Класифікація та принципи функціонування антивірусного програмного забезпечення.
МІНІСТЕРСТВО ВНУТРІШНІХ СПРАВ УКРАЇНИ
ОДЕСЬКИЙ ДЕРЖАВНИЙ УНІВЕРСИТЕТ ВНУТРІШНІХ СПРАВ
Херсонський факультет
Кафедра професійних та спеціальних дисциплін
ЗАТВЕРДЖУЮ
Завідувач кафедри
професійних та спеціальних
дисциплін
полковник поліції
А.С. Беніцький
«26» серпня 2016 р.
Навчальна дисципліна:
«Інформаційно-телекомунікаційні системи»
Лекція до теми:
Налаштування операційної системи: антивірусне програмне
забезпечення. Шифрування дисків та файлів, аналіз трафіка»
спеціальність 081 «Право»,
262 «Правоохоронна діяльність»
2016 рік
Лекція до теми «Налаштування операційної системи: антивірусне програмне забезпечення. Шифрування дисків та файлів, аналіз трафіка» з дисципліни «Інформаційно-телекомунікаційні системи» для курсантів й студентів спеціальностей 081 «Право», 262 «Правоохоронна діяльність» всіх форм навчання.
«26» серпня 2016 року. – 12 с.
Розробник:
Бараненко Р.В. – професор кафедри професійних та спеціальних дисциплін Херсонського факультету Одеського державного університету внутрішніх справ, кандидат технічних наук, доцент.
Обговорено та схвалено на засіданні кафедри професійних та спеціальних дисциплін Херсонського факультету Одеського державного університету внутрішніх справ.
Протокол від «26» серпня 2016 р. №1
Обговорено та схвалено на вченій раді Херсонського факультету Одеського державного університету внутрішніх справ.
Протокол від «26» серпня 2016 р. №1
Обговорено та схвалено навчально-методичною радою Одеського державного університету внутрішніх справ.
Протокол від «29» серпня 2016 р. №1
Мета лекції: розглянути принципи функціонування антивірусного програмного забезпечення, провести класифікацію антивірусних програм, проаналізувати існуючі програмні засоби шифрування дисків та файлів, охарактеризувати сучасні методи програмно-апаратні методи й засоби аналізу трафіку в комп’ютерних мережах.
ПЛАН
1. Класифікація та принципи функціонування антивірусного програмного забезпечення.
2. Класифікація антивірусних програм.
3. Аналіз безкоштовних антивірусних програм.
4. Огляд платних антивірусних програм.
5. Програми шифрування дисків та файлів.
6. Огляд засобів аналізу трафіку в комп’ютерних мережах.
Література.
Питання для самоконтролю.
Класифікація та принципи функціонування антивірусного програмного забезпечення.
Кожен день, працюючи з комп'ютером, користувачі мереж зустрічаються з безперервною атакою шкідливих комп'ютерних програм – вірусів. Вони намагаються активувати шкідливий код, щоб додати себе до автозавантаження, вбудуватися до операційної системи, прописатися в системному реєстрі або зробити ті чи інші дії, що потягнуть за собою витік суттєвої інформації, втрату всіх даних і навіть поломку апаратних засобів, підключених до комп'ютера.
Антивірусне програмне забезпечення являє собою найважливіший рівень захисту від величезної кількості проблем, що можуть виникнути на персональному комп'ютері користувача. Воно покликане захистити комп'ютер від різних видів загроз: вірусів, троянських черв'яків, шпигунських програм, рекламного програмного забезпечення (ПЗ), дозвонщиків, перехоплювачів клавіш (кейлогери) і т.д. Перші антивірусні програми могли виявити й знешкодити лише віруси, а антишпигунські програми – тільки шпигунські модулі, проте в даний час межа між антивірусами й антишпигунські програмами неясна. Більшість сучасних антивірусних програм мають достатньо хороший рівень виявлення всіх видів шкідливих програм.
Небезпека шкідливого програмного забезпечення полягає у виконанні шкідливих дій на комп'ютері без отримання згоди з боку користувача. Використання декількох антивірусних програм використовує набагато більше системних ресурсів і може призвести до серйозних конфліктів і навіть знизити захист, тому рекомендується вибрати тільки один антивірус для захисту в реальному часі. Замість цього, можна збільшити свій захист за допомогою декількох сканерів шпигунських програм.
Антивірусне програмне забезпечення зазвичай використовує два відмінні один від одного методи для виконання своїх завдань:
1. Сканування файлів для пошуку відомих вірусів, що відповідають визначенню в антивірусних базах.
2. Виявлення підозрілої поведінки будь-якої з програм, схожої на поведінку зараженої програми.
Метод відповідності визначенню вірусів в словнику використовується антивірусними програмами при аналізі файлів, коли вони звертається до антивірусних баз, складених виробником програми-антивіруса. У разі відповідності якої-небудь ділянки коду файлу (сигнатурі) вірусу, що переглядається, у базах, програма-антивірус може за запитом виконати одну з наступних дій:
1. Видалити інфікований файл.
2. Заблокувати доступ до інфікованого файлу.
3. Відправити файл до карантину (тобто зробити його недоступним для виконання з метою недопущення подальшого поширення вірусу).
4. Спробувати «вилікувати» файл, видаливши тіло вірусу з файлу.
5. У разі неможливості лікування/видалення виконати цю процедуру при наступному перезавантаженні операційної системи.
Вірусна база регулярно оновлюється виробником антивірусів, користувачам рекомендується оновлювати їх якомога частіше.
Деякі з продуктів для кращого виявлення використовують декілька ядер для пошуку й видалення вірусів і програм-шпигунів. Наприклад у розробці NuWave Software використовується одночасно п'ять ядер (три для пошуків вірусів і два для пошуку програм-шпигунів).
Для багатьох антивірусних програм з базою сигнатур характерна перевірка файлів в момент, коли операційна система звертається до файлів. Таким чином програма може виявити відомий вірус відразу після його отримання. При цьому системний адміністратор може встановити в антивірусній програмі розклад для регулярної перевірки (сканування) усіх файлів на жорсткому диску комп'ютера.
Хоча антивірусні програми, створені на основі пошуку сигнатур, при звичайних обставинах можуть досить ефективно перешкоджати зараженню комп'ютерів, автори вірусів намагаються обійти такі антивіруси, створюючи «олігоморфічні», «поліморфічні» й «метаморфічні» віруси, окремі частини яких шифруються або спотворюються так, щоб було неможливо виявити збіг із записом в сигнатурі.
Антивіруси, що використовують метод виявлення підозрілої поведінки програм, не намагаються ідентифікувати відомі віруси, замість цього вони простежують поведінку усіх програм. Якщо програма намагається виконати які-небудь підозрілі з точки зору антивірусної програми дії, то таку активність буде заблоковано, або ж антивірус може попередити користувача про потенційно небезпечні дії такої програми.
Нині подібні превентивні методи виявлення шкідливого коду, в тому або іншому вигляді, широко застосовуються в якості модуля антивірусної програми, а не окремого продукту.
Даний метод виявлення підозрілої поведінки дає захист від нових вірусів, яких ще немає в антивірусних базах. Але в той же час, такий метод дає велику кількість помилкових спрацьовувань виявляючи підозрілу активність серед нешкідливих програм. Деякі програми або модулі, побудовані на цьому методі, можуть видавати занадто велику кількість попереджень, що може заплутати користувача.
Деякі програми-антивіруси намагаються імітувати початок виконання коду кожної нової програми, що викликається на виконання, перш ніж передати їй керування. Якщо програма використовує самозмінний код або проявляє вірусну активність, така програма вважатиметься шкідливою, здатною заразити інші файли. Проте цей метод теж має велику кількість помилкових попереджень.
Загальна технологія боротьби зі шкідливими програмами – це «білий список». Замість того, щоб шукати тільки відомі шкідливі програми, ця технологія запобігає виконанню усіх комп'ютерних кодів за винятком тих, які було раніше позначено системним адміністратором як безпечні. Вибравши цей параметр відмови за замовчанням, можна уникнути обмежень, характерних для оновлення сигнатур вірусів. До того ж, ті застосування на комп'ютері, які системний адміністратор не хоче встановлювати, не виконуються, оскільки їх немає в «білому списку». Оскільки у сучасних підприємств є безліч надійних застосувань, відповідальність за обмеження у використанні цієї технології покладається на системних адміністраторів і відповідним чином складені ними «білі списки» надійних додатків. Робота антивірусних програм з такою технологією включає інструменти для автоматизації переліку й експлуатації дій з «білим списком».
Терміном «евристичний аналіз» сьогодні називають сукупність функцій антивірусу, націлених на виявлення невідомих вірусним базам шкідливих програм. Евристичне сканування в цілому схоже з сигнатурним, проте, на відміну від нього, шукається не точний збіг із записом в сигнатурі, а допускається розбіжність. Таким чином стає можливим виявити різновид раніше відомого вірусу без необхідності оновлення сигнатур. Також антивірус може використовувати універсальні евристичні сигнатури, в яких закладено загальний вигляд шкідливої програми. У такому разі антивірусна програма може лише класифікувати вірус, але не дати точну назви.
HIPS – це система моніторингу всіх застосувань, що працюють в системі, з чітким розподілом прав для різних застосувань. Таким чином HIPS може запобігти деструктивній діяльності вірусу, не надавши йому необхідних прав. Додатки діляться на групи починаючи від «Довірених», права яких не обмежені, закінчуючи «Заблокованими», яким HIPS не надасть прав навіть на запуск.
Недоліки антивірусних програм:
1. жодна з існуючих антивірусних технологій не може забезпечити повного захисту від вірусів;
2. антивірусна програма забирає частину обчислювальних ресурсів системи, навантажуючи центральний процесор і жорсткий диск;
3. антивірусні програми можуть бачити загрозу там, де її немає (помилкові спрацьовування);
4. антивірусні програми завантажують оновлення з Інтернету, тим самим витрачаючи трафік;
5. різні методи шифрування й упаковки шкідливих програм роблять навіть відомі віруси такими, що не виявляються антивірусним програмним забезпеченням. Для виявлення цих «замаскованих» вірусів потрібний потужний механізм розпаковування, який може дешифрувати файли перед їх перевіркою. Проте у багатьох антивірусних програмах ця можливість відсутня і, у зв'язку з цим, часто неможливо виявити зашифровані віруси.
2. Класифікація антивірусних програм:
За набором функцій та гнучкістю налаштувань антивіруси можна розділити на:
1. Продукти для домашніх користувачів:
– власне антивіруси;
– комбіновані продукти (наприклад, до класичного антивірусу додано системи антиспам, файрвол, антируткіт, шредер, шифрування електронним підписом і т.д.);
2. Корпоративні продукти:
– серверні антивіруси;
– антивіруси на робочих станціях;
– антивіруси для поштових серверів;
– антивіруси для шлюзів.
Зараз стало можливо зараження мобільних телефонів вірусами, але тільки для телефонів на базі операційних систем, таких як Symbian, Windows Mobile, Blackberry та iPhone OS. Все більше розробників пропонують антивірусні програми для боротьби з вірусами і захисту мобільних телефонів.
У мобільних пристроях є наступні види боротьби з вірусами:
1. Сигнатурний;
2. Захист від спаму по SMS;
3. Шифрування даних.