Budowa i działanie programów antywirusowych



Podobne dokumenty
ArcaVir 2008 System Protection

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

Znak sprawy: KZp

Podstawy bezpieczeństwa

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Produkty. MKS Produkty

Jako: Przedstawia: Komponenty ESET NOD32 Antivirus ESET NOD32 Antispyware ESET Personal Firewall ESET Antispam. Nagrody:

Produkty. ESET Produkty

Temat: Windows 7 Centrum akcji program antywirusowy

OCHRONA PRZED RANSOMWARE

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Programy antywirusowe dostępne bez opłat

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Załącznik nr 1 I. Założenia ogólne:

Pełna specyfikacja pakietów Mail Cloud

INSTALACJA I WSTĘPNA KONFIGURACJA PROGRAMU ANTYWIRUSOWEGO NOD32. Zespół Systemów Sieciowych

Różnice pomiędzy hostowanymi rozwiązaniami antyspamowymi poczty firmy GFI Software

Zadanie 1 Treść zadania:

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

F-Secure Anti-Virus for Mac 2015

G DATA Client Security Business

Otwock dn r. Do wszystkich Wykonawców

Pełna specyfikacja pakietów Mail Cloud

9. System wykrywania i blokowania włamań ASQ (IPS)

Kaspersky Hosted Security

sprawdzonych porad z bezpieczeństwa

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Specyfikacja techniczna przedmiotu zamówienia

Nowy Sącz: AD II 3421/12/08 Zamówienie na dostawę programu antywirusowego z licencją na okres jednego roku

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

KAV/KIS 2011: Nowe i udoskonalone funkcje

Pełna specyfikacja pakietów Mail Cloud

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Kody CPV: (Pakiety oprogramowania do ochrony antywirusowej) WYMAGANIA OBOWIĄZKOWE

PRACA KONTROLNA. z praktyki zawodowej. Temat pracy: Poprawa bezpieczeństwa systemu komputerowego. Zespół Szkół Rolniczych w Woli Osowińskiej

Produkty. KASPERSKY Produkty

Numer ogłoszenia: ; data zamieszczenia:

Arkanet s.c. Produkty. Sophos Produkty

Załącznik nr 3a do siw i umowy - Specyfikacja ESET NOD32 Antivirus na stacje robocze i serwery:

G DATA Endpoint Protection Business

Produkty. Panda Produkty

BEZPIECZEŃSTWO W SIECIACH

SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

ArcaVir Home Protection

F-Secure Mobile Security for S60

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA. Przedmiotem zamówienia jest dostawa licencji na oprogramowanie antywirusowe wraz z centralnym zarządzaniem:

PODRĘCZNIK UŻYTKOWNIKA KASPERSKY MOBILE SECURITY 8.0

7. zainstalowane oprogramowanie zarządzane stacje robocze

Arkanet s.c. Produkty. Norman Produkty

Wykaz zmian w programie SysLoger

KASPERSKY LAB. Kaspersky Mobile Security 7.0 PODRĘCZNIK UŻYTKOWNIKA

Pismo: KA-2/258/2011/7 KRAKÓW dnia: O D P O W I E D Ź na zapytania w sprawie SIWZ


Kaspersky Security Network

OPROGRAMOWANIA ANTYWIRUSOWEGO DO OCHRONY STACJI ROBOCZYCH I SERWERÓW LICENCJA NA 12 MIESIĘCY DLA 14 SERWERÓW I 500 STACJI ROBOCZYCH.

Wykaz zmian w programie SysLoger

Diagnostyka komputera

Polityka ochrony danych osobowych w programie Norton Community Watch

Sieci komputerowe i bazy danych

Microsoft Windows 7 / Vista / XP / 2000 / Home Server / NT4 (SP6) Przewodnik Szybki start

Rozdział 1: Rozpoczynanie pracy...3

Podręcznik użytkownika

Opis przedmiotu zamówienia

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

4 WEBINARIA tematyczne, gdzie każde przedstawia co innego związanego z naszym oprogramowaniem.

dla systemu MAC Przewodnik Szybki start Kliknij tutaj, aby pobrać najnowszą wersję tego dokumentu

Arkanet s.c. Produkty

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Komentarz technik informatyk 312[01]-02 Czerwiec 2009

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Security for Exchange Server

Ochrona przed najnowszymi zagrożeniami dzięki funkcji Kontrola systemu firmy Kaspersky Lab

Bezpieczeństwo Teleinformatyczne laboratorium

FM Internet Security 2015 to:

SPECYFIKACJA TECHNICZNA

Przykłady wybranych fragmentów prac egzaminacyjnych z komentarzami Technik informatyk 312[01] Zadanie 2

Kurs: ECDL Usługi w sieciach informatycznych poziom podstawowy

Wymagania dotyczące systemu ochrony anty wirusowej z zaporą ogniową dla stacji roboczych.

TEST BEZPŁATNYCH ANTYW IRUSOW YCH

Chroń to, co tworzysz. Najlepsze technologie ochrony antywirusowej Dr.Web dla komputerów osobistych.

Państwowa Wyższa Szkoła Zawodowa w Gorzowie Wlkp. Laboratorium architektury komputerów

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

FORMULARZ OFERTY (zmodyfikowany w dniu r.)

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zapytania i odpowiedzi: Pytanie nr 1 do SIWZ:

Specyfikacja techniczna

III. Lista prawdopodobnych przyczyn usterek systemu komputerowego wynikających z zadania i załączników

Kaspersky Security Network

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Przewodnik Szybki start


Skrócony podręcznik dla partnerów

Kaspersky Anti-Virus 2013 Kaspersky Internet Security Lista nowych funkcji

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

U TM U liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych

Szczegóły opis zamówienia system antywirusowy

Transkrypt:

Budowa i działanie programów antywirusowych Program antywirusowy to złożona aplikacja komputerowa, która ma na celu wykrywanie, usuwanie oraz zabezpieczanie systemu przed wirusami, jak również naprawę zainfekowanych już plików systemowych. Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły (uwaga: różni producenci stosują różne nazewnictwo): Skaner bada pliki na żądanie lub co jakiś czas; służy do przeszukiwania zawartości dysku Monitor bada pliki ciągle w sposób automatyczny; służy do kontroli bieżących operacji komputera Widoczna jest tendencja do integracji narzędzi do ochrony komputera. Kiedyś był to jedynie skaner, który wyszukiwał wirusy, początkowo na podstawie sygnatur znanych wirusów, a potem także typujący pliki jako zawierające podejrzany kod za pomocą metod heurystycznych. Obecnie program antywirusowy poza skanerem, monitorem i modułem do aktualizacji sygnatur z sieci, pakiet antywirusowy zawiera często także zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, moduł wykrywania i zapobiegania włamaniom, skaner pamięci i strażnika MBR. Przykładowe zestawienie programów antywirusowych: Microsoft Security Essentials Kaspersky Anti-Virus NOD 32 Norton Antywirus G DATA AntiVirus

Budowa programów antywirusowych Programy antywirusowe składają się z wyspecjalizowanych bloków funkcjonalnych, które współpracują ze sobą. Bloki te są zarządzane przez SYSTEM ADMINISTRACYJNY. SYSTEM ADMINISTRACYJNY jest głównym składnikiem odpowiedzialnym za pracę programu. Z nim użytkownik ma kontakt zarówno podczas konfiguracji, jak i decydując o losach podejrzanych aplikacji oraz plików. System administracyjny stanowi interfejs pośredniczący pomiędzy użytkownikiem a pozostałymi częściami programu oraz zapewnia wymianę informacji pomiędzy poszczególnymi jego modułami. Moduł ten oferuje następujące funkcje: automatyczna i ręczna aktualizacja baz sygnatur wirusów harmonogram zadań skanowanie na żądanie

raporty i statystyki z działania programu włączanie i wyłączanie oraz konfiguracja o o o monitora antywirusowego zasad filtrowania poczty elektronicznej zasad filtrowania zawartości stron internetowych pomoc do programu SKANER ANTYWIRUSOWY - zwany również skanerem na żądanie, sprawdza na żądanie wskazane pliki, foldery, lub dyski. Skanery mogą być uruchamiane również automatycznie o wcześniej zaplanowanych porach, poprzez odpowiednią konfigurację funkcji harmonogramu. Możliwe jest również wywoływanie skanowania w czasie, gdy system nie wykonuje innych zadań. Skanery antywirusowe przyglądają się plikom zapisanym w systemie i szukają podpisów znanych wirusów, które są charakterystycznym ciągiem bitów dla danego programu złośliwego, tak zwaną sygnaturą. Sygnatura wirusa (ang. virus signature) - binarny wzorzec wirusa używany przez program antywirusowy do wykrywania i usuwania wirusa z systemu komputerowego. Przykładowe sygnatury: B8 ED FE CD 21 A3 03 01 0E 8F 06 6F 01 BA sygnatura wirusa Atomie 1.0 BE 30 01 8B 16 17 01 B9 35 01 2E 31 14 83 8B FC 36 8B 2D 81 ED 03 01 44 44 1E 06 OE 5D 83 ED 03 E8 15 00 EB 27 90 E8 OF 00 B4 sygnatura wirusa Human Greed sygnatura wirusa DOOM! sygnatura wirusa Ethernity Jeżeli zostanie znaleziony podejrzany plik, skaner przekazuje informację o znalezieniu wirusa do systemu administracyjnego, który pozwala podjąć użytkownikowi decyzję, co zrobić z podejrzanym plikiem. Skanery antywirusowe mogą również posługiwać się bardziej złożonymi metodami wykrywania wirusów niż wyszukiwanie sygnatur. Do metod tych możemy zaliczyć: analizę heurystyczną skanowanie rekurencyjne zarchiwizowanych plików wykrywanie wirusów makr wykrywanie wirusów polimorficznych

MONITOR ANTYWIRUSOWY - praca tego modułu polega na skanowaniu obiektów podczas każdego dostępu i monitorowaniu działania systemu. W przypadku wykrycia infekcji lub niepożądanych działań monitor blokuje dostęp do podejrzanego obiektu i jego działanie, informując o tym użytkownika. Z uwagi na sposób działania Monitor musi przez cały czas rezydować w tle. Ograniczenia dotyczące metod, jakimi posługują się monitory antywirusowe w stosunku do skanerów, powodowane są kompromisem pomiędzy skutecznością a zajętością zasobów systemu. Monitory działają podczas codziennej pracy użytkownika na komputerze, dlatego też nie mogą absorbować nadmiernie zasobów systemowych. Duża zajętość systemu przez monitor skutkowałaby wydłużonym czasem oczekiwania użytkownika na realizację jego zadań. To - z kolei - implikuje chęć wyłączania zabezpieczeń a tym samym całkowitą rezygnację z ochrony antywirusowej. Istotną techniką pracy monitorów antywirusowych jest obserwacja pracy systemu. Praca narzędzia wykorzystującego tę technikę polega na rezydowaniu w pamięci w celu śledzenia działających procesów i wypatrywania ich możliwych szkodliwych działań. W momencie wykrycia próby wykonania szkodliwej operacji, monitory blokują jej działanie i informują o tym użytkownika. Ten musi określić czy zaobserwowane działanie jest prawidłowe, czy też nie. Programy stosujące tą metodę nie potrzebują bazy danych sygnatur wirusów i mogą wykrywać niezidentyfikowane wcześniej programy wirusów. Ponadto nie wymagają tak częstych uaktualnień jak skanery znanych wirusów oraz mogą pracować we wcześniej zainfekowanych systemach. SKANER AV POCZTY ELEKTRONICZNEJ - skaner poczty elektronicznej jest częścią programu antywirusowego instalowaną pomiędzy serwerem, a klientem pocztowym, co umożliwia sprawdzanie poczty przychodzącej i wychodzącej. Zadaniem Skanera poczty jest odebranie wiadomości od serwera pocztowego lub klienta poczty, przetestowanie jej i zdecydowanie o jej dalszym losie. W zależności od możliwości i konfiguracji skanowane mogą być wyodrębnione załączniki z wiadomości, bądź też całe wiadomości. Jednak, w tym drugim przypadku, moduł skanujący pocztę musi mieć możliwość skanowania pocztowych formatów tekstowych. Natomiast, gdy program potrafi wyodrębniać załączniki z wiadomości, w razie wykrycia jego infekcji może go wyleczyć lub usunąć, a do klienta pocztowego dociera - już bezpieczna - wiadomość. W takim przypadku program antywirusowy informuje o przebiegu operacji. Jeśli zainfekowana poczta była wysyłana z chronionego komputera, przesyłka taka jest blokowana, a o wykryciu infekcji użytkownik informowany jest stosownym komunikatem. MODUŁ NAPRAWCZY - to część programu antywirusowego odpowiedzialna za usunięcie złośliwego programu z pliku oraz przywrócenie go do stanu sprzed infekcji. Niektóre skutki infekcji lub działania wirusa mogą być nieodwracalne, a inne, takie jak zmiany w rejestrze, chociaż są odwracalne - to zwykle nie są poprawiane. Ostatnio

można zauważyć tendencję wśród producentów narzędzi antywirusowych do oferowania specjalizowanych narzędzi do usuwania konkretnych, głęboko zagnieżdżonych, wirusów (na przykład Sasser A, Blaster). Narzędzia dezynfekujące mogą wykorzystywać: sumy kontrolne - w przypadku wykorzystania sum kontrolnych musimy mieć pewność, że ich wyliczanie nastąpiło w momencie, gdy pliki nie były zainfekowane detektory heurystyczne - wykorzystują algorytmy starające się przywrócić oryginalną zawartość obiektów. W swej działalności nie wykorzystują baz znanych wirusów bazy z informacjami o zmianach dokonywanych przez wirusy - dezynfektory wykorzystujące bazy danych znanych wirusów potrafią precyzyjnie usunąć złośliwe programy MODUŁ KWARANTANNY - zadaniem tego modułu jest - bezpieczne dla systemu - przechowywanie obiektów zainfekowanych lub podejrzanych o infekcję. Mechanizmy zaimplementowane w Module kwarantanny uniemożliwiają uruchomienie takiego pliku oraz blokują dostęp do niego wszystkim użytkownikom i programom poza programem antywirusowym. MODUŁ AKTUALIZACJI - moduł ten pozwala na pobieranie uaktualnień baz sygnatur wirusów. Pobieranie najczęściej odbywa się metodą przyrostową, co oznacza, że bazy sygnatur wirusów na serwerze producenta porównywana jest z bazą na komputerze klienta i ściągane są tylko brakujące definicje wirusów. Metoda ta pozwala zmniejszyć obciążenie łącza zarówno serwera z aktualizacjami, jak i łącza klienta. Funkcja umożliwia również aktualizację plików programu antywirusowego. MODUŁ RAPORTÓW I STATYSTYK - moduł ten podaje raporty o incydentach, wykrytych wirusach oraz działaniu automatycznej ochrony. Ponadto generuje statystyki po zakończeniu skanowania na żądanie. FIREWALL - zapora ogniowa w swej podstawowej konfiguracji sprawdza skąd pochodzi pakiet, jakiego jest typu i dokąd jest kierowany, a następnie na podstawie tych danych podejmuje decyzję o jego przesłaniu lub odrzuceniu. Zapory ogniowe działające na wyższym poziomie sprawdzają typ pakietu, a następnie przeprowadzają dodatkową jego analizę i negocjacje w imieniu użytkownika. Zapory działające w ten sposób nazywane są usługą proxy. Zapora ogniowa może jednocześnie świadczyć usługi filtru pakietów i serwera proxy.

MODUŁ FILTROWANIA ZAWARTOŚCI POCZTY ELEKTRONICZNEJ - funkcja filtrowania zawartości poczty elektronicznej ma za zadanie wyeliminować niechciane wiadomości, określane jako spam. W tym celu sprawdza zawartość pól: "Od", "Nadawca X". Kolejna metodą jest odrzucanie wiadomości w oparciu o adres IP nadawcy. Inna metoda polega na analizie treści listu przy wykorzystaniu słownika spamu, w którym każde słowo ma statystyczną wagę odzwierciedlającą częstość występowania w spamie. Wyszukiwanie tych słów i sumowanie ich występowania w spamie. Wyszukiwanie tych słów i sumowanie ich wskaźników pozwala uzyskać minimalny poziom błędnej klasyfikacji wiadomości jako spam MODUŁ FILTROWANIA ZAWARTOŚCI STRON INTERNETOWYCH - moduł ten pozwala na sprawdzanie zawartości strony www pod kątem występowania na niej słów uznanych za niepożądane przez nas i w przypadku ich wystąpienia blokuje do niej dostęp AUTODIAGNOSTYKA - ponieważ program antywirusowy sam może stać się celem ataku (na przykład w celu uniemożliwienia mu skutecznej pracy), posiada funkcję pozwalającą zdiagnozować swój stan. W przypadku wykrycia nieprawidłowości może poinformować o tym użytkownika, zakończyć swoje działanie, lub zastąpić uszkodzone pliki dobrymi z wykonanej wcześniej kopii.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres