какие функции сочетают в себе современные антивирусные программы
Современные антивирусы: функции и возможности – Часть I: Антивирусный движок и фаервол
Современные продукты безопасности для ПК на базе ОС Windows являются комплексными приложениями. Количество предлагаемых специализированных функций может вводить в заблуждение конечного пользователя. Каждый вендор программного обеспечения стремится использовать свое собственное название для одной и той же функции, которая может встречаться и в других продуктах под другим названием. Путаница усиливается, когда становится ясно, что две различные опции довольно часто имеют одинаковое название в продуктах различных вендоров.
Эта серия статей предназначена разъяснить основы и действительную функциональность наиболее распространенных опций современных пакетов безопасности для ОС Windows. Мы собираемся описать, что вы можете ожидать от конкретного решения, будь то инструментарий для защиты от вредоносного ПО, безопасного серфинга по сети или предотвращения нежелательного вторжения. Используя собранную в статьях информацию, вы сможете сравнить предлагаемые наборы функции продуктов различных вендоров и лучше понимать, как работают пакеты безопасности.
В первой части серии статей, мы обсудим наиболее основные компоненты: антивирусный движок и фаервол (брандмауэр).
Содержание
Антивирусный движок (Anti-virus Engine)
Также называют: антивирусная защита реального времени, защита реального времени, мониторинг файлов, защита от вредоносного ПО
Антивирусный движок – основной компонент, включенный в большинство пакетов безопасности, представленных на рынке. Основная роль движка – сканирование хранилища данных, он проникает в компьютер с целью обнаружения и удаления вредоносного ПО. Вредоносный код может храниться в файлах на жестких дисках, переносных USB накопителях, в оперативной памяти компьютера, сетевых драйверах, загрузочном секторе диска или поступать как часть сетевого трафика.
Методы определения
Антивирусный движок использует большое количество методов для обнаружения вредоносного ПО. Антивирусные программы содержат в себе обширную базу образцов вирусов, которые необходимо выявить во время сканирования. Каждый образец может либо определять уникальный вредоносный код или, что является более распространенным, описывать целое семейство вирусов. Основная особенность определения вирусов путем сравнивания с образцами в том, что антивирусная программа может определить только хорошо известный вирус, в то время как новые угрозы могут быть не обнаружены.
Метод эвристического анализа (heuristic-based detection) служит для выявления даже тех вирусов, для которых не существует образцов в базе антивирусной программы. Существует множество различных методов эвристического анализа. Основной принцип – идентифицировать программный код, который является крайне нежелательным для безопасных программных продуктов. Как бы то ни было, этот метод неточен и может вызвать множество ложных тревог. Хороший эвристический анализ отлично сбалансирован и вызывает минимальное количество ложных тревог при большой доле обнаружения вредоносного ПО. Чувствительность эвристики может быть настроена.
Виртуализация (создание виртуальной среды, Virtualization) или песочница (sandboxing) являются более совершенными методами определения угроз. Определенное время образцы кода исполняются в виртуальной машине или другой безопасной среде, откуда сканируемые образцы не могут выбраться и навредить операционной системе. Поведение исследуемого образца в песочнице находится под наблюдением и анализируется. Этот метод является удобным в том случае, когда вредоносное ПО запаковано неизвестным алгоритмом (это обычный способ оказаться неуязвимым для системы обнаружения для вируса), и оно не может быть распаковано антивирусной системой. Внутри виртуальной среды вирус распаковывает сам себя, как будто он исполняется на реальной системе и антивирусный движок может просканировать распакованный код и данные.
Одно из новейших достижений антивирусного инструментария – облачное сканирование (scanning in the cloud). Этот метод основан на том, что ПК ограничены в своих вычислительных способностях, в то время как антивирусные вендоры имеют возможность создания крупных систем с огромной производительностью. Компьютерная мощность необходима для выполнения сложного эвристического анализа, а также анализа с использованием виртуальных машин. Сервера вендоров могут работать с гораздо более объемными базами данных образцов вирусов по сравнению с ПК в режиме реального времени. При выполнении облачного сканирования единственным требованием является наличие быстрого и стабильного интернет подключения. Когда клиентской машине необходимо отсканировать файл, этот файл отправляется на сервер вендора посредством сетевого соединения и ожидается ответ. Тем временем, клиентская машина может выполнять свое собственное сканирование.
Типы сканирования и настройки
С точки зрения пользователя, существует несколько типов антивирусного сканирования, Которые зависят от событий, которые вызвали запуск процесса сканирования:
— Сканирование при доступе (On access scan) – сканирование, которое происходит, когда ресурс становится доступен. Например, когда файл копируется на жесткий диск или когда запускается исполняемый файл (запуск процесса сканирования в этом случае иногда называется сканирование при запуске). Только ресурс, к которому появляется доступ, подвергается сканированию в этом случае.
— Сканирование по требованию (On demand scan) провоцируется конечным пользователем – например, когда пользователь вызывает сканирование соответствующей командой меню в проводнике Windows. Такое сканирование также называется ручным. Только выбранные папки и файлы сканируются при этом способе.
— Сканирование по расписанию (Scheduled scan) является обычно повторяемым действием, которое обеспечивает постоянную проверку системы на предмет вредоносного ПО. Пользователь может настраивать время и частоту сканирования. Это сканирование обычно применяется для полного сканирования системы.
— Сканирование при загрузке (Startup scan) – сканирование, инициализируемое антивирусной программой при запуске ОС. Это сканирование происходит быстро и затрагивает папку автозагрузки, запускающиеся процессы, системную память, системные службы и загрузочный сектор.
Большинство продуктов позволяет пользователям настраивать каждый вид сканирования раздельно. Ниже собраны одни из самых основных параметров антивирусного сканирования:
Множество этих параметров могут влиять на скорость сканирования. Набор автоматических правил сканирования для быстрого, но в тоже время эффективного сканирования называется Интеллектуальное сканирование (Smart Scan) или Быстрое сканирование (Quick Scan). В противном случае, сканирование называется полным (Full Scan) или глубоким (Deep Scan). Мы также можем встретить сканирование переносных устройств, которое применяется для проверки оптических дисков, флоппи дисков, USB накопителей, флэш карт и схожих устройств. Пользовательское сканирование (Custom Scan) также доступно и является полностью настраиваемым конечным пользователем.
Специализированные сканеры
Руткит-сканирование (или антируткит-сканирование) это опция, которую предлагают некоторые антивирусные вендоры всвоих продуктах, т.к. руткиты стали чрезвычайно распространенными за последнее десятилетие. Руткит – особенный тип вредоносного ПО, который использует хитрые приемы для того, чтобы оставаться невидимым для пользователя и основных методов детектирования вируса. Он применяет внутренние механизмы ОС для того чтобы сделать себя недосягаемым. Борьба с руткитами требует от разработчиков антивирусного ПО создания особых способов обнаружения. Руткит-сканирование пытается найти расхождения в работе ОС, которые могут служить доказательством наличия руткита в системе. Некоторые реализации проверок на наличие руткитов основываются на постоянном мониторинге системе, в то время как другие реализации антируткитного инструментария могут вызываться по требованию.
Сканирование файлов Microsoft Office (или сканирование на предмет макровирусов) – опция, которая защищает пользователя от вредоносного кода внутри офисных документов. Внутренние принципы сканирования схожи с общими методами сканирования, они просто специализируются на поисках вируса внутри макросов. Опция сканирования может быть представлена как плагин для Microsoft Office.
Дополнительные связанные опции
Фаервол (Firewall)
Также называют: персональный фаервол, межсетевой экран, расширенный брандмауэр, двусторонний межсетевой экран.
Основная роль фаервола – контролировать доступ к ПК со стороны внешней сети, т.е. входящий трафик и, наоборот, контролировать доступ с ПК в сеть, т.е. исходящий трафик.
Фильтрация сетевого трафика может происходить на нескольких уровнях. Большинство фаерволов, включенных в комплекты безопасности для ПК имеют набор правил по крайней мере для двух уровней – нижний интернет уровень, контролируемый IP правилами и верхний уровень приложения. Говоря про верхний уровень, фаервол содержит набор правил для того чтобы допустить или запретить доступ конкретного приложения в сеть. Такие термины, как сетевые правила (Network Rules), экспертные правила (Expert Rules) или настройки правил IP (IP Rule Setting) используются на нижнем уровне правил. На верхнем уровне мы встречаемся с терминами Контроль программ (Program Control) или правила приложений (Application Rules).
Множество современных продуктов позволяют пользователю настраивать уровень доверия ко всем сетям, подключенных к компьютеру. Даже если существует только одно физическое подключение, ПК может быть подключен к нескольким сетям – например, когда ПК подключен к локальной сети, имеющей шлюзы для выхода в интернет. Антивирусный комплекс будет раздельно управлять локальным и интернет трафиком. Каждая из найденных сетей может быть либо доверенной, либо недоверенной и различные системные сервисы, такие как общий доступ для файлов или принтеров могут быть разрешены или запрещены. По умолчанию, только компьютеры из доверенных сетей (trusted networks) могут иметь доступ к защищаемому компьютер. Подключения, регистрируемые с недоверенных сетей (untrusted networks) обычно блокируются, если соответствующая опция не разрешает доступ. Вот почему интернет соединение обычно помечается как недоверенное. Как бы то ни было, некоторые продукты не различают сети в рамках одного пользовательского интерфейса и настройки доверенных/недоверенных сетей могут быть раздельно указаны для каждого интерфейса. Термин Сетевая зона (Network Zone) или просто зона (Zone) обычно используется вместо логической сети.
Для недоверенных сетей существует возможность настроить стелс-режим. Этот режим позволяет изменить поведение системы, как будто ее адрес не доступен для сети. Эта мера способна ввести в заблуждение хакеров, которые сначала находят объекты для атаки. Поведение системы по умолчанию предусматривает ответ на все сообщения, даже отправленные с закрытых портов. Стелс-режим (также известный как стелс-режим порта (stealth ports) предотвращает обнаружение ПК во время сканирования портов.
Обнаружение и предотвращение вторжения(Intrusion Detection/Prevention)
Также называют: Обнаружение атаки, Система обнаружения вторжения, IP блокировка, вредоносные порты.
Хотя все вышеперечисленные термины не являются эквивалентными, они относятся к набору свойств, которые способны предотвратить или обнаружить специальные виды атак с удаленных компьютеров. Они включают такие опции, как обнаружение порта сканирования, обнаружение подменного IP, блокирование доступа к хорошо известным портам вредоносного ПО, используемых программами удаленного администрирования, троянским коням, клиентами ботнета. Некоторые термины включают механизмы для защиты от ARP атак (атак с подменным адресом протокола расширения) – эта опция может называться защита от APR, защита от кэша ARP и т.д. Основная способность этого вида защиты – автоматическая блокировка атакующей машины. Это опция может быть напрямую связана с нижеследующей функцией.
Черный список IP (IP Blacklist)
Блокирование всего трафика (Block All Traffic)
Контроль программ (Program Control)
Также называют: контроль приложений, инспектор приложений
Фильтрация сетевого трафика на программном уровне позволяет программам безопасности раздельно контролировать доступ в сеть каждого приложения на ПК. Антивирусный продукт содержит базу данных свойств приложений, которая определяет доступна ли сеть для программы или нет. Эти свойства различаются между клиентскими программами, которые инициализируют подключение с локальной машины на удаленные сервера (исходящее направление) и серверными программами, которые сканируют сетевой порт и принимают соединения с удаленных компьютеров (входящее направление). Современные антивирусные решения позволяют пользователю определять детальные правила для каждого конкретного приложения.
В общем, поведение контроля программ зависит от политики безопасности (Firewall Policy), выбранной в фаерволе и может включать следующие режимы поведения:
Контроль программ обычно содержит настройки, которые могут помочь продукту разрешить спорные ситуации, независимо от включенного режима работы. Эта особенность известна как автоматический набор правил (Automatic rule creation). Типичная опция в этом случае позволяет любые действия приложениям с цифровой подписью от доверенных вендоров, даже если нет соответствующей записи в базе данных. Эта опция может быть расширена другой функцией, которая позволяет совершать любые действия приложениям без цифровой подписи, но знакомых антивирусному продукту. Контроль программ обычно тесно связан с другими функциями, которые мы осветим попозже, в особенности опция поведенческого контроля.
Самые необходимые функции антивирусов
Друзья, опираясь на опыт наших сервис-инженеров в сфере работы с программным обеспечением и антивирусными программами в частности, мы хотим поделиться с Вами списком самых важных функций, которыми должен обладать современной антивирус для успешного отражения любых угроз.
1) Защита в режиме реального времени.
Антивирус не перестает работать ни минуты и все время выполняет мониторинг работающих, устанавливаемых и спящих программ, для выявления среди них вредоносных. Например, если какое-то приложение потребует доступ к системным файлам, антивирус предупредит об этом пользователя.
Это своеобразный межсетевой экран, блокирующий несанкционированный доступ из интернета различным программам, пытающимся использовать уязвимости компьютера, для проникновения и последующей вредоносной деятельности.
Баннеры — это блокировщики экрана, они различаются по степени опасности, некоторые несут в себе лишь рекламу, а некоторые полностью блокируют компьютер и вымогают деньги. Антивирусы поддерживающие эту функцию, должны избавить пользователя от подобных проблем.
4) Поиск уязвимостей в ПО.
Многие вирусы заражают компьютер, проникая в него, пользуясь уязвимостями некоторых программ. Хороший антивирус, должен информировать пользователя о наличии ПО, имеющего бреши в защите и исправлять их.
5) Сканирование компьютера по расписанию.
Все антивирусы умеют выполнять поиск вредоносного ПО на компьютере или съемном носителе, но некоторым можно задавать график выполнения этой процедуры. Например, в полночь раз в неделю. При чем антивирус можно настроить так, чтобы он не требовал принятия решения при обнаружении подозрительного файла, а сразу помещал его в карантин. Эта функция позволяет снизить нагрузку на компьютер во время работы.
6) Шифрование информации.
Самые важные разделы жесткого диска и отдельные файлы можно зашифровать с помощью антивируса, таким образом, что даже если злоумышленники смогут физически получить доступ к Вашему компьютеру, у них возникнут серьезные трудности в дешифровке этих файлов.
7) Шифрование трафика.
Функция, которую следует включать при работе с важной информацией, используя интернет в общественных сетях. Весь исходящий трафик будет зашифрован, что не позволит злоумышленникам перехватить его и завладеть личной информацией, паролями или денежными средствами.
8) Блокировка доступа к опасным сайтам.
Используя базу потенциально опасных или вредоносных сайтов, антивирус предупредит о степени опасности или вовсе заблокирует доступ к конкретному интернет ресурсу.
9) Защита электронной почты.
Многие антивирусы способны отсеивать спам почту от реальной. Для этого, они обращаются к базе ненадежных доменов и используют алгоритмы вычисления спам писем.
Стоит так же отметить, если Вы постоянно работаете с электронной почтой и через почтовый ящик проходит большой объем писем, лучше отключить эту функцию в антивирусе, т. к. иногда безвредные и важные письма могут помечаться как спам. Хоть это случается не часто, однако порой блокируются нужные письма.
10) Защита при работе в интернете.
Некоторые интернет ресурсы, могут сильно навредить компьютеру установив вредоносные программы, ненужные расширения или похитить данные. Антивирус же в свою очередь должен блокировать деятельность подобного рода и пресекать попытки проникновения на компьютер.
11) Сопровождение обновлений основных компонентов и операционной системы.
Весьма полезная функция антивируса, позволяющая вовремя обновлять ключевое ПО и ОС, что в свое время может закрывать бреши в недавно обнаруженных уязвимостях.
12) Управление антивирусом с различных устройств.
Функция полезная, в большей, степени на рабочих компьютерах в офисе или предприятиях. Установив антивирус по одной лицензии сразу на несколько компьютеров или устройств, системный администратор может удаленно получать доступ к управлению программой, без необходимости физического присутствия рядом с компьютером.
13) Режим снижения активности.
Сегодня многие программы, а особенно видео игры очень требовательны к аппаратной составляющей компьютера. И самые последние из них создают серьезную нагрузку на процессор и требуют большого объема оперативной памяти. Антивирус же заметив повышение количества потребляемых ресурсов, должен отключить свои некоторые службы и снизить активность до минимума, чтобы производительность компьютера возросла.
14) Защищенный интернет браузер.
Интернет обозреватель, служащий только для проведения финансовых операций, использующий шифрование всех данных. По функционалу очень сильно уступает привычным браузерам, но и создан он для других целей.
15) Обеспечение защиты аппаратуры.
16) Защита анти — фишинг.
Среди мошенников большой популярностью пользуется «фишинг». Это способ получения доступа к учетным записям или банковским данным с помощью сайтов двойников. Современный антивирус должен уметь отличать оригиналы от подобных ресурсов.
Выбрать надежный и наиболее подходящий для Вас антивирус, проще, зная какие функции из приведенных выше он в себе сочетает. Для этого можно установить временные версии антивирусов и опробовав несколько вариантов выбрать для себя самый удобный и полезный!
Полезные статьи:
Нажимая на кнопку, вы даете согласие на обработку своих персональных данных
Современные антивирусы: функции и возможности – Часть III: Веб-защита и дополнительные функции
Функции, упоминаемые в этой статье обычно не входят в основной состав антивирусных продуктов. Очень редко вы можете встретить антивирусное решение, которое содержит все вышеперечисленные функции. Инструментарий отдельных антивирусов очень сильно отличается. Вот почему мы затрагиваем только основные принципы и аспекты дополнительной функциональности.
Содержание
Веб-защита браузеров (Web and Browser protection)
Также называют: Веб-контроль (Web Control), веб-безопасность (Web Security), веб-защита (Web Protection), защита браузера (Browser Protection), защита просмотра веб-страниц (Web Browsing Protection)
Веб-браузеры являются самыми основными целями атак со стороны вредоносного ПО. Они могут быть использованы для заражения ПК через интернет, для передачи украденной информации с зараженного компьютера на сервера злоумышленников.
Браузеры часто становятся объектом атаки из-за данных платежных систем, которые могут храниться в базе автозаполнения форм браузеров. Вот почему вендоры антивирусного ПО выполняют огромные усилия по обеспечению безопасности именно веб-браузеров, как никакого другого объекта пользовательского компьютера.
Контроль плагинов (Plugin Control)
Также называют: защита плагинов (Plugin Prevention)
Цепочки браузерных процессов, файлы и другие ресурсы могут быть защищены с помощью функциональности стандартного поведенческого контроля, но в общем случае эти меры недостаточны. Большинство основных браузеров имеют плагины, дополнения, панели управления, дополнительные помощники, которые могут также угрожать их безопасности. Контроль компонентов в этом случае может прийти на помощь. Антивирус должен убедиться, что все компоненты браузерного приложения являются достоверными и безопасными для пользователя.
Фильтры URL-адресов, блокировка рекламы (Domain and URL Filters, Blocking Ads
Внесение в черный список вредоносных доменов и ссылок является основной функцией. Пользователям, в общем случае, позволяется добавлять собственные адреса в список фильтров. Когда браузер пытается соединиться с заблокированным адресом, фильтр обнаруживает эту попытку и запрещает действие до того, как началась передача данных. Данная функциональность может вступать в действие либо на сетевом уровне с низкоуровневым драйвером ядра, либо на уровне расширения браузера.
Расширение браузера является более распространенным, т.к. поведение браузера очень легко контролируется в этом случае и реальное сообщение об ошибке выводится перед мнимой ошибкой соединения, инициируемой вредоносным ПО. По умолчанию фильтры содержат пути назначения, известные как зловредные или незаконные: сайты, использующие фишинг, обманные действия, ресурсы, имеющие вредоносный код, плохую репутацию и порнографическое содержание.
Блокирование рекламы может быть частью веб-контроля. Некоторые антивирусы предлагают пользователю заблокировать рекламу, несмотря на то, что рекламное содержание является важным составляющим бизнес моделей интернета. Если антивирусное ПО содержит фильтры ресурсов, оно может легко определить рекламных провайдеров и с высокой эффективностью заблокировать большинство рекламных объявлений.
Другие формы блокирования рекламы включают блокирование изображений по их размеру, блокирование специальных ключевых слов и применяются против назойливого и ненадлежащего контента. Большинство легитимных рекламных объявлений, отображаются, как правило, корректно.
Динамическое содержание (Dynamic Content)
Динамическое веб-содержание, такое как Flash ролики, Java приложения, объекты ActiveX представляют новые способы обхода современных защит. Антивирусы могут контролировать и блокировать динамические объекты, которые загружаются с недостоверных сайтов. Некоторые продукты содержат блокировку скрытых фреймов и всплывающих окон, которые могут раздражать пользователей.
Наиболее жесткий метод – блокировка всего динамического контента, включая скрипты Java. Как бы то ни было, побочным эффектом этих мер может послужить некорректная работа многих сайтов.
Куки (Cookies)
Это может быть расценено как недопустимое нарушение пользовательской конфиденциальности. Современные антивирусные программы позволяют пользователю управлять cookie-файлами: удалять их или полностью запрещать их создание. Несмотря на то, что эта функциональность является неотъемлемой составляющей современных веб-браузеров, пользователю может быть удобней управлять безопасностью компьютера с одного приложения – антивирусной программы.
Также как и блокирование динамического содержимого, блокирование файлов cookie может вызвать нарушения в работе многих веб-сайтов.
Виртуализация браузера (Browser Virtualization)
Виртуализация браузера является реакцией разработчиков антивирусного ПО на предельную уязвимость интернет браузеров в настольных системах и повышенную привлекательность для кибер-атак. Браузер используются для серфинга по сети и в случае взаимодействия с сайтом с вредоносным содержанием, может появиться уязвимость в браузере, которая будет способствовать заражению всего ПК.
Виртуализация браузера заключается в создании виртуальной среды для работы интернет браузера. Все действия браузера контролируются, если они считаются потенциально опасными, они перенаправляются в песочницу. Например, браузер заражен вредоносным кодом, он пытается сохранить зловредные файлы на компьютере и изменить ключи реестра для последующего автозапуска вируса при перезагрузке системы. Если файловые операции и любые действия с реестром будут происходить в виртуальной среде, запуск вируса произойдет в песочнице и реального заражения системы не произойдет. При закрытии браузера виртуальная среда уничтожается, и заражение ликвидируется навсегда. В то же время пользователю разрешено загружать требуемые файлы в реальную систему, вне песочницы. Достоверные действия браузера не перенаправляются в виртуальную среду, пользовательская функциональность браузера, таким образом, сохраняется.
Виртуализация браузера очень напоминает функцию песочницы, которую мы обсуждали ранее. Отличие заключается в том, что на этот раз в песочнице исполняются не подозрительные приложения, а хорошо известный и достоверный веб-браузер.
Браузерный и поисковый помощник, анти-фишинг (Browser and Search Advisor, Anti-phishing)
Также называют: безопасный Интернет (Safe Web)
Назначение браузерного и поискового помощника – предоставление информации о репутации посещаемого веб-сайта. Если браузерный помощник определяет потенциально опасный веб-сайт, который пользователь намеревается посетить, выводится соответствующее предупреждение. Поисковый советчик сосредоточен именно на результатах выдачи поисковых машин. При запросе страница поисковой системы модифицируются таким образом, чтобы потенциально опасные ссылки или вовсе были невидимыми, или по крайней мере помечены дополнительной информацией о их опасности для пользователя.
Вендоры антивирусного ПО составляют собственные рейтинги интернет сайтов, используя различные критерии. Веб-сайты сканируются на наличие ссылок, ведущих на вредоносные ресурсы. Контент сайтов анализируется и классифицируется согласно фильтрам ключевых слов. Применяется также добавление в белые и черные списки. Одним из наиболее важных параметров ранжирования сайта антивирусом является рейтинг сообществ. Сообщество пользователей определенного антивирусного продукта является мощной защитной единицей, которая позволяет пользователям избегать зловредные веб-сайты. Если внушительное количество пользователей антивируса посещают вредоносный сайт, существует большая вероятность, что многие пользователи пометят этот сайт как опасный с помощью антивирусного ПО. Эта отрицательная репутация впоследствии будет использована для предупреждения других пользователей сообщества.
Опция анти-фишинга используются для предотвращения кражи платежных данных. Существует множество способов распознать сайт, использующий фишинг. Эти методы включают анализ содержания, обнаружение недействительных или неподлинных сертификатов, детектирование подозрительных ссылок и т.д. Если обнаружена попытка фишинга со стороны вредоносного сайта, он блокируется антивирусом, либо критическое предупреждение выводится пользователю.
Сканирование веб-содержания (Web Content Scanning)
Защита конфиденциальной информации (Privacy Protection)
Также называют: защита персональной информации (ID Protection), безопасность личных данных (Identity Safe), защита личных данных (Identity Protection)
Номера кредитных карт, банковских аккаунтов, электронных платежных систем и другие пароли, персональная информация, адреса электронной почты, номера документов, телефонов являются строго конфиденциальной информацией, которая должна быть защищена от действий вредоносного ПО.
Функция защиты персональных данных позволяет пользователю решить, какие данные являются наиболее конфиденциальными и не должны передаваться без его согласия. Исходящий трафик сканируется на предмет защищаемых данных, и в случае совпадения, передача данных блокируется.
