trang chủ-Excel-Tìm kiếm virus thực hiện các hành động đáng ngờ. Cập nhật Windows Defender

Tìm kiếm virus thực hiện các hành động đáng ngờ. Cập nhật Windows Defender

Một phương pháp dựa trên heuristic khác giả định rằng phần mềm độc hại bằng cách này hay cách khác họ cố gắng làm hại máy tính. Phương pháp này dựa trên việc xác định các hành động độc hại chính, chẳng hạn như:

  • Xóa một tập tin
  • Viết vào một tập tin
  • Ghi âm ở các khu vực cụ thể đăng ký hệ thống
  • Mở một cổng nghe
  • Chặn dữ liệu nhập từ bàn phím
  • Gửi thư
  • Và vân vân.

Rõ ràng là việc thực hiện từng hành động như vậy một cách riêng biệt không phải là lý do để coi chương trình là độc hại. Nhưng nếu một chương trình liên tục thực hiện một số hành động như vậy, chẳng hạn như ghi lại quá trình khởi động của chính nó trong khóa tự động chạy của sổ đăng ký hệ thống, chặn dữ liệu được nhập từ bàn phím và gửi dữ liệu này đến một số địa chỉ trên Internet với tần suất nhất định, thì chương trình này ở mức ít nghi ngờ nhất. Máy phân tích heuristic dựa trên nguyên tắc này phải liên tục theo dõi các hành động mà chương trình thực hiện.

Ưu điểm của phương pháp được mô tả là khả năng phát hiện phần mềm độc hại chưa biết trước đó, ngay cả khi chúng không giống lắm với những phần mềm độc hại đã biết. Ví dụ: một phần mềm độc hại mới có thể được sử dụng để xâm nhập vào máy tính lỗ hổng mới, nhưng sau đó nó bắt đầu thực hiện các hành động độc hại thông thường. Một chương trình như vậy có thể bị máy phân tích heuristic loại thứ nhất bỏ qua, nhưng máy phân tích loại thứ hai có thể phát hiện được.

Đặc điểm tiêu cực giống như trước đây:

Quỹ bổ sung

Hầu như bất kỳ chương trình diệt virus nào hiện nay đều sử dụng mọi thứ phương pháp đã biết phát hiện virus. Nhưng chỉ riêng công cụ phát hiện là không đủ để công việc thành công chống vi-rút, để các sản phẩm chống vi-rút thuần túy có hiệu quả, bạn cần mô-đun bổ sung thực hiện các chức năng phụ trợ.

mô-đun cập nhật

Trước hết, mọi phần mềm chống vi-rút đều phải có mô-đun cập nhật. Điều này là do phương pháp chính để phát hiện vi-rút ngày nay là phân tích chữ ký, dựa trên việc sử dụng cơ sở dữ liệu chống vi-rút. Để phân tích chữ ký nhằm đối phó hiệu quả với các loại virus mới nhất, các chuyên gia chống vi-rút liên tục phân tích các mẫu vi-rút mới và đưa ra chữ ký cho chúng. Sau đó vấn đề chính trở thành việc gửi chữ ký đến máy tính của tất cả người dùng bằng chương trình chống vi-rút tương ứng.

Đây chính xác là vấn đề mà mô-đun cập nhật giải quyết. Sau khi các chuyên gia tạo chữ ký mới, các tệp chữ ký sẽ được đặt trên máy chủ của nhà sản xuất phần mềm chống vi-rút và có sẵn để tải xuống. Mô-đun cập nhật liên hệ với các máy chủ này, xác định sự hiện diện của các tệp mới, tải chúng xuống máy tính của người dùng và hướng dẫn các mô-đun chống vi-rút sử dụng các tệp chữ ký mới.

Cập nhật mô-đun phần mềm diệt virus khác nhau rất giống nhau và khác nhau về loại máy chủ mà từ đó chúng có thể tải xuống các tệp cập nhật, hay chính xác hơn là các loại giao thức chúng có thể sử dụng khi tải xuống - HTTP, FTP, giao thức mạng Windows cục bộ. Một số công ty chống vi-rút tạo ra các giao thức đặc biệt để tải xuống các bản cập nhật cơ sở dữ liệu chống vi-rút của họ. Trong trường hợp này, mô-đun cập nhật cũng có thể sử dụng giao thức đặc biệt này.

Điều thứ hai mà các mô-đun cập nhật có thể khác nhau là cách chúng định cấu hình các hành động trong trường hợp nguồn cập nhật không khả dụng. Ví dụ: trong một số mô-đun cập nhật, bạn có thể chỉ định không chỉ một địa chỉ máy chủ có các bản cập nhật mà còn cả địa chỉ của một số máy chủ và mô-đun cập nhật sẽ lần lượt truy cập chúng cho đến khi phát hiện thấy một máy chủ đang hoạt động. Hoặc mô-đun cập nhật có thể có cài đặt - lặp lại các lần cập nhật trong một khoảng thời gian nhất định một số tiền nhất định của lần hoặc cho đến khi máy chủ sẵn sàng. Hai cài đặt này có thể có mặt đồng thời.

Mô-đun lập kế hoạch

Mô-đun phụ trợ quan trọng thứ hai là mô-đun lập kế hoạch. Có một số hành động mà phần mềm chống vi-rút phải thực hiện thường xuyên: cụ thể là quét toàn bộ máy tính để tìm vi-rút và cập nhật cơ sở dữ liệu chống vi-rút. Mô-đun cập nhật cho phép bạn định cấu hình tần suất thực hiện các hành động này.

Để cập nhật cơ sở dữ liệu chống vi-rút, nên sử dụng khoảng thời gian ngắn - một giờ hoặc ba giờ, tùy thuộc vào khả năng của kênh truy cập Internet. Hiện tại, các sửa đổi mới của phần mềm độc hại liên tục được phát hiện, buộc các công ty chống vi-rút phải phát hành các tệp chữ ký mới mỗi giờ. Nếu một người dùng máy tính dành nhiều thời gian trên Internet, máy tính của mình sẽ gặp rủi ro lớn và do đó nên cập nhật cơ sở dữ liệu chống vi-rút thường xuyên nhất có thể.

Nên tiến hành quét toàn bộ máy tính, nếu chỉ vì các chương trình độc hại mới xuất hiện đầu tiên và chỉ sau đó mới có chữ ký cho chúng, điều đó có nghĩa là luôn có thể tải chương trình độc hại xuống máy tính trước khi cập nhật cơ sở dữ liệu chống virus. Để phát hiện các chương trình độc hại này, máy tính của bạn cần được quét lại định kỳ. Lịch trình hợp lý để kiểm tra máy tính của bạn là mỗi tuần một lần.

Dựa trên những điều trên, nhiệm vụ chính của mô-đun lập kế hoạch là tạo cơ hội lựa chọn một lịch trình phù hợp nhất cho loại hành động này cho mỗi hành động. Vì vậy, module cập nhật phải hỗ trợ nhiều Các tùy chọn khác nhau lịch trình để lựa chọn.

Mô-đun điều khiển

Khi số lượng mô-đun trong phần mềm chống vi-rút tăng lên, nhu cầu về một mô-đun bổ sung để quản lý và cấu hình sẽ phát sinh. Trong trường hợp đơn giản nhất, đây là mô-đun giao diện chung mà bạn có thể truy cập thuận tiện nhất chức năng quan trọng:

  • Định cấu hình cài đặt cho các mô-đun chống vi-rút
  • Thiết lập cập nhật
  • Định cấu hình cập nhật và kiểm tra định kỳ
  • Khởi chạy mô-đun theo cách thủ công, theo yêu cầu của người dùng
  • Báo cáo kiểm tra
  • Các chức năng khác, tùy thuộc vào phần mềm chống vi-rút cụ thể

Yêu cầu chính đối với mô-đun như vậy là dễ dàng truy cập vào các cài đặt, độ rõ ràng trực quan, chi tiết hệ thống tài liệu tham khảo, mô tả từng cài đặt, khả năng bảo vệ cài đặt khỏi những thay đổi nếu có nhiều người làm việc trên máy tính. Tất cả các phần mềm chống vi-rút đều có mô-đun điều khiển tương tự. sử dụng nhà. Phần mềm diệt virus để bảo vệ máy tính trong mạng lưới lớn phải có những đặc tính hơi khác nhau.

Người ta đã nhiều lần nói rằng trong một tổ chức lớn có nhiệm vụ thành lập và hoạt động đúng Người chịu trách nhiệm chống vi-rút không phải là người dùng máy tính mà là những nhân viên đặc biệt. Nếu có nhiều máy tính trong một tổ chức, thì mỗi nhân viên chịu trách nhiệm bảo mật sẽ phải liên tục chạy từ máy tính này sang máy tính khác, kiểm tra xem các cài đặt có chính xác hay không và xem lịch sử các trường hợp lây nhiễm được phát hiện. Đây là một cách tiếp cận rất kém hiệu quả để bảo trì hệ thống an ninh.

Vì vậy, để đơn giản hóa công việc của người quản trị bảo mật chống virus, phần mềm chống vi-rút được sử dụng để bảo vệ mạng lưới lớn, được trang bị một mô-đun điều khiển đặc biệt. Các thuộc tính chính của mô-đun điều khiển này:

  • Ủng hộ điều khiển từ xa và cài đặt- quản trị viên bảo mật có thể khởi động và dừng các mô-đun chống vi-rút, cũng như thay đổi cài đặt của chúng qua mạng mà không cần rời khỏi chỗ ngồi của mình
  • Bảo vệ cài đặt khỏi những thay đổi- mô-đun điều khiển không cho phép người dùng cục bộ thay đổi cài đặt hoặc dừng phần mềm chống vi-rút để người dùng không thể làm suy yếu bảo vệ chống virus tổ chức

Cách ly

Trong số các công cụ hỗ trợ khác, nhiều phần mềm chống vi-rút có công nghệ đặc biệt bảo vệ chống lại có thể mất mát dữ liệu do hoạt động chống virus.

Ví dụ: có thể dễ dàng tưởng tượng một tình huống trong đó một tệp được phát hiện có thể bị nhiễm bởi bộ phân tích heuristic và bị xóa theo cài đặt chống vi-rút. Tuy nhiên, bộ phân tích heuristic không bao giờ đảm bảo một trăm phần trăm rằng tệp thực sự bị nhiễm, điều đó có nghĩa là với một khả năng nhất định, phần mềm chống vi-rút có thể xóa tệp không bị nhiễm.

Hoặc phần mềm chống vi-rút phát hiện một tài liệu quan trọng bị nhiễm vi-rút và cố gắng thực hiện khử trùng theo cài đặt, nhưng vì lý do nào đó, nó không thành công và bị mất cùng với vi-rút đã được chữa khỏi Thông tin quan trọng.

Tất nhiên, nên bảo hiểm những trường hợp như vậy. Cách dễ nhất để làm điều này là lưu chúng trước khi khử trùng hoặc xóa tập tin bản sao lưu, thì nếu tệp bị xóa do nhầm lẫn hoặc thông tin quan trọng bị mất, bạn luôn có thể khôi phục từ bản sao lưu.


Phương pháp thử nghiệm

Tổ chức EICAR với sự tham gia của các công ty chống vi-rút đã tạo ra một tệp thử nghiệm đặc biệt được đặt theo tên của tổ chức - eicar.com.

Eicar.com là tập tin thực thiở định dạng COM, không thực hiện bất kỳ hành động độc hại nào mà chỉ hiển thị chuỗi "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Tuy nhiên, tất cả các công ty chống vi-rút đã đồng ý đưa tệp này vào cơ sở dữ liệu chống vi-rút của họ và phát hiện nó là vi-rút, đặc biệt để người dùng có thể kiểm tra khả năng bảo vệ chống vi-rút của họ mà không gặp rủi ro.

Bạn có thể tải eicar.com từ trang web của tổ chức EICAR tại http://www.eicar.org/anti_virus_test_file.htm, nhưng việc tự tạo tệp này sẽ dễ dàng hơn. Thực tế là mã máy của tệp eicar.com bao gồm ký tự in và nó có thể được tạo bằng cách sử dụng bất kỳ soạn thảo văn bản. Ví dụ: bạn có thể sử dụng tiêu chuẩn cho hệ điều hành Trình chỉnh sửa Windows Sổ tay. Trong cửa sổ Notepad bạn gõ dòng

X5O!P%@AP)

Các ấn phẩm liên quan: