Использование антивирусных программ. Какова была схема работы первых антивирусов


НОУ ИНТУИТ | Лекция | Использование антивирусных программ

Аннотация: В лекции приведены знания, касающиеся антивирусных программ: история антивирусных программ, сведения о надежности и механизмах работы современных антивирусных программ, а также основные моменты использования современных антивирусных программ.

Цель лекции: предоставить читателю знания об антивирусных программах.

Антивирусные программы (далее антивирусы) являются основной частью современной антивирусной защиты (если рассматривать антивирусную защиту как комплекс программ, которые противостоят зловредным программам). Как правило, их мощностей хватает, чтобы справиться с большинством зловредных программ, но иногда бывает и так, что по тем или иным причинам, они справиться не могут (в целях удобства для чтения все типы зловредных программ будем называть общим понятием вирусы). А с чего началась эта борьба антивирусов с различными вирусами?

История возникновения антивирусных программ

Самый первый вирус, действовавший уже точно на поражение, появился в конце 60-ых. Ему пожертвовали тот же компьютер, на котором его и создали (впервые, с целью развлечения). Но все эти развлечения, может, так и остались бы только игрушками программистов, если бы не рождение Интернета. Еще в 1975 году через сеть Telenet разошелся и самый первый сетевой вирус "The Creeper", и впервые была создана программа - антивирус "Reeper". Но уже в следующем десятилетии Ф. Коэн делал эксперименты с программами, которые смогут размножаться и иметь возможность распространиться, его "детище" создавало свои копии и находило выходы для них в большую компьютерную сеть. Так по этому принципу вирусы распространились и в наше время через глобальную сеть. А тогда, в 1984 г., Коэн выступил на седьмой конференции по безопасности информации в Соединенных Штатах, высказывая свои мысли по поводу новой угрозы в этой сфере деятельности. Также два брата Амджад в Пакистане в 86 г открыли неизвестный доселе вирус. Братья торговали программным обеспечением и вдруг нечаянно увидели, что кто-то его несанкционированно копирует и множит, лишая их честно заработанных денег. Чтобы как-нибудь остановить любителей "халявы", они написали программку "THE BRAIN" и внедрили ее в свои работы. Она стала активной при попытке копирования. Именно это было началом и прообразом всех будущих вирусов. THE BRAIN резко перешел границу Пакистана и поверг в шок неготовый к этому необычному явлению мир. А уже в 1987 году появилась первая литература о вирусах и борьбе с ними. С этого момента стало абсолютно очевидно, что для борьбы с вирусами необходимо создавать специальные программы "антивирусы", которые могли бы бороться с вирусами, тем самым "леча" зараженную машину. Первые антивирусы были далеки от современных антивирусных программ. Фактически, они были одноразовыми программами, которые предназначались для лечения определенного вируса. Само же распространение такого антивируса было достаточно дорогим и долгим занятием, так как антивирусы записывались на дискеты и высылались своим подписчикам в разные уголки мира. Естественно, такая доставка была достаточно долгой, и было весьма сложно своевременно получить нужную копию антивируса. Часто бывало и так, что жители особо удаленных мест от места отсылки дискеты с антивирусом к моменту получения антивируса были заражены парой еще других вирусов. Все это создавало плохую репутацию для антивирусов, но с развитием сети Интернет антивирусы стали высылать сначала на почтовые ящики пользователей, а потом и появилась возможность динамически обновлять специальные антивирусные базы. Сама же схема работы первых антивирусов была далека от идеала: они не умели постоянно работать на зараженной машине, а были, по сути дела, лишь сканером, который искал определенный вирус и далее пытался с ним справиться. Создатели вирусов нашли достаточно простой способ для борьбы с такими антивирусами: они стали создавать вирусы, которые уничтожали антивирус до того, как им мог воспользоваться пользователь (то есть они просто стирали антивирус с дискеты, которая приходила пользователю). Создатели же антивирусов в свою очередь стали оснащать свои антивирусы специальными "протекторами", которые не позволяли удалить антивирусную программу. Тогда стали появляться вирусы, которые маскировались под системные файлы или папки, а потом начали появляться вирусы, которые даже могли изменять свой собственный код (чтобы антивирус не мог их обнаружить). Но антивирусные программы также совершенствовались (работало правило "на каждый меч найдется свой щит"), и стала очевидна борьба создателей антивирусов с создателями вирусов. В свою очередь пресса стала распространять слухи, что антивирусные компании сами пишут различные вирусы, с целью поддержания интереса к антивирусным программам (в какой-то мере это может быть вполне логичным заключением), но подобные слухи до сих пор не могут найти своего подтверждения. Интересно и то, что создатели антивирусов составляют конкуренцию друг другу в борьбе за покупателей, и поэтому вполне логичным является вывод, что держать несколько антивирусов на компьютере нецелесообразно, так как они будут конфликтовать друг с другом, что будет играть на руку самим вирусам.

Механизм работы современных антивирусов

Современный антивирус является сложным программным средством, которое должно обеспечить надежную защиту компьютерного устройства ( компьютера, карманного компьютера или нетбука) от различных вирусов (зловредных программ). Общая схема антивируса представлена на рисунке ниже:

Рис. 3.1. Схема антивируса

Как видно из схемы, антивирус состоит из следующих частей:

  1. Модуль резидентной защиты
  2. Модуль карантина
  3. Модуль "протектора" антивируса
  4. Коннектор к антивирусу-серверу
  5. Модуль обновления
  6. Модуль сканера компьютера

Модуль резидентной защиты является основным компонентом антивируса, находящийся в оперативной памяти компьютера и сканирующий в режиме реального времени все файлы, с которыми осуществляется взаимодействие пользователя, операционной системы или других программ. Слово "резидентный" означает "невидимый", "фоновый". Резидентная защита проявляет себя только при нахождении вируса. Именно на резидентной защите основывается главный принцип антивирусного ПО — предотвратить заражение компьютера. В ее состав входят такие компоненты, как активная защита (сравнение антивирусных сигнатур со сканируемым файлом и выявление известного вируса) и проактивная защита (совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе).

Модуль карантина является модулем, который отвечает за помещение подозрительных файлов в специальное место, именуемое карантином. Файлы, перемещенные в карантин, не имеют возможности выполнять какие-либо действия (они заблокированы) и находятся под наблюдением антивируса. Антивирус принимает решение поместить файл на карантин при обнаружении в файле признака вирусной деятельности (при этом сам файл с точки зрения антивируса вирусом в этом случае не является, просто файл является потенциальной угрозой), либо если файл действительно заражен вирусом, но его необходимо излечить, а не удалять целиком (например, важный документ пользователя, в который попал вирус). В последнем случае файл будет помещен в карантин для последующего излечения от вируса (если же антивирус не сможет вылечить файл, его придется удалить, либо оставить, в надежде на то, что с новым обновлением антивирус сможет вылечить этот файл). Обычно карантин создается в особой папке антивирусной программы, которая изолирована от каких-либо действий, кроме действий со стороны антивируса.

Модуль протектора антивируса является модулем, который защищает антивирус от стороннего вмешательства со стороны различных программных средств. Этот модуль является защитником антивируса. Часто вирусы хотят стереть антивирус или предотвратить его работу путем блокировки антивируса. Модуль протектора антивируса не даст это сделать. Впрочем, не все современные антивирусы снабжены качественными протекторами. Некоторые из них ничего не могут сделать против современных вирусов, а вирусы в свою очередь могут спокойно и беспрепятственно полностью стереть антивирус. Также появились вирусы, которые имитируют удаление антивируса со стороны пользователя, то есть протектор антивируса считает, что сам пользователь по каким-либо причинам хочет удалить антивирус, и поэтому не препятствует этому, хотя на самом деле это деятельность вируса. В настоящее время антивирусные компании стали более серьезно подходить к выпуску протекторов, и становится очевидно, что если антивирус не будет иметь хороший протектор, его эффективность в борьбе с вирусами будет очень мала.

Коннектор к антивирусу-серверу является важной частью антивируса. Коннектор служит для соединения антивируса к серверу, с которого антивирус может скачать актуальные базы с описанием новых вирусов. При этом соединение должно проходить по специальному защищенному Интернет-каналу. Это очень важный момент, так как злоумышленник может подложить неверные антивирусные базы с лживым описанием вирусов, если антивирус будет соединяться с сервером по незащищенному Интернет-каналу. Также в современных антивирусах коннектор служит еще и для соединения к специальному серверу, который управляет антивирусом. Подобное соединение изображено на рисунке ниже:

Рис. 3.2. Схема соединения к серверу

Как видно из рисунка, коннектор позволяет соединять множество антивирусов пользователей с единым антивирусом-сервером, с которого антивирусы пользователя могут скачивать обновления, а также если на стороне антивируса пользователя возникли какие-либо неразрешимые проблемы, то антивирус-сервер будет удаленно их решать (например, у антивируса пользователя стал неисправен какой-либо из модулей и антивирус-сервер предоставит этот модуль отдельно для скачивания). В этом случае также очень важную роль играет защищенность канала передачи (канала связи) информации. Со стороны злоумышленников стала применяться интересная практика, в результате которой захватывается контроль над самим каналом передачи информации, и фактически злоумышленник становится управляющим для антивирусов пользователя (для всех или частично, в зависимости от того, какой именно участок канала передачи будет перехвачен злоумышленником). В свою очередь, создатели антивирусов стали зашифровывать данные на канале информации, чтобы злоумышленник не мог получить к ним доступ и как-либо завладеть ими.

Модуль обновления отвечает за то, чтобы обновление антивируса, его отдельных частей, а также его антивирусных баз прошло правильно. В современной практике создания антивирусов стала применяться следующая идея: модуль обновления также должен определять подлинные или нет антивирусные базы скачивает сам модуль. Подлинность при этом может проверяться различными методами - от проверок контрольной суммы файла с базами до поиска внутри файла с базами специальной метки, которая говорит о том, что этот файл является подлинным. Подобные действия стали вводиться после того, как участились случаи подмены антивирусных баз со стороны злоумышленников.

Модуль сканера компьютера является, пожалуй, самым старым модулем в современных антивирусах, так как раньше антивирусы состояли только из этого модуля. Этот модуль отвечает за то, чтобы сканировать компьютер на наличие вирусов, если этого будет требовать пользователь компьютера. Сам модуль при сканировании компьютера использует антивирусные базы, которые были добыты с помощью модуля обновления антивируса. Если сканер найдет, но не справится с вирусом сразу же, то он поместит файл с вирусом в карантин. Потом, впоследствии, модуль сканера компьютера может связаться через коннектор с антивирусом-сервером и получить инструкции по обезвреживанию зараженного файла. Следует отметить, что модуль сканера компьютера предназначен для профилактики компьютера от вирусов, так как основную защиту представляет модуль резидентной защиты. В модуле сканера компьютера используются только антивирусные базы, в которых четко описаны вирусы. Различные элементы проактивной защиты (например, эвристика) не используются в модуле сканера компьютера. Обычно создатели вирусов не строят специальную защиту для своих вирусов от модулей сканера компьютера, так как знают, что пользователь не часто проверяет компьютер сканером, и этого промежуточного времени от проверки до проверки хватит, чтобы украсть персональные данные пользователя.

www.intuit.ru

История развития антивирусов — Паранормальный альманах

Чтобы ощутить схожесть компьютерных сетей с человеческим организмом, погружаться в «Матрицу» совершенно не обязательно. Многие термины и вовсе переходят прямиком из биологического словаря в словарь технический, причем без изменений.

