НОУ ІНТУІТ, Лекція, Основи роботи антивірусних програм

Додаткові кошти

Практично будь-який антивірус сьогодні використовує усі відомі методи виявлення вірусів. Але одних засобів виявлення мало для успішної роботи антивірусу, для того щоб чисто антивірусні засоби були ефективними, потрібні додаткові модулі, що виконують допоміжні функції.

Модуль поновлення

Перш за все, кожен антивірус повинен містити модуль оновлення. Це з тим, що основним методом виявлення вірусів сьогодні є сигнатурний аналіз , який належить використання антивірусної бази. Для того щоб сигнатурний аналіз ефективно справлявся з останніми вірусами, антивірусні експерти постійно аналізують зразки нових вірусів і випускають для них сигнатури. Після цього головною проблемою стає доставка сигнатур на комп'ютери всіх користувачів, які використовують антивірусну програму.

Саме це завдання вирішує модуль оновлення. Після того, як експерти створюють нові сигнатури, файли з сигнатурами розміщуються на серверах компанії – виробника антивірусу та стають доступними для завантаження. Модуль оновлення звертається до цих серверів, визначає наявність нових файлів, завантажує їх на комп'ютер користувача та дає команду антивірусним модулям використовувати нові файли сигнатур.

Модулі оновлення різних антивірусів дуже схожі один на одного і відрізняються типами серверів, з яких вони можуть завантажувати файли оновлень, а точніше типами протоколів, які вони можуть використовувати при завантаженні - HTTP, FTP, протоколи локальних Windows-мереж. Деякі антивірусні компанії створюють спеціальні протоколи завантаження своїх оновлень антивірусної бази. У такому разі модуль оновлення може використовувати іцей спеціальний протокол.

Модуль планування

Другий важливий допоміжний модуль – це модуль планування. Існує низка дій, які антивірус повинен виконувати регулярно: зокрема, перевіряти весь комп'ютер на наявність вірусів та оновлювати антивірусну базу. Модуль планування таки дозволяє налаштувати періодичність виконання цих дій.

Для оновлення антивірусної бази рекомендується використовувати невеликий інтервал - одну годину або три години, залежно від можливостей доступу до Інтернету. В даний час нові модифікації шкідливих програм виявляються постійно, що змушує антивірусні компанії випускати нові файли сигнатур буквально щогодини. Якщо користувач комп'ютера багато часу проводить в Інтернеті, він наражає свій комп'ютер на великий ризик і тому повинен оновлювати антивірусну базу якомога частіше.

Повну перевірку комп'ютера потрібно проводити хоча б тому, що спочатку з'являються нові шкідливі програми, а потім сигнатури до них, а значить завжди є можливість завантажити на комп'ютер шкідливу програму раніше, ніж оновлення антивірусних баз. Щоб виявити ці шкідливі програми, комп'ютер потрібно періодично перевіряти ще раз. Розумним розкладом для перевірки комп'ютера можна вважати щотижня.

Виходячи зі сказаного, основне завдання модуля планування – давати можливість вибрати для кожної дії розклад, який найбільше підходить саме для цього типу дії. Отже, модуль оновлення повинен підтримувати багато різних варіантів розкладу, з яких можна було б вибирати.

Модуль керування

У міру збільшення кількості модулів в антивірусі виникає необхідність додаткового модуля для управління та налаштування. УНайпростіший випадок - це загальний інтерфейсний модуль, за допомогою якого можна в зручній формі отримати доступ до найважливіших функцій:

  • Налаштування параметрів антивірусних модулів
  • Налаштування оновлень
  • Налаштування періодичного запуску оновлення та перевірки
  • Запуск модулів вручну, на вимогу користувача
  • Звітам про перевірку
  • Іншим функціям, залежно від конкретного антивірусу

Основні вимоги до такого модуля - зручний доступ до налаштувань, інтуїтивна зрозумілість, докладна довідкова система, що описує кожне налаштування, можливість захистити налаштування від змін, якщо за комп'ютером працює кілька людей. Подібним модулем управління мають всі антивіруси для домашнього використання. Антивіруси для захисту комп'ютерів у великих мережах повинні мати дещо інші властивості.

Вже неодноразово говорилося, що у великій організації за налаштування та правильне функціонування антивірусів відповідають не користувачі комп'ютерів, а спеціальні співробітники. Якщо комп'ютерів в організації багато, то кожному відповідальному за безпеку співробітнику доведеться постійно бігати від одного комп'ютера до іншого, перевіряючи правильність налаштування та переглядаючи історію виявлених заражень. Це дуже неефективний підхід до обслуговування системи безпеки.

Тому, щоб спростити роботу адміністраторів антивірусної безпеки, антивіруси, що використовуються для захисту великих мереж, обладнані спеціальним модулем керування. Основні властивості цього модуля управління:

  • Підтримка віддаленого керування та налаштування- адміністратор безпеки може запускати та зупиняти антивірусні модулі, а також змінювати їх налаштування по мережі, не встаючи зі свого місця
  • Захист налаштувань від змін- модуль керування не дозволяє локальному користувачеві змінювати налаштування або зупиняти антивірус, щоб користувач не міг послабити антивірусний захист організації

Серед інших допоміжних засобів у багатьох антивірусах є спеціальні технології, які захищають від можливої ​​втрати даних внаслідок антивірусних дій.

Наприклад, легко уявити ситуацію, коли файл детектується як можливо заражений евристичним аналізатором і видаляється відповідно до налаштувань антивіруса. Однак евристичний аналізатор ніколи не дає стовідсоткової гарантії того, що файл дійсно заражений, а значить з певною ймовірністю, антивірус міг видалити незаражений файл.

Або антивірус виявляє важливий документ заражений вірусом і намагається згідно з налаштуваннями виконати лікування, але з якихось причин відбувається збій і разом з вилікованим вірусом втрачається важлива інформація.

Зрозуміло, що від таких випадків бажано застрахуватися. Найпростіше це зробити, якщо перед лікуванням або видаленням файлів зберегти їх резервні копії, тоді якщо виявиться, що файл був видалений помилково або втрачено важливу інформацію, завжди можна буде виконати відновлення з резервної копії.