Antivírové programy

Prírodné vedy » Informatika

Autor: diana
Typ práce: Referát
Dátum: 05.02.2010
Jazyk: Slovenčina
Rozsah: 2 310 slov
Počet zobrazení: 7 359
Tlačení: 567
Uložení: 593
Antivírové programy - princípy práce, druhy programov podľa rôznych operačných systémov, charakteristika vybraného antivírového programu
O vzostup počítačových vírusov sa v poslednej dobe zaslúžil Internet a využívanie obľúbených makier v aplikáciách kancelárskeho softvéru. Antivírusový program sa tak stal celkom nepostrádateťným vybavením každého počítača. Očakávame od neho, že odhalí ako známe víry, ktorých definície si nesie vo svojich aktualizovaných databázach, tak aj víry doposiaľ neidentifikovateľné (ItW - In The Wild). Infikovaný súbor by mal dobrý antivírusový program dokázať "vyliečit"` (tzn. zachovať ho nepoškodený) alebo odstrániť.
V neposlednej rade by mal sledovať aktivity systému na pozadí a v prípade pokusov o kritické operácie na ne upozorniť.
Antivírusový systém je však na možnú hrozbu vírusovej infekcie pripravený len vtedy, ak pravidelne aktualizujeme jeho súbory definícií vírusov a prehľadávací systém programu.
 
Rozpoznávanie a odstraňovanie .
 
Skenovanie
Technológia skenovania programov vychádza z pôvodne zaujímavej myšlienky : vybrať z tela nejaké charakteristické skupiny inštrukcií a takto získané sekvencie použiť pre hľadanie napadnutých programov. Táto koncepcia síce vyžaduje pravidelnú aktualizáciu, ale ponúka za to jedinečnú schopnosť rozpoznať napadnutý program ešte pre tým, než ho začneme používať. Dobré skenovacie programy sú síce do istej miery schopné rozpoznať aj nové varianty starších vírusov, ale na túto vlastnosť nie je možné sa príliš spoliehať. Autor víru je tu vo výhode a má možnosť si vyskúšať, či aktuálna verzia používaných skenerov jeho dielo odhalí, alebo nie. Skenery zase zvyšujú svoje šance na zachytenie novej varianty tak, že používajú viac rôznych sekvencií pre jeden vír. To tiež umožňuje presnejšie rozpoznanie konkrétneho víru a znižuje pravdepodobnosť falošného poplachu. Dráma nastáva s príchodom polymorfných vírusov, ktoré vedia generovať rôzne tvary dekryptovacích slučiek. Polymorfné víry sú dokonalejšie verzie tzv. zakódovaných vírusov, kedy je vírus zašifrovaný nejakým premenným kľúčom a len krátka dekryptovacia sľučka je vždy rovnaká. Na rozdiel od zakódovaných vírusov si polymorfný vírus vytvára pre každý napadnutý súbor celkom inú dekryptovaciu slučku, takže v napadnutých súboroch nie je možné nájsť žiadne sekvencie rovnakého kódu. Moderné skenery preto obsahujú emulátor strojového kódu (algoritmické vyhľadávanie vírusov - patrí sem i heuristická analýza), ktorým sa pokúša emulovať prevedenie slučky - potom môžu hľadať známe sekvencie aj v dekryptovanom tele víre.
Kódovanie víru nie je jedinou metódou, ako skenerom sťažiť vyhľadávanie. Existujú tzv. stealth víry, kedy sa systém, ak je vírus v pamäti, javí ako nezavírený (zavírené súbory vyzerajú, že sú v poriadku). V tomto prípade môže pomôcť test pamäti, ale ani ten nezaručuje úspech. Preto by kvalitné skenery mali obsahovať anti-stealth techniky, ktoré dokážu aktívne stealth víry obchádzať.
Lepšie skenery dokážu prezerať aj komprimované súbory niektorý ch archivačných programov.
Skenery sú celkovo zrejme najdôležitejšou časťou väčšiny antivírusov. Ak sú doplnené heuristickou analýzou, dokážu detekovať aj neznáme víry.
Vyskytujú sa v dvoch prevedeniach:

- Rezidentné skenery (on-the-f1y scanner). Podobne ako rezidentné víry stráži systém z operačnej pamäte. Kontroluje prevádzané operácie (kopírovanie, spúšťanie programov ap.) a ak zistí, že manipulujeme s infikovaným programom, okamžite nás na to upozorní.
- Nerezidentné skenery (on-demand scanner). Najrozšírenejšia varianta. Užívateľ ho musí spustiť manuálne a určiť mu cieľ prezerania.
 
