Антивирусы

Показывать как:      

Группа компаний "Проф-Систем" предлагает купить в Екатеринбурге и Каменске-Уральском такие антивирусы как:

  • ESET NOD32
  • Dr.Web

По вопросам покупки антивирусов обращайтесь к нашему менеджеру:

  • тел. в Екатеринбурге +7 (343) 328-11-87
  • тел.  в Каменске-Уральском +7 (3439) 379-308

В настоящее время нет недостатка в информации о тестировании антивирусов. При этом сколько будет тестирований, столько будет выводов. А споры и противоречия среди пользователей так и остануться. Каждый будет считать, что самый лучший антивирус - это ххх. Вместо ххх можно подставлять практически любой. Результаты тестирований и присваиваемые рейтинги по этим результатам порой имеют противоположный вектор оценки. Причина этих расхождений не в неточности и обмане пользователей, а в различных условиях проведения и критериях выбора лучшего антивируса. Надежность защиты антивируса в первую очередь зависит от адекватности антивирусной базы антивируса вредоносности информационной среды на месте его применения. А этот показатель нельзя получить традиционными методами тестирования.

Но чтобы помочь Вам в выборе антивируса, мы предлагаем ознакомиться с точкой зрения студентов группы КИБ-031 факультета Информационных Технологий и Телекоммуникаций Волгоградского Государственного Университета. Здесь представлена основные положения, которые помогут Вам при выборе антивируса.

Как правильно выбрать для себя антивирус

Пояснения:

  1. Поскольку существует множество видов вредоносных программ, для того что бы каждый раз не писать длинные пояснения, будем употреблять слово "зверь"
  2. Сравнение антивирусов не является целью данной статьи, поэтому, несмотря на то, что я будут приводиться в пример конкретные антивирусы, все примеры необходимо рассматривать именно как абстрактные примеры.

Критерии оценки антивирусов:

1. Количество известных "зверей".

Количество записей в базах антивируса не может служить критерием надёжности антивируса. Число, публикуемое антивирусными компаниями - это не количество известных "зверей", а количество записей в базах антивируса. При этом при помощи одной записи антивирус может определять несколько разновидностей "зверя", и даже несколько разных "зверей". Кроме того, даже сами разработчики не знают точно сколько "зверей" определяет их антивирус, поскольку запись, добавленная для определённой модификации "зверя", может определять и новые модификации, которые разработчики могли даже не видеть.

2. Тесты на коллекциях "зверей".

Тесты на коллекциях "зверей" не дают полной картины, и не являются надёжным критерием надёжности антивируса. Казалось бы - всё просто. Берёшь коллекцию "зверей", и сравниваешь, какой антивирус находит больше. Но встает вопрос - как собиралась коллекция. Допустим у меня стоит КАВ, и всех "зверей", которых он обнаруживает, я сохраняю. Теперь я беру несколько антивирусов и сравниваю результаты проверки моей коллекции. Понятно, что КАВ найдёт всех "зверей", а остальные антивирусы найдут меньше. Но это вовсе не говорит о том что КАВ лучше всех остальных антивирусов.
Тем не менее такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КАВ, то можно получить некоторое представление об остальных антивирусах.

3. Скорость реакции на новых "зверей", т.е. количество времени с момента появления "зверя", до того момента когда антивирус начинает его обнаруживать. На деле антивирусы с высокой скоростью реакции намного более надёжны. Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых "зверях"? Какое-то количество "зверей" разработчики могут находить сами, гуляя по всяким "злачным местам". Однако большую роль в деле обнаружения новых "зверей" играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. Поэтому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.

4. Поддержка всевозможных паковщиков и крипторов.

Паковка и шифрование "зверей" - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. Берется "зверь", пакуется каким-нибудь пакером. Паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду. Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального. Но если антивирус не знает пакера, которым упакован "зверь", то для него файл теперь стал чистым. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее. С другой стороны, чем больше пакеров и крипторов знает антивирус, тем медленнее он работает. Конечно, выбор между скоростью и надёжностью - личное дело каждого.

5. Эмулятор.

О наличии эмулятора у антивирусов скорее всего мало кто слыхал. Что же это такое? Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями, чтобы спрятать "зверей" от антивирусов. Понятно что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее. Понятно так же и то, что наличие эмулятора не увеличивает скорость работы антивируса. Опять же - или скорость, или безопасность. Насколько я могу судить, хорошими эмуляторами обладают ДрВеб, NAV и КАВ.

6. Эвристический анализ

Для начала стоит понять, как вообще антивирус находит "зверей". Для каждого "зверя" находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий "зверь". Понятно что для того, чтобы сигнатура появилась в базе антивируса, сначала этот "зверь" должен попасть на анализ вирусным аналитикам фирмы. Эвристический анализ работает по другому. Он ищет не сигнатуру, а последовательности операций, типичные для "зверей". Таким образом можно обнаружить "зверей", которые никогда не попадали вирусным аналитикам, и сигнатуры которых не присутствуют в базах антивируса.  Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Но чем чуствительнее эвристик антивируса, тем чаще будут ложные срабатывания.

7. Корректное лечение вирусов.

Далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.

8.Работа на зараженной системе.

Если с обнаружением неактивных "зверей" всё более-менее просто, то с обнаружением и удалением активных (работающих) "зверей" всё намного сложнее.

8.1. Начнём с того, что часть "зверей" скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить таких "зверей". Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах. Для обнаружения таких зверей используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у ДрВеб). 

8.2. Другая часть "зверей" при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять попыткам удаления с диска. Например завершить процесс КАВ дело весьма не простое, и по зубам далеко не любому "зверю". ДрВеб работает на уровне драйвера, и завершение его процесса не приводит к прекращению антивирусного мониторинга.

8.3. Удалить с диска файл активного "зверя" - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Хороший антивирус при обнаружении вируса должен уметь прекращать его вредоносное действие.

9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.

Часто Вы можете обнаружить на диске или в автозагрузке непонятные файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики КАВ и ДрВеб обычно отвечают в течении суток - и в случае, если файл является "зверем", и в случае, если он чист. Вирусные аналитики многих других фирм вообще никогда не отвечают на письма с подозрительными файлами. Так что Вам останется только мучаться подозрениями бессонными ночами.

10. Отсутствие ложных срабатываний.

Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление "зверей". Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы. К сожалению относительно высоким количеством ложных срабатываний страдает ДрВеб, хотя в последних версиях есть некоторые улучшения в этом плане.

11. Стабильность работы и отсутствие конфликтов с другими программами.

Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться со "зверями", перехватывают многие системные функции. Это может привести к всякого рода конфликтам с другими программами. К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся со "зверями" благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов. Так что "безконфликтность" антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, "на поверхности", и не сможет справиться со сложными "зверями" (в случае, если по какой-то причине они будут запущены).

12. Загрузка системы

Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу "тормозит - не тормозит". Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, "тормозит" сильнее, а антивирус, который "не тормозит", скорее всего даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

Оригинал статьи можете посмотреть на странице http://cyb-031.narod.ru/read/05/antivirus.htm