Менеджер паролей (Password Management) иногда входит в состав защиты персональных данных. Пользователи могут хранить пароли в безопасности, т.к. они находятся в зашифрованной форме и доступны только владельцу. Некоторые антивирусные программы расширяют область шифрования, включая все пользовательские файлы и, таким образом, защищают настройки сторонних программ и их журналы регистрации событий (логи). Эта мера относится к различным чатам и программам обмена сообщениями, которые могут хранить историю сообщений с конфиденциальной информацией на жестком диске. История браузера, файлы cookie и временные файлы также находятся под защитой функции обеспечения безопасности личных данных. Пользователь может настроить периодичность очистки этих данных: каждый раз при закрытии браузера (этот агрессивный подход может привести к долгой загрузке некоторых веб-сайтов), раз в день, раз в неделю. Использование расписания означает, что мониторинг пользовательской активности в сети ограничен определенным периодом времени.
Родительский контроль (Parental Control)
Также называют: контроль доступа (Access control)
Родительский контроль позволяет приоритетным пользователям (родителям) контролировать использование компьютера менее приоритетной аудиторией (дети). Функция может использоваться для ограничения доступа к учетной записи компьютера. Родительский контроль может эффективно ограничить детям доступ к компьютеру в течение определенного времени в день, либо на определенное количество часов в день. Также может быть ограничено назначение использования ПК, путем контролирования запуска сторонних приложений. Ограничения по времени могут сопоставляться с ограничением запуска определенных приложений. Таким образом, создаются специфические условия работы на компьютере, в которых некоторое приложение может быть использовано 2 часа в день к примеру.
Родительский контроль может иметь возможность ограничивать доступ к аппаратным средствам: переносным накопителям, флоппи дискам, CD/DVD дискам и т.д. Помимо настройки ограничений, родительский контроль может иметь опцию просмотра компьютерной активности детей. Родительский контроль ведет собственный журнал регистрации активности, включающий интернет историю, к которому имеет доступ приоритетный пользователь для анализа правильного использования ПК.
Анти-спам (Anti-spam)
Основное назначение модуля анти-спам – уменьшение количества нежелательных сообщений, который пользователь получает с помощью электронной почты. Анти-спам модуль в современных антивирусных программах обычно имеет поддержку большинства популярных почтовых клиентов, таких как Outlook, Outlook Express, Windows Mail, The Bat, Thunderbird, но не работает с другими почтовыми программами. Веб-интерфейс почты обычно также не поддерживается. Существует несколько способов определения спама. Комплексное анти-спам решение, как правило, сочетает несколько таких методов. Одним из наиболее общих методов является анализ содержимого входящих сообщений с помощью комплексного алгоритма анти-спам модуля и последующее присвоение специальных баллов каждому письму.
Если баллы превышают определенный уровень, электронное сообщение помечается как спам, и либо отсылается в соответствующую папку, либо незамедлительно удаляется. Настроить уровень ограничения и действие, которое требуется предпринять можно в конфигурации анти-спам фильтра. Спам может быть распознан с помощью анализа текста или характерных частей спам-сообщения. Например, многие основные спам-сообщения содержат ссылки на малоизвестные сайты или сайты с низким рейтингом. С помощью спама обычно предлагают товары, услуги и различные призы. Электронные сообщения, содержащие исполняемые файлы или инфицированные документы также являются типичным примером спама. Кроме того, маловероятно, что пользователи, использующие латиницу, будут получать сообщения на кириллическом или азиатском языке. Каждый признак спама добавляет специальные баллы электронному сообщению, и увеличивают вероятность его добавления в спам.
Другая методика включает использование облачных данных или мнения сообщества (иногда называют веб-запрос (Web-query). Вендор антивирусного ПО содержит внушительную базу широкораспространенных спам-сообщений, использующих фишинг, мошенничество и обман. Когда пользователь получает электронное сообщение, анти-спам модуль делает соответствующий запрос в базу данных на предмет соответствия сообщения образцам спама. Новый спам добавляется в базу разработчиками антивирусного, ручным способом самим пользователем, автоматическими скриптами или с помощью пометок в почтовых клиентах пользователями сообщества.
В общем случае модули анти-спама работают с белыми и черными списками адресов электронной почты. Сообщение, отсылаемые с надежных источников никогда не помечаются как спам. Электронные письма, приходящие с адресов из черного списка всегда расцениваются как спам. Белые списки могут формироваться с учетом пользовательской адресной книги, но конечный список редактируется пользователем. Черные списки обновляются с серверов разработчиков антивирусного ПО.
Другой эффективный метод противостоять спаму – блокирование почтовых серверов, отсылающих спам. Каждому спаммеру требуется компьютер для отправки спам-сообщений. Неверно настроенные или взломанные почтовые сервера обычно используются для этих целей. Такие источники спама могут быть идентифицированы антивирусом, а их адреса внесены в черный список. Существует множество пользовательских черных списков спам-серверов в интернете, которые также могут быть использованы для предотвращения спам-атак. Если электронное письмо получено с адреса в черном списке, оно расценивается как спам, несмотря даже на его содержание. Все большее количество компьютеров зловредно используются для отправки спама, поэтому чтобы черные списки были эффективными, их нужно постоянно обновлять.
Защита от уязвимостей (Vulnerability Protection)
Обновления (Updates)
Большинство антивирусов содержат компоненты, которые в своей работе требуют регулярных обновлений. Другие компоненты могут обновляться время от времени с выходом новых версии ПО для добавления новой функциональности и устранения дефектов. Таким образом, постоянные обновления жизненно необходимы для компьютерной безопасности. Существует несколько видов обновлений.
Первый вид обновлений называется обновления антивирусной базы (Database updates), базы данных или базы наборов правил. Эти обновления используются модулями антивируса для распознавания последних видов угроз. Когда новый вирус обнаружен и проанализирован разработчиком антивирусного ПО, делается образец вируса, который распространяется на все антивирусные программы вендора посредством обновлений. До выполнения обновлений антивирусной базы конкретное вредоносное ПО может быть не распознано антивирусом по результатам эвристического анализа или поведенческого контроля. Обновление программных файлов (Program updates) является очень важным. Любое программное обеспечение, включая антивирусы, содержит ошибки. Ошибки устраняются во время пользования антивирусом, а программные патчи распространяются на клиентские системы с помощью обновлений. Кроме того, обновление программных файлов может добавить дополнительную функциональность антивирусному продукту. Иногда даже глобальные обновления программы устанавливаются с помощью обновлений, что зависит от лицензионного соглашения соответствующего вендора антивирусного ПО. Существует немного пользовательских настроек обновлений. В общем случае параметры обновлений включают способ их получения – автоматическое скачивание и установка или частично ручной способ. В случае выбора автоматических обновлений, существует возможность настройки их периодичности. Обновления антивирусной базы должны выполняться регулярно, один раз в день, например, в то время как обновления программных файлов могут происходить один раз в неделю или реже. Для компьютеров, подключенных к интернету через прокси-сервера предоставляется возможность настройки параметров прокси для обновлений. Как бы то ни было, автоматическое определение настроек прокси-серверов прекрасно работает на большинстве систем и, следовательно, пользователь может не трогать эти настройки. Некоторые антивирусы позволяют включать режим экономии сети (bandwidth saving mode), при котором только критические обновления загружаются сразу, а другие обновления приостанавливаются до отключения этого режима.
Защита настроек (Settings Protection)
Онлайн резервное копирование (Online Backup)
Мониторинг производительности (Performance monitoring)
Настройка системы (Tune-up)
Отчеты и журналы регистрации событий (Reports and logs)
Антивирусные программы имеют настраиваемую функцию ведения журнала регистрации событий, который содержит детализированную информацию обо всех событиях в системе и действиях компонентов антивируса. Такие журналы полезны, когда происходит инцидент с безопасностью компьютера. Пользователь имеет возможность просмотреть, что именно случилось и какое действие последовало. Логи фаервола могут быть использованы для выявления зараженных машин в локальной сети или сети Интернет и последующего добавления новых правил для фаервола. Журналы компонента поведенческого контроля могут привлечь внимание пользователя к потенциально опасным приложениям в системе, о которых пользователь не догадывался. Как бы то ни было, для правильного трактования лога необходимо четкое понимание работы каждого компонента, ведущего лог. Отчеты являются более наглядными для пользователя, чем логи, и не требуют от пользователя дополнительных знаний для понимания. Отчеты накапливают все действия антивируса за определенный период без предоставления детальной информации. Ведение журнала крайне необходимо для фиксации ошибок ПО. Чем более детализованная информация представлена вендору антивируса, тем быстрее разработчики смогут обнаружить и устранить ошибки.