Реферат: Антивирусная индустрия в канун десятилетия

Министерство образования РоссийскойФедерации

Восточно-Сибирский государственный технологическийуниверситет

Кафедра: 'Мироваяэкономика'

Реферат на тему:

«Антивирусная индустрия вканун десятилетия »

Выполнил

Проверил

Улан-Удэ.2001

Содержание

1)

Введение

2) Фирмы представляющие антивирусный рынокв России

2) Структура мирового антивирусного рынка

3) Вредоносные программы

а) Компьютерные вирусы

б) Сетевые черви

в) Троянские программы

4) Файловые вирусы

а) Overwriting-вирусы

в)Parasitic-вирусы

в)Companion-вирусы

г) Файловые черви

д) Link-вирусы

е) OBJ,LIBи вирусы в исходных текстах

5) Загрузочные вирусы

6) Макровирусы

7) Скрипт-вирусы

8) Особенности алгоритмов работы вирусов

а) Резидентные вирусы

б) Стелс-вирусы

в) Полиморфик-вирусы

9) Классификация антивирусных программ

а) Чистый антивирус

б) Программы двойного назначения

10) Основные методы определения вирусов

а) Алгоритм «сравнение сэталоном»

б) Алгоритм «контрольнойсуммы»

в) Методы определенияполиморфик-вирусов

г) Эвристический анализ

11) Заключение

12)Список использованной литературы

Введение

Антивирусы появились более десяти лет назад. Однако первоевремя они распространялись как бесплатное противоядие. Не было должнойподдержки сервиса, поскольку проекты были некоммерческими. Как индустрия службасоздания и представления антивирусных программ оформилась примерно в 1992 году,не раньше, а значит вскоре отметит своедесятилетие. Десять лет для рождения и развития целой индустрии, с оборотом всотни миллионов долларов, срок очень небольшой. За это время возник совсемновый рынок, сформировался определенный перечень продуктов, появилось такоеколичество терминов, что их хватило бы на целую энциклопедию. Следует отметить,что неискушенному пользователю порой даже трудно отличить научный термин откоммерческого названия, Конечно, для того чтобы пользоваться антивируснымипрограммами, не обязательно знать все подробности строения и поведения вирусов,однако иметь общие представления о том, какие основные группы вирусовсформировались на сегодняшний день, какие принципы заложены в алгоритмывредоносных программ и как поделенымировой и российский антивирусный рынок, будет полезно знать.

Фирмы представляющие антивирусный рынок в России

Какбыло уже отмечено, антивирусный рынок живет в преддверии своего десятилетия.Именно в 1992 году было создано АОЗТ 'ДиалогНаука ', положившее начало активному продвижению на отечественный рынок знаменитой программыЛозинского Aidstest; начинаяс этого времени Aidstestсталараспространяться на коммерческой основе. Примерно в тоже время ЕвгенийКасперский организовывает небольшой коммерческий отдел в рамках КАМИ, в которомпо началу работали три человека. Также в 1992 году американский рынокзавоевывает программа McAfeeVirusScan.В Россиирынок тогда развивался достаточно медленно, и к 1994 году картина примерноследующим образом: доминирующее положение занимала компания «ДиалогНаука» около80%, Антивирусу Касперского принадлежало менее 5% рынка, всем остальным еще 15%рынка. В 1995 году 3% Евгений Касперский перенес свой антивирус на 32- битныеинтеловские платформы Windows, NovellNetWare и OS/2, врезультате продукт начал активно продвигаться на рынок.

В1997 году Антивирус Касперского занимал уже 30% рынка, а на долю компании«ДиалогНаука» приходилось 50% рынка. В 1998 году Антивирус Касперского занималуже 30% рынка, а на долю компании «Диалог Наука» приходилось примерно 50% рынка.В 1998 году Антивирус Касперского догнал по объёму продаж «ДиалогНауки», ивместе они покрыли 80% рынка, а к 2001 году Антивирус Касперского завоевал ужеоколо 60% рынка. Из западных компаний на российском рынке достаточно прочнообосновалась компания «Symantec», которойсегодня принадлежит от 20 до 25% рынка занимает компания «ДиалогНаука».

Структура мирового антивирусного рынка

Намировой арене лидирует компания МсАfее – еепродукт прочно удерживает первое место и имеет порядка 50% продаж, причем предлагаются решения преимущественно длякорпоративного рынка. На втором месте находится Symantec–этакомпания больше продает как раз на розничном рынке. Третье и четвертые местаделят ComputerAssociatesи TrendMicro, которые имеют примерно по 10%, далее следуют еще порядка20 компаний, вклад которых в мировой рынок составляет около 20%. Причем из этих20 шестерка крупных локальных компаний – SophosAV( Англия),F — Secure(Финляндия), Norman (Норвегия ), Command Software (США ), Panda Software (Испания ), Kaspersky Lab(Россия ) – имеет более 18% объема продаж.

Помимооценок рынка, сделанных российскими компаниями , интересно ознакомиться также с некоторымиоценками международной компании GartnerGroup, в соответствии с которыми в 1999 году объем продажантивирусных продуктов и услуг в мире составил около 1,5 млрд долл. В 1988 годуфирма McAfee (США) занимала 50 %мирового рынка, фирма Symantes (США) – 20%, и фирма TrendMicro( Тайвань)– 10%. За последние 5 лет этот объем увеличивался в среднем на 100% в год, что является одним из самых высоких показателей всофтверной индустрии вообще. В 1999 году объем рынка продаж антивирусныхпродуктов и услуг в России составил 1, 5млн.долл и за последние 5 летувеличивался в среднем на 30% в год. В 1998 году «ДиалогНаука» и «ЛабораторияКасперского» занимали по 40% этого рынка.

Вредоносные программы

Скакими же вирусами приходится бороться мировой и отечественной антивируснойиндустрии?

Впринципе, не все вредоносные программы являются вирусами. Что же такое вирусы?Строгого определения компьютерного вируса вообще не существует. Разнообразиевирусов столь велико, что дать достаточное условие (перечислить наборпризнаков, при выполнении которых программу можно однозначно отнести к вирусам)просто невозможно – всегда найдется класс программ с данными признаками, неявляющихся при этом вирусом. При этом большинство определений необходимогоусловия сходятся на том, что компьютерные вирусы – это программы, которые умеютразмножаться и внедрять свои копии в другие программы. То есть заражаютсуществующие файлы.

Второйтип вредоносных программ – так называемые сетевые черви – размножаются,но не являются частью других файлов.

Сетевые черви подразделяются на Internet– черви (распространяются по

), LAN-черви(распространяются по локальной сети ), IRC– черви InternetRelayChat (распространяются через чаты ). Существуют так же смешанные типы,которые совмещают в себе сразу несколько технологий .

Выделяют в отдельную группу также троянские программы,которые не размножаются и не рассылаются сами. Троянские программы подразделяютна несколько видов Эмуляторы DDoS–атакприводят катакам на Web -серверы, при которыхна Web — сервер из разных местпоступает большое количество пакетов, что и приводит к отказам работы системы. Похитителисекретной информации воруют информацию.

Утилиты несанкционированного удаленного управления, внедряясьв ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру ивозможность управления им.

Дроппер( от англ. drop – бросать) –программа, которая «сбрасывает» в систему вирус или другие вредоносныепрограммы, при этом сама больше ничего не делает. Обилие вирусов позволяетговорить о более подробной классификации .

Файловые вирусы:

-

Обычные файловые вирусы

-

OBJ, LIBи вирусы в исходных текстах

-

Файловые черви

-

Link- вирусы

-

Companion — вирусы

-

Parasitic –вирусы

-

Overwriting– вирусы

Загрузочные

Макровирусы

-

ДляMS Word

-

Excel

-

Access

-

PowerPoint

-

Многоплатформенные

-

Для других приложений

Скрипт –вирусы

-

Для Windows

-

Для DOS

-

Для другихсистем

Смешанноготипа

Файловые вирусы

Файловыевирусы – это вирусы, которые при размножении используют файловую систему какой– либо ОС. Внедрение файлового вируса возможно практически во все исполняемыефайлы всех популярных ОС – DOS, Windows, OS/2, Macentosh, UNIXи т.д.

По способузаражения файлов файловые вирусы делятся на обычные, которые встраивают свойкод в файл, по возможности не нарушая его функциональности, а также на overwriting , паразитические ( parasitic), компаньон – вирусы ( companion), link — вирусы,вирусы – черви и вирусы, заражающие объектные модули ( OBJ), библиотеки компиляторов ( LIB) и исходные тексты программ.

Overwriting– вирусы

Overwriting — вирус записывает свой код вместо кода заражаемого файла, уничтожая егосодержимое, после файл перестает работать и не восстанавливается. Такие вирусыочень быстро обнаруживают себя, так как операционная система и приложениябыстро перестает работать.

Parasitic– вирусыParasitic–вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью иличастично работоспособными. Такие вирусы подразделяют на вирусы, записывающиесяв начало, в конец и в середину файлов.Companion– вирусыCompanion– вирусы не изменяют заражаемых файлов, а создаютдля заражаемого файла файл – двойник, причем при запуску зараженного файлауправление получает именно этот двойник, то есть вирус.

Файловыечерви

Файловые черви ( worms) являются разновидностью компаньон – вирусов, однаконе связывают своё присутствие с каким-либо выполняемым файлом. При размноженииони всего лишь копируют свои код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем.

Link – вирусы

Link– вирусыиспользуют особенности организации файлов системы. Они, как и компаньон –вирусы, не изменяют физического содержимого файлов, однако при запускезараженного файла «заставляют» ОС свой код за счет модификации необходимыхполей файловой системы.

OBJ, LIBи вирусы в исходных текстах

Вирусы, заражающие библиотекикомпиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ — и LIB — файлы, записывают в них свой код в форматеобъектного модуля или библиотеки. Зараженный файл не является выполняемым и неспособен на дальнейшее распространение вируса в текущем состоянии. Носителем же«живого» вируса становится COM — или EXE — файл, получаемый в процессе линковки зараженного OBJ/ LIB — файла сдругими объектными модулями и библиотеками. Таким образом, вирусраспространяется в два этапа: на первом заражаются OBJ/LIB — файлы, на втором этапе (линковка) получаетсяработоспособный вирус.

Загрузочные вирусы

Загрузочныевирусы называются так потому, что заражают загрузочный ( boot) сектор – записываютсебя в загрузочный сектор диска ( boot — сектор ) либо в сектор, содержащий системныйзагрузчик винчестера ( MasterBootRecord). Загрузочные вирусы замещают код программы,получающей управление при загрузки системы. Таким образом при перезагрузке управление передаетсявирусу. При этом оригинальный — секторобычно переносится в какой – либо другойсектор диска.Макровирусы

Макровирусы являются программамина макроязыках, встроенных в некоторые системы обработки данных ( текстовыередакторы, электронные таблицы и т. д.). Они заражают документы и электронныетаблицы ряда офисных редакторов.

Для размножения они используютвозможности макроязыков и при их помощи переносят себя из одного зараженногофайла в другие. Наибольшее распространение получили макровирусы для MicrosoftWord, Excel и Office 97. Вирусы этого типа получаютуправление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.

Скрипт– вирусы

VisualBasicScript, javaScript и др .Они в свою очередь, делятся на вирусы для DOS, для Windows, для другихсистем. Помимо описанных классов существует большое количество сочетаний:например файлово – загрузачный вирус, заражающий файлы, так и загрузочныесектора дисков, или сетевой макровирус, который заражает редактируемыедокументы, но и рассылает свои электронные копии по электронной почте.

Особенностиалгоритмов работы вирусов

Разнообразие вирусовклассифицировать их также по особенностям работы их алгоритмов. Об этом стоитпоговорить отдельно.

Резидентныевирусы

Вирус находится в оперативной памятии перехватывает сообщения ОС. Если нерезидентные вирусы активны только в моментзапуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть довыключения компъютера или перезагрузкиоперационной системы. Резидентные вирусы находятся в оперативной памяти,перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусыактивны не только в момент работы зараженной программы, но и после завершения ее работы.

Стелс– вирусы

Стелс-вирусы (невидимки) скрываютфакт своего присутствия в системе. Ониизменяют информацию таким образом , что файл появляется перед ползователем внезараженном виде, например временно лечат зараженные файлы.

Полиморфик– вирусы

Полиморфик – вирусы используютшифрование для усложнения процедуры определения вируса. Данные вирусы несодержат постоянных участков кода, что достигается шифрованием основноготела вируса и модификациями программы-расшифровщика. В большинстве случаев дваобразца одного итого же полиморфик-вируса не будут иметь ни одного совпадения. Именно поэтомуполиморфик-вирус невозможно обнаружить при помощи выявления участковпостоянного кода, специфичных для конкретного вируса. Полиморфизм встречается ввирусах всех типов – от загрузочных и

файловых DOS — вирусов до Windows– вирусов и даже макровирусов.

Классификация антивирусных программ

Все антивирусы можно разделить надва больших класса: чистые антивирусы и антивирусы двойного назначения.

Чистыеантивирусы

Чистый вирус-отличается наличием антивирусного ядра, котороевыполняет функцию сканирования по образцам. Принципиальная особенность в этомслучае заключается в возможности лечения. Если вирус известен, значит возможно лечение. Далее чистые антивирусы подразделяются по типу доступа к файлам на две категории – onaccess и ondemand, которые соответственноосуществляет контроль по доступу или проверку по требованию. Например, втерминологоии продуктов « Лаборатории Касперского» onaccess — продукт – это «Монитор »,а ondemand — продукт – это «Сканер». Ondemand–продуктработает по следующей схеме: пользователь хочет что- либо проверить и выдаетзапрос ( demand), послечего осуществляется проверка. Onaccess–продукт – это резидентнаяпрограмма, которая отслеживает доступ и в момент доступа осуществляет проверку.Кроме того, антивирусные программы, также как и вирусы, можно разделить поплатформе. Понятие «Платформа» в антивирусной терминологии немного отличаетсяот общепринятого в компьютерной индустрии. В антивирусной индустрии SW– платформа – это тот продукт,внутри которого работает антивирус. То есть на ряду с Windowsили Linuxкплатформам могут быть отнесены MicrosoftExchangeServer, Microsoft Office, Lotus Notes.

Программы двойного значения

Программы двойного назначения — этопрограммы, используемы и в антивирусах, и в ПО, которое не являетсяантивирусом. Например, — ревизоризменений на основе контрольных сумм, может использоваться не только для ловливирусов. В «Лаборатории Касперского» ревизор реализован под коммерческимназванием «Инспектор»

( «Сканер», «Монитор», «Инспектор»- это коммерческие названия соответствующих модулей «Лаборатории Касперского» )

Разновидностью программ двойногоназначения являются поведенческие блокираторы, которые анализируют поведениедругих программ и при обнаружении подозрительных действий блокируют их.

От классического антивируса сантивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались влаборатории и к которым был прописан алгоритм лечения, поведенческиеблокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего оних не знают. Это свойство блокираторов полезно тем, что они могут работать слюбыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально,поскольку распространители вирусов и антивирусов используют одни и те же каналыпередачи данных, то есть Интернет. При этом вирус всегда имеет некоторую форму(время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус,проанализировать его и написать соответствующие лечебные модули. Программы изгруппы двойного назначения как раз и позволяют блокировать распространениевируса до того момента, пока компания не напишет лечебный модуль.

Основные методы определения вирусов

Алгоритм«сравнениес эталоном»

Самый старый алгоритм – это алгоритм, в котором вирусопределяется классическим ядром по некоторой маске. Смысл данного алгоритмазаключается в использовании статистических методов. Маска должна быть, с одной стороны, маленькой,чтобы объем файла был приемлемых размеров, с другой стороны – настолькобольшой, чтобы избежать ложных срабатываний (когда «свой» воспринимается как«чужой», и наоборот) .

Рис. 1. Схемы работы программы, инфицированной незашифрованным

вирусом, и программы, инфицированной зашифрованнымвирусом

<img src="/cache/referats/11689/image005.gif" v:shapes="_x0000_s1032"> <img src="/cache/referats/11689/image007.jpg" v:shapes="_x0000_i1027"> Рис. 2. Схемаработы эмулятора процессора

Алгоритм «контрольной суммы»

Алгоритм контрольной суммыпредполагает, что действия вируса изменяют контрольную сумму. Однако синхронныеизменения в двух разных сегментах могут привести к тому, что контрольная суммаостанется неизменной при изменении файла. Основная задача построения алгоритма состоитв том, чтобы изменения в файле гарантированно приводили к изменению контрольнойсуммы.

Методы определения полиморфик –вирусов

На рис. 1 показана работапрограммы, информированной вирусом (а), и программы, информированнойзашифрованным вирусом (б). В первом случае схема работы вируса выглядитследующим образом: идет выполнение программы, в какой –то момент начинаетвыполнятся код вируса и затем опять идет выполнение программы. В случае сзашифрованной программой все сложнее.

Идет выполнение программы, потомвключается дешифратор, который расшифровывает вирус, затем отбрасывает вирус иопять идет исполнение кода основной программы. Код вируса в каждом случаезашифрован по разному. Если в случае нешифрованного вируса эталонное сравнениепозволяет «узнать» вирус по некоторой постоянной сигнатуре, то в зашифрованномвиде сигнатура не видна. При этом искать дешифратор практически невозможно,поскольку он очень маленький и детектировать такой компактный элементбесполезно, потому что резко увеличивается количество ложных срабатываний.

<img src="/cache/referats/11689/image008.gif" v:shapes="_x0000_s1031"><img src="/cache/referats/11689/image008.gif" v:shapes="_x0000_s1030">В подобномслучае прибегают к технологии эмуляции процессора (антивирусная программаэмулирует работу процессора для того, чтобы проанализировать исполняемый кодвируса). Если обычно условная цепочка состоит из трех основных элементов:ЦПУ ОС . Программа (рис.2), — то при эмуляциипроцессора в такую цепочку добавляется эмулятор, о котором программа ничего незнает и, условно говоря, «считает», что она работает с центральной оперативнойсистемой. Таким образом, эмулятор как бы воспроизводит работу программы внекотором виртуальном пространстве или реконструирует ее оригинальноесодержимое. Эмулятор всегда способен прервать выполнение программы,контролирует ее действия, не давая ничего испортить, и вызывает антивирусноесканирующее ядро.

Эвристический анализ

Для того чтобы размножаться,вирус должен совершать какие – то конкретные действия: копирование в память,запись в сектора, и т. д. Эвристический анализатор (который является частьюантивирусного ядра) содержит список таких действий, просматривая выполняемыйкод программы, определяет, что она делает, исходя из этого приходит к выводу,является ли данная программа вирусом или нет. Принципиальное отличиеэвристического анализатора от поведенческого блокиратора состоит в том, чтопоследний не рассматривает программу как набор команд. Блокиратор отслеживаетдействия программы в процессе ее работы, а эвристический анализатор начинаетработу до выполнения программы. Первый эвристический анализатор появился вначале 90–х годов.

Заключение

В рамках международного рынка информации остростоит проблема сохранение информации,особенно, в последнее время, когда идет всеобщая компьютеризация общества. Всебольше фирм и предприятий внедряют на производстве компьютеры, сохраняя в нихценную информацию и желая оградить себя от потери или порчи даннойинформации. Это обусловило развитиетакого сектора рынка, как создание антивирусных программ. И на данный моментэта индустрия является наиболее динамично развивающейся.

И в будущем ожидается увеличение объёма продаж антивирусныхпродуктов, поскольку будетпродолжаться появление новых вирусов, аследовательно и потребность в программах способных защитить информацию от них.

Список использованнойлитературы

Журнал: «Компьютер пресс» М: №9 2001г

Журнал: «Компьютер пресс» М: №11 2001г

WWW.GAZETA.ru

еще рефераты

Еще работы по программному обеспечению

Реферат по программному обеспечению

Эффекты слоев в Photoshop 6

29 Августа 2013

Реферат по программному обеспечению

Программное обеспечение компьютеров. Архиваторы

29 Августа 2013