К примеру, когда в человеческий организм попадают вредоносные элементы, закономерно вырабатываются антитела. Таким же примерно образом в случае внедрения фрагментов опасного кода в компьютерный организм тут же срабатывает программа, которая начинает борьбу с ним.

В обоих случаях речь идет об антивирусной защите. На сегодняшний день история развития подобных программ не менее насыщена, чем история самих вирусов.

Первые антивирусные программы появились еще зимой 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу) под названиями CHK4BOMB и BOMBSQAD. Их написал американский программист Энди Хопкинс (Andy Hopkins).

CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявить все текстовые сообщения и «подозрительные» участки кода. Программа BOMBSQAD перехватывала операции записи и форматирования, выполняемые через BIOS. При выявлении запрещенной операции можно было разрешить или запретить ее выполнение.

Первый антивирус в современном понимании этого термина, то есть резидентный, «защищающий» от вирусных атак, появился в 1985 году. Программа DRPROTECT создана усилиями Джи Вонг (Gee Wong). Разработка блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.

Антивирусные программы до начала 90-х годов представляли собой, по сути, набор из нескольких десятков сигнатур (образцов вирусного кода), которые хранились в теле программы.

Предполагалась также процедура поиска этих сигнатур в файлах. Причем зачастую эти сигнатуры разработчики даже не шифровали. Получалось так, что порой один антивирус легко мог «найти вирус» в другом. Усложнение ситуации с вирусами повлекло за собой и усложнение программ, которые были призваны бороться с ними. Как это обычно бывает, совсем скоро инициатива по разработке и впоследствии продаже антивирусных программ перешла к большим компаниям, состоящим, естественно, более чем из одного программиста-энтузиаста. С гордостью стоит отметить, что в развитии этой индустрии одну из ведущих ролей сыграли программисты из России.

В 1992 году появилась программа MtE — генератор полиморфного (постоянно меняющегося) кода, которым мог воспользоваться не только опытный, но и любой начинающий программист.

Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные способы борьбы, такие как усложнение алгоритмических языков сверки кода, — перестали работать. Спасло ситуацию только появление эмулятора кода. Система «снимала» зашифрованную часть полиморфного вируса и добиралась до постоянного тела вируса. Первой антивирусной программой с эмулятором стал AVP Евгения Касперского.

Помимо эмулятора кода, позволившего антивирусам подстроиться под стремительно набиравшую обороты «индустрию вирусов», примерно в то же время появились такие системы защиты, как криптоанализ, статистический анализ, эвристический анализатор и поведенческий блокиратор. Расписывать, в чем заключается их суть, мы не будем, отметим только, что на их принципах, заданных уже более 15 лет назад, антивирусы большей частью «выезжают» до сих пор.

С появлением Windows с присущей ей многозадачностью и разветвленной системой сложных программ появились новые требования к производителям антивирусов. Среди них — необходимость проверять файлы «на лету» (в момент обращения к ним) и хорошая работа с программами, такими как Microsoft Office. Количество разработчиков антивирусов тогда резко сократилось ввиду более строгих требований к ним, предъявляемых временем.

Правда, и прибыль их существенно выросла. На широкое распространение Интернета и следующего за ним по пятам развития вредоносных (шпионских) программ, маскирующихся под самые обыкновенные, разработчики антивирусного ПО ответили внедрением «защиты шлюзов, периметра» — файерволов. На данный момент борьба с вирусами продолжается. Сейчас во всем мире работает около 60 компаний, разрабатывающих антивирусное ПО.

Но ситуация может измениться — рынок антивирусов, лучшие образчики которых всегда были платными, взрывает Microsoft своим совершенно бесплатным Microsoft Security Essentials, разработанным опытнейшими специалистами на основе наработок, примененных в продуктах для безопасности бизнеса — Forefront. По качеству и уровню защиты Microsoft Security Essentials не уступает платным аналогам. Вслед за тем, как Сеть пришла в каждый дом, становятся легкодоступными и антивирусы.

Правда, при одном условии: версия Windows должна быть лицензионной.

Добровольный читательский взнос на поддержание проекта

ЕЩЕ СТАТЬИ ПО ТЕМЕ:

virtoo.ru

Краткая история возникновения и развития антивирусов

Первый вирус для компьютеров Apple появился в 1977, а уже в 1981 появились вирусные программы, представляющие реальную угрозу данным. Энди Хопкинс создал первые антивирусные программы в 1984 году, они носили названия – BOCHK4BOMB и CHK4BOMB. CHK4BOMB сканировал текст загрузочного модуля для выявления текстовых сообщений и подозрительных участков в коде. Вторая программа BOCHK4BOMB перехватывала запись и форматирование, которые выполнялись через BIOS. Выполнение запрещенных операций можно было запретить или разрешить.

Первая антивирусная программа, предназначение которой было — защита от вирусов в интернете, появилась в 1985 году. Джи Вонг создал программу под названием DRPROTECT. Антивирус блокировал все операции, такие как запись и форматирование, которые выполнялись через BIOS. При выявлении какой либо операции антивирус требовал перезагрузки системы.

До начала 90-х годов антивирусы представляли собой набор образцов вирусного кода, которые сохранялись в программе. В антивирусе существовал поиск сохраненных образцов в файлах. Образцы вирусного кода не были зашифрованы создателями, поэтому случалось такое, что антивирусные программы, сканируя друг друга, находили те самые не зашифрованные образцы вирусного кода и считали это вирусом.

Со временем антивирусными программами стали интересоваться крупные компании, в штате которых было много программистов. Большую роль в развитии антивирусов сыграли русские программисты.

В 1992 году появляется новый антивирус с названием MtE, который был доступен не только опытному, но и начинающему программисту. MtE – это генератор постоянно меняющегося (полиморфного) кода. Полиморфные вирусы стали появляться ежедневно, из-за этого дополнительные способы противостояния вирусам перестали действовать. На помощь пришел эмулятор кода. Антивирусная программа обходила зашифрованную часть и добиралась до самого вируса. Первой программой с эмулятором кода стал AVP, который был создан программистом Евгением Касперским.

Наряду с эмулятором кода, который помог антивирусным программам бороться с быстро растущим количеством вирусов, появились системы защиты, такие как криптоанализ, эвристический анализатор, статистический анализ и поведенческий блокатор. Принцип работы этих систем защиты от вирусов используется до сих пор.

С появление сложных программ и многозадачной системы Windows, требования к антивирусным программам возросли. Одной из задач было проверка файлов во время обращения к ним, а также отличная работа с программой Microsoft Office. К этому времени количество программистов-разработчиков уменьшилось в связи со строгими требованиями.

В связи с быстрым распространением Интернета и появлением вирусов, которые маскируются под обычные программы, разработчики антивирусного программ

tayni.info

Первый компьютерный вирус. История создания первого вируса

Первый вирус появился еще в то время, когда большинство населения планеты считало компьютеры фантастикой. Это произошло в 1972 году, когда прекратила свое функционирование целая компьютерная сеть из состава «Эйрпанет». 19 апреля произошел сбой в работе устройств у нескольких тысяч пользователей. В этот день прекратилась любая передача данных, компьютеры выходили из строя.

Причины появления первого вируса

Этот вирус стал результатом обычного розыгрыша от студента информационного отделения. Парень-практикант решил создать программу, с помощью которой хотел пошутить над своими коллегами. Он запланировал ее сделать так, чтобы она самостоятельно осуществляла запуск и имела возможность распространяться между отдельными компьютерами. Создавая эту программу, он даже не задумывался о последствиях, а именно о скорости распространения вируса. Он не предполагал, что скорость будет запредельной, а сама программа иметь способность уничтожать полезную информацию. Именно высокая скорость распространения дала название «вирусу», так как люди сравнили его действие с эпидемией.

Первым вирусом, который служил для защиты от нелегальной установки программ, стала разработка пакистанских братьев, занимавшихся разработкой лицензионного программного обеспечения. Они намеренно снабжали программные файлы вирусом, который появлялся на компьютере лишь при установке нелицензионной копии программы. После первого запуска такого файла вирус распространялся по всему компьютеру и нарушал работу остальных программ.

Первый антивирус

Появление первых вирусов привело к тому, что стало необходимостью создание антивирусной программы. Самая первая такая разработка принадлежала компании «Диалог-Наука». Ее антивирус выпускался на двух дискетах. Обновления выходили на таком же носителе каждую неделю. Удивительным фактом было то, что при обнаружении какого-либо вируса удаление не происходило. Для этого требовалось отослать результаты в лабораторию Москвы. Здесь уже разрабатывалось лекарство. Именно эта организация в последствие организовала известную во всем мире Лабораторию Касперского.

Практически одновременно с организацией «Диалог-Наука» работала над созданием антивируса компания Dr.Web

  поделитесь с друзьями:

 ВКонтакте

 OK

 Facebook

 Google+

 Twitter

wd-x.ru

НОУ ИНТУИТ | Лекция | Использование антивирусных программ

Аннотация: В лекции приведены знания, касающиеся антивирусных программ: история антивирусных программ, сведения о надежности и механизмах работы современных антивирусных программ, а также основные моменты использования современных антивирусных программ.

Цель лекции: предоставить читателю знания об антивирусных программах.

Антивирусные программы (далее антивирусы) являются основной частью современной антивирусной защиты (если рассматривать антивирусную защиту как комплекс программ, которые противостоят зловредным программам). Как правило, их мощностей хватает, чтобы справиться с большинством зловредных программ, но иногда бывает и так, что по тем или иным причинам, они справиться не могут (в целях удобства для чтения все типы зловредных программ будем называть общим понятием вирусы). А с чего началась эта борьба антивирусов с различными вирусами?

История возникновения антивирусных программ

Самый первый вирус, действовавший уже точно на поражение, появился в конце 60-ых. Ему пожертвовали тот же компьютер, на котором его и создали (впервые, с целью развлечения). Но все эти развлечения, может, так и остались бы только игрушками программистов, если бы не рождение Интернета. Еще в 1975 году через сеть Telenet разошелся и самый первый сетевой вирус "The Creeper", и впервые была создана программа - антивирус "Reeper". Но уже в следующем десятилетии Ф. Коэн делал эксперименты с программами, которые смогут размножаться и иметь возможность распространиться, его "детище" создавало свои копии и находило выходы для них в большую компьютерную сеть. Так по этому принципу вирусы распространились и в наше время через глобальную сеть. А тогда, в 1984 г., Коэн выступил на седьмой конференции по безопасности информации в Соединенных Штатах, высказывая свои мысли по поводу новой угрозы в этой сфере деятельности. Также два брата Амджад в Пакистане в 86 г открыли неизвестный доселе вирус. Братья торговали программным обеспечением и вдруг нечаянно увидели, что кто-то его несанкционированно копирует и множит, лишая их честно заработанных денег. Чтобы как-нибудь остановить любителей "халявы", они написали программку "THE BRAIN" и внедрили ее в свои работы. Она стала активной при попытке копирования. Именно это было началом и прообразом всех будущих вирусов. THE BRAIN резко перешел границу Пакистана и поверг в шок неготовый к этому необычному явлению мир. А уже в 1987 году появилась первая литература о вирусах и борьбе с ними. С этого момента стало абсолютно очевидно, что для борьбы с вирусами необходимо создавать специальные программы "антивирусы", которые могли бы бороться с вирусами, тем самым "леча" зараженную машину. Первые антивирусы были далеки от современных антивирусных программ. Фактически, они были одноразовыми программами, которые предназначались для лечения определенного вируса. Само же распространение такого антивируса было достаточно дорогим и долгим занятием, так как антивирусы записывались на дискеты и высылались своим подписчикам в разные уголки мира. Естественно, такая доставка была достаточно долгой, и было весьма сложно своевременно получить нужную копию антивируса. Часто бывало и так, что жители особо удаленных мест от места отсылки дискеты с антивирусом к моменту получения антивируса были заражены парой еще других вирусов. Все это создавало плохую репутацию для антивирусов, но с развитием сети Интернет антивирусы стали высылать сначала на почтовые ящики пользователей, а потом и появилась возможность динамически обновлять специальные антивирусные базы. Сама же схема работы первых антивирусов была далека от идеала: они не умели постоянно работать на зараженной машине, а были, по сути дела, лишь сканером, который искал определенный вирус и далее пытался с ним справиться. Создатели вирусов нашли достаточно простой способ для борьбы с такими антивирусами: они стали создавать вирусы, которые уничтожали антивирус до того, как им мог воспользоваться пользователь (то есть они просто стирали антивирус с дискеты, которая приходила пользователю). Создатели же антивирусов в свою очередь стали оснащать свои антивирусы специальными "протекторами", которые не позволяли удалить антивирусную программу. Тогда стали появляться вирусы, которые маскировались под системные файлы или папки, а потом начали появляться вирусы, которые даже могли изменять свой собственный код (чтобы антивирус не мог их обнаружить). Но антивирусные программы также совершенствовались (работало правило "на каждый меч найдется свой щит"), и стала очевидна борьба создателей антивирусов с создателями вирусов. В свою очередь пресса стала распространять слухи, что антивирусные компании сами пишут различные вирусы, с целью поддержания интереса к антивирусным программам (в какой-то мере это может быть вполне логичным заключением), но подобные слухи до сих пор не могут найти своего подтверждения. Интересно и то, что создатели антивирусов составляют конкуренцию друг другу в борьбе за покупателей, и поэтому вполне логичным является вывод, что держать несколько антивирусов на компьютере нецелесообразно, так как они будут конфликтовать друг с другом, что будет играть на руку самим вирусам.

Механизм работы современных антивирусов

Современный антивирус является сложным программным средством, которое должно обеспечить надежную защиту компьютерного устройства ( компьютера, карманного компьютера или нетбука) от различных вирусов (зловредных программ). Общая схема антивируса представлена на рисунке ниже:

Рис. 3.1. Схема антивируса

Как видно из схемы, антивирус состоит из следующих частей:

  1. Модуль резидентной защиты
  2. Модуль карантина
  3. Модуль "протектора" антивируса
  4. Коннектор к антивирусу-серверу
  5. Модуль обновления
  6. Модуль сканера компьютера

Модуль резидентной защиты является основным компонентом антивируса, находящийся в оперативной памяти компьютера и сканирующий в режиме реального времени все файлы, с которыми осуществляется взаимодействие пользователя, операционной системы или других программ. Слово "резидентный" означает "невидимый", "фоновый". Резидентная защита проявляет себя только при нахождении вируса. Именно на резидентной защите основывается главный принцип антивирусного ПО — предотвратить заражение компьютера. В ее состав входят такие компоненты, как активная защита (сравнение антивирусных сигнатур со сканируемым файлом и выявление известного вируса) и проактивная защита (совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе).

Модуль карантина является модулем, который отвечает за помещение подозрительных файлов в специальное место, именуемое карантином. Файлы, перемещенные в карантин, не имеют возможности выполнять какие-либо действия (они заблокированы) и находятся под наблюдением антивируса. Антивирус принимает решение поместить файл на карантин при обнаружении в файле признака вирусной деятельности (при этом сам файл с точки зрения антивируса вирусом в этом случае не является, просто файл является потенциальной угрозой), либо если файл действительно заражен вирусом, но его необходимо излечить, а не удалять целиком (например, важный документ пользователя, в который попал вирус). В последнем случае файл будет помещен в карантин для последующего излечения от вируса (если же антивирус не сможет вылечить файл, его придется удалить, либо оставить, в надежде на то, что с новым обновлением антивирус сможет вылечить этот файл). Обычно карантин создается в особой папке антивирусной программы, которая изолирована от каких-либо действий, кроме действий со стороны антивируса.

Модуль протектора антивируса является модулем, который защищает антивирус от стороннего вмешательства со стороны различных программных средств. Этот модуль является защитником антивируса. Часто вирусы хотят стереть антивирус или предотвратить его работу путем блокировки антивируса. Модуль протектора антивируса не даст это сделать. Впрочем, не все современные антивирусы снабжены качественными протекторами. Некоторые из них ничего не могут сделать против современных вирусов, а вирусы в свою очередь могут спокойно и беспрепятственно полностью стереть антивирус. Также появились вирусы, которые имитируют удаление антивируса со стороны пользователя, то есть протектор антивируса считает, что сам пользователь по каким-либо причинам хочет удалить антивирус, и поэтому не препятствует этому, хотя на самом деле это деятельность вируса. В настоящее время антивирусные компании стали более серьезно подходить к выпуску протекторов, и становится очевидно, что если антивирус не будет иметь хороший протектор, его эффективность в борьбе с вирусами будет очень мала.

Коннектор к антивирусу-серверу является важной частью антивируса. Коннектор служит для соединения антивируса к серверу, с которого антивирус может скачать актуальные базы с описанием новых вирусов. При этом соединение должно проходить по специальному защищенному Интернет-каналу. Это очень важный момент, так как злоумышленник может подложить неверные антивирусные базы с лживым описанием вирусов, если антивирус будет соединяться с сервером по незащищенному Интернет-каналу. Также в современных антивирусах коннектор служит еще и для соединения к специальному серверу, который управляет антивирусом. Подобное соединение изображено на рисунке ниже:

Рис. 3.2. Схема соединения к серверу

Как видно из рисунка, коннектор позволяет соединять множество антивирусов пользователей с единым антивирусом-сервером, с которого антивирусы пользователя могут скачивать обновления, а также если на стороне антивируса пользователя возникли какие-либо неразрешимые проблемы, то антивирус-сервер будет удаленно их решать (например, у антивируса пользователя стал неисправен какой-либо из модулей и антивирус-сервер предоставит этот модуль отдельно для скачивания). В этом случае также очень важную роль играет защищенность канала передачи (канала связи) информации. Со стороны злоумышленников стала применяться интересная практика, в результате которой захватывается контроль над самим каналом передачи информации, и фактически злоумышленник становится управляющим для антивирусов пользователя (для всех или частично, в зависимости от того, какой именно участок канала передачи будет перехвачен злоумышленником). В свою очередь, создатели антивирусов стали зашифровывать данные на канале информации, чтобы злоумышленник не мог получить к ним доступ и как-либо завладеть ими.

Модуль обновления отвечает за то, чтобы обновление антивируса, его отдельных частей, а также его антивирусных баз прошло правильно. В современной практике создания антивирусов стала применяться следующая идея: модуль обновления также должен определять подлинные или нет антивирусные базы скачивает сам модуль. Подлинность при этом может проверяться различными методами - от проверок контрольной суммы файла с базами до поиска внутри файла с базами специальной метки, которая говорит о том, что этот файл является подлинным. Подобные действия стали вводиться после того, как участились случаи подмены антивирусных баз со стороны злоумышленников.

Модуль сканера компьютера является, пожалуй, самым старым модулем в современных антивирусах, так как раньше антивирусы состояли только из этого модуля. Этот модуль отвечает за то, чтобы сканировать компьютер на наличие вирусов, если этого будет требовать пользователь компьютера. Сам модуль при сканировании компьютера использует антивирусные базы, которые были добыты