Сигнатур содержит эвристический анализатор li. Основы работы антивирусных программ

Личный кабинет

Сканирование

Антивирусная защита.

Основным средством борьбы с вирусами были и остаются антивирусные программы. Можно использовать антивирусные программы (антивирусы), не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов, а также способов их распространения, нельзя организовать надежную защиту компьютера. Как результат, компьютер может быть заражен, даже если на нем установлены антивирусы.

Сегодня используется несколько основополагающих методик обнаружения и защиты от вирусов:

· сканирование;

· эвристический анализ;

· использование антивирусных мониторов;

· обнаружение изменений;

· использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Конечно, если это возможно.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает Ваш компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы.

Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. На рис. 1 мы показали одну из таких программ - сканер McAffee VirusScan, запущенный вручную для антивирусной проверки диска.

Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и затем восстановить его из резервной копии (если, конечно, она у Вас есть).

Статья относится к Kaspersky Endpoint Security 10 для Windows:

  • Service Pack 2 Maintenance Release 4 (версия 10.3.3.304);
  • Service Pack 2 Maintenance Release 3 (версия 10.3.3.275);
  • Service Pack 2 Maintenance Release 2 (версия 10.3.0.6294);
  • Service Pack 2 Maintenance Release 1 (версия 10.3.0.6294);
  • Service Pack 2 (версия 10.3.0.6294).

Что такое эвристический анализ

Эвристический анализ - технология обнаружения угроз, которые невозможно определить с помощью текущей версии баз «Лаборатории Касперского». Позволяет находить файлы, которые могут содержать неизвестный вирус или новую модификацию известного вируса.

Эвристический анализатор - это модуль, который работает на основе технологии эвристического анализа.

Статический и Динамический анализ

Статический анализ. Эвристический анализатор сканирует код на подозрительные команды, например, поиск и изменение исполняемых файлов. При наличии подозрительных команд или фрагментов, эвристический анализатор увеличивает «счетчик подозрительности» программы. Если после сканирования всего кода программы значение счетчика превышает заданное пороговое значение, то объект признается подозрительным.

Динамический анализ. Эвристический анализатор эмулирует запуск программы в виртуальном адресном пространстве. Если в процессе эмуляции эвристический анализатор обнаруживает подозрительные действия, то объект признаются вредоносными и его запуск на компьютере пользователя блокируется.

Kaspersky Endpoint Security 10 для Windows использует статический анализ в сочетании с динамическим.

В каких компонентах защиты используется эвристический анализатор

  • Файловый Антивирус. Подробнее в справке .
  • Почтовый Антивирус. Подробнее в справке .
  • Веб-Антивирус. Подробнее в справке .
  • Контроль активности программ. Подробнее в справке .
  • Задачи проверки. Подробнее в справке .

Полная поддержка

Выпуск баз Да
Поддержка Да
Выпуск патчей Да

Последняя версия:

Дата коммерческого релиза:

Релиз последней версии:

Что означает статус?

  • Выпуск баз

    Выпуск обновлений баз, необходимых для обеспечения защиты вашего компьютера/сервера/мобильного устройства.

  • Поддержка

    Оказание технической поддержки по телефону и через веб-форму.

  • Выпуск патчей

    Выпуск пакетов обновлений для программы (для устранения обнаруженных ошибок).

Kaspersky Endpoint Security 10 для Windows (для рабочих станций и файловых серверов)

  • Microsoft Windows Server 2012 R2 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Windows Server 2012 Foundation / Essentials / Standard / Datacenter х64.
  • Microsoft Small Business Server 2011 Essentials / Standard х64.
  • Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise / Datacenter х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise / Datacenter х64 SP2.
  • Microsoft Small Business Server 2008 Standard / Premium х64.

Остальные ограничения поддержки серверных платформ смотрите в статье .

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.

статье .

  • Microsoft Windows Server 2008 R2 Standard / Enterprise х64 SP1.
  • Microsoft Windows Server 2008 Standard / Enterprise х64 SP2.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 6.0.0 3620759.
  • Microsoft Hyper-V 3.0.
  • Citrix XenServer 7.0.
  • Citrix XenDesktop 7.13.
  • Citrix Provisioning Services 7.13.

Особенности и ограничения поддержки виртуальных платформ

  • Полнодисковое шифрование (FDE) на виртуальных машинах Hyper-V не поддерживается.
  • Полнодисковое шифрование (FDE) и шифрование файлов и папок (FLE) на виртуальных платформах Citrix не поддерживается.
  • Для поддержки совместимости Kaspersky Endpoint Security для Windows с Citrix PVS необходимо выполнять установку с включенной опцией Обеспечить совместимость с Citrix PVS . Вы можете включить опцию в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать KUD-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.

Прочие особенности поддержки виртуальных платформ смотрите в статье .

Версия 10.2.6.3733: Аппаратные и программные требования

Общие требования

  • 1 ГБ оперативной памяти.

Операционные системы

  • Microsoft Windows 10 Pro / Enterprise x86 / х64.
    Microsoft Windows 8.1 Pro / Enterprise x86 / х64.
  • Microsoft Windows 8 Pro / Enterprise x86 / х64.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional / Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Server 2016 Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 2718055 Update 2.
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Поддерживаемые виртуальные платформы

  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.

Особенности и ограничения поддержки виртуальных платформ

Версия 10.2.5.3201: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ оперативной памяти.
  • 2 ГБ свободного места на жестком диске.

Программные и аппаратные требования к рабочим станциям

  • Microsoft Windows 10 Pro x86 / х64.
  • Microsoft Windows 10 Enterprise x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Windows XP Professional x86 SP3 и выше.
  • Microsoft Windows Server 2019 х64.
  • Microsoft Windows Server 2016 Standard / Essentials х64.
  • Microsoft Windows Server 2012 R2 Foundation / Standard / Essentials х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2008 R2 Foundation / Standard / Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 Foundation / Standard / Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2.
  • Microsoft
  • Microsoft
  • Microsoft Windows Embedded Standard 7* x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7* x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 2718055 Update 2.
  • VMWare ESXi 5.5.0 3568722 Update 3b.
  • VMWare ESXi 5.5.0 2718055 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012 R2).
  • Citrix XenServer 6.5.
  • Citrix XenDesktop 7.8.
  • Citrix Provisioning Server 7.8.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.4.674: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Программные и аппаратные требования

  • Microsoft Windows 10 TH2 Pro версия 1511 x86 / х64.
  • Microsoft Windows 10 TH2 Enterprise версия 1511 x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Windows XP Professional x86 SP3 и выше.
  • Microsoft Windows Server 2012 R2 Standard / Essentials / Enterprise х64.
  • Microsoft Windows Server 2012 Foundation / Standard / Essentials х64.
  • Microsoft Small Business Server 2011 Standard / Essentials х64.
  • Microsoft Windows MultiPoint Server 2011 х64.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard / Enterprise / Foundation х64.
  • Microsoft Windows Server 2008 Standard / Enterprise х86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2008 Standard / Premium x64.
  • Microsoft Windows Server 2003 R2 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard / Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Embedded 8.0 Standard x64.
  • Microsoft Windows Embedded 8.1 Industry Pro x64.
  • Microsoft Windows Embedded Standard 7 x86 / x64 SP1.
  • Microsoft Windows Embedded POSReady 7 x86 / x64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.
  • Шифрование диска (Kaspersky FDE) и шифрование файлов на серверных платформах не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535MR1: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Версия 10.2.2.10535: Аппаратные и программные требования

Для нормального функционирования Kaspersky Endpoint Security 10 для Windows компьютер должен удовлетворять следующим требованиям:

Общие требования

  • Процессор Intel Pentium 1 ГГц и выше.
  • 1 ГБ свободной оперативной памяти.
  • 2 ГБ свободного места на жестком диске.
  • Microsoft Internet Explorer 7.0 и выше.
  • Microsoft Windows Installer 3.0 и выше.
  • Подключение к интернету для активации программы, обновления баз и программных модулей.

Операционные системы

  • Microsoft Windows 8.1 Update Pro x86 / х64.
  • Microsoft Windows 8.1 Update Enterprise x86 / х64.
  • Microsoft Windows 8.1 Pro x86 / х64.
  • Microsoft Windows 8.1 Enterprise x86 / х64.
  • Microsoft Windows 8 Pro x86 / х64.
  • Microsoft Windows 8 Enterprise x86 / х64.
  • Microsoft Windows 7 Professional x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64 SP1 и выше.
  • Microsoft Windows 7 Professional x86 / х64.
  • Microsoft Windows 7 Enterprise / Ultimate x86 / х64.
  • Microsoft Windows Vista x86 / х64 SP2 и выше.
  • Microsoft Small Business Server 2011 Essentials х64.
  • Microsoft Small Business Server 2011 Standard х64.
  • Microsoft Small Business Server 2008 Standard x64.
  • Microsoft Small Business Server 2008 Premium x64.
  • Microsoft Windows Server 2012 R2 Standard х64.
  • Microsoft Windows Server 2012 Foundation / Standard х64.
  • Microsoft Windows MultiPoint Server 2011 x64.
  • Microsoft Windows Server 2008 R2 Standard х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Standard х64.
  • Microsoft Windows Server 2008 R2 Enterprise х64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Enterprise х64.
  • Microsoft Windows Server 2008 R2 Foundation x64 SP1 и выше.
  • Microsoft Windows Server 2008 R2 Foundation x64.
  • Microsoft Windows Server 2008 Standard х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2008 Enterprise х86 / х64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Standard x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 R2 Enterprise x86 / x64 SP2 и выше.
  • Microsoft Windows Server 2003 Standard x86 / x64 SP2.
  • Microsoft Windows Server 2003 Enterprise x86 / x64 SP2 и выше.
  • Windows Embedded 8.0 Standard x64.
  • Windows Embedded 8.1 Industry Pro x64.
  • Windows Embedded Standard 7 with SP1 x86 / х64.
  • Windows Embedded POSReady 7 x86 / х64.

Особенности и ограничения поддержки встраиваемых операционных систем

  • Операционные системы Microsoft Windows Embedded 8.0 Standard x64 (Standard 8) или Microsoft Windows Embedded 8.1 Industry x64 (Industry 8.1) рекомендуется использовать на устройствах с оперативной памятью от 2 ГБ.
  • Шифрования файлов (FLE) и жестких дисков (FDE) во встраиваемых операционных системах не поддерживается.

Ограничения поддержки серверных платформ

  • Файловая система ReFS поддерживается с ограничениями.
  • Конфигурации Server Core и Cluster Mode не поддерживаются.

Ограничения поддержки Microsoft Windows 8.1

  • Не поддерживается обновление Windows 8 на 8.1.
  • Ограниченная поддержка файловой системы ReFS для технологии iSwift / iChecker.
  • Не поддерживается функция скрытия Kaspersky Endpoint Security 10 в стартовом меню.

Поддерживаемые виртуальные платформы

  • VMWare ESXi 5.5.0 1623387 Update 1.
  • VMWare ESXi 5.5.0 2068190 Update 2.
  • Microsoft Hyper-V 3.0 (Windows Server 2012).
  • Citrix XenServer 6.2.
  • Citrix XenDesktop 7.5.
  • Citrix Provisioning Server 7.1.

Особенности и ограничения поддержки виртуальных платформ

  • Для поддержки совместимости Kaspersky Endpoint Security с Citrix PVS необходимо выполнять установку с включенной опцией «Обеспечить совместимость с Citrix PVS». Опцию можно включить в мастере установки или через параметр командной строки /pCITRIXCOMPATIBILITY=1. В случае удаленной установки необходимо отредактировать kud-файл, добавив в него параметр /pCITRIXCOMPATIBILITY=1.
  • Не поддерживается установка на компьютер под управлением Microsoft Windows XP, запущенную на Citrix XenDesktop.
  • Не поддерживается создание образов с помощью Target Device c компьютеров под управлением Microsoft Windows XP и Microsoft Windows Vista с установленным Kaspersky Endpoint Security 10 Service Pack 1.

Антивирусная программа производит поиск вирусов и вредоносных объектов на основании сравнения исследуемой программы со своей базой данных с описаниями вирусов. При обнаружении соответствия антивирус может производить лечение найденного вируса, причем правила и методики лечения обычно хранятся в той же базе данных.

Однако эта база данных становится уязвимым местом антивируса - он может обнаруживать только вирусы, описанные в его базе данных. Частично устранить эту проблему позволяет эвристический анализатор - специальная подсистема антивируса, которая пытается обнаружить новые разновидности вирусов, не описанные в базе данных. Кроме вирусов эвристический анализатор AVZ пытается обнаружить шпионское ПО, Hijacker и троянские программы.

Работа эвристического анализатора основана на поиске характерных для вирусов и шпионских программ особенностей (фрагментов программного кода, определенных ключей реестра, файлов и процессов). Кроме того, эвристический анализатор пытается оценить степень похожести исследуемого объекта на известные вирусы.

Для поиска шпионского ПО, RootKit и Hijacker наиболее эффективен эвристический анализ не отдельно взятых файлов на диске, а всей системы в целом. При этом анализируется совокупность данных в реестре, файлов на диске, процессов и библиотек в памяти, прослушиваемых TCP и UDP портов, активных сервисов и загруженных драйверов.

Особенностью эвристического анализа является достаточно высокий процент ошибок - эвристик может сообщить об обнаружении подозрительных объектов, но эта информация нуждается в проверке специалистами-вирусологами. В результате проверки объект признается вредоносным и включается в базы или фиксируется ложное срабатывание и в алгоритмы эвристического анализатора вводится поправка.

В большинстве антивирусов (в том числе и в AVZ) имеется возможность регулировки чувствительности эвристического анализатора. При этом всегда возникает противоречие - чем выше чувствительность, тем выше вероятность обнаружения эвристикой неизвестного вредоносного объекта. Но при увеличении чувствительности возрастает вероятность ложных срабатываний, поэтому нужно искать некую "золотую середину".

Эвристический анализатор имеет несколько ступеней чувствительности и два особых режима:

блокировка работы эвристического анализатора. При этом анализатор полностью выключается из работы. В AVZ кроме регулировки уровня чувствительности эвристического анализатора есть возможность включать и выключать эвристический анализ системы;

"параноидальный" режим - в этом режиме включается максимально возможная чувствительность и предупреждения выводятся при малейшем подозрении. Этот режим естественно неприемлем из-за очень высокого количества ложных срабатываний, но он иногда полезен.

Основные сообщения эвристического анализатора AVZ приведены в следующем списке:

"Имя файла >>> подозрение на имя_вируса (краткие данные об объекте) " Подобное сообщение выдается при обнаружении объекта, который по мнению AVZ похож на известный вредоносный объект. Данные в скобках позволяют разработчику найти в базе антивируса запись, которая привела к выдаче данного сообщения;

"Имя файла >>> PE файл с нестандартным расширением " - это означает, что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое, нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы, давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики;

"Имя файла >>> В имени файла больше 5 пробелов " - множество пробелов в имени файла - это редкость, однако многие вирусы применяют пробелы для маскировки реального расширения, создавая файлы с именами типа "photo.jpeg .exe";

"Имя файла >>> Обнаружена маскировка расширения " - аналогично предыдущему сообщению, но выдается при обнаружении более 15 пробелов в имени;

"Имя файла >>> файл не имеет видимого имени " - выдается для файлов, не имеющих имени (т.е. имя файла имеет вид ".exe" или ".pif");

"Процесс Имя файла может работать с сетью " - выводится для процессов, которые используют библиотеки типа wininet.dll, rasapi32.dll, ws2_32.dll - т.е. системные библиотеки, содержащие функции для работы с сетью или управления процессом набора номера и установления соединения. Данная проверка производится только при максимальном уровне эвристики. Факт использования сетевых библиотек естественно не является признаком вредоносности программы, но обратить внимание на непонятные процессы в этом списке стоит;

После сообщения может выводиться цифра, которая представляет собой степень опасности в процентах. На файлы, для которых выдана степень опасности более 30, следует обратить особое внимание.

Поиск вирусов, похожих на известные

Эвристика - значит, "находить". Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.

Недостаток:

  • · вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями;
  • · невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;
  • · низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.

Например:

  • · удаление файла;
  • · запись в файл;
  • · запись в определенные области системного реестра;
  • · открытиепортанапрослушивание;
  • · перехват данных вводимых с клавиатуры;
  • · рассылкаписем;

Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.

Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого - выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Недостатки:

  • · ложные срабатывания;
  • · невозможность лечения;
  • · не высокая эффективность.

Антивирусные программы - это программы, основной задачей которых является защита именно от вирусов, или точнее, от вредоносных программ.

Методы и принципы защиты теоретически не имеют особого значения, главное чтобы они были направлены на борьбу с вредоносными программами. Но на практике дело обстоит несколько иначе: практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.

Из всех методов антивирусной защиты можно выделить две основные группы:

  • Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов
  • Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен

Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature , означающее "подпись" или же в переносном смысле "характерная черта, нечто идентифицирующее". Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.

Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Как правило - потому что в наиболее простых случаях могут применяться специальные автоматизированные средства выделения сигнатур. Например, в случае несложных по структуре троянов или червей, которые не заражают другие программы, а целиком являются вредоносными программами.

Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

Одно из распространенных заблуждений насчет сигнатур заключается в том, каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура , и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.

Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов. Если же вспомнить, что антивирусные компании обмениваются образцами вирусов, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусов эквивалентны.

Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус , очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

Эвристический анализ

Слово " эвристика " происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

  • Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями
  • Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо
  • Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

  • Удаление файла
  • Запись в файл
  • Запись в определенные области системного реестра
  • Открытие порта на прослушивание
  • Перехват данных вводимых с клавиатуры
  • Рассылка писем
  • И др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

  • Ложные срабатывания
  • Невозможность лечения
  • Невысокая эффективность
Рекомендуем
Поиск альтернативы транзисторам
Периодически мышь зависает на экране на некоторое время
Качественный микрофон для компьютера Как подключить студийный микрофон к компу
Как удалить страницу на мамбе