Как правильно выбрать антивирус!

Автор Nemo, 25 октября 2010, 15:22:00

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Nemo

Уже не один год не утихают споры о том, какой антивирус лучше, однако проблема в том, что большинство спорящих не имеют понятия, по каким параметрам стоит сравнивать антивирусы. В связи с этим в данной статье попробуем поделиться своим взглядом на критерии оценки антивирусов.

Пояснения:
Поскольку существует множество видов вредоносных программ, для того что бы каждый раз не писать длинные пояснения, там где не имеет значения конкретный тип вредоносных программ, будем употреблять слово "вирус".

Сравнение антивирусов не является целью данной статьи, поэтому, несмотря на то, что будут приводиться в пример конкретные антивирусы, все примеры просьба рассматривать именно как абстрактные примеры.

Итак, критерии оценки антивирусов:


1. Количество известных вирусов.

Иногда создатели антивирусов привлекают внимание к своей программе, сообщая об огромной базе вирусов. Однако эта цифра – не количество известных программе вирусов, а количество записей в базах антивируса, и прямой связи между количеством таких записей и числом вредоносных программ, которые антивирус определяет, нет. Поэтому нет прямой связи между количеством записей в базах антивируса и числом "зверей" которые антивирус определяет.

Кроме того, даже сами разработчики не знают точно, сколько вирусов определяет их антивирус, поскольку запись, добавленная для определённой модификации вируса, может определять и новые модификации, которые разработчики могли даже не видеть. Так что количество записей в базах антивируса не может служить критерием надёжности антивируса.


2. Тесты на коллекциях вирусов.

Казалось бы - всё просто. Берёшь коллекцию, и сравниваешь, какой антивирус находит больше. Это наиболее распространённая методика сравнения, но она вовсе не обязательно даёт правильное представление о надёжности антивируса. Почему?

2.1 Вопрос - как собиралась коллекция. Допустим у меня стоит Касперский Антивирус, и всех вирусов, которых он обнаруживает, я сохраняю. Теперь я беру несколько антивирусов и сравниваю результаты проверки моей коллекции. Понятно, что КА найдёт всех вирусов, а остальные антивирусы найдут меньше. Но это вовсе не говорит о том что КА лучше всех остальных антивирусов. Тем не менее такие результаты всё же имеют некоторую ценность, т.к. если из результатов выбросить КА, то можно получить некоторое представление об остальных антивирусах.

2.2 Дополнительная проблема в том, что считать вирусом, а что нет. К примеру, КА с расширенными базами считает вирусом adware, spyware, hijackers и другие программы, которые не наносят серьёзного вреда, тогда как ДрВеб и некоторые другие антивирусы на сегодня такие программы не считают опасными и не определяют. Так что на коллекции, в которой половина файлов являются всякого рода adware, spyware... КА найдёт в 2 раза больше. Но это вовсе не говорит о том, что при отлове действительно опасных вирусов он тоже будет в 2 раза лучше. Некоторые другие недостатки сравнения антивирусов на коллекциях будут рассмотрены дальше. Так что тесты на коллекциях вирусов не дают полной картины, и не являются хорошим критерием надёжности антивируса.


3. Частота обновления вирусных баз программы.

Следует обращать внимание на частоту обновления вирусной базы программы, т. е. происходит ли это раз в неделю, раз в день и т.д. От этого зависит скорость реакции на появившиеся новые вирусы. Безусловно, антивирус с высокой скоростью реакции будет намного более надёжен. Надо отметить, что почти наверняка это будет широко распространённый, популярный антивирус, а не малоизвестный или недавно появившийся программный продукт. На деле же антивирусы с высокой скоростью реакции намного более надёжны.

Несколько слов о том, о чём вряд ли кто задумывался. Как пополняются базы антивирусов, или откуда разработчики антивирусов узнают о новых вирусах? Какое-то количество вирусов разработчики могут находить сами, гуляя по всяким "злачным местам". Однако большую роль в деле обнаружения новых вирусов играют системные администраторы различных фирм и продвинутые пользователи, которые обнаруживают вручную подозрительные файлы и присылают их на анализ вирусным аналитикам. Поэтому широко распространённый, популярный антивирус почти наверняка будет лучше малоизвестного или недавно появившегося антивируса.


4. Поддержка всевозможных паковщиков и крипторов.

Многие путают паковщики и архиваторы. Это совершенно разные вещи. Если не вдаваться в детали, то можно сказать что паковщики и крипторы берут исходный исполняемый файл, кодируют его определённым методом и вставляют в него процедуру раскодирования. Файл при этом остаётся исполняемым, и для его запуска не требуется никакой программы. При запуске файла сначала запускается процедура распаковки, и после этого управление передаётся исходному коду. Для пользователя нет никакой разницы между оригинальным и шифрованным файлом. А вот для антивируса есть. С точки зрения антивируса, которому важен код файла, а не результат исполнения, шифрованный файл в корне отличается от оригинального. Т.е. берём вирус, который известен антивирусу, и пакуем его каким-нибудь пакером. В результате функциональность вируса сохраняется (при запуске он сделает то же самое, что и оригинальный). Но если антивирус не знает пакера, то для него файл теперь стал чистым. Стоит отметить, что паковка и шифрование вирусов - очень распространённый приём, применяемый для предотвращения их обнаружения антивирусами. По этому чем больше паковщиков и шифровщиков поддерживает антивирус, тем он надёжнее. С другой стороны, чем больше пакеров и крипторов знает антивирус, как правило, тем медленнее он работает.


5. Эмулятор.

О наличии эмулятора у антивирусов, скорее всего, мало кто слышал. Что же это такое? Хорошие антивирусы имеют возможность эмулировать запуск программы. Т.е. отслеживается, что же реально делает программа. Обычно выполняется не вся программа, а только начальная её часть. Таким образом, антивирус может обнаруживать программы, зашифрованные неизвестными крипторами, пакерами, а так же противостоять другим методам, которые используются вирусописателями. Понятно, что чем более совершенный эмулятор у антивируса, тем антивирус надёжнее.


6. Эвристический анализ.

Многие о нём слышали, но нет уверенности, что все понимают, что это такое. Для начала стоит понять, как вообще антивирус работает. А делает он это просто. Для каждого вируса находится уникальный для него кусок кода, так называемая сигнатура. Этот кусок кода хранится в базе антивируса, и если такой кусок кода найден в файле, то файл определяется как соответствующий вирус. Понятно, что для того, чтобы сигнатура появилась в базе антивируса, сначала этот вирус должен попасть на анализ вирусным аналитикам фирмы. Т.е. защита всегда появляется только через какое-то время после появления вируса.

Эвристический анализ работает по другому. Он анализирует содержимое файла и ищет не сигнатуру, а последовательности операций, типичные для вирусов. Таким образом, можно обнаружить вирусы, которые никогда не попадали аналитикам, и сигнатуры которых не присутствуют в базах антивируса. Конечно, чем более совершенный алгоритм эвристического анализа использует антивирус, тем он надёжнее. Однако на сегодня эвристические анализаторы всех существующих антивирусов малоэффективны и позволяют находить не более нескольких процентов неизвестных вирусов. К тому же, чем чуствительнее эвристик антивируса, тем чаще будут ложные срабатывания. Хотя в последней версии ложных срабатываний стало поменьше.


7. Корректное лечение вирусов.

Возможно, не все знают, но далеко не всегда антивирусы умеют корректно лечить вирусы. Допустим, завёлся у Вас какой-нибудь безобидный вирус (т.е. антивирус его не обнаружил до заражения, что происходит нередко), который не делает ничего, кроме того, что добавляет себя ко всем исполняемым файлам. В какой-то момент антивирус начал его обнаруживать, и, конечно, Вы хотите все файлы вылечить, т.е. вернуть в исходное состояние. Не очень хороший антивирус может восстановить файлы неправильно, в результате чего часть или все программы перестанут работать, и вреда от такого лечения будет намного больше, чем от самого вируса.


8. Работа на зараженной системе.

Если с обнаружением неактивных вирусов всё более-менее просто, то с обнаружением и удалением активных (работающих) всё намного сложнее.

8.1. Начнём с того, что часть вирусов скрывают своё присутствие в системе. Например руткиты. Далеко не все антивирусы способны обнаружить их. Часть антивирусов их просто не видят и не обнаружат их, даже если они находятся в их базах. Для обнаружения таких вирусов используются специальные технологии, такие, как прямая работа с диском (у КАВ), или особая технология сканирования памяти (у ДрВеб).

8.2. Другая часть вирусов при запуске пытаются завершить процессы антивирусов, или даже удалить антивирусы с диска. Антивирус должен уметь противостоять таким попыткам.

8.3. Удалить с диска файл активного вируса - дело непростое, поскольку система не позволяет удалять файлы, которые используются в данный момент. Может, это странно, но далеко не все антивирусы умеют удалять такие файлы. Как следствие, не очень хороший антивирус может обнаружить вирус, но ничего с ним сделать не сможет. Кроме всего прочего, он будет регулярно доставать Вас сообщениями о том, что найден вирус, и это будет дополнительно мешать работе. Техника удаления используемых системой файлов очень проста, но ещё совсем недавно далеко не все антивирусы её использовали. Возможно, и сейчас некоторые антивирусы этого не умеют.

9. Оперативность реакции вирусных аналитиков на присланные подозрительные файлы.

Часто Вы можете обнаружить на диске или в автозагрузке непонятные файлы. Большинство пользователей сами не в состоянии понять, представляют ли эти файлы опасность или являются частью установленных программ. Решением проблемы может быть отправка таких файлов на анализ вирусным аналитикам антивирусной фирмы. Вирусные аналитики разных компаний реагируют по-разному.


10. Отсутствие ложных срабатываний.

Хороший антивирус должен почти не иметь ложных срабатываний. Нередко антивирус настраивается на автоматическое удаление вирусов. Не очень хороший антивирус, базы которого не тестируются или недостаточно тестируются перед выпуском, в какой-то момент может удалить важные файлы, что может повлечь прекращение работы программ или крах системы.


11. Стабильность работы и отсутствие конфликтов с другими программами.

Поскольку хороший антивирус глубоко интегрируется в систему, наличие ошибок в антивирусе может привести к краху системы. Также хорошие антивирусы для того, чтобы успешно бороться с вирусами, перехватывают многие системные функции. Это может привести к конфликтам с другими программами. К сожалению, не бывает программ без ошибок, и часто антивирус, наиболее успешно борющийся с вирусами благодаря глубокой интеграции в систему, вызывает и наибольшее число всевозможных конфликтов. Так что "безконфликтность" антивируса не обязательно говорит о том, что он качественный. Вполне вероятно, что он просто работает, так сказать, "на поверхности", и не сможет справиться со сложными вирусами (в случае, если по какой-то причине они будут запущены).


12. Загрузка системы.

Конечно, работающий монитор антивируса берёт часть ресурсов компьютера. Часто антивирусы оцениваются по принципу "тормозит - не тормозит". Конечно, каждый сам выбирает, что для него важнее. Просто не стоит забывать, что обычно антивирус, дающий наибольшую защиту, "тормозит" сильнее, а антивирус, который "не тормозит", скорее всего даёт менее надёжную защиту. Удобство работы всегда обратно пропорционально уровню безопасности, и это справедливо не только по поводу антивирусов.

Источник: http://pc-help.uz/

Александр Волочков

#1
Антивирус не нужно толком выбирать, можно брать первый с выдачи гугла, но я лучше рекомендую Касперский, вроде надёжный