Koti-excel-Etsi viruksia, jotka suorittavat epäilyttävää toimintaa. Windows Defender -päivitykset

Etsi viruksia, jotka suorittavat epäilyttävää toimintaa. Windows Defender -päivitykset

Toinen heuristiikkaan perustuva menetelmä perustuu oletukseen, että haittaohjelma tavalla tai toisella yrittää vahingoittaa tietokonetta. Menetelmä perustuu tärkeimpien haitallisten toimintojen tunnistamiseen, kuten esim.

  • Tiedoston poistaminen
  • Kirjoita tiedostoon
  • Tallennus tietyillä alueilla järjestelmän rekisteri
  • Kuunteluportin avaaminen
  • Näppäimistöltä syötettyjen tietojen sieppaus
  • Kirjeiden postitus
  • Jne.

On selvää, että kunkin tällaisen toiminnon suorittaminen erikseen ei ole syy pitää ohjelmaa haitallisena. Mutta jos ohjelma suorittaa useita tällaisia ​​toimintoja peräkkäin, esimerkiksi kirjoittaa oman käynnistyksensä järjestelmän rekisterin automaattiseen käynnistysavaimeen, sieppaa näppäimistöltä syötetyt tiedot ja lähettää nämä tiedot johonkin Internet-osoitteeseen tietyllä taajuudella, tämä ohjelma on vähiten epäilyttävä. Tähän periaatteeseen perustuvan heuristisen analysaattorin on jatkuvasti seurattava ohjelmien suorittamia toimia.

Kuvatun menetelmän etuna on kyky havaita aiemmin tuntemattomat haittaohjelmat, vaikka ne eivät olisikaan kovin samanlaisia ​​kuin jo tunnetut. Esimerkiksi uudet haittaohjelmat voivat tunkeutua tietokoneeseen uusi haavoittuvuus, mutta sen jälkeen se alkaa suorittaa tavanomaisia ​​haitallisia toimia. Ensimmäisen tyypin heuristinen analysaattori voi ohittaa tällaisen ohjelman, mutta toisen tyypin analysaattori voi havaita sen.

Negatiiviset ominaisuudet sama kuin ennen:

Lisävaroja

Melkein mikä tahansa virustorjunta nykyään käyttää kaikkea tunnetut menetelmät viruksen havaitseminen. Mutta tunnistustyökalut eivät yksin riitä onnistunut työ virustorjunta, jotta puhtaat virustentorjuntatyökalut olisivat tehokkaita, tarvitset lisämoduuleja jotka suorittavat aputoimintoja.

Päivitä moduuli

Ensinnäkin jokaisen virustorjunnan on sisällettävä päivitysmoduuli. Tämä johtuu siitä, että tärkein virusten havaitsemismenetelmä nykyään on allekirjoitusanalyysi, joka perustuu virustorjuntatietokannan käyttöön. Jotta allekirjoitusanalyysi voisi käsitellä tehokkaasti uusimpia viruksia, virustorjuntaasiantuntijat analysoivat jatkuvasti näytteitä uusista viruksista ja julkaisevat niille allekirjoituksia. Sen jälkeen pääongelma siitä tulee allekirjoitusten toimittaminen kaikkien käyttäjien tietokoneille vastaavaa virustorjuntaohjelmaa käyttäen.

Tämä on tehtävä, jonka päivitysmoduuli ratkaisee. Kun asiantuntijat ovat luoneet uudet allekirjoitukset, allekirjoitustiedostot sijoitetaan virustorjuntavalmistajan palvelimille ja ne ovat ladattavissa. Päivitysmoduuli ottaa yhteyttä näihin palvelimiin, havaitsee uusien tiedostojen olemassaolon, lataa ne käyttäjän tietokoneelle ja ohjeistaa virustorjuntamoduuleja käyttämään uusia allekirjoitustiedostoja.

Päivitä moduulit erilaisia ​​virustorjuntaohjelmia hyvin samankaltaisia ​​keskenään ja eroavat palvelintyypeistä, joista he voivat ladata päivitystiedostoja, tai pikemminkin protokollien tyypeissä, joita he voivat käyttää latauksessa - HTTP, FTP, protokollat paikalliset Windows-verkot. Jotkut virustorjuntayritykset luovat erityisiä protokollia virustentorjuntatietokantapäivitysten lataamista varten. Tässä tapauksessa päivitysohjelma voi myös käyttää tätä erityisprotokollaa.

Toinen asia, jossa päivitysmoduulit voivat erota, on toimintojen asetus, jos päivityslähde ei ole saatavilla. Esimerkiksi joissakin päivitysmoduuleissa ei voi määrittää yhtä palvelimen osoitetta päivityksillä, vaan useiden palvelimien osoitteet, ja päivitysmoduuli käyttää niitä vuorotellen, kunnes se löytää toimivan palvelimen. Tai päivitysmoduulissa voi olla asetus - toistaa päivitysyritykset tietyin väliajoin tietty määrä kerran tai kunnes palvelin tulee saataville. Nämä kaksi asetusta voivat olla läsnä samanaikaisesti.

Suunnittelumoduuli

Toinen tärkeä apumoduuli on suunnittelumoduuli. Viruksentorjuntaohjelman on suoritettava useita toimintoja säännöllisesti: erityisesti tarkistettava koko tietokone virusten varalta ja päivitettävä virustorjuntatietokanta. Päivitysmoduuli antaa sinun vain määrittää näiden toimien tiheyden.

Virustorjuntatietokannan päivittämiseen on suositeltavaa käyttää lyhyttä aikaväliä - yksi tunti tai kolme tuntia Internet-yhteyskanavan ominaisuuksien mukaan. Tällä hetkellä uusia haittaohjelmien muutoksia löydetään jatkuvasti, mikä pakottaa virustorjuntayritykset julkaisemaan uusia allekirjoitustiedostoja kirjaimellisesti joka tunti. Jos tietokoneen käyttäjä viettää paljon aikaa Internetissä, hän altistaa tietokoneensa suurelle vaaralle ja siksi hänen on päivitettävä virustorjuntatietokanta mahdollisimman usein.

Tietokoneen täydellinen tarkistus tulee suorittaa jo pelkästään siksi, että uudet haittaohjelmat ilmestyvät ensin ja vasta sitten allekirjoitukset niille, mikä tarkoittaa, että on aina mahdollisuus ladata tietokoneelle haittaohjelma ennen päivitystä. virustorjuntatietokannat. Näiden haittaohjelmien havaitsemiseksi tietokone on tarkistettava säännöllisesti uudelleen. Kohtuullinen aikataulu tietokoneen tarkastukselle voidaan harkita kerran viikossa.

Edellisen perusteella suunnittelumoduulin päätehtävänä on mahdollistaa kullekin toimenpiteelle sopivin aikataulu tälle toiminnalle. Siksi päivitysmoduulin on tuettava monia erilaisia ​​vaihtoehtoja aikataulut, joista valita.

ohjausmoduuli

Viruksentorjuntaohjelman moduulien määrän kasvaessa tarvitaan lisämoduuli hallintaa ja konfigurointia varten. Yksinkertaisimmassa tapauksessa tämä on yleinen liitäntämoduuli, jonka avulla pääset kätevästi eniten tärkeitä toimintoja:

  • Virustorjuntamoduulin asetusten määrittäminen
  • Päivitysten määrittäminen
  • Säännöllisten päivitysten ja tarkistusten määrittäminen
  • Moduulien käynnistäminen manuaalisesti käyttäjän pyynnöstä
  • Vahvistusraportit
  • Muita toimintoja, riippuen tietystä virustorjuntaohjelmasta

Tällaisen moduulin päävaatimukset ovat helppo pääsy asetuksiin, intuitiivinen selkeys, yksityiskohtainen viitejärjestelmä, joka kuvaa jokaista asetusta, kykyä suojata asetuksia muutoksilta, jos useita ihmisiä työskentelee tietokoneen ääressä. Kaikilla virustorjuntaohjelmilla on samanlainen ohjausmoduuli kotikäyttöön. Virustentorjuntaohjelmat tietokoneiden suojaamiseen suuria verkkoja pitää olla erilaisia ​​ominaisuuksia.

Useammin kuin kerran on sanottu, että suuressa organisaatiossa perustamiseen ja oikea toiminta virustorjuntaan eivät vastaa tietokoneen käyttäjät, vaan erikoistyöntekijät. Jos organisaatiossa on useita tietokoneita, jokaisen turvallisuudesta vastaavan työntekijän on jatkuvasti juostava tietokoneelta toiselle, tarkistettava oikeat asetukset ja tarkasteltava havaittujen infektioiden historiaa. Tämä on erittäin tehoton tapa ylläpitää turvajärjestelmää.

Siksi ylläpitäjien työn yksinkertaistamiseksi virustentorjunta, virustorjunta, jota käytetään suojaamaan suuria verkkoja on varustettu erityisellä ohjausmoduulilla. Tämän ohjausmoduulin pääominaisuudet:

  • Tuki kaukosäädin ja asetukset- turvapäällikkö voi käynnistää ja pysäyttää virustorjuntamoduuleja sekä muuttaa niiden asetuksia verkon kautta nousematta istuimeltaan
  • Suojaa asetukset muutoksilta- ohjausmoduuli ei salli paikallinen käyttäjä muuta asetuksia tai pysäytä virustorjunta, jotta käyttäjä ei voi heikentää virustorjunta järjestöt

Karanteeni

Muiden apuvälineiden joukossa on monia virustorjuntaohjelmia erikoistekniikoita jotka suojaavat mahdollinen menetys tiedot virustentorjuntatoimien seurauksena.

On esimerkiksi helppo kuvitella tilanne, jossa heuristinen analysaattori havaitsee tiedoston mahdollisesti tartunnan saaneeksi ja poistaa sen virustorjuntaasetusten mukaisesti. Heuristinen analysaattori ei kuitenkaan koskaan anna 100% takuuta siitä, että tiedosto on todella saastunut, mikä tarkoittaa, että virustorjunta voi tietyllä todennäköisyydellä poistaa tartunnan saamattoman tiedoston.

Tai virustorjunta havaitsee tärkeän viruksen saastuttaman dokumentin ja yrittää desinfioida asetusten mukaan, mutta jostain syystä epäonnistuu ja katoaa parantuneen viruksen mukana tärkeää tietoa.

Tietysti on toivottavaa ottaa vakuutus tällaisia ​​tapauksia vastaan. Helpoin tapa tehdä tämä on tallentaa tiedostot ennen niiden desinfiointia tai poistamista. varmuuskopiot, jos sitten käy ilmi, että tiedosto on poistettu vahingossa tai tärkeitä tietoja on kadonnut, voit aina palauttaa varmuuskopiosta.


Testausmenetelmät

EICAR-organisaatio loi yhdessä virustorjuntayritysten kanssa erityisen testitiedoston, joka nimettiin organisaation mukaan - eicar.com.

eicar.com on suoritettava tiedosto COM-muodossa, joka ei suorita haitallisia toimia, vaan näyttää yksinkertaisesti merkkijonon "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" Kaikki virustorjuntayritykset ovat kuitenkin suostuneet sisällyttämään tämän tiedoston ja havaitsemaan sen virukseksi, jotta käyttäjät voivat turvallisesti testata virustorjuntansa.

Voit hankkia osoitteen eicar.com EICAR-verkkosivustolta osoitteesta http://www.eicar.org/anti_virus_test_file.htm, mutta tämä tiedosto on helpompi luoda itse. Tosiasia on, että eicar.com-tiedoston konekoodi koostuu painettuja merkkejä ja se voidaan luoda millä tahansa tekstieditori. Voit esimerkiksi käyttää standardia käyttöjärjestelmille Windows-editori muistilehtiö. Kirjoita rivi Muistio-ikkunaan

X5O!P%@AP)

Aiheeseen liittyvät julkaisut: