ehemaligen UdSSR. Heutzutage ist es schwierig, die Zahl der legalen und illegalen Benutzer von ADinf zu zählen. Mehr als 2.500 Unternehmensabonnenten der Dialog-Science Anti-Virus Suite, zu der auch ADinf gehört, schützen damit ihre Computer. Das ADinf-Programm hat Zertifikate im GOST R.-Zertifizierungssystem, im Zertifizierungssystem für Informationssicherheitsausrüstung des Verteidigungsministeriums und im Zertifikat der Staatlichen Technischen Kommission unter dem Präsidenten erhalten Russische Föderation(als Teil des Dialog-Science Anti-Virus Kit). Das Programm wird ständig verbessert und ist immer auf dem neuesten Stand der Technik.

Ursprünglich wurde der ADinf-Auditor für das MS-DOS-Betriebssystem entwickelt. Anschließend wurden Versionen des Programms für Windows 3.xx und Windows 95/98/NT veröffentlicht. Mittlerweile gibt es eine Familie kompatibler Prüfer für verschiedene Betriebssysteme. Alle ADinf-Varianten unterstützen heute Windows 95/98-Dateisysteme, lange Datei- und Verzeichnisnamen und analysieren die interne Struktur von ausführbaren Windows 95/98- und NT-Dateien.

Also, das Adinf-Programm:

Es hat hohe Geschwindigkeit arbeiten;

ist in der Lage, im Speicher befindliche Viren erfolgreich zu bekämpfen;

ermöglicht Ihnen die Steuerung der Festplatte, indem Sie sie Sektor für Sektor über das BIOS lesen und ohne DOS-Systeminterrupts verwenden, die von einem Virus abgefangen werden können;

kann bis zu 32.000 Dateien auf jedem Laufwerk verarbeiten;

Im Gegensatz zu AVSP, bei dem der Benutzer selbstständig analysieren muss, ob der Computer mit einem Stealth-Virus infiziert ist, indem er zuerst von der Festplatte und dann von der Referenzdiskette bootet, erfolgt dieser Vorgang in ADinf automatisch;

Im Gegensatz zu anderen Antivirenprogrammen erfordert Advansed Diskinfoscope kein Booten von einer schreibgeschützten Referenzdiskette. Beim Laden von einer Festplatte nimmt die Zuverlässigkeit des Schutzes nicht ab;

ADinf verfügt über eine gut ausgeführte benutzerfreundliche Oberfläche, die im Gegensatz zu AVSP nicht im Text-, sondern im grafischen Modus implementiert ist;

Bei der Installation von ADinf im System ist es möglich, den Namen der Hauptdatei ADINF.EXE und den Namen der Tabellen zu ändern, und der Benutzer kann einen beliebigen Namen angeben. Dies ist eine sehr nützliche Funktion, da in letzter Zeit viele Viren aufgetaucht sind, die nach Antivirenprogrammen „jagen“ (zum Beispiel gibt es einen Virus, der das Aidstest-Programm so ändert, dass es anstelle des DialogueScience-Bildschirmschoners schreibt: „Lozinsky ist ein Baumstumpf“ ), einschließlich einschließlich für ADinf.

Es gibt mehrere Versionen des Adinf-Prüfers für verschiedene Betriebssysteme. Jeder von ihnen hat seine eigenen Eigenschaften.

Wirtschaftsprüfer ADinf Entwickelt für die Betriebssysteme MS-DOS und Windows 95/98. Dies ist eine Weiterentwicklung der ersten Version des Auditors, die bereits 1991 erstellt wurde. Heute ist ADinf das zuverlässigste Tool zur Erkennung bekannter und neuer unbekannter Viren. Dies ist der einzige Prüfer auf der Welt, der prüft Dateisystem Lesen nach Sektor direkt über das BIOS des Computers.

Wirtschaftsprüfer ADinf für Windows Entwickelt für das Betriebssystem Windows 3.xx. Diese Version des Programms fügt allen Eigenschaften des ADinf-Prüfers eine praktische grafische Benutzeroberfläche hinzu.

Wirtschaftsprüfer ADinf Pro dient der Überwachung der Sicherheit besonders wertvoller Informationen wie Datenbanken oder Dokumente in der Umgebung der Betriebssysteme MS-DOS, Windows 3.xx und Windows 95/98. Eine Besonderheit dieser Programmversion ist die Verwendung einer 64-Bit-Hash-Funktion zur Kontrolle der Integrität von Dateien, die von der bekannten russischen Firma LAN-Crypto entwickelt wurde. Durch die Verwendung dieser Hash-Funktion wird nicht nur sichergestellt, dass versehentliche Dateiänderungen oder durch Viren verursachte Änderungen erkannt werden, sondern es wird auch verhindert, dass die Daten auf der Festplatte absichtlich unbemerkt verändert werden.

Wirtschaftsprüfer ADinf32 ist eine 32-Bit-Multithread-Anwendung für Betriebssysteme Windows-Systeme 95/98 und Windows NT mit moderner Benutzeroberfläche. Diese Version des Programms bietet nicht nur alle Vorteile anderer Optionen, sondern enthält im Vergleich zu diesen auch viele Neuerungen.

Es ist zu beachten, dass das Adinf-Programm gut in andere Programme des DSAV-Kits von Dialog-Nauka integriert ist. Daher erstellt Adinf eine Liste neuer und geänderter Dateien auf der Festplatte, und Aidstest und DrWeb können Dateien aus dieser Liste überprüfen, was die Betriebszeit dieser Programme erheblich verkürzt.

(AntiViral Toolkit Pro)

Dieses Programm wurde von Kaspersky Lab erstellt. AVP verfügt über einen der fortschrittlichsten Virenerkennungsmechanismen. Heute steht AVP seinen westlichen Pendants praktisch in nichts nach.

AVP bietet Benutzern maximalen Service – die Möglichkeit, Antiviren-Datenbanken über das Internet zu aktualisieren, die Möglichkeit, Parameter für das automatische Scannen und Desinfizieren infizierter Dateien festzulegen. Aktualisierungen auf der AVP-Website erscheinen fast wöchentlich und die Datenbank enthält Beschreibungen von fast 40.000 Viren.

AVP besteht aus mehreren wichtigen Modulen:

1) AVP-Scanner Schecks Festplatten für eine Virusinfektion. Sie können eine vollständige Suche einrichten, bei der das Programm alle Dateien nacheinander scannt, und auch den Scanmodus für archivierte Dateien festlegen. Einer der Hauptvorteile von AVP ist Kampf gegen Makroviren. Der Benutzer kann einen speziellen Modus auswählen, in dem im Format erstellte Dokumente überprüft werden. Microsoft Office. Nach der Erkennung von Viren oder infizierten Dateien bietet AVP mehrere Optionen zur Auswahl: Viren aus Dateien entfernen, die infizierten Dateien selbst löschen oder sie in einen speziellen Ordner verschieben.
2) AVP Monitor. Dieses Programm wird automatisch heruntergeladen, wenn Windows-Start. AVP Monitor überprüft automatisch alle auf dem Computer geöffneten Dateien und Dokumente und benachrichtigt den Benutzer im Falle eines Virenbefalls darüber. Darüber hinaus lässt AVP Monitor in den meisten Fällen einfach nicht zu, dass die infizierte Datei ausgeführt wird, und blockiert so ihren Ausführungsprozess. Diese Programmfunktion ist sehr nützlich für diejenigen, die ständig mit vielen neuen Dateien arbeiten, beispielsweise für aktive Internetnutzer (da es unmöglich ist, AVP alle fünf Minuten zu starten, um heruntergeladene Dateien zu überprüfen, kommt hier AVP Monitor zur Rettung).
3) AVP Inspektor - das letzte und sehr wichtige Modul des AVP-Kits, mit dem Sie auch unbekannte Viren abfangen können. „Inspector“ verwendet eine Methode zur Kontrolle von Dateigrößenänderungen. Durch das Einschleusen in eine Datei vergrößert sich der Virus unweigerlich und wird vom „Inspektor“ leicht erkannt.

Zusätzlich zu all dem gibt es das sogenannte AVP-Kontrollzentrum - „Kontrollfeld“ für alle Programme des AVP-Komplexes. Die wichtigste Funktion dieses Programms ist der integrierte Taskplaner, der es Ihnen ermöglicht, das System schnell und automatisch zu überprüfen (und gegebenenfalls zu behandeln), ohne dass der Benutzer eingreifen muss, sondern zu einem vom Benutzer festgelegten Zeitpunkt.