Читаем Искусство цифровой самозащиты полностью

F-Secure была основана как Data Fellows в 1988 году в Финляндии. В 1999 году Data Fellows стала F-Secure. Антивирус Data Fellows был выпущен в 1994 году. F-Secure была первой компанией, разработавшей технологию Anti-Rootkit[33]. В 2005 году они выпустили свою антируткит-программу под названием BlackLight.

1996 – Bitdefender

Компания Softwin, материнская компания антивируса Bitdefender, была основана в Румынии в 1990 году Флорином Таплесом и его женой Мариукой Таплес. Softwin выпустила свой первый антивирусный продукт под названием Antivirus eXpert (AVX) в 1996 году. Позже, в 2001 году, Флорин Таплес основал Bitdefender. Антивирус Antivirus eXpert (AVX) был заменен линейкой Bitdefender.

2001 – ClamAV

В 2001 году Томаш Койм выпустил антивирус для GNU/Linux под названием ClamAV.

Это была небольшая история первых компьютерных антивирусных программ и антивирусных компаний.

КАК РАБОТАЮТ АНТИВИРУСЫ

Антивирус – это компьютерная программа или программное обеспечение, которое предотвращает заражение системы компьютерными вирусами.

Антивирусное программное обеспечение необходимо для любой машины с операционной системой. Без него система становится очень уязвимой. Злоумышленник может получить доступ к вашим данным, контроль над системой, чтобы использовать ее не по назначению. Антивирусное программное обеспечение защищает систему от опасных компьютерных вирусов, программ-шпионов, троянов, червей, ботов и программ-вымогателей. Это может снизить вероятность дальнейшего распространения вредоносного программного обеспечения или файлов. Кроме того, антивирус может блокировать ненужные электронные письма со спамом.

В операционные системы Windows 10 и 11 встроен бесплатный антивирус Windows Defender. Сможет ли он защитить ваш компьютер? Учитывая, что в разработку антивирусов Microsoft пришла с опозданием, Defender неплохой продукт, но он всё же не дотягивает до лидеров отрасли. Поэтому я настоятельно рекомендую устанавливать что-то из антивирусов с историей: Avira, ESET, Kaspersky, Norton и другие.

Большая часть антивирусного программного обеспечения работает в фоновом режиме и постоянно или периодически сканирует систему. В случае обнаружения любого подозрительного файла или приложения анивирус либо удаляет файл, либо информирует пользователя о необходимости немедленной обработки файла. Теперь давайте поговорим о методах, которые антивирусное программное обеспечение использует для обнаружения вредоносных программ или файлов. Существует три основных подхода: методы обнаружения на основе сигнатур, эвристики и песочницы.

Обнаружение на основе сигнатур

Сигнатура – это формализованное описание некоторых признаков, по которым можно определить, что сканируемый файл – это вирус, и вирус вполне определенный. Тут возможны разные методики. Например, использовать сигнатуру, составленную из N байт вредоносного объекта. При этом можно сделать не просто сравнение, а сравнение по некоторой маске (например, искать байты AC???? FF 26). Или задавать дополнительные условия вроде «такие-то байты должны находиться у точки входа в программу» и так далее.

Это один из основных и широко используемых методов обнаружения вирусов. Компании-разработчики антивирусного программного обеспечения поддерживают обширную базу данных сигнатур различных вирусов и вредоносных программ. При установке любого антивируса вся база сигнатур идет вместе с ним и периодически обновляется из интернета. Поэтому, когда мы устанавливаем какое-либо программное обеспечение или загружаем файлы, антивирусное программное обеспечение, работающее в фоновом режиме, сканирует этот файл и сопоставляет его с базой данных сигнатур.

Преимущество метода обнаружения на основе сигнатур заключается в том, что одна сигнатура вируса определенного типа может совпасть с набором вредоносных файлов, имеющих некоторые общие черты. Таким образом, с помощью одной сигнатуры мы можем обнаружить несколько вредоносных файлов. Если сигнатура вновь загруженного файла совпадает с какой-либо вредоносной из существующей базы данных, антивирус уведомляет и предупреждает пользователя. Хотя антивирусное программное обеспечение постоянно обновляет базу данных сигнатур, могут быть файлы, для которых нет совпадений в базе. В таком случае антивирус не сможет определить, безопасен ли только что загруженный файл.

Эвристический анализ

Эвристический анализ – это метод обнаружения компьютерных вирусов и вредоносных программ, которых нет в базах (вирусных сигнатурах), путем изучения фрагментов кода и сравнения их с известными вирусными угрозами.