Міністерство освіти Російської Федерації p>
Східно-Сибірський державний технологічний університет p>
Кафедра:''Світова економіка'' p>
Реферат на тему: p>
«Антивірусна індустрія напередодні десятиріччя» p>
Виконав p>
Перевірив p>
Улан-Уде.2001 p>
Зміст p>
1) Вступ p>
2) Фірми представляють антивірусний ринок у Росії p>
2) Структура світового антивірусного ринку p>
3) Шкідливі програми а) Комп'ютерні віруси б ) Мережеві черв'яки в) Троянські програми p>
4) Файлові віруси а) Overwriting-віруси в) Parasitic-віруси в) Companion-віруси г) Файлові хробаки д) Link-віруси е) OBJ, LIB і віруси в вихідних текстах p>
5) Завантажувальні віруси p>
6) Макровіруси p>
7) Скрипт-віруси p>
8) Особливості алгоритмів роботи вірусів а) Резидентні віруси б) Стелс-віруси в) Полиморфик-віруси p>
9) Класифікація антивірусних програм а) Чистий антивірус б) Програми подвійного призначення p>
10) Основні методи визначення вірусів а) Алгоритм « порівняння з еталоном »б) Алгоритм« контрольної суми »в) Методи визначення поліморфік-вірусів г) Евристичний аналіз p>
11) Висновок p>
12) Список використаної літератури p>
Вступ p>
Антивіруси з'явилися більше десяти років тому. Проте перший час вонипоширювалися як безкоштовне протиотруту. Не було належної підтримкисервісу, оскільки проекти були некомерційними. Як індустрія службастворення і представлення антивірусних програм оформилася приблизно в 1992році, не раніше, а значить незабаром відзначить своє десятиріччя. Десять років длянародження і розвитку цілої індустрії, з обігом у сотні мільйонівдоларів, термін дуже невеликий. За цей час виник зовсім новий ринок,сформувався певний перелік продуктів, з'явилося таке кількістьтермінів, що їх вистачило б на цілу енциклопедію. Слід зазначити, щонедосвідченому користувачу часом навіть важко відрізнити науковий термін відкомерційної назви, Звичайно, для того, щоб користуватися антивіруснимипрограмами, не обов'язково знати всі подробиці будови та поведінкивірусів, проте мати загальні уявлення про те, які основні групивірусів сформувалися на сьогоднішній день, які принципи закладені валгоритми шкідливих програм і як поділені світової та російськийантивірусний ринок, буде корисно знати. p>
Фірми представляють антивірусний ринок у Росії p>
Як було вже зазначено, антивірусний ринок живе напередодні свогодесятиліття. Саме в 1992 році було створено АТЗТ''ДіалогНаука'',поклало початок активному просуванню на вітчизняний ринок знаменитоїпрограми Лозинського Aidstest; починаючи з цього часу Aidstest сталапоширюватися на комерційній основі. Приблизно в той же час Євген
Касперський організовує невеликий комерційний відділ в рамках КАМІ, вякому з початку працювали три людини. Також в 1992 році американськийринок завойовує програма McAfee VirusScan.В Росії ринок тодірозвивався досить повільно, і до 1994 року картина приблизно наступнимчином: домінуюче положення займала компанія «ДіалогНаука» близько 80%,
Антивірусу Касперського належало менше 5% ринку, всім іншим ще 15%ринку. У 1995 році 3% Євген Касперський переніс свій антивірус на 32 --бітні інтеловськіх платформи Windows, Novell NetWare і OS/2, врезультаті продукт почав активно просуватися на ринок. p>
У 1997 році Антивірус Касперського займав вже 30% ринку, а на часткукомпанії «ДіалогНаука» припадало 50% ринку. У 1998 році Антивірус
Касперського займав вже 30% ринку, а на частку компанії «Діалог Наука»припадало приблизно 50% ринку. У 1998 році Антивірус Касперського наздогнавза обсягом продажів «ДіалогНаукі», і разом вони покрили 80% ринку, а до 2001році Антивірус Касперського завоював вже близько 60% ринку. Із західнихкомпаній на російському ринку досить міцно влаштувалася компанія
«Symantec», якій сьогодні належить від 20 до 25% ринку займаєкомпанія «ДіалогНаука». p>
Структура світового антивірусного ринку p>
На світовій арені лідирує компанія МсАfее - її продукт міцноутримує перше місце і має близько 50% продажу, причому пропонуютьсярішення переважно для корпоративного ринку. На другому місцізнаходиться Symantec-ця компанія більше продає саме на роздрібному ринку.
Третє та четверті місця ділять Computer Associates і TrendMicro, якімають приблизно по 10%, далі йдуть ще близько 20 компаній, вкладяких у світовий ринок становить близько 20%. Причому з цих 20 шісткавеликих локальних компаній - Sophos AV (Англія), F-Secure (Фінляндія),
Norman (Норвегія), Command Software (США), Panda Software (Іспанія),
Kaspersky Lab (Росія) - має більш 18% обсягу продажів. P>
Крім оцінок ринку, зроблених російськими компаніями, цікавоознайомитися також з деякими оцінками міжнародної компанії Gartner
Group, відповідно до яких у 1999 році обсяг продажів антивіруснихпродуктів і послуг у світі склав близько 1,5 млрд дол У 1988 році фірма
McAfee (США) займала 50% світового ринку, фірма Symantes (США) - 20%, іфірма Trend Micro (Тайвань) - 10%. За останні 5 років цей обсягзбільшувався в середньому на 100% на рік, що є одним із самихвисоких показників у софтверної індустрії взагалі. У 1999 році обсяг ринкупродажів антивірусних продуктів і послуг в Росії склав 1, 5 млн. дол іза останні 5 років збільшувався в середньому на 30% на рік. У 1998 році
«ДіалогНаука» і «Лабораторія Касперського» займали по 40% цього ринку. P>
Шкідливі програми p>
З якими ж вірусами доводиться боротися світової та вітчизняноїантивірусної індустрії? p>
В принципі, не всі шкідливі програми є вірусами. Що жтаке віруси? Строгого визначення комп'ютерного вірусу взагалі неіснує. Різноманітність вірусів така велика, що дати достатня умова
(перерахувати набір ознак, при виконанні яких програму можнаоднозначно віднести до вірусів) просто неможливо - завжди знайдеться класпрограм з даними ознаками, що не є при цьому вірусом. При цьомубільшість визначень необхідної умови сходяться на тому, щокомп'ютерні віруси - це програми, які вміють розмножуватися і впроваджуватисвої копії в інші програми. Тобто заражають існуючі файли. P>
Другий тип шкідливих програм - так звані мережеві черв'яки --розмножуються, але не є частиною інших файлів. p>
Мережеві черв'яки підрозділяються на Internet - черв'яки (поширюються по p>
), LAN-черв'яки (поширюються по локальній мережі), IRC - черв'яки
Internet Relay Chat (поширюються через чати). Існують так самозмішані типи, які поєднують в собі відразу декілька технологій. p>
Виділяють в окрему групу також троянські програми, які нерозмножуються і не розсилаються самі. Троянські програми підрозділяють накілька видів Емулятори DDoS-атак приводять до атак на Web-сервери,за яких на Web - сервер з різних місць надходить велика кількістьпакетів, що і приводить до відмов роботи системи. Викрадачі секретноїінформації крадуть інформацію. p>
Утиліти несанкціонованого віддаленого управління, проникаючи в вашкомп'ютер, надають господареві троянця доступ до цього комп'ютера такерувати нею. p>
Дроппер (від англ. drop - кидати) - програма, яка «скидає» всистему вірус або інші шкідливі програми, при цьому сама більше нічогоне робить. Велика кількість вірусів дозволяє говорити про більш докладноїкласифікації. p>
Файлові віруси:
- Звичайні файлові віруси
- OBJ, LIB і віруси у вихідних текстах
- Файлові хробаки
- Link - віруси
- Companion - віруси
- Parasitic - віруси
- Overwriting - віруси
Завантажувальні
Макровіруси
- Для MS Word
- Excel
- Access
- PowerPoint
- Для всіх платформ
- Для інших програм
Скрипт - віруси
- Для Windows
- Для DOS
- Для інших систем
Змішаного типу p>
Файлові віруси p>
Файлові віруси - це віруси, які при розмноженні використовують файловусистему який - або ОС. Впровадження файлового вірусу можливо практично увсі виконуючі файли всіх популярних ОС - DOS, Windows, OS/2, Macentosh,
UNIX і т.д.
За способом зараження файлів файлові віруси поділяються на звичайні, яківбудовують свій код у файл, по можливості, не порушуючи його функціональності,а також на overwriting, паразитичні (parasitic), компаньйон - віруси
(Companion), link - віруси, віруси - черв'яки і віруси, що заражають об'єктнімодулі (OBJ), бібліотеки компіляторів (LIB) і вихідні тексти програм. p>
Overwriting - віруси
Overwriting - вірус записує свій код замість коду заражає файли,знищуючи його вміст, після файл перестає працювати і невідновлюється. Такі віруси дуже швидко виявляють себе, тому щоопераційна система і додатки швидко перестає працювати. p>
Parasitic - віруси p>
Parasitic - віруси змінюють вміст файлів, залишаючи при цьому самі файлиповністю або частково працездатними. Такі віруси підрозділяють навіруси, записуються на початок, в кінець і в середину файлів. p>
Companion - віруси p>
Companion - віруси не змінюють заражає файли, а створюють для заражаємофайлу файл - двійник, причому при запуску зараженого файлу керуванняодержує саме цей двійник, тобто вірус. p>
Файлові хробаки
Файлові хробаки (worms) є різновидом компаньйон - вірусів,однак не пов'язують свою присутність з яким-небудь виконуваним файлом. Прирозмноженні вони всього лише копіюють свої код в будь-які каталогидисків в надії, що ці нові копії будуть коли-небудь запущенікористувачем. p>
Link - віруси
Link - віруси використовують особливості організації файлів системи. Вони, як ікомпаньйон - віруси, що не змінюють фізичного вмісту файлів, однак призапуску зараженого файлу «змушують» ОС свій код за рахунок модифікаціїнеобхідних полів файлової системи. p>
OBJ, LIB і віруси у вихідних текстах
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихіднітексти програм. Віруси, що заражають OBJ - і LIB - файли, записують у нихсвій код у форматі об'єктного модуля або бібліотеки. Заражений файл неє виконуваним і не здатний на подальше поширення вірусу впоточний стан. Носієм «живого» вірусу стає COM - або EXE --файл, що отримується в процесі лінковкі зараженого OBJ/LIB - файлу зіншими об'єктними модулями і бібліотеками. Таким чином, віруспоширюється в два етапи: на першому заражаються OBJ/LIB - файли, надругому етапі (лінковка) виходить працездатний вірус. p>
Завантажувальні віруси p>
Завантажувальні віруси називаються так тому, що заражають завантажувальний (boot)сектор - записують себе в завантажувальний сектор диску (boot - сектор) абов сектор, що містить системний завантажувач вінчестера (Master Boot Record).
Завантажувальні віруси заміщають код програми, що одержує управління призавантаження системи. Таким чином при перезавантаженні управління передаєтьсявірусу. При цьому оригінальний - сектор звичайно переноситься в який - абоінший сектор диска. p>
Макровіруси p>
Макровіруси є програмами на макромови, вбудованих до деякихсистеми обробки даних (текстові редактори, електронні таблиці і т.д.). Вони заражають документи й електронні таблиці ряду офісних редакторів.
Для розмноження вони використовують можливості макромовою і за їх допомогоюпереносять себе з одного зараженого файлу в інші. Найбільшепоширення набули макровіруси для Microsoft Word, Excel і Office 97.
Віруси цього типу одержують керування при відкритті зараженого файлу іінфікують файли, до яких надалі йде звернення звідповідного офісного застосування - Word, Excel та ін p>
Скрипт - віруси
Visual Basic Script, java Script та ін. Вони в свою чергу, поділяються навіруси для DOS, для Windows, для інших систем. Крім описаних класівіснує велика кількість сполучень: наприклад файлово - загрузачнийвірус, що заражає файли, так і завантажувальні сектори дисків, або мережевиймакровіруси, який заражає редаговані документи, але і розсилає своїелектронні копії по електронній пошті. p>
Особливості алгоритмів роботи вірусів p>
Різноманітність вірусів класифікувати їх також за особливостями роботи їхалгоритмів. Про це варто поговорити окремо. P>
Резидентні віруси
Вірус знаходиться в оперативній пам'яті і перехоплює повідомлення ОС. Якщонерезидентні віруси активні тільки в момент запуску інфікованої програми,то резидентні віруси знаходяться в пам'яті і залишаються активними аж довимикання комп'ютера або перезавантаження операційної системи. Резидентнівіруси знаходяться в оперативній пам'яті, перехоплюють зверненняопераційної системи до тих чи інших об'єктів і впроваджуються в них. Таківіруси активні не тільки в момент роботи інфікованої програми, але й післязавершення її роботи. p>
Стелс - віруси
Стелс-віруси (невидимки) приховують факт своєї присутності в системі.
Оніізменяют інформацію таким чином, що файл з'являється передползователем в незараженою вигляді, наприклад тимчасово лікують зараженіфайли. p>
Полиморфик - віруси
Полиморфик - віруси використовують шифрування для ускладнення процедуривизначення вірусу. Дані віруси не містять постійних ділянок коду, що досягається шифрування основного тіла вірусу і модифікаціями програми -розшифровувача. У більшості випадків два зразки разом ж поліморфік -вірусу не будуть мати жодного збігу. Саме тому поліморфік -вірус неможливо виявити за допомогою виявлення ділянок постійного коду
, специфічних для конкретного вірусу. Поліморфізм зустрічається у вірусах всіхтипів - від завантажувальних іфайлових DOS - вірусів до Windows - вірусів і навіть макровірусів. p>
Класифікація антивірусних програм
Всі антивіруси можна розділити на два великих класи: чисті і антивірусиантивіруси подвійного призначення. p>
Чисті антивіруси
Чисте вірус-відрізняється наявністю антивірусного ядра, яке виконуєфункцію сканування за зразками. Принципова особливість у цьому випадкуполягає у можливості лікування. Якщо вірус відомий, значить можливолікування. Далі чисті антивіруси підрозділяються за типом доступу до файлівна дві категорії - on access і on demand, які відповідно доздійснює контроль за доступом або перевірку за вимогою. Наприклад, втермінологоіі продуктів «Лабораторії Касперського» on access - продукт --це «Монітор», а on demand - продукт - це «Сканер». On demand-продуктпрацює за наступною схемою: користувач хоче що-небудь перевірити івидає запит (demand), після чого здійснюється перевірка. On access
-Продукт - це резидентна програма, яка відстежує доступ і у моментдоступу здійснює перевірку. Крім того, антивірусні програми, такожяк і віруси, можна розділити по платформі. Поняття «Платформа» вантивірусної термінології трохи відрізняється від загальноприйнятого вкомп'ютерної індустрії. У антивірусної індустрії SW - платформа - це тойпродукт, усередині якого працює антивірус. Тобто на ряду з Windows або
Linux до платформ можуть бути віднесені Microsoft Exchange Server, Microsoft
Office, Lotus Notes. P>
Програми подвійного значення p>
Програми подвійного призначення - це програми, використовувані і в віруси,і в ПЗ, яке не є антивірусом. Наприклад, - ревізор змін наоснові контрольних сум, може використовуватися не тільки для лову вірусів.
У «Лабораторії Касперського» ревізор реалізований під комерційним назвою
«Інспектор»
( «Сканер», «Монітор», «Інспектор» - це комерційні назвивідповідних модулів «Лабораторії Касперського»)
Різновидом програм подвійного призначення є поведінковіблокатори, які аналізують поведінку інших програм і привиявленні підозрілих дій блокують їх.
Від класичного антивіруса з антивірусним ядром, «дізнаються» і лікуючим відвірусів, які аналізувалися в лабораторії і до яких був прописанийалгоритм лікування, поведінкові блокатори відрізняються тим, що лікувати відвірусів не вміють, оскільки нічого про них не знають. Ця властивістьблокіраторів корисно тим, що вони можуть працювати з будь-якими вірусами, в томучислі і з невідомими. Це сьогодні особливо актуально, оскількирозповсюджувачі вірусів і антивірусів використовують одні й ті ж каналипередачі даних, тобто Інтернет. При цьому вірус завжди має деякуформу (час затримки), оскільки антивірусної компанії завжди потрібен часна те, щоб отримати сам вірус, проаналізувати його і написативідповідні лікувальні модулі. Програми з групи подвійного призначенняяк раз і дозволяють блокувати поширення вірусу до того моменту,поки компанія не напише лікувальний модуль. p>
Основні методи визначення вірусів p>
Алгоритм «порівняння з еталоном» p>
Найстаріший алгоритм - це алгоритм, в якому вірус визначаєтьсякласичним ядром за деякою масці. Зміст даного алгоритму полягаєу використанні статистичних методів. ?? аська повинна бути, з одногобоку, маленькою, щоб об'єм файлу був прийнятних розмірів, з іншогобоку - настільки великий, щоб уникнути помилкових спрацьовувань (коли
«Свій» сприймається як «чужий», і навпаки). P>
p>
Рис. 1. Схема роботи програми, інфікованої незашифрованому вірусом, і програми, інфікованої зашифрованих вірусом p>
Рис. 2. Схема роботи емуляторапроцесора p>
Алгоритм «контрольної суми» p>
Алгоритм контрольної суми припускає, що дії вірусу змінюютьконтрольну суму. Однак синхронні зміни у двох різних сегментахможуть призвести до того, що контрольна сума залишиться незмінною призміну файлу. Основне завдання побудови алгоритму полягає в тому, щобзміни у файлі гарантовано приводили до зміни контрольної суми. p>
Методи визначення поліморфік - вірусів p>
На рис. 1 показана робота програми, інформованої вірусом (а), іпрограми, інформованої зашифрованих вірусом (б). У першому випадку схемароботи вірусу виглядає таким чином: йде виконання програми, вякийсь момент починає виконуватися код вірусу і потім знову йдевиконання програми. У випадку з зашифрованою програмою все складніше.
Триває виконання програми, потім включається дешифратор, якийрозшифровує вірус, потім відкидає вірус і знову йде виконання кодуосновної програми. Код вірусу в кожному випадку зашифрований по різному. Якщоу разі нешифрованих вірусу еталонне порівняння дозволяє «дізнатися» вірусза деякою постійною сигнатурі, то в зашифрованому вигляді сигнатура НЕвидна. При цьому шукати дешифратор практично неможливо, оскільки віндуже маленький і детектировать такий компактний елемент марно, томущо різко збільшується кількість помилкових спрацьовувань.
У подібному випадку вдаються до технології емуляції процесора (антивіруснапрограма емулює роботу процесора для того, щоб проаналізувативиконуваний код вірусу). Якщо зазвичай умовна ланцюжок складається з трьохосновних елементів: ЦПУ ОС. Програма (рис.2), - то приемуляції процесора в таку ланцюжок додається емулятор, про якийпрограма нічого не знає і, умовно кажучи, «вважає», що вона працює зцентральної оперативної системою. Таким чином, емулятор як бивідтворює роботу програми в деякому віртуальному просторі абореконструює її оригінальне вміст. Емулятор завжди здатнийперервати виконання програми, контролює її дії, не даючи нічогозіпсувати, і викликає антивірусне скануючий ядро. p>
Евристичний аналіз p>
Для того, щоб розмножуватися, вірус повинен здійснювати будь - то конкретнідії: копіювання в пам'ять, запис в сектори, і т. д. Евристичнийаналізатор (що є частиною антивірусного ядра) містить списоктаких дій, переглядаючи виконуваний код програми, визначає, що вонаробить, виходячи з цього приходить до висновку, чи є дана програмавірусом чи ні. Принципова відмінність евристичного аналізатора відповедінкового блокатора полягає в тому, що останній не розглядаєпрограму як набір команд. Блокіратор відстежує дії програми впроцесі її роботи, а евристичний аналізатор починає роботу довиконання програми. Перший евристичний аналізатор з'явився на початку
90-х років. P>
Висновок p>
У рамках міжнародного ринку інформації гостро стоїть проблема збереженняінформації, особливо, останнім часом, коли йде загальнакомп'ютеризація суспільства. Все більше фірм і підприємств впроваджують навиробництві комп'ютери, зберігаючи в них цінну інформацію і бажаючи захиститисебе від втрати або псування даної інформації. Це зумовило розвитоктакого сектора ринку, як створення антивірусних програм. І на даниймомент ця індустрія є найбільш динамічно розвивається. p>
І в майбутньому очікується збільшення обсягу продажів антивірусних продуктів, оскільки буде продовжуватися поява нових вірусів, а отже іпотреба в програмах здатних захистити інформацію від них. p>
Список використаної літератури p>
Журнал: «Комп'ютер прес» М: № 9 2001р p>
Журнал: «Комп'ютер прес» М: № 11 2001р p>
WWW. GAZETA.ru p>
p>