Антивирусная індустрія напередодні десятилетия

року міністерство освіти Російської Федерации Восточно-Сибирский державний технологічний университет.

Кафедра: «» Світова економіка ««.

Реферат на тему:

«Антивірусна індустрія напередодні десятиліття «.

Выполнил Проверил.

Улан-Удэ.2001.

1) Введение.

2) Фірми які мають антивірусний ринок у России.

2) Структура світового антивірусного рынка.

3) Шкідливі програми а) Комп’ютерні віруси б) Мережні хробаки в) Троянські программы.

4) Файлові віруси а) Overwriting-вирусы в) Parasitic-вирусы в) Companion-вирусы р) Файлові хробаки буд) Link-вирусы е) OBJ, LIB і віруси у вихідних текстах.

5) Завантажувальні вирусы.

6) Макровирусы.

7) Скрипт-вирусы.

8) Особливості алгоритмів роботи вірусів а) Резидентные віруси б) Стелс-вирусы в) Полиморфик-вирусы.

9) Класифікація антивірусних програм а) Чистий антивірус б) Програми подвійного назначения.

10) Основні методи визначення вірусів а) Алгоритм «порівнювати з еталоном» б) Алгоритм «контрольної суми» в) Методи визначення полиморфик-вирусов р) Евристичний анализ.

11) Заключение.

12) Список використаної литературы.

Антивіруси з’явилися понад десятиліття тому. Проте спочатку вони поширювалися як безплатне протиотруту. Немає належної підтримки сервісу, оскільки проекти були некомерційними. Як індустрія служба створення і її уявлення антивірусних програм оформилася приблизно 1992 року, до, отже невдовзі відзначить своє десятиліття. Упродовж десяти років для його й розвитку цілої індустрії, з обігом сотні мільйонів доларів, термін дуже малий. Упродовж цього терміну виник зовсім новий ринок, сформувався певний перелік продуктів, з’явилося стільки термінів, що й вистачило на цілу енциклопедію. Слід зазначити, що недосвідченому користувачеві іноді навіть важко відрізнити науковий термін від комерційного назви, Звісно, щоб користуватися антивірусними програмами, необов’язково знати всі подробиці будівлі та поведінки вірусів, проте мати загальні уявлення, які основні групи вірусів сформувалися нині, які принципи закладено у алгоритми шкідливих програм, тож як поділені світової економіки й російський антивірусний ринок, буде корисно знать.

Фірми які мають антивірусний ринок у России.

Як вже було зазначено, антивірусний ринок живе у напередодні свого десятиліття. Саме 1992 року було створено АТЗТ «» ДиалогНаука «», що поклала початок активному просуванню на вітчизняний ринок знаменитої програми Лозинського Aidstest; починаючи відтоді Aidstest стала поширюватися на комерційній основі. Приблизно о водночас Євген Касперський організовує невеличкий комерційний відділ у межах КАМИ, в якому за початку працювали троє. Також у 1992 року американський ринок завойовує програма McAfee VirusScan. В Росії ринку тоді розвивався досить повільно, і до 1994 року картина приблизно наступним чином: домінують займала компанія «ДиалогНаука» близько 80%, Антивірусу Касперского належало менш 5% ринку, решті ще 15% ринку. 1995 року 3% Євген Касперський переніс свій антивірус на 32- бітні интеловские платформи Windows, Novell NetWare і OS/2, в результаті продукт почав активно просуватися на рынок.

У 1997 року Антивірус Касперського обіймав вже 30% ринку, але в частку компанії «ДиалогНаука» доводилося 50% ринку. У 1998 року Антивірус Касперского обіймав вже 30% ринку, але в частку компанії «Діалог Наука» доводилося приблизно 50% ринку .У 1998 року Антивірус Касперського наздогнав за обсягом продажів «ДиалогНауки», і вони покрили 80% ринку, а до 2001 року Антивірус Касперського завоював вже близько 60% ринку. З західних компаній російському ринку цілком вистачає міцно влаштувалася компанія «Symantec», сьогодні належить від 20 до 25% ринку займає компанія «ДиалогНаука».

Структура світового антивірусного рынка.

На світової арені лідирує компанія МсАfее — її продукт міцно утримує перше й має близько 50% продажів, причому пропонуються рішення переважно для корпоративного ринку. З другого краю місці перебуває Symantec -ця компанія більше продає саме роздрібному ринку. Третє, і четверті місця ділять Computer Associates і TrendMicro, які мають приблизно на 10%, далі йдуть десь на 20 компаній, внесок що у світовий ринок становить близько 20%. Причому з цих 20 шістка великих локальних компаній — Sophos AV (Англия), FSecure (Фінляндія), Norman (Норвегія), Command Software (США), Panda Software (Іспанія), Kaspersky Lab (Росія) — має як 18% обсягу продаж.

Крім оцінок ринку, зроблених російськими компаніями, цікаво ознайомитися і з деякими оцінками з міжнародних компаній Gartner Group, відповідно до якими 1999 року обсяг продажу антивірусних продуктів і у світі становить близько 1,5 млрд дол. У 1988 року фірма McAfee (США) займала 50% світового фінансового ринку, фірма Symantes (США) — 20%, і фірма Trend Micro (Тайвань) — 10%. Останні 5 років це обсяг збільшувався загалом на 100% на рік, що однією з високих показників в софтверної індустрії взагалі. У 1999 обсяг ринку продажів антивірусних продуктів і у у Росії становило 1, 5 млн і протягом останніх 5 років збільшувався загалом на 30% на рік. У 1998 року «ДиалогНаука» і «Лабораторія Касперского» займали по 40% цього рынка.

Шкідливі программы.

Із якими ж вірусами доводиться змагатися світової й вітчизняної антивірусної индустрии?

У принципі так, в усіх шкідливі програми є вірусами. Що й казати таке віруси? Точного визначення комп’ютерного вірусу взагалі існує. Розмаїття вірусів настільки велика, дати достатня умова (перерахувати набір ознак, і під час яких програму можна однозначно зарахувати до вірусам) просто неможливо — завжди знайдеться клас програм з цими ознаками, які є у своїй вірусом. У цьому більшість визначень необхідна умова сходяться у тому, що комп’ютерні віруси — це програми, які вміють розмножуватися та впроваджуватиме свої копії до інших програми. Тобто заражають існуючі файлы.

Другий тип шкідливих програм — звані мережні хробаки — розмножуються, однак є частиною інших файлов.

Мережні хробаки поділяються на Internet — хробаки (поширюються по.

), LANхробаки (поширюються за локальної мережі), IRC — хробаки Internet Relay Chat (поширюються через чати). Існують як і змішані типи, змушених поєднувати у собі відразу кількох технологій .

Вирізняють на окрему групу також троянські програми, які розмножуються і розсилаються самі. Троянські програми поділяють на декілька тисяч видів Эмуляторы DDo -атак призводять до атакам на Webсервери, у яких на Web — сервер із різних місць надходить дуже багато пакетів, що призводить до отказам роботи системи. Викрадачі секретної інформації крадуть информацию.

Утиліти несанкціонованого віддаленого управління, упроваджуючи на вашу комп’ютер, надають хазяїну троянця доступом до цьому комп’ютера і можливість управління им.

Дроппер (від анг. drop — кидати) — програма, яка «скидає» в систему вірус й інші шкідливі програми, у своїй сама більше нічого робить. Багатство вірусів дозволяє казати про докладнішою класифікації .

Файлові віруси: — Звичайні файлові віруси — OBJ, LIB і віруси у вихідних текстах — Файлові хробаки — Link — віруси — Companion — віруси — Parasitic — віруси — Overwriting — віруси Завантажувальні Макровирусы — Для MS Word — Excel — Access — PowerPoint — Многоплатформенные — Для інших додатків Скрипт — віруси — Для Windows — Для DOS — Для інших систем Змішаного типа.

Файлові вирусы.

Файлові віруси — це віруси, які за розмноженні використовують файлову систему який — або ОС. Впровадження файлового вірусу можливо практично у все виконувані файли всіх популярних ОС — DOS, Windows, OS/2, Macentosh, UNIX тощо. По способу зараження файлів файлові віруси діляться звичні, які убудовують свій код в файл, наскільки можна не порушуючи його функціональності, і навіть на overwriting, паразитичні (parasitic), компаньйон — віруси (companion), link — віруси, віруси — хробаки і віруси, заражающие об'єктні модулі (OBJ), бібліотеки компіляторів (LIB) і вихідні тексти программ.

Overwriting — віруси Overwriting — вірус записує свій код замість коду заражаемого файла, знищуючи його вміст, після файл перестає працюватимете, і не відновлюється. Такі віруси нас дуже швидко виявляють себе, оскільки операційна система і мережеві додатки швидко перестає работать.

Parasitic — вирусы.

Parasitic — віруси змінюють вміст файлів, залишаючи у своїй самі файли в цілому або частково працездатними. Такі віруси поділяють на віруси, які записуються на початок, насамкінець й у середину файлов.

Companion — вирусы.

Companion — віруси не змінюють заражаемых файлів, а створюють для заражаемого файла файл — двійник, причому при запуску зараженого файла управління отримує саме такий двійник, тобто вирус.

Файлові хробаки Файлові хробаки (worms) є різновидом компаньйон — вірусів, проте пов’язують своє присутність із будь-яким виконуваних файлом. При розмноженні вони лише копіюють свої код в будь-які каталоги дисків з думкою, що це нові копії будуть коли-небудь запущені пользователем.

Link — віруси Link — віруси використовують особливості організації файлів системи. Вони, як і компаньйон — віруси, не змінюють фізичного вмісту файлів, однак за запуску зараженого файла «змушують» ОС свій код з допомогою модифікації необхідних полів файловій системы.

OBJ, LIB і віруси у вихідних текстах Віруси, заражающие бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм. Віруси, заражающие OBJ — і LIB — файли, записують їх у них свій код в форматі об'єктного модуля чи бібліотеки. Заражений файл не є виконуваних і має змоги зробити подальше поширення вірусу в про поточний стан. Носієм ж «живого» вірусу стає COM — чи EXE — файл, отримуваний у процесі линковки зараженого OBJ / LIB — файла з іншими об'єктними модулями і бібліотеками. Отже, вірус поширюється удвічі етапу: першою заражаються OBJ /LIB — файли, на другому етапі (линковка) виходить працездатний вирус.

Завантажувальні вирусы Загрузочные віруси називаються так оскільки заражають завантажувальний (boot) сектор — записують себе у завантажувальний сектор диска (boot — сектор) або до легального сектора, у якому системний завантажник вінчестера (Master Boot Record). Завантажувальні віруси заміщають код програми, отримує управління при завантаження системи. Отже, за перезавантаженні управління передається вірусу. У цьому оригінальний — сектор зазвичай перенесено у який — або інший сектор диска.

Макровирусы Макровирусы є програмами на макроязыках, вмонтованих у деякі системи обробки даних (текстові редактори, електронні таблиці тощо. буд.). Вони заражають документи і електронні таблиці низки офісних редакторів. Для розмноження вони використовують можливості макроязыков та їх допомоги переносять себе вже з зараженого файла до інших. Найбільше торгівлі поширення набули макровирусы для Microsoft Word, Excel і Office 97. Віруси цього отримують управління під час відкриття зараженого файла і інфікують файли, яких у згодом йде звернення з відповідного офісного докладання — Word, Excel і пр.

Скрипт — віруси Visual Basic Script, java Script та інших .Вони своє чергу, діляться на віруси для DOS, для Windows, й інших систем. Крім описаних класів є велика кількість поєднань: наприклад файлово — загрузачный вірус, що заражає файли, і завантажувальні сектора дисків, або сітьової макровирус, який заражає редаговані документи, а й розсилає свої електронні копії електронній почте.

Особливості алгоритмів роботи вирусов Разнообразие вірусів класифікувати їхнє співчуття також про особливості роботи їх алгоритмів. Про це варто поговорити отдельно.

Резидентные віруси Вірус перебуває у оперативної пам’яті і перехоплює повідомлення ОС. Якщо нерезидентные віруси активні під час запуску зараженої програми, то резидентные віруси перебувають у пам’яті і є активними до вимикання компъютера чи перезавантаження ОС. Резидентные віруси перебувають у оперативної пам’яті, перехоплюють звернення ОС до тих або іншим суб'єктам об'єктах та впроваджуються у них. Такі віруси активні у момент роботи зараженої програми, а й після завершення її работы.

Стелс — віруси Стелс-вирусы (невидимки) приховують факт своєї присутності у системі. Ониизменяют інформацію в такий спосіб, що файл з’являється перед ползователем в незараженном вигляді, наприклад тимчасово лікують заражені файлы.

Полиморфик — віруси Полиморфик — віруси використовують шифрування для ускладнення процедури визначення вірусу. Дані віруси не містять постійних ділянок коду, яка досягається шифруванням основного тіла вірусу і модифікаціями програмирасшифровщика. Найчастіше два зразка одного разом ж полиморфиквірусу ні мати жодного збігу. Саме тому полиморфиквірус неможливо знайти з допомогою виявлення ділянок постійного коду, специфічних конкретної вірусу. Поліморфізм є у віруси всіх типів — від завантажувальних і файлових DOS — вірусів до Windows — вірусів і навіть макровирусов.

Класифікація антивірусних програм Усі антивіруси можна розділити великих класу: чисті антивіруси і антивіруси подвійного назначения.

Чисті антивіруси Чистий вирус-отличается наявністю антивірусного ядра, яке виконує функцію сканування за зразками. Принципова особливість у разі залежить від можливості лікування. Якщо вірус відомий, отже можливо лікування. Далі чисті антивіруси поділяються на кшталт доступу до файлам на дві категорії - on access і on demand, які, відповідно здійснює про доступ чи перевірку на вимогу. Наприклад, в терминологоии продуктів «Лабораторії Касперского» on access — продукт — це «Монітор «, а on demand — продукт — це «Сканер». On demand -продукт працює за таку схему: користувач хоче щоабо перевірити, і видає запит (demand), після чого здійснюється перевірка. On access -продукт — це резидентная програма, яка відстежує доступ й у момент доступу здійснює перевірку. З іншого боку, антивірусні програми, також як і віруси, можна розділити по платформі. Поняття «платформа» в антивірусної термінології трохи відрізняється від узвичаєного в комп’ютерної індустрії. У антивірусної індустрії SW — платформа — що це продукт, у якому працює антивірус. Тобто ряду з Windows чи Linux до платформам можна віднести Microsoft Exchange Server, Microsoft Office, Lotus Notes.

Програми подвійного значения.

Програми подвійного призначення — це програми, використовувані й у антивирусах, й у ПО, яка є антивирусом. Наприклад, — ревізор змін основі контрольних сум, можна використовувати як на вірусів. У «Лабораторії Касперского» ревізор реалізований під комерційним назвою «Інспектор» («Сканер», «Монітор», «Інспектор» — це комерційні назви відповідних модулів «Лабораторії Касперского») Різновидом програм подвійного призначення є поведінкові блокатори, які аналізують поведінка інших програм, тож при виявленні підозрілих дій блокують їх. Від класичного антивірусу з антивірусним ядром, «узнающим» і лікуючим від вірусів, які аналізувалися до лабораторій і яких було прописано алгоритм лікування, поведінкові блокатори вирізняються тим, що лікувати від вірусів не вміють, бо нічого про неї не знають. Це властивість блокаторів корисно тим, що можуть працювати із будь-якими вірусами, у цьому однині і з. Це особливо на часі, оскільки розповсюджувачі вірусів і антивірусів користуються одними й самі канали передачі, тобто Інтернет. У цьому вірус має деяку форму (час затримки), оскільки антивірусної компанії потрібно час те що, щоб отримати сам вірус, проаналізувати його й написати відповідні лікувальні модулі. Програми із групи подвійного призначення таки дозволяють блокувати поширення вірусу доти, поки компанія не напише лікувальний модуль.

Основні методи визначення вирусов.

Алгоритм «порівнювати з эталоном».

