В бесконечной игре в кошки-мышки “вирус против антивируса” понимание того, как антивирусное программное обеспечение определяет конкретные цели и предотвращает их заражение вашей операционной системы, может помочь лучше защитить ваш компьютер от проникновения.
Поскольку хакеры и другие злоумышленники круглосуточно работают над распространением новых, более смертоносных вирусов, важным для их вредоносной стратегии является сохранение их незамеченными как можно дольше.
Прежде чем мы сможем углубиться во внутреннюю работу антивируса, который можно купить на сайте ggsel.com по ссылке: https://ggsel.net/catalog/antivirus, давайте сначала посмотрим, как компьютерный вирус быстро распространяется по сетям, оставаясь незамеченным.
Вирусы работают практически так же, как и любая другая программа, установленная на вашем компьютере. Однако основное отличие заключается в цели, стоящей за программой, и в том, для чего именно она была запрограммирована. Вирусы предназначены для нанесения вреда, сбора, удаления, подслушивания, захвата или уничтожения важных данных на вашем компьютере или мобильном устройстве – иногда все одновременно.
Если вы действительно хотите разобраться в компьютерных вирусах, полезно знать, что искать. Вот несколько общих симптомов, связанных с вирусами:
Каждый вирус содержит сигнатуру, которая похожа на его отпечаток пальца. Это отличительная особенность, которая отличает его от других программ, запущенных на вашем компьютере, а также делает вирус узнаваемым и, следовательно, потенциальной мишенью для антивирусного программного обеспечения.
В поисках уникальной сигнатуры вирусов антивирусное программное обеспечение сначала сканирует любые сигнатуры, которые содержат шаблоны, аналогичные тем, которые уже хранятся в его существующей базе данных. Новые вирусы часто являются производными от старых, что означает, что они могут по-прежнему иметь одну и ту же базовую ДНК, которую легко идентифицировать. База данных для каждого антивирусного программного обеспечения содержит файлы определений и должна постоянно обновляться, чтобы выявлять все новые штаммы (или вариации ДНК исходного вируса), которые часто появляются.
Атаки вымогателей немного грубее. Они проникают в ваше устройство и блокируют его. Единственный способ вернуть ваши данные – удовлетворить их требования, разветвляя анонимные платежи, чтобы они могли перейти к следующему хосту.
Хуже всего то, что эти хакеры нацелены не только на крупные транснациональные корпорации, которые могут легко сэкономить несколько долларов, но даже на некоммерческие организации, которые работают на благо нуждающихся.
Маленькая Красная дверь из Индианы – один из таких примеров. Хакеры могли держать в заложниках данные своих пользователей, пока Little Red Door не выложил более 43 000 долларов, чтобы устранить это небольшое неудобство.
Существует так много перестановок вирусов, что ручная защита невозможна. Черви, трояны, программы-вымогатели, кейлоггеры, рекламное ПО, фишинг и многие, многие другие также не просто становятся жертвами халатности. Они умны и хитры.
Поэтому лучшим методом защиты вашего компьютера и устройств является предотвращение с самого начала, что является основной целью антивирусного программного обеспечения.
Почти столько же, сколько существовали компьютеры, существовали вирусы, предназначенные для их заражения.
Еще в 1970-х годах начали появляться некоторые из самых ранних вирусов. Самый первый, по мнению большинства, назывался The Creeper.
The Creeper был просто экспериментальным программным обеспечением, предназначенным для распространения с одного компьютера на другой по примитивной сети под названием ARPANET, которая в конечном итоге стала строительным блоком Интернета.
The Creeper, в некотором смысле, был первым компьютерным червем.
Чтобы удалить вирус Creeper, компьютерный инженер по имени Рэй Томлинсон изобрел Reaper — компьютерного червя, единственной задачей которого было найти и удалить Creeper.
С этих скромных начинаний компьютерные вирусы, черви и вредоносные программы начали стремительно усложняться.
То же самое относится и к антивирусному программному обеспечению; программное обеспечение, предназначенное для устранения этих угроз.
Большинство современных антивирусных программ тихо работают в фоновом режиме на вашем компьютере, выполняя повторные проверки ваших данных, системных файлов и компьютерных программ.
Что они ищут?
Антивирусы следят за:
Когда антивирус обнаруживает угрозу, он обычно предупреждает вас и удаляет вредоносное программное обеспечение.