Kontrola integrity
Kontrola integrity je založená na porovnávaní aktuálneho stavu dôležitých programov a oblastí na disku s informáciami, ktoré si o nich kontrolný program uložil pri ich príchode do systému alebo pri svojej inštalácii. Ide o metódu obecnej detekcie vírusov, ktorá umožňuje vyhľadávanie čohokoľvek, čo javí známky víru. Jedinou a podstatnou výhodou je schopnosť zachytiť vírus, ktorý bol v dobe návrhu týchto metód celkom neznámy.
Víry väčšinou napádajú súbory tak, že modifikujú ich začiatok a pripoja sa za koniec. Na základe odložených informácií o súbore sa tak môže program pre kontrolu integrity pokúsiť vír odstrániť bez toho, aby o ňom čokoľvek vedel. A pretože si musí už kvôli detekcii pamätať kontrolné súčty celého súboru, môže ľahko kontrolovať, či bol jeho pokus o liečenie úspešný. Vd'aka tomu patrí odstraňovanie víru programom pre kontrolu integrity k relatívne bezpečným postupom. Použitie tejto metódy má však tiež nevýhody. Hlási totiž občas falošné poplachy (vtedy, ked' zmena v súbore nebola prevedená vírom, ale napríklad nainštalovaným programom). Preto sú väčšinou aj antivírusové systémy založené na kontrole integrity obvykle vybavené kvalitným skenerom.
 
Heuristická analýza
Heuristická analýza je už nejaký čas obsiahnutá v moderných antivírusových programoch. Je založená na rozbore kódu hľadajúceho postupy pre činnosť vírusov typické alebo nejako podozrivé. Z propagačných materiálov a článkov v populárnych počítačových časopisoch možno ľahko získať dojem, že heuristická analýza navždy vyriešila všetky problémy so súčasnými i budúcimi vírmi. Bohužiaľ tomu tak nie je. Stále sa ešte objavuje mnoho vírusov, ktoré heuristická analýza nepozná a snahy o zvýšenie jej "citlivosti" sú sprevádzané nárastom počtu falošných poplachov. Práve falošné poplachy patria k ich veľmi nepríjemným sprevádzajúcim javom.
Okrem heuristickej detekcie vírusov existujú aj pokusy o ich heuristické odstraňovanie. Vír sa totiž po svojom spustení skôr či neskôr pokúsi odovzdať riadenie pôvodnému programu. Ak sa podarí previesť simuláciu jeho činnosti až k tomuto bodu, stačí napadnutý súbor správne skrátiť. Heuristická analýza býva väčšinou súčasťou skenovania programu, vykonávať ju samostatne nie je kvôli spomenutým nedostatkom účelné.
 
Kompletný test
Kompletný test je u systému AVG novinkou. Vznikol spojením už skôr používaných testov ­heuristickej analýzy a porovnávacieho testu. Dôvod ich pojení bol jednoduchý - nápad!
Jednoduchý porovnávací test dokázal zachytiť každú zmenu, ale nevedel, či sa jedná o vírus alebo nie. Heuristická analýza zase strácala drahocenný čas tým, že pri každom spustení znovu kontrolovala detailnou analýzou tie isté súbory. Zlúčením týchto testov vznikla unikátna funkcia, kompletný test.

Pozrime sa, ako pracuje:
Prvé spustenie je v podstate totožné s heuristickou analýzou. Prejdú sa všetky testované súbory a detailne sa analyzujú. Pokiaľ je súbor v poriadku, je zaradený do databázy kompletného testu. Týmto spôsobom sa vytvorí databáza, ktorá obsahuje informácie o všetkých sledovaných súboroch na počítači.

Ďalšie spustenie kompletného testu je už úplne iné. Kontrolované súbory sa najprv preveria, či sú totožné so svojim obrazorn v databáze. Ak je tomu tak, súbor sa od minulého testu, kedy bol detailne prekontrolovaný, nezmenil. Podľa hesla "žiadna zmena, žiadny vírus", je možné d'alšiu kontrolu tohoto súboru vynechať. Iná je situácia v prípade, ked' je u testovaného súboru zistená zmena. V tom okamihu nastupuje detailná heuristická analýza a zmenený súbor preverí. Ak je súbor v poriadku ­zmena vznikla normálnou prácou užívateľa - je nová podoba súboru zaradená do databázy kompletného testu ako štandard pre budúce testy. Ak ste čítali pozorne, určite ste si vširnli jednu skutočnosť. Ak sa súbor nezmení, je zbytočné ho testovať. Miesto toho, aby analýza stále dookola testovala všetky súbory a strácala drahocenný čas, preveruje len súbory, ktoré si túto pozornosť zaslúžia. O to detailnejšia, o to presnej šia môže teraz analýza byť - tam, kde čas ušetrila, môže ho venovať detailnému testu.
 
Antivírový test
Potrebujete veľmi rýchlo preveriť svoj počítač?
Ak Vám postačí rýchla kontrola len na prítomnosť známych vírusov, je antivírusový test tým správnym riešením. Antivírusový test využíva služby rovnakého testovacieho emulátora, ako heuristická analýza, k detekcii vírusov však využíva len informácie z internej vírusovej databanky.
Výsledok - veľmi rý chly, spoľahlivý test, ktorý dokáže vd'aka novému emulátoru zistiť aj známe, silno polymorfné víry.
 
Rýchly test
Niektoré kontrolné testy by sa mali spustiť denne. Ako to ale urobiť, ked' máme inú prácu nemôžete čakať. Rýchly test je možným riešením. Vytvára si vlastnú databázu do ktorej ukladá informácie o najdôležitejších oblastiach počítača - systémové oblasti, systémové súbory. Tieto sledované objekty kontroluje iba ked' nastane zmena. Na prevedenie kontroly potrebuje iba niekoľko sekúnd. Keby zistil zmenu sledovaných objektov odložte radšej svoju prácu na neskoršiu dobu a preverte svoj počítač podrobnou heuristickou analýzou.
 
Test diskety
Máloktoré zariadenie sa testuje tak často, ako diskety došlé "z vonkajšieho sveta". Práve zavírené diskety sú najčastejším zdrojom vírusovej nákazy. Test diskety je pripravený tak, aby bolo možné otestovať aj väčší počet diskiet s minimálnou námahou.
 
Užívateľské testy
Tiež ste už zistili, že najčastejšie využívate jednu alebo dve kontrolné funkcie na stále rovnaké objekty? Unavuje Vás už stále zadávať rovnaké parametre a stále rovnaké adresáre? Nás áno, preto sme vytvorili užívateľské testy.
Jednoducho si vyberiete test, ktorý často používate a vytvoríte jeho duplikát. Pomenujete si ho, popíšete vysvetľujúcim komentárom, zadáte jeho parametre a testované zariadenia a adresáre. Od tohoto okamihu je váš užívateľský test zaradený medzi ostatné testy. Môžete ho kedykoľvek spustiť - bez d'alšieho nastavovania, bez d'alšieho zadávania parametrov.
Môžete si vytvoriť ľubovoľné množstvo užívateľských testov. Sami skoro zistíte, ktoré testy je vhodné mať preddefinované ako užívateľské testy a ktoré budete radšej spúšťať a zadávať ručne.
 
Výsledky testov
Každý test vytvára v priebehu svojej činnosti tzv. protokol - výsledok testu, do ktorého zapisuje všetky zistené závažné skutočnosti - vírusovú nákazu, podozrivé alebo vadné súbory ap.
Výsledky testu sa však po ukončení testu alebo programu nestrácajú. Nad'alej sú evidované, sú prístupné z vlastného menu kedykoľvek neskôr. Môžete sa vracať k výsledkom testov, ktoré prebehli dnes ráno, včera, minulý týždeň ... Môžete si kedykoľvek prezrieť zistené skutočnosti a reagovať na ne - objekty napadnuté vírom liečiť alebo mazať, spustiť detailnejší test v prípade podozrenia na nákazu, zavolať na pomoc skúsenejšieho kolegu.
 
Rezidentná ochrana
Antivírový systém AVG je postavený ako kontrolný program. To znamená, že po spustení preverí zariadenie na prítomnosť víru. Obsahuje ale tiež programy pre rezidentnú kontrolu - ­programy, ktoré sa aktivujú automaticky pri štarte počítača alebo systému WINDOWS a neustále monitorujú všetky aktivity v systéme. Akonáhle zistí pokus o prácu so súborom, ktorý obsahuje vírus, alebo operáciu, ktorá môže byť vírom spôsobená, zastavia okamžite činnosť počítača a informujú užívateľa.
 
Sieťové prostredie
Každý správca rozsiahlejšej počítačovej siete má svoj "čierny sen": Tým je inštalácia programov na všetkých lokálnych počítačoch a ich údržba. Systém AVG sa pokúša vyjsť v ústrety aj týrnto užívateľom - ponúka možnosť automatickej inštalácie systému AVG na lokálne počítače priamo zo servera, automaticky prevádzanú aktualízáciu lokálnych ínštalácií AVG zo servera, meniť nastavenie parametrov systému AVG na lokálnych staniciach, umožňuje posielanie najrôznejších typov správ správcovi siete - výsledky testov, hlásenie o prevedených testoch, hlásenie o aktuálnosti AVG na staniciach ap.
Správca siete má k dispozícii program, prostredníctvom ktorého vyššie uvedené hlásenia spracováva a kontroluje.
 
Charakteristika vybraného antivírového programu:
 
Antivírusový systém AVG 6.0
  Po niekoľkých beta verziách a dlhom čakaní som sa dočkal. AVG 6.0 je tu, aj ked' o mesiac heskôr, než bolo plánované. AVG 6.0 sa opäť dodáva v jednom balení, ktoré obsahuje verziu pre DOS, Windows 3.1x a Windows 95/98/NT. V nasledujúcej časti textu budem rozprávať o verzii pre Windows 95/98/NT.
AVG je možné spustiť v dvoch režimoch : v jednoduchom a rozšírenom, ale sa líši možnosťami v nastavení ap. AVG obsahuje ako nerezidentný, tak aj pamäťovo-rezidentný skener. Nerezidentný skener môže (ale nemusí) byť doplnený o heuristickú analýzu, ktorá dokáže podľa údajov výrobcu zachytiť až 70% všetkých súborových vírusov. Heuristika zatiaľ nedokáže detekovať nové - neznáme makrovíry, ale táto funkcia by sa mala objaviť v niektorej d'alšej aktualizácii. Skener dokáže hľadať súborové víry, boot víry, makrovíry pre Word, Excel, AmiPro, Word 97, Excel 97 a odnedávna aj makrovíry pre PowerPoint. Z verzie 5.0 zostal samozrejme "Kompletný test". Ten pri prvom spúšťaní "prejde" disk heuristikou a informácie o súboroch zapíše do svojej databázy (podobne ako test integrity). Pri d'alšom štarte potom už len porovnáva skutočný stav súborov na disku so stavom súborov v databáze (čo je rýchlejšie než prevádzanie heuristiky). Súbory, ktorých skutočný stav nesúhlasí so stavom v databáze, ale sú nové, sú podrobené detailnému rozboru (opäť pomocou heuristiky). Kompletný test je tým pádom najrýchlejším testom systému AVG. Nerezidentný skener dokáže prehliadať aj interne komprimované súbory (PKLITE, LZEXE, ... ) a archívy (ARJ, RAR, ...)
Rezidentný skener (pre Windows) snád' po prvýkrát v histórii antivíru AVG využíva testovanie jadro a tým je jeho výkon celkom totožný s výkonom nerezidentného skeneru. Ešte vo verzii 5.0 to tak nebolo a tak rezidentnému skeneru unikala rada vírusov (vrátane víru CIH ­Černobyľ ap.). Túto zmenu by som označil ako najväčšiu novinku antivírusového systému AVG 6.0. Rezidentný skener používa na detekciu vírusov len klasický skener (vzhľadom k rýchlosti heuristiky by však neuškodila ani "rezidentná heuristika"). Sú hľadané boot víry a súborové víry - makrovíry pri otváraní či spúši'aní súboru. Ak je nájdený vírus, rezidentný skener sa prepne do textového režimu (voľba grafického výstupu by neuškodila), kde sa môže užívateľ rozhodnúť, či vírus odstráni, alebo prevádzanú operáciu preruší.
Ďalšou novinkou je "vírusový trezor", ktorého funkciu najlepšie vysvetlím, ked' budem citovať z nápovedy : "Vírový trezor je v podstate špeciálny adresár, určený pre ukladanie súborov. Mená uložených súborov, rovnako ako ich obsah, sú zmenené tak, aby sa zabránilo d'alšiemu šíreniu vírusovej nákazy. Vo svojom dôsledku je táto technika ekvivalentnou technike mazania napadnutých súborov; Vírový trezor Vám samozrejme v prípade potreby naviac ponúka možnosť obnovy napadnutého súboru späť na disk alebo liečenie napadnutého súboru z trezoru (napríklad po aktualizácii, ktorá umožní odstránenie konkrétneho víru liečením)."
AVG 6.0 vie tiež kontrolovať poštu (presnejšie prílohy "e-mailov"), ktorú prijímame či odosielame. Ak je príloha e-mailu, ktorý odosielame v poriadku, AVG ku správe doplní tzv. "certifikáciu", podľa ktorej sa môže adresát ľahko presvedčiť, že príloha nie je zavírená. Podporovaní sú zatiaľ však len "niektorí klienti". Napríklad OutLook Express z IE 5.0 podporovaný zatiaľ nie je. Zmena však môže nastať už o mesiac počas d'alšej aktualizácie ...
Drobnou novinkou je i tzv. Boot-Up test, ktorý sa spúšťa počas štartu Windows a testuje niektoré dôležité súbory na výskyt vírusov. Poslednou novinkou verzie pre Windows je automatické sťahovanie aktualizácie systému AVG z internetu. Stačí nastaviť niekoľko málo údajov a vaše AVG bude stále ako nové.
Celkom prijemné je teraz i vytváranie "záchrannej diskety", na ktorú sa okrem zálohy systémových oblastí disku (nultá stopa ap.) zapíše aj program AVG-DOS, z ktorého je možné spustiť antivírusový test, manipulovať s vírusovým trezorom a obnovovať systémové oblasti disku. AVG pre DOS používa podobné prostredie ako verzia 5.0. Je teda možné ho ovládať cez prompt alebo v textovom prostredi. Rezidentná ochrana pre DOS už z verzie 6.0 celkom zmizla.
 
KLADY A ZÁPORY:
+ Rýchlosť skenovania
+ Jednoduchosť ovládania
+ Vírový trezor
+ SOS záchranná disketa
+ Antivírusová kontrola pošty
+ Automatická aktualizácia systému AVG z internetu
- Výstup rezidentného skeneru v textovom režime
- Vo verzii pre DOS sa mi nepodarilo rozchodiť prehliadanie archívov (RAR, ARJ,…)

Oboduj prácu: 10 9 8 7 6 5 4 3 2 1


Odporúčame

Prírodné vedy » Informatika

:: KATEGÓRIE – Referáty, ťaháky, maturita:

Vygenerované za 0.021 s.
Zavrieť reklamu