Найстаріший алгоритм — це алгоритм, у якому вірус визначається класичним ядром за певною масці. Сенс даного алгоритму полягає використання статистичних методів. Маско мусить бути, з одного боку, маленькій, щоб обсяг файла був прийнятних розмірів, з іншого боку — така велика, щоб уникнути хибних срабатываний (коли «свій» сприймається як «чужій», і навпаки) .

[pic] [pic].

Рис. 1. Схеми роботи програми, інфікованої незашифрованным вірусом, і програми, інфікованої зашифрованим вирусом.

[pic] Рис. 2. Схема роботи эмулятора процессора.

Алгоритм «контрольної суммы».

Алгоритм контрольної суми передбачає, що дії вірусу змінюють контрольну суму. Проте синхронні зміни у різних сегментах можуть призвести до того що, що контрольна сума залишиться незмінною при зміні файла. Основне завдання побудови алгоритму у тому, щоб зміни у файлі гарантовано призводили до зміни контрольної суммы.

Методи визначення полиморфик — вирусов На рис. 1 показано роботу програми, поінформованої вірусом (а), і програми, поінформованої зашифрованим вірусом (б). У першому випадку схема роботи вірусу виглядає так: йде виконання програми, в який -то момент починає виконуватися код вірусу і далі знову йде виконання програми. Що стосується зашифрованої програмою дедалі важче. Йде виконання програми, потім включається дешифратор, який розшифровує вірус, потім відкидає вірус і знову йде виконання коду програми. Код вірусу у разі зашифрований по-різному. Якщо у разі нешифрованного вірусу еталонне порівняння дозволяють «дізнатися» вірус за певною постійної сигнатуре, то зашифрованому вигляді сигнатура не видно. У цьому шукати дешифратор практично неможливо, оскільки вона дуже маленькі груди й детектувати такий компактний елемент марно, тому що різко зростає кількість хибних срабатываний. У цій разі вдаються до технології эмуляции процесора (антивірусна програма эмулирует роботу процесора у тому, щоб проаналізувати виконуваний код вірусу). Якщо зазвичай умовна ланцюжок складається з трьох основних елементів: ЦПУ ОС. Програма (мал.2), — то, при эмуляции процесора у таку ланцюжок додається емулятор, про яку програма не знає і, умовно кажучи, «вважає», що вона з центральної оперативної системою. Отже, емулятор хіба що відтворює роботу програми у певній віртуальним простором чи реконструює її оригінальне вміст. Емулятор завжди здатний перервати виконання програми, контролює його дії, аби дати нічого зіпсувати, і антивірусне сканирующее ядро.

Евристичний анализ Для здобуття права розмножуватися, вірус має робити які - то конкретні дії: копіювання на згадку про, запис в сектора, тощо. буд. Евристичний аналізатор (що є частиною антивірусного ядра) містить список таких дій, переглядаючи що здійснюється код програми, визначає, що вона робить, виходячи з того дійшов висновку, актуальна ця програма вірусом чи ні. Принципова новизна евристичного аналізатора від поведінкового блокиратора у тому, що остання не розглядає програму як набір команд. Блокатор відстежує дії програми в процесі її, а евристичний аналізатор розпочинає свою роботу до виконання програми. Перший евристичний аналізатор виник початку 90-х годов.

Заключение

.

У межах міжнародного ринку інформації гостра проблема збереження інформації, особливо, останнім часом, коли відбувається загальна комп’ютеризація суспільства. Дедалі більше фірм і впроваджують на виробництві комп’ютери, зберігаючи у яких цінну інформації і бажаючи захистити себе втратою чи псування цієї інформації. Це розвиток такого сектора ринку, створення антивірусних програм. І даний момент ця індустрія є найдинамічніше развивающейся.

І наступного очікується збільшення обсягу продажів антивірусних продуктів, оскільки триватиме поява нових вірусів, отже й потреба у програмах здатних захистити інформацію з них.

Список використаної литературы.

Журнал: «Комп'ютер прес» М: № 9 2001г.

Журнал: «Комп'ютер прес» М: № 11 2001г.

WWW. GAZETA.ru.