Перекрестная проверка файлов определений в базе данных на наличие известных вредоносных программ – один из способов защиты вашей системы с помощью антивирусного программного обеспечения. Но это оставляет очевидный, зияющий пробел: как насчет вирусов, настолько новых или скрытых, что они еще не были идентифицированы и добавлены в базу данных?
Все, чего нет в базе данных, или все, что скрывает бумажный след подписи, все еще может проскользнуть сквозь трещины. Хакеры не тупые. Они знают, как работает антивирусное программное обеспечение. Они знают, как оно будет пытаться вынюхивать правильную комбинацию 1 и 0. Поэтому они попытаются обойти его.
Одним из популярных методов является шифрование – именно то, что вы обычно используете для защиты. Но в этом случае вирусы будут либо шифровать себя, либо части подписи, поэтому ее невозможно будет успешно сопоставить.
Шифрование изолирует конфиденциальные данные под непроницаемым замком. В зависимости от используемого уровня шифрования взломать его может быть практически невозможно без правильного шифрования (или пароля) для расшифровки содержимого.
Результатом является успешное запутывание отпечатка сигнатуры вируса до такой степени, что ваше антивирусное программное обеспечение не может даже обнаружить его, не говоря уже о том, чтобы знать, как его остановить.
Другой трюк включает мутацию, подобную биологическому вирусу. Здесь вредоносная программа заражает устройство, а затем запускает порождения всех форм и размеров. Итак, теперь вы ведете не просто одну битву, а полномасштабную войну на нескольких фронтах одновременно – каждый со своим типом вредоносного ПО и необходимым противоядием.
Антивирусные инструменты в ответ на это используют несколько собственных приемов.
Первый – с помощью эвристического обнаружения или анализа. Вместо того, чтобы пытаться обнаружить только одну сигнатуру и стать жертвой мутации, антивирусное программное обеспечение объединит родственные сигнатуры в “семейства”. Таким образом, они смогут использовать более широкую общую сигнатуру для идентификации всего, что выглядит, пахнет или действует как вирус из каждого семейства. Однако это не единственный трюк в их рукаве.
Руткит – это вредоносное ПО, специально предназначенное для административных элементов управления на устройстве. Как бы это ни звучало, оно нацелено на полный контроль над всей операционной системой, встраиваясь в метафорические “корни”, чтобы вы не могли от него избавиться.
Обнаружение руткитов используется для проверки и просмотра того, какие действия пытается выполнить программа, и на основе этих действий определяет, является ли она вредоносной (и как ее соответствующим образом остановить).
Один из подобных методов заключается в использовании изолированной среды перед установкой любого нового программного обеспечения. Подумайте об этом веб-сайте, который вы читаете. У него масса посетителей, поэтому мы не хотели бы запускать новую функцию вживую, не протестировав ее сначала. Например, установите непроверенный плагин, и вы рискуете, что ошибка приведет к сбою всего веб-сайта.
Вместо этого сначала протестируйте любые новые функции на промежуточном сервере. Это как рабочая копия, которая позволяет вносить изменения и анализировать влияние, прежде чем запускать ее в жизнь.
Та же идея применима к изолированной среде, используемой антивирусным программным обеспечением. В этом случае он протестирует новый файл или запустит новую часть программного обеспечения, а затем будет сидеть сложа руки и ждать. Он будет следить за тем, что происходит и что пытается сделать программа. Но все это происходит в безопасной, изолированной среде. И только когда все будет проверено, программе действительно будет разрешено запускаться на вашем устройстве.
“Песочница” считается схемой обнаружения, основанной на поведении, потому что она оценивает поведение вируса, а не автоматически классифицирует его на основе его свойств.
И последнее, но не менее важное: антивирусное программное обеспечение начинает накладывать машинное обучение на эти методы, основанные на поведении. Таким образом, они могут предсказать, что должно произойти (на основе предыдущих аналогичных действий), и остановить это до того, как это произойдет.
Если вы следите за развитием событий дома, вы заметите, что ключ к успеху антивирусного программного обеспечения лежит не в одной тактике. Вирусы слишком проворны и сложны, способны мгновенно менять форму, чтобы легко обойти одну или две контрольные точки безопасности. Вместо этого антивирусы сочетают несколько разных стратегий с различными методами обнаружения, чтобы остановить как можно больше атак.
Продолжение: