Referaty
Home
Anglictina
Biologie
Chemie
Dejepis-Historie
Diplom-Projekt
Ekonomie
Filozofie
Finance
Fyzika
Informatika
Literatura
Management
Marketing
Medicina
Nemcina
Ostatni
Politika
Pravo
Psychologie
Public-relations
Sociologie
Technologie
Zemepis-Geografie
Zivotopisy






Téma, Esej na téma, Referátu, Referát, Referaty Semestrální práce:

Antivirové programy - principy činnosti, způsob použití, problémy, úspěšnost vyhledávání virů, testován&

Antivirové programy - principy činnosti, způsob použití, problémy, úspěšnost vyhledávání virů, testování.

Principy AV pgm

Detekce - viry detekovány na základě porovnání signatur s kódem viru, analýzou spustitelného pgm (heuristická analýza), uložené viry navíc zjišťováním přítomnosti změn spustitelných pgm (kontrolní součty, změny atributů), aktivované viry jsou v paměti, kde lze vyhledávat jejich kód pomocí signatur, funkční projevy virů souvisí s jejich replikací a destrukční činností.



Prevence - úzce souvisí s detekcí (včasná detekce je součástí prevence), zahrnuje další důležité činnosti - autorizace přístupu k PC, ochrana proti zápisu nebo přístupu k vybraným oblastem disku, proti bootování z neautorizované diskety, záloha systémových oblastí.

Odstranění škod - obnova napadených souborů, obnova systémových částí disku.

Typy AV pgm 13614kof23jft5g

Scaner - pgm pro vyhledávání virů pomocí jejich charakteristických řetězců (signatur) a algoritmické detekce (polymorfních virů a heuristická analýza), prvotní kontrola paměti je důležitá, aby se nenakazily všechny kontrolované soubory virem v paměti.

Heuristická analýza - testuje kód souboru vyhodnocováním jednotlivých instrukcí a analyzuje jejich praktický význam. Dokáže odhalit nové doposud neznámé viry tím, že zachytí podezřelé činnosti pgm, například nestandardní umístění v paměti, přímý přístup na disk, hledání proveditelných pgm, existence dekódovacího podprogramu apod. Každá podezřelá činnost je charakterizována tzv. “příznakem”, který má při celkovém vyhodnocení, jedná-li se o napadení virem, různou váhu. Jestliže suma příznaků překročí kritickou hranici je soubor označen jako napadený neznámým virem nebo je označen jenom jako podezřelý.

Cleaner - určen pro odstraňování virů z nakažených souborů, boot sektorů atd.

Kontrolor integrity dat (checksummer) - vytváří db kontrolních součtů spustitelných souborů a boot sektorů, které by neměly být běžnou činnosti modifikovány, ale jsou měněny viry. Podezření napadení virem je hlášeno při rozdílném kontrolním součtu aktuálním a v db. of614k3123jfft

Rezidentní program obsahuje funkce - rezidentní scanner a checksummer automaticky kontroluje spuštěné, kopírované soubory a boot sektory na výskyt virů a porovnává aktuální kontrolní součty s údaji v db.

Monitor podezřelých činností - rezidentní pgm, který zabrání operacím jako je formátování disku, zápis do spustitelných pgm a boot sektorů, přesměrování vektorů přerušení atd. Je zdrojem častých falešných poplachů, protože podezřelé operace používá i řada pgm.

Program pro práci s MBR, boot sektorem - pro zálohování, kontrolování, prohlížení a obnovení důležitých oblastí disku.

Prohlížeč disku, paměti a souborů - pro prohlížení (a editaci).

Program pro zamezení přístupu - umožňuje zakázat přístup na disk či disketu, do adresáře.

Informace o virech - jejich detekce, odstranění a popis škod způsobených virem.

Manuál použití antivirového balíku - včetně všeobecných informací o virech.

Zvláštní monitorovací programy - “udička na viry” - pgm, který pozná napadení virem, “obětní beránek” - pgm spouštěný před aplikací a tím chrání spuštěný pgm.

Program pro imunizaci souborů - změna atributů souboru apod., které by provedl vir (aby poznal, že této soubor byl již nakažen) a nebo přidání kódu do pgm, který pgm kontroluje před jeho spuštěním. V současnosti se již tato technika nepoužívá pro falešné poplachy od jiných AV pgm a nefunkčnost modifikovaných pgm.

Omezení - ztráta času používáním AV pgm (větší škody než způsobené viry), opožděná reakce na nové viry, potřeba stále aktualizovat, nutnost používat několik technik (scanner, kontrolní součty, rezidentní pgm), příslušné verze AV pgm pro různé OS, různé pojmenování stejných virů v jiných AV pgm, nejsou automaticky kontrolovány komprimované soubory, rezidentní scannery detekují menší množství virů než nerezidentní verze, nespolehlivost detekce stealth virů, kolize rezidentních AV pgm s ostatními pgm (např. při instalaci), spustitelné pgm, které se sami modifikují (např. uložení konfigurace apod.), testování AV pgm je záležitost dosti pracná a zdlouhavá. Vlastní ověření účinnosti, funkcí a spolehlivosti AV pgm uživatelem je obtížné.

Zásady používání AV pgm - způsob a intenzita používání AV pgm záleží na činnosti provozované s PC.

  • Kontrolovat všechny možné vstupy infekce (z diskety, počítačové sítě) a zálohovat.

  • Pravidelně kontrolovat celý PC aktuálními verzemi AV pgm s vhodným nastavením (rychlé prohledávání, heuristika). Používat kontrolní součty, rezidentní AV pgm a zálohovat systémové oblasti disku.

  • Pro vyšší bezpečnost a jistotu používat jeden zahraniční a jeden tuzemský AV pgm.

Používání síťových AV pgm - pravidelná kontrola serverů i lokálních stanic. Monitorování provozu, kontrolování všech vstupních kanálů dat. Kombinovat ochranu lokálních stanic, vstupních kanálů (disketové mechaniky, napojení na vnější síť - BBS) a vlastních pgm a souborů na síťových serverech. Vyhledávání viru musí být spouštěno s právy superuživatele, aby mohly být prohledány všechny adresáře ne server. Vyhledávání virů na serveru i lokálních stanicích musí probíhat pravidelně, jednorázově pak v případě výskytu viru na lokální stanici. Správce sítě zajišťuje pravidelnou aktualizaci AV pgm na všech PC zapojených do sítě.

Falešné poplachy - zdrojem falešných poplachů jsou:

  • Nekódované signatury virů na disku, které jsou součástí AV pgm, nebo v paměti u rezidentních AV scannerů.

  • Signatury virů uchované v paměti scannerem, které po svém ukončení nevyčistil paměť.

  • V nenapadeném pgm se náhodně vyskytuje sekvence kódu, kterou daný AV pgm používá pro detekci viru. (příčinou mohou být krátké řetězce pro detekci virů apod.)

  • Heuristická analýza. Příčinou jsou pgm, které stejně jako viry obcházejí služby DOSu a pracují přímo s HW prostředky nebo využívají nedokumentovaných služeb atd. Jestliže v testovaném souboru bylo detekováno větší množství závažných příznaků a tyto příznaky se opakují v dalších souborech, je přítomnost viru vysoce pravděpodobná.

Postup pro ověření falešného poplachu nebo výskytu viru, pokud

  • Stejný vir je detekován jiným AV pgm (stále není jistota, protože mohou používat stejnou signaturu pro detekci viru)



  • Nalezení stejného viru v několika různých souborech (vysoká pravděpodobnost napadení virem i při použití heuristické analýzy a tedy výskyt stejných podezřelých příznaků)

  • Několik souborů .EXE, .COM je prodlouženo o stejnou délku v porovnání s jejich původní velikostí.

  • Nefunkčnost 32bitového přístupu k souborům pod WIN, který dříve fungoval bez problémů.

  • Jestliže je vir nalezen v paměti a ne na disku, vypnout PC a zavést systém z čisté diskety. Pokud je potom výskyt viru negativní, zřejmě se jedná o falešný poplach.

  • Podezřelý soubor lze zaslat AV firmě, která dá definitivní odpověď.

  • Pokud si není jistota, jestli jde o falešný poplach, raději podezřelé soubory nahradit ze záložních kopií nebo vymazat.

Testování AV pgm - jsou specifické, protože musí okamžitě reagovat na změny dané aktuálním výskytem nových virů a požadavky jsou podstatně hůře definovány, druhou zvláštností je ověření funkce. Správná funkce se projeví až při napadení. Testování, zejména srovnávací testy více produktů, je záležitost dosti pracná a zdlouhavá. Problémy testování AV pgm - db virů, původ db virů, verze AV pgm (častá aktualizace), testované aspekty (spolehlivost detekce, vyhledávání, procento falešných poplachů, test komprimovaných souborů), nastavení srovnatelných podmínek, rozsáhlost sady různých pgm pro testování falešných poplachů, způsob vyhodnocení při rozdílných výsledcích, dostatečné znalosti testujícího, vyhodnocení testu. Testovány musí být i další vlastnosti - kvalita uživatelského rozhraní, snadnost používání, úspěšnost léčení, obnovení systémových oblastí disku.

Výsledky testování - recenze v obecném počítačovém časopise, ve specializovaném časopise (Virus Bulletin), komerční testy, akademické testy.

Trendy vývoje

  • Zabudování AV ochrany do OS (založených na Javě) a samotných aplikačních pgm, zabudování mnohoúrovňového přístupu uživatelů, zabudování systému ochrany dat, bezpečnější způsob uložení dat

  • Růst kvality AV pgm (heuristická analýza)

  • AV pgm budou umět vyhledat a odstranit neznámé viry.

  • Užší kooperace a integrace do OS

  • do většiny pgm bude zabudována již tvůrcem pgm kontrola neporušenosti.

  • AV pgm budou vybaveny vedle heuristické analýzy i umělou inteligencí schopnou analyzovat a likvidovat i neznámé viry

  • úprava legislativy pro postih za tvorbu a šíření virů

Nejznámější AV produkty - AVG, AVP, AVAST!, Sweep, Dr. Web, Dr. Solomons, AVScan, ThunderByte, F- Proot, VET, MSAV, VirusScan

Ochrana před virovou infekcí

Proti infekci PC virem chrání řada způsobů. Používají se prostředky programové, technické a psychologické. Prostředky se musí kombinovat – nemá cenu instalovat AV pgm a nepoučit ostatní uživatele o jeho používání, o nebezpečí virů a o tom, co dělat, hlásí-li AV pgm přítomnost viru.

Některé techniky využívané AV pgm

Prohledávání - metoda, která vyhledává viry na základě řetězce znaků, který je pro daný virus charakteristický a zanechává jej v kódu napadeného objektu jako svůj podpis. Nevýhoda této metody spočívá v tom, že db vyhledávaných řetězců je nutné stále doplňovat o řetězce nových virů. Tato metoda zůstává vždy o krok pozadu za vývojem virů. Výhodou je spolehlivá identifikace v případě nalezení viru.

Heuristická analýza - metoda, která v kódu spustitelných souborů vyhledává sledy instrukcí typické pro viry. Výhodou metody je schopnost odhalit neznámý, doposud nepopsaný virus. Je schopna nalézt obtížně odhalitelné polymorfní viry. Nevýhodou je, že existují korektní pgm, které jsou svým kódem podobné virům a heuristická analýza je mylně označí jako napadené virem.

Metoda kontrolních součtů - podstatou je výpočet kontrolního součtu z určitých atributů objektu (délka souboru). Používá se metoda CRC nebo šifrovaná kontrolní suma. Kontrolní součty jsou vypočítávány opakovaně v určitém časovém intervalu. Při změně pgm kódu se změní i kontrolní součet, změní-li s kontrolní součet, změnil se i pgm kód. Případná nesrovnalost mezi dříve vypočtenou hodnotou a aktuálně vypočtenou hodnotou signalizuje možnost napadení virem. Jedinou nevýhodou této metody je nutnost zajištění viru prostého prostředí před výpočtem prvních součtů. Výhodou je spolehlivost při pravidelném opakování v krátkém časovém intervalu.

Detekce rezidentních virů pomocí “udičky” - na disku je vytvořen soubor COM (nebo EXE, případně oba). Jsou s nimi prováděny rozličné operace jako spouštění, otvírání pro zápis, kopírování atd. Pokud se po těchto operacích změnil jejich obsah, je velmi pravděpodobné, že systém byl napaden rezidentním virem. Tato metoda je schopna detekovat pouze rezidentní programový nebo rezidentní bootovací virus, který je už přítomný v systému. Pokud test dopadne negativně, není možné z toho usuzovat, že počítač je prostý virů.

AV softwarové systémy

AV produkty jsou si strukturou velmi podobné. Odlišují se kvalitou a používanými speciálními metodami detekce virů. Nedá se říci, že by některý z AV pgm předstihoval svými schopnosti všechny konkurenční produkty a byl jednoznačným tipem k používání, navíc je zde otázka “falešných poplachů”. Výsledky jednoho AV pgm je dobré kontrolovat jiným, který může potvrdit hlášení předchozího o “podezření na virovou infekci”.

Co se týká firewallů, závisí dosažitelný stupeň bezpečnosti ve velké míře na výši investovaných prostředků. Objevují se však i produkty, které za poměrně skromný peníz (bezpečnost je drahá) nabízí slušnou úroveň ochrany.