Защити свою "ИНФУ"
Методическое пособие - Компьютеры, программирование
Другие методички по предмету Компьютеры, программирование
° то, что межсетевые экраны успешно блокируют ряд вирусов, зондирующих сетевые порты, и задерживают некоторые попытки их массового саморазмножения по электронной почте, в системе все равно необходим антивирусный сканер, который бы останавливал большинство инфекций, попадающих в компьютер через электронную почту и файлы, скачиваемые из интернета. Обезвредить эту инфекцию может только антивирусный сканер. Кроме сканеров, входящих в состав описанных выше пакетов по обеспечению безопасности, мы рассмотрели два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и Eset NOD32.
Все эти продукты удовлетворяют минимальным требованиям по "отлову" основных злонамеренных программ, встречающихся в интернете - тех, что хотя бы дважды упоминаются членами WildList Organization (www.wildlist.com), всемирным обществом разработчиков антивирусных программ. Ведь далеко не каждым вирусом действительно можно заразиться через Сеть: из примерно 100000 существующих вирусов в настоящее время всего около 250 встречаются в "диком" интернете; остальные существуют только в "лабораторных" условиях. Оказалось, что качество работы разных сканеров чувствительно зависит от типа вирусов. Например, все отобранные для обзора продукты хорошо справляются с вирусами и червями, действующими в 32-разрядной среде Windows - наиболее распространенным сегодня типом сетевой "инфекции". В этом случае качество распознавания очень высоко - от 90,4 до 100%.
Однако с троянскими программами, которые распространяются не сами по себе, а посредством других программ, в том числе вирусов и "червей", дело обстоит похуже: если сканеры McAfee и Norton задерживают соответственно 99% и 95% "троянцев", то AVG - всего 23,5%, что вряд ли можно считать достаточной защитой. Кроме того, троянские программы не включаются в список WildList, отчего за ними труднее следить. Наконец, очень желательно, чтобы антивирусный сканер не поднимал ложную тревогу, подозревая в наличии вируса обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin, где тест прошел без ложных срабатываний; на другом конце шкалы - Eset NOD32, с 32 из 20000 файлов. Конечно, это настолько мало, что даже не стоит пересчитывать в процентах, но и одного такого случая достаточно, если в результате вместо вируса будет удален нужный файл.
Что делать с новыми "микробами"?
В своей работе антивирусные сканеры опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые вирусы, которых в базе нет, используя эвристические алгоритмы. Строго говоря, слово "эвристический" здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков - например, кода, использующего известную "дыру" в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные "нечеткие" схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков - например, зная признаки вируса Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.
По данным тестов, из рассмотренных программ самыми удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами; худший результат оказался у NOD32 - 41,4%. И в любом случае, это гораздо меньше и медленнее, чем при распознавании известных вирусов, так что основным средством своевременного лечения по-прежнему остается регулярное обновление антивирусных баз. Все программы тестировались в режиме максимально тщательного сканирования. Особый случай представлял собой NOD32: в этой программе предусмотрен повышенный по сравнению с жестким диском уровень эвристического сканирования Advanced Heuristics для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных. Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков - например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin - инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее вс?/p>