Система защиты Windows. Как устроена?

Система защиты Windows. Как устроена?

В данной статье рассмотрим некоторые особенности антивирусных программ и эффективные методы защиты Windows OS от вредоносного кода.

В статье сделана попытка ответить на вопросы:

  • что такое комплексная защита системы Windows? Что из себя представляют самые распространённые антивирусные решения? Для чего нужна антивирусная программа? Есть ли 100% надёжные антивирусные решения?
  • как работает антивирус — принципы поиска и распознавания вредоносного кода, механизмы контроля целостности файлов, самозащиты. Каким образом работает сигнатурный анализ антивирусов и обзор безсигнатурных антивирусные решений.
AvastFreeAntivirus.Нажмите на иконку.

Антивирусная программа — это чаще всего комплексный продукт, деятельность которого направлена на профилактику заражения операционной системы вирусным кодом (вирусы, трояны, черви, нежелательное ПО), восстановления исходного кода файлов после заражения (вирусы очень часто модифицируют файлы находящиеся на компьютере, дописывая код к коду программы), а также вакцинацию, посредством внесения исправлений в реестр операционной системы и настройки браузеров — компьютер становится менее восприимчив к вирусам.

Сразу объясню, что такое понятие, как комплексный антивирусный продукт, возникло не так давно и не так массово. Раньше был «голый» антивирус, который обладал очень простым пользовательским меню. Был, по сути своей, программой, состоящей из движка (оболочки) и базы данных, содержащей сигнатуры (описания) вирусов. Работал по трафаретному принципу: любой файл на компьютере анализируется движком антивируса (принцип работы у всех программ для защиты от вредоносного ПО на 95% одинаков), сравнивая сигнатуры в базе данных со структурой проверяемого файла. Если код и структура совпадает – в карантин, удаление или усечение вирусного кода (лечение). Сейчас же, почти все антивирусы представляют собой комплексный пакет, состоящий, как правило, из антивируса, фаервола (функция защиты сетевого трафика – контроль входящих и исходящих подключений в т. ч. интернет), фильтра почты, эвристического анализатора, проактивной защиты (понятие включает в себя и в том числе эвристику, но я его вынес отдельно) и самозащиты антивирусной программы (Self-Protection).

Самая модная фишка у вирусописателей, да и наверняка самая опасная для рядовых пользователей -повредить антивирус без его отключения или удаления, и использовать компьютер как рассадник своего вирусного детища. Как правило, пользователь в начале эпидемии такого вируса (Zero-day virus) беззащитен, даже при использовании самого надёжного и именитого антивирусного пакета, потому что сигнатуры для него появятся гораздо позже, и антивирусная программа просто не узнаёт злоумышленника. Если в этот момент вы зайдёте на сайт с внедрённым зловредным кодом, то ваш компьютер скорее всего подцепит заразу. Вирус попытается повредить программу, защищающую ваш компьютер и установится на него. Если интеграция вируса произойдёт успешно, то после всего этого вы будете и дальше созерцать значок вашей антивирусной программы возле часов в трее, но это будет всего лишь муляж от вашей, ещё недавно исправно работающей защиты. Она перестанет выполнять свои непосредственные функции – отлавливать вирусы. Такие ситуации не уникальны и встречаются очень часто, я с ними имею дело практически каждый день. Антивирус установлен и, кажется, что работает, но это не так – он повреждён и самостоятельно уже не восстановится никогда.

Очень важно определить с помощью другого антивирусного сканера наличие угрозы в компьютере (про то, какой антивирусный продукт выбрать в качестве дополнительного, я расскажу чуть позже), удалить её, установить обновления для системы Windows с помощью Центра обновления, и после этого попробовать удалить, а затем заново установить антивирусный комплекс. Очень часто деинсталляция проходит некорректно, и установить тот же антивирус на компьютер не представляется возможным (обычными методами). Поэтому, если это произошло, удаляем всё, что можно от предшественника и устанавливаем другую резидентную антивирусную защиту.

Возвращаясь к теме о эффективности того или иного антивирусного решения, хочу сказать, что эффективность его в значительно большей степени зависит от его обновлений, нежели от версии движка или разработчика. В общем, каждый пользователь должен понять, что, по сути, не так уж и важно, что за продукт у вас установлен — Eset(Nod32), Касперский, др. Веб (Dr.Web), Аваст (Avast), AVG или Microsoft Security Essentials – все они являются достойными программными решениями, важно, чтобы ваш антивирус регулярно и своевременно обновлялся. Антивирусной программе критически важно «знать своих врагов в лицо» т.е. иметь самые свежие сигнатуры. Иначе вирус проникнет на компьютер не замеченным и «вырубит» вашу защиту навсегда. Поэтому, если нет лицензии на антивирус, ищем в интернете ключи или лицензии (всегда можно воспользоваться поиском Google), либо можно установить бесплатную версию антивируса.

На роль дополнительного антивирусного сканера на сегодняшний день я рекомендую использовать разработку Malwarebytes Corporation программу Malwarebytes’ Anti-Malware. Программа мала по размеру (free — бесплатная версия 1.50.1 — 7.35Mb), скачивает обновлений в размере 6-7 Mb раз в сутки. Работает без регистрации как сканер, защиту в реальном времени можно включить при покупке ключа, либо скачать генератор ключей на просторах интернета. Использовать её лучше как дополнение к основной резидентной антивирусной программе, которая работает в режиме реального времени и запускается автоматически со стартом системы! Использовать Malwarebytes’ Anti-Malware очень просто: устанавливаем на компьютер, запустив мастер инсталляции, затем запускаем. Будучи в интернете, скачиваем обновления и в меню «сканер» ставим галочку напротив «быстрое сканирование», жмём «сканирование» — ждём результата. Сканер работает быстро, поэтому при наличии современного компьютера вы даже не успеете попить чая. Результат виден сразу, и, как правило, всё, что нашлось, можно удалять без боязни удалить что–то нужное.

Есть ещё несколько программных решений для быстрого и качественного обнаружения вирусов, незамеченных основной резидентной защитой. Из достойных внимания — FREE Spyware Terminator (без русификатора) – очень неплохое решение. Из плюсов – простая инсталляция, бесплатный резидентный модуль (т.е. бесплатный антивирус, работающий в реальном времени), небольшой размер ежедневных обновлений. В наличии есть две очень интересные функции — иммунизация системы (это вносимые программой изменения в реестр, повышающие возможность Windows противостоять внедрению вредоносного ПО) и HIPS — система обнаружения вирусов и зловредов без сигнатур, основанная на поведенческом анализе запускаемых приложений. Для пользования требуется некоторая практика и компьютерная подготовка выше начального уровня.