Як починаючому користувачеві вибрати антивірус

  1. Можливості сучасних антивірусів
  2. Основні типи захисту від загроз
  3. Додаткові компоненти захисту
  4. Продуктивність і швидкодія
  5. Пробуємо самі - віртуальні системи

Вибір антивіруса, поради для початківців користувачів. Огляд основних можливостей і функцій антивірусних рішень, основні критерії вибору і допомогу в підборі антивіруса

Огляд основних можливостей і функцій антивірусних рішень, основні критерії вибору і допомогу в підборі антивіруса

Автор: Михайло Новоселов ( блог автора )

Стаття написана для ресурсу comss.ru . Планується в міру надходження пропозицій і зауважень, а також своїх думок допрацьовувати статтю. Зміни будуть вноситися на цій сторінці.

Можливості сучасних антивірусів

Сучасний антивірус повинен захищати від:

- вірусів, тобто будь-яких шкідливих програм;

- різних обманів на гроші: підроблені антивіруси, відправка СМС для "скачування" неіснуючих файлів і т.д .;

- потенційно-небажаних програм (ПНП)

Це базові функції, які повинні бути в будь-якому продукті класу Antivirus. Більш функціональні антивірусні рішення класу Internet Security, крім названого, можуть включати в себе:

  • фаєрвол;
  • веб-захист: захист від небезпечних веб-сайтів, антифішинг;
  • антиспам;
  • проактивний захист.

У багатьох рішеннях присутній такий неантівірусний функціонал, як батьківський контроль, шифрування, шреддінга (безповоротне видалення інформації), менеджер паролів, оптимізація комп'ютера.

Варто відзначити, що функціонал повністю залежить від розробника. Так, у одних розробників антиспам входить в рішення класу Antivirus, у інших - Internet Security.

Основні типи захисту від загроз

Захист від вірусів і ПНП може бути чотирьох типів:

1. Локально-сигнатурної. Саме такими були найперші антивіруси на стику століть. Сигнатура - це занесений в бази антивіруса зразок коду конкретного вірусу, який він шукає у всіх файлах, які перевіряє (на західний манер - сканує). Локально - значить сигнатурної база зберігається на безпосередньо комп'ютері, де встановлений антивірус.

2. Локально-евристична. Такі технології з'явилися трохи пізніше перших. В даному випадку антивірус шукає не ділянки коду конкретного вірусу, а якийсь схожий на вірус код за заданими зразками. Сюди ж можна віднести технологію емуляції процесора, яка вже частково застаріла.

3. Локально-проактивний. Захист на основі аналізу поведінки програм для виявлення і припинення їх шкідливої ​​активності. Раніше дана технологія працювала досить просто: був заданий набір описів небезпечних дій, характерний для вірусів. Вони просто блокувалися (поведінковий блокує). Програми, які вчиняють велику кількість потенційно-небезпечних дій, могли блокуватися повністю. Однак, в даний момент проактивні технології пішли значно вперед, про них ми ще поговоримо окремо.

4. Хмарна. Найбільш сучасний тренд. Перші хмари з'явилися в 2005-2006 роках. З тих пір вони отримали величезний розвиток. Суть таких технологій в тому, що безліч комп'ютерів кінцевих захищаються користувачів підключені до єдиного командного центру та передають йому різну інформацію, на основі якої автоматизована система обчислює шкідливі об'єкти. детально про механізм роботи на блозі "Лабораторії Касперського".

Перші 2 типу захисту є в абсолютно всіх антивирусах (хіба що в "Антивірус Бабушкіна" - Fraud.BabushkinAV - їх немає). Їх здійснює такий важливий компонент антивіруса, як файловий монітор. Він в режимі реального часу перевіряє всі файли, до яких система намагається отримати доступ. Спочатку виконується перевірка, а тільки потім ці файли можна відкрити. Таким чином, вірус буде знешкоджений до свого запуску. Антивірусним скануванням в більшості продуктів називається перевірка на вимогу користувача, яку людина запускає вручну. Багато антивіруси вміють робити її за розкладом.

*****

Анекдот в тему.

Розмовляють Білл Гейтс і Стів Джобс.
Гейтс:
- Ми провели дослідження і з'ясували, що російські читають швидше за всіх у світі.
Джобс:
- Ти швидкість читання ліцензійних угод вимірював?

*****

При використанні "хмари" варто ознайомитися з ліцензійною угодою та умовами використання хмари. Зазвичай з них і логіки роботи хмарної АВ захисту слід, що:

1. На сервера може передаватися майже будь-яка інформація, яку антивірус вважатиме за потрібне. Якщо є веб-захист, то це однозначно список відвіданих сайтів, ваш IP адреса і безліч менш суттєвої інформації.

2. Вона передається неперсоналізовані. Що під цим мається на увазі, одні розробники знають, адже інформацію про відвідані сайти можна відв'язати від імені користувача та вважати це неперсоналізовані зберіганням даних, але відв'язується вона від IP адреси? Навіть якщо так, то напевно система запам'ятовує ваш регіон для подальшого визначення географії поширення загроз.

3. Будь-яким органам державної влади наявна у антивірусної компанії інформація може бути надана. Розробник навіть може залишати за собою право ділитися даними і з будь-якими іншими третіми особами, обіцяючи при цьому зберігати конфіденційність.

Звідси випливає, що спецслужби, наприклад, на основі даних про відвідані веб-сайтах, нехай і не персоналізованих, але зате геоприв'язаних, можуть визначати громадську думку з точністю до регіону. Ця інформація дуже придасться для ведення мережевий, або сетецентріческой війни, спрямованої на невійськова захоплення (переклад під свій вплив) держав. Однак, можливість участі в цьому антивіруса теоретична.

Додаткові компоненти захисту

Давайте розглянемо додаткові компоненти захисту, зазвичай присутні в рішеннях класу Internet Security.

фаєрвол

Фаєрвол - це програмний продукт для контролю використання інтернету. Іноді в нього входить і проактивний захист, яку ми вже частково розглянули і зробимо це далі.

Слово фаєрвол утворено від англійського firewall - вогненна стіна, тому іноді також зустрічаються написання фаєрвол, фаерволл, фаєрвол. Інше слово, що позначає те ж саме - брандмауер.

Роботу фаервола можна умовно розділити на 2 напрямки: контроль виходу в інтернет всіх програм на комп'ютері і захист від інтернет-атак, наприклад, DDoS - множинних запитів на комп'ютер, спрямованих на його відключення з мережі в зв'язку з неможливістю обробки такого потоку запитів. Однак, такий тип атак на домашній комп'ютер дуже малоймовірний. Фаєрвол також захищає і від інших прийомів хакерів. Захист від вторгнень (IPS - intrusion prevention system, іноді IDS - intrusion detection system), тобто від впливу шкідливого ПО в систему з використанням вразливостей браузера або іншої легітимної програми, зазвичай теж лягає на плечі фаервола, але може ставитися і до іншого компоненту комплексного продукту класу Internet Security.

Контроль виходу різних програм в Мережу може здійснюватися трьома способами:

1. Автоматично: всі рішення щодо того, легітимна програма проситься в інтернет, фаєрвол приймає самостійно. Зазвичай йому в цьому допомагає білий список - база відомих "хороших" програм. Вона може знаходитися як локально, так і в хмарі. В останньому випадку не варто проблема її ресурсоємності (скільки місця на жорсткому диску і в пам'яті вона займає). Залежно від настройки, невідомим, тобто не внесених в білий список, додатків може або закриватися доступ в мережу, або навпаки вирішаться (в останньому випадку простіше відключити роботу фаервола на цьому напрямку).

2. напівавтоматичних: прийняття рішень на основі правил. Правило - це установка фаєрвол, як потрібно поступати, коли зазначена програма намагається вийти в мережу; зазвичай можна не просто дозволяти / забороняти її дії, а й конкретизувати правила, вказуючи використовувані порти, цільові адреси, додатки, які запускають цю програму і т.д.

3. Вручну: кожен раз, при спробі будь-якого ПО вийти в мережу, з'явиться відповідне запрошення.

Зазвичай використовується перший і другий варіанти.

Веб-захист

Веб-захист теж працює за кількома напрямками:

1. Перевірка всього інтернет трафіку. Грубо кажучи, той же файловий монітор, але тільки для всього того, що передається і виходить через інтернет.

2. Захист від відвідування шкідливих сайтів. Раніше посилання на відомі джерела вірусів заносилися до локальних баз, тепер же в більшості випадків цей захист хмарна. Працює вона так: сервер хмари може сам заходити на різні сайти, виконувати їх докладну перевірку, запам'ятовуючи, які ресурси виявилися шкідливими. Якщо перший тип інтернет захисту виявляє загрозу, то її адресу відправляється в хмару для запобігання відвідування цього ресурсу іншими користувачами. Сенс в тому, що, якщо сайт зламаний і на нього встановлено віруси, то зловмисники їх (віруси) можуть змінювати без відома антивірусної компанії, в результаті чого перший тип веб-захисту може пропустити новітні, ще невідомі шкідливі програми. Тут варто зазначити, що в сучасних антивирусах захист будується на всебічної обороні за принципом "зараження легше запобігти, ніж його потім лікувати".

3. Захист від фішингу. Фішинг - це підроблені сайти, за зовнішнім виглядом майже не відрізнити від оригіналу, які просять ввести паролі або дані кредитної картки. Приклади можна подивитися на PhishTank. Обережно, такі сайти можуть бути додатково заражені вірусами.

Детальніше про принцип роботи веб-захисту на прикладі Lavasoft читайте тут .

антиспам

Антиспам і поштовий монітор перевіряють на предмет наявності спаму або вірусів електронну пошту, що отримується локально - зазвичай через встановлені поштові клієнти (The Bat, Thunderbird, Windows Mail і ін.). Пошта, яку ви читаєте через браузер, не перевіряється, однак на всіх сучасних поштових службах використовуються і так хороші антивірусні і антиспам технології.

Ми вже вище розглянули стандартні технології проактивного захисту, до яких відноситься і IPS, яку ми порахували частиною фаервола. Що ж ще пропонують багато розробників?

безпечний банкінг

Це ізольована среда, ізольований від зовнішнього комп'ютерного світу браузер, призначений для безпечного здійснення банківських операцій. Безпека полягає в тому, що браузер ізолюється від решти програм, в результаті чого вводиться в ньому інформація не може бути перехоплена. Технологія не гарантує 100% захисту, кожен розробник використовує різні підходи до забезпеченню безпеки онлайн банкінгу.

Пісочниця, sandbox

Ізольована від решти комп'ютера середовище, що дозволяє безпечно запускати будь-які програми. Всі зміни, ними зроблені, по закінченню роботи відкочуються, а чреваті ушкодженнями системи шкідливі дії заборонені. Бувають автоматично пісочниці: маловідомі програми автоматично запускаються в ізоляції. Деякі віруси вміють визначати, що вони працюють в пісочниці, в разі виявлення якої припиняють свою роботу. Це потрібно ще й для того, щоб автоматичні системи аналізу на серверах антивірусних розробників не могли виявити цих шкідників.

Відкат шкідливих дії, rollback

Деякі продукти, наприклад Twister і Webroot, не використовують автопесочніц, як Comodo, але стежать за всіма змінами в системі, що здійснюються запущеними додатками. Якщо антивірус після тривалого спостереження за активністю програми раптом вирішить, що вона шкідлива, він видалить, відкотивши зроблені її зміни в системі. Різниця між Webroot і Twister в тому, що перший за краще пару десятків хвилин поспостерігати за програмою, перш ніж охрестити її шкідливою, при цьому маючи непоганий хмарний детект (виявляє віруси до їх запуску, часто на підставі даних від інших користувачів, що ця програма виявляла шкідливу активність), а ось другий в силу невеликої кількості користувачів і недоработанности хмарних технологій такій розвиненій крадудсорсінговой бази не має, але шкідливе ПО воліє прибивати на самому початку його роботи, навіть, буває, не встигнувши його перевірити в хмарі. Обидва продукти в момент осяяння відкочують зафіксовані ними з боку вірусу зміни в системі.

HIPS, host-based intrusion prevention system, система запобігання вторгнень на вузол

Система, що стежить за всіма змінами в системі і здатна запобігати шкідливі. Як і фаєрвол, має настроюються правила, режими роботи від автомата до ручного, білі списки відомих безпечних програм.

Продуктивність і швидкодія

При виборі антивіруса також зверніть увагу на його ресурсомісткість - кількість споживаних їм ресурсів. Не секрет, що на слабких системах (2 ГБ ОЗУ, процесор 1.6 ГГц, приблизно, і нижче) антивірус є головним споживачем ресурсів і, як наслідок, сильно уповільнює роботу системи.

Чим більша частина антивіруса перенесена в хмару, тим менше ресурсів йому потрібно, тим швидше він працює, але тим і більш хороший інтернет потрібен для його нормальної роботи. У частині антивірусів, наприклад, Антивірус Касперського, хмара використовується лише як допоміжний інструмент на додаток до локальної сигнатурної, евристичної та проактивного захисту. Але в інших продуктах, наприклад, Baidu, Qihoo 360 (в цих двох випадках мова йде про їх власних технологіях, а не про використовувані сторонніх двигунах) вся антивірусний захист перенесена в хмару. Відповідно, при відсутності інтернету комп'ютер залишиться незахищеним.

Щоб дізнатися параметри свого комп'ютера, зайдіть в Пуск - Панель управління - Система, або в Пуск - правою кнопкою на "Комп'ютер" - Властивості. Мінімальні системне вимоги вказуються в описі кожного продукту.

Пробуємо самі - віртуальні системи

Щоб протестувати продукт (без урахування відповідності кількості системних ресурсів), можна встановити його на віртуальну систему, наприклад, поставити ліцензійну демо версію Windows на віртуальну машину VirtualBox , Що буде безкоштовно.

Останній критерій - ціна. Зверніть увагу на безкоштовні антивіруси або промо акції . Комплексні рішення класу Internet Security зазвичай платні, але можна використовувати зв'язку безкоштовний антивірус + безкоштовний фаєрвол + безкоштовна проактивний захист в разі її відсутності в антивірусі. Кожну зв'язку краще попередньо перевірити на сумісність на віртуальній машині.

Таким чином, при виборі антивіруса потрібно починати з підбору необхідного функціоналу. При цьому, якщо ви недосвідчений користувач, не забувайте, що для вас чим простіше антивірус, тим краще. Ідеальний варіант - це безкоштовні або хмарні рішення. Що стосується проактивних технологій, то в одних продуктах вони працюють на автоматі, не вимагаючи втручання користувача, коли як інші продукти вимагають від користувача певних знань.

Жодна антивірусна технологія не забезпечує 100% захисту. У чомусь сильний один продукт, у чомусь іншого. Зверніть увагу на результати численних тестів . Однак пам'ятайте, що це суб'єктивна оцінка.

Якщо вам потрібна допомога в підборі антивіруса, то пишіть в коментарі, вказуючи параметри процесора і ОЗУ, швидкість інтернет з'єднання, постійно воно, свої навички користувача, ступінь готовності до участі в хмарі, необхідні компоненти захисту, чи обов'язкова безкоштовність захисту. Ми, адміністрація і користувачі comss.ru, постараємося допомогти новачкам.

Також готові вислухати будь-які зауваження та пропозиції за статтею. Вона буде доопрацьовуватися.

Знайшли друкарську помилку? Виділіть і натисніть Ctrl + Enter

Що ж ще пропонують багато розробників?
Знайшли друкарську помилку?