Antivirusni program
Sa Wikipedije, slobodne enciklopedije
Anti-virus program se sastoji od nekoliko računarskih programa koji pokušavaju pronaći, spriječiti i ukloniti računarske viruse i ostali maliciozni softver (malware).
Anti-virus program obično koristi dvije tehnike da bi postigao svoju funkcionalnost:
- Provjera (skeniranje) datoteka tražeći poznate viruse provjerom definicija u rječniku virusa
- Identifikacijom sumnjivog ponašanja od strane kompjuterskog programa, koji bi moglo indicirati infekciju. Takve analize obuhvataju analizu podataka, monitorisanje portova i druge metode.
Većina komercijalnih anti-virus programa koristi oba pristupa, sa naglaskom na metod provjere poznatih virusa u rječniku virusa.
Sadržaj |
[uredi] Pristupi prepoznavanju virusa
[uredi] Način pretrage uz pomoć rječnika virusa
U ovom pristupu, anti-virus program provjera datoteku upoređujući je sa rječnikom poznatih virura koje su tvorci anti-virus programa identifikovali. Ako dio koda datoteka odgovara virus identifikaciju u riječniku, taka anti-virus program može poduzeti jednu od sljedećih akcija:
- pokušati popraviti datoteku uklanjajući virus unutar datoteke
- staviti datoteku u kvarantin (tako da je datoteka nedostupna drugim programima i virus se ne može dalje širiti)
- obrisati inficiranu datoteku
Da bi ovaj pristup bio efikasan u dužem i kraćem vremenskom periodu, rječnik virusa se periodično (uglavnom online) preuzima za novim definicijama virusa.
Anti-virus programi bazirani na rječniku virusa tipično analziraju datoteku kada je operativni sistem računara kreira, otvori, zatvori ili pošalje u vidu e-mail poruke. Na ovaj način moguće je detektovati virus odmah po njegovom primanju. Takođe treba napomenuti da je moguće odrediti vrijeme kada anti-virus program treba provjeriti (skenirati) sve datoteke na korisnikovom hard disku.
Iako ovaj pristup spriječava masovno širenje virusa u normalnim uslova, autori virusa pokušavaju biti korak ispred pišući oligomorfne, polmorfne i odnedavno metamorfne viruse, koji kodiraju dio svoga koda ili na neki drugi način sebe modifikuje kao metod sakrivanja, tako da anti-virus programi nemogu nači njihovu oznaku u rječniku virusa.
[uredi] Detekcija sumnjivog ponašanja
Pritup detekcijom sumnjivog ponašanja ne pokušava identifikovati poznate viruse, nego monitoriše ponašanje svih programa. Ako jedan program pokušava da zapiše nešto u izvršni program, na primjer, anti-virus program možete označiti ovaj program kao sumnjiv i obavijestiti korisnika, te ga pitati šta želi učiniti.
Za razliku od pristupa pretrage rječnika virusa, pristup detekcije sumnjivog ponašanja dakle nudi zaštitu i od najnovijih vrsta virusa koji još nisu u rječniku virusa. Međutim, ovaj pristup šalje puno upozorenja, i vremenom korisnik postane indeferentan na silna upozorenja. Ako korisnik prihvati svako upozorenje jasno da je da anti-virus program ne nudi nikakve beneficije korisniku. Ovaj problem se pogoršao od 1997, zbog činjenice da sve više ne malicioznih programa mijenja druge .exe datoteka. S obzirom na rečeno, ovaj pristup u anti-virus programima se sve manje i manje korisiti.
[uredi] Drugi pristupi detekciji virusa
Neki anti-virus programi će pokušati emulirati početak koda svakog programa kojeg sistem pokrene prije prebacivanja kontrole tom programu. Ako program koristi samo-modifikujući kod ili na neki drugi način izgleda kao virus (ako npr. pokušava odmah da nađe druge programe), može se pretpostaviti da je virus inficirao taj program. Međutim, i ovaj metod za rezultat ima mnogo lažnih uzbuna.
[uredi] Stvari na koje treba obratiti posebnu pažnju
- Širenje e-mail virusa (bez sumnje najdestruktivniji i najrašireniji virusi) bi se moglo spriječiti mnogo jednostavnije i efikasnije, bez potrebe za anti-virus programima, ako bi se rupe u e-mail klijentima, koje se odnose na izvršavanje dobijenih programa, pokrpale.
- Obrazovanje korisnika može efikasno zamijeniti anti-virusne programe; jednostavna obuka korisnika za sigurno korištenje računara (kao što je ne skidanje i ne pokretanje nepoznatih programa sa Interneta) bi znatno usporilo širenje virusa i dovelo do upitnosti potrebu za korištenje anti-virus programa.
- Korisnici računara ne bi trebali uvijek koristiti administratorske privilegije za rad na svom računaru. Ako se računar koristi bez administratorskih privlegija određeni tipovi virusa se uopšte ne mogu širiti (ili je šteta koju mogu nanjeti znatno manja). Ovo je jedan od razloga zašto je broj virusa na Unix-odnim sistemima znatno manji.
- Pristup detekciju uz pomoć rječnika virusa nije uvijek dovoljan -- zbog stalnog kreiranja novih virusa -- dok s druge strane pristup detekcije sumnjivog ponašanja ne radi uvijek zbog problema lažnih uzbuna; zbog navedenog, trenutni stadij anti-virus programa neće nikada pobjediti sve kompjuterske viruse
- Postoje razne metode za kriptovanje i pakovanje malizioznog programa, koji omogućava čak i dobro poznatom virusu da bude sakriven od anti-virus programa. Detekcija ovih "kamufliranih" virusa zahtjeva jak metod raspakivanja, koji može dešifrovati datoteke prije nego što ih pregleda. Nažalost, večina popularnih anti-virus programa nema ovu mogućnost i često nisu u stanju da detektuju zapakovane viruse.
- Trajno pisanje i širenje virusa i panika koju stvaraju daje komercijalnim proizvođaćima finansijski interes u kontinuiranjoj egzistenciji virusa.
- Neki anti-virus program mogu značajno smanjiti performanse računara. Korisnici tada često isključuju anti-virus zaštitu da bi vratili izgubljene performanse te tako povečavaju rizik od infekcije! Za maksimalnu zaštitu potrebno je uvijek imati anti-virus program uključen. Neki anti-virus programi imaju manji uticaj na performanse.
- Nekada je neophodno privremeno isključiti anti-virus zaštitu prilikom instalacije velikih update-a kao što su Windows Service Pack ili novi driveri za grafičku karticu. U slučaju da je tada uključena anti-virus zaštita moguće je da sa update-i ne instaliraju dobro ili da se uopšte ne instaliraju.
[uredi] Anti-virus programi i kompanije
[uredi] Za poslovna okruženja
- GFi WebMonitor i GFi MailSecurity - WWW i email sigurnosna rješenja od GFI Software
- BitDefender iz Rumunije - email sigurnosna rješenja
- Sigurnosna rješenja od *Sybari Software. Sybari Software je preuzeo Microsoft početkom 2005.
- Sophos iz Velike Britanije nudi anti-virus rješenja, sa probnim verzijama
[uredi] Komercijalni i shareware
- Kaspersky Antivirus od Kaspersky iz Rusije
- McAfee Antivirus od McAfee iz SAD.
- Norton AntiVirus od Symantec
- Bullguard Antivirus Software, Firewall i Backup, od BullGuard iz Velike Britanije
- F-Secure iz Finske
- VirusBuster iz Mađarske
- NOD32 od Eset iz Slovačke, shareware
- Norman iz Norveške
- ROSE SWE, shareware i freeware
- Panda Software iz Španije
- Rising AntiVirus iz Kine
[uredi] Freeware - besplatni (uključujući software koji ima i besplatne i komercijalne verzije)
- Avast! od Alwil iz Češke
- Antivir od H+BEDV iz Njemačke
- AVG Anti-virus od Grisoft
- RemoveI Pro od InCode Solutions iz Hrvatske
[uredi] GPL (otvoreni) software
- ClamAV i ClamWin, od Tomasz Kojm
[uredi] Ne klasifikovani
- AhnLab
- Aladdin Knowledge Systems
- Cat Computer Services, Quick Heal AntiVirus iz Indije
- Computer Associates SAD
- Dr.Web Ltd iz Rusije
- Frisk Software is Islanda
- Hauri
- MicroWorld Technologies iz Indije
- MKS iz Poljske
- RAV Antivirus iz Rumunije (kupljen 2003 od GECAD)
- Stiller Research
- Trend Micro iz Japana (nominalno Tajvan - SAD)
- Zone Labs ZoneAlarm AntiVirus
[uredi] Testne organizacije
Ove organizacije testiraju virus skeniranje i slične programe.
- Virus Bulletin - http://www.virusbtn.com/
- ICSA Labs - http://www.icsalabs.com/
- West Coast Labs - http://www.westcoastlabs.org/
- GFI Software - http://www.emailsecuritytest.com/
[uredi] Vanjski linkovi
- Carnegie Mellon's CERT coordination center ((en))
- eicar - European Institute for Computer Anti-Virus Research ((en))
- firewallguide.com's Anti-Virus Guide ((en))
- Antisource.com - Pregledi antivirusa ((en))
- Planet Security - sigurnost računara i mreže ((en))
- About.com - Top 7 Windows antivirusa ((en))
