Файл: Исследование проблем борьбы с вирусами и антивирусные программы (Понятие и классификация антивирусных программ).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 26.06.2023

Просмотров: 120

Скачиваний: 4

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Глава 1. Общая характеристика антивирусных программ

1.1. Понятие и классификация антивирусных программ

1.2. Методика использования антивирусных программ

Глава 2. Исследование проблем борьбы с вирусами

2.1. Краткий обзор антивирусных программ

2.2.Основные проблемы антивирусной индустрии и пути их решения

Проблема № 1.

Проблема № 2.

Проблема № 3.

Проблема № 4.

Проблема № 5.

2.3. Отсутствие полноценных тестов и проблема выбора антивирусного решения

Подготовка теста.

Проведение теста.

Заключение

Список литературы

Таким образом, это относится и к другому проактивному методу защиты — эвристическому анализатору. Как только подобные антивирусные технологии начинают мешать хакерам, атаковать свои жертвы, так сразу они создают новые вирусные технологии, позволяющие уклоняться от проактивных методов защиты. Как только продукт с расширенными эвристиками и/или поведенческим блокиратором начинает широко испотльзоваться — тут же эти «продвинутые» технологии перестают работать.

Поведенческий блокиратор или эвристический анализатор требует постоянных доработок и обновлений.

Таким образом, вновь изобретенные проактивные технологии эффективны только в течение относительно короткого промежутка времени. Если хакерам - «подросткам» потребуется несколько недель или месяцев для того, чтобы обойти проактивную защиту, то профессиональным хакерам потребуется один или два дня или всего несколько часов, а может, даже и минут, чтобы преодолеть данную проактиную оборону. Таким образом, поведенческий блокиратор или эвристический анализатор, каким бы эффективным он ни был, требует постоянных доработок и, соответственно, обновлений. При этом следует учесть, что добавление новой записи в базы сигнатурного антивируса — дело нескольких минут, а доводка и тестирование проактивных методов защиты занимает гораздо больше времени. В результате оказывается, что во многих случаях скорость появления апдейта от сигнатурных антивирусов многократно превышает адекватные решения от проактивных технологий. Доказано практикой — эпидемиями новых почтовых и сетевых червей, принципиально новых шпионских «агентов» и прочего компьютерного зловредства.

Конечно, это не означает, что проактивные методы защиты бесполезны. Они отлично справляются со своей частью работы в пределах определенных границ и способны остановить определенное количество вредоносных программ, разработанных менее опытными хакерами-программистами. И по этой причине проактивные методы защиты могут быть полезными дополнениями к традиционным сигнатурным сканерам — однако полагаться на них целиком и полностью нельзя.

2.3. Отсутствие полноценных тестов и проблема выбора антивирусного решения

В этой части курсовой работы давайте поговорим о проблемах, с которыми может столкнуться пользователь, стоящий перед выбором подходящего ему антивирусного программного обеспечения, если он желает себе поставить продукт, который предлагает реальную защиту от вредоносных кодов. Как принять решение?

Наиболее логичным, естественно было бы то - обратиться к сравнительным тестам, желательно как можно более профессиональным. Большинство IT изданий проводят тесты антивирусных программ достаточно часто, тестируют продукты достаточно тщательно, проверяют и сравнивают все — от цены продукта до качества технической поддержки пользователей. Однако тезис испытания на самом деле не является доказательством качества функции антивируса. Это понятно, ведь для того чтобы тщательно протестировать антивирусную составляющую продукта, необходимо иметь значительно большую коллекцию вирусов и троянских программ, располагать соответствующими стендами и процедурами автоматизации тестирования. То есть необходимо формировать специальную группу сотрудников для тестирования антивирусов и выделять им необходимые средства, что большинство IT-изданий не имеют. Естественно, что все (или почти все) компьютерные журналы данными возможностями не располагают. По этой причине истинно антивирусная составляющая подобных тестов либо оставляет желать лучшего, либо СМИ обращаются к экспертам, которые специализируются в области тестирования антивирусных продуктов.

Обратимся к информационно-аналитическому центру Anti-Malware.ru, который с 2007 года регулярно проводит тестирования на лечение активного заражения, тем самым отслеживая динамику возможностей популярных антивирусов по успешной нейтрализации вредоносных программ, находящихся в активном состоянии.

Цель данного теста - проверить персональные версии антивирусов на способность успешно (не нарушая работоспособности операционной систем) обнаруживать и удалять уже проникшие на компьютер вредоносные программы в их активном состоянии на практике.

Подготовка теста.

Для проведения тестирования антивирусов на лечение активного заражения 2015 года экспертной группой Anti-Malware.ru были отобраны вредоносные программы по следующим критериям:

максимально полное покрытие используемых технологий маскировки, защиты от обнаружения/удаления;

степень распространенности (на текущий момент или ранее); детектирование файлов-компонентов вредоносной программы всеми участвующими в тестировании антивирусами;

способность противодействовать своему обнаружению/удалению со стороны антивируса и/или восстанавливать свои компоненты в случае их удаления антивирусом;

отсутствие целенаправленного противодействия работе любого тестируемого антивируса (удаление файлов, ключей принадлежащих антивирусу, завершение процессов антивируса, блокировка возможности обновления баз антивируса);

отсутствие целенаправленного противодействия полноценной работе пользователя на компьютере.

При отборе вредоносных программ для теста приоритет отдавался наиболее сложным видам, которые наиболее удовлетворяют приведенным выше критериям.

Стоит отметить, что критически важным параметром для отбора вредоносных программ для теста было детектирование их файловых компонентов со стороны всех участвовавших в тесте антивирусов. Если детектирование отсутствовало, то файловые компоненты анонимно (чтобы избежать специальной манипуляции результатами теста) отправлялись производителям.

Если производитель в течение месяца не присылал уведомлений о добавлении детектирования и, при этом, вредоносный компонентов не детектировался, то вредоносная программа шла в тест по принципу «как есть» (as is).

Все используемые в тесте вредоносные программы были собраны экспертами Anti-Malware.ru во время распространения в Интернет (In The Wild).

Исследования проводились на платформе Microsoft Windows 7 x64.

С учётом того, что за последнее время новые с технологической точки зрения вредоносные программы появлялись достаточно редко, для теста были отобраны следующие вредоносные программы:

APT (Uroburos, Turla) - md5: a86ac0ad1f8928e8d4e1b728448f54f9

Cidox (Rovnix, Mayachok, Boigy) - md5: 951ed97afcbb33ad0ac932823193dd66

Poweliks (Powessere) - md5: 735295a0d9d22e6e212034741312b02f

Backboot (WinNT/Pitou) - md5: 2afb72c2162756c24b055d6227348e88

WMIGhost (HTTBot, Syndicasec) - md5: 0df40b226a4913a57668b83b7c7b443c

Stoned (Bebloh, Shiptob, Bublik) - md5: 0b01450cc58583a0baea99e27b9317a7

Pihar (TDL4,TDSS, Alureon, Tidserv) - md5: 15201d321848bf9b3b211887394e9fa2 SST (PRAGMA, TDSS, Alureon) - md5: e748f65e21e88555c854d79bad714491

Zeroaccess (Sirefef, MAX++) - md5: d2d312277f7577a1d1f9db5e8fb1ad32  

Проведение теста.

В тестировании участвовали следующие антивирусные программы (представленные ниже сборки актуальны на момент начала теста), релизные версии:

Avast! Internet Security        2015.10.0.2208

AVG Internet Security          2015.0.5646

Avira Internet Security          14.0.7.468

Eset Smart Security   8.0.304.0

Kaspersky Internet Security  15.0.1.415(b)

BitDefender Internet Security 18.20.0.1429

Emsisoft Internet Security    9.0.0.4799

Dr.Web Security Space Pro  10.0.0.12160

Microsoft Security Essentials           4.6.0305.0

McAfee Internet Security      14.0

Norton Security         22.1.0.9

Qihoo 360 Internet Security 5.0.0.5104

TrustPort Internet Security   15.0.0.5420

Panda Internet Security         15.0.4

Trend Micro Titanium Internet Security      8.0.1133

При установке на зараженную машину использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.):

  1. Процесс установки, по возможности, выполнялся с учетом рекомендованных установщиком действий, в том числе обновление продукта и проверка на вредоносные программы.
  2. Если установщик не предложил перезагрузиться, то запускается проверка поиска вредоносных программ без перезагрузки системы после инсталляции. В случае неуспеха проверки (вредоносная программа не была обнаружена или была обнаружена, но не удалена), система перезагружалась и снова запускалась проверка поиска вредоносных программ.
  3. Если по ходу инсталляции не было произведено обновление, оно выполнялось вручную перед лечением активного заражения.
  4. При лечении активного заражения в первую очередь инициировались проверки из профилей проверок в интерфейсе антивируса (quick scan, startup scan etc). В случае неуспеха первой проверки запускалась проверка каталога из контекстного меню, в котором находятся файлы активной вредоносной программы. В случае неуспеха запускалась проверка всей системы.
  5. Если в интерфейсе антивируса имеется возможность запустить отдельную проверку на руткиты, она производилась первой на всех образцах, содержащих руткит-компоненту.
  6. Если при проверке обнаруживался только один из нескольких компонентов вредоносной программы, то поиск остальных компонентов продолжался после перезагрузки.
  7. Если предлагалось несколько вариантов действий, действия выбирались в следующей последовательности по порядку в случае не успешности: «лечить», «удалить», «переименовать», «карантин».

Шаги проведения тестирования:

  1. Установка на жесткий диск операционной системы и создание полного образа жесткого диска при помощи Acronis True Image.
  2. Заражение машины с чистой операционной системы (активация вредоносной программы).
  3. Проверка работоспособности вредоносной программы и ее успешной установки в системе.
  4. Перезагрузка зараженной системы.
  5. Проверка активности вредоносной программы в системе.
  6. Установка антивируса и попытка лечения зараженной системы.
  7. Фиксируются показания антивируса, оставшиеся ключи автозагрузки вредоносной программы после успешного лечения. В случае не успешности лечения проверяется активность вредоносной программы или ее компонентов.
  8. Восстановление образа незараженной операционной системы на диске при помощи Acronis True Image (загрузка с CD).
  9. Повторение пунктов 2-8 для всех вредоносных программ и всех антивирусов.


Рисунок 4 - Результаты теста на лечение активного заражения 2015

В данном тесте только 6 из 15 протестированных антивирусов показали достойные результаты по лечению активного заражения, что несколько лучше уровня последних лет. Единственным антивирусом, успешно справившимся с лечением всех образцов из тестового набора, является Kaspersky Internet Security. Разделяют второе, третье и четвёртое места антивирусы Avast! Internet Security, BitDefender Internet Security и Dr.Web Security Space Pro, нейтрализовавшие  шесть предложенных образцов из девяти (67%). Пятое и шестое места разделили Microsoft Security Essentials и Norton Security, успешно вылечившие  четыре образца из девяти (44%).

Остальные антивирусы провалили тест. Так AVG Internet Security и Eset Smart Security, сумели нейтрализовать лишь три образца из девяти (33,3%). Далее следуют Qihoo 360 Internet Security 5.0.0.5104 и Trend Micro Titanium Internet Security, успешно вылечившие только два образца из девяти (набрав 22,2%). Среди аутсайдеров теста оказались McAfee Internet Security, Panda Internet Security и Avira Internet Security, которые смогли справиться лишь с одним образцом из девяти (11,1%). Полностью провалили тест антивирусы Emsisoft Internet Security и TrustPort Internet Security. Они не смогли вылечить ни одного отобранного для теста образца.
Выводы по главе:

Итак, теперь можно спокойно выбрать из предложенных вариантов антивирус, который нам лучше подойдет, сравнив их по возможностям выявления вирусов и скорости работы.

На сегодняшний день, разработкой антивирусного программного обеспечения занимается около полусотни компаний, выпускающих, как минимум, по 3-4 программных продукта. Существует также немалое количество организаций, занимающихся тестированием и составлением рейтингов различных антивирусов. При схожих методиках и критериях оценки эффективности антивирусного программного обеспечения, результаты тестирования, тем не менее, могут значительно расходиться и однозначно выбрать "лучший антивирус" не могут даже люди, профессионально занимающиеся данным вопросом. Иногда сравнение результатов тестирования антивирусов, выполненные разными организациями, наводят на мысль, что эти данные не стоит воспринимать в качестве решающего фактора при выборе антивируса, а всего лишь, как дополнительную информацию к размышлению.

Заключение

Антивирусная программа — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики — предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Основная цель антивируса обнаружить и заблокировать вредоносный код.

Смотрите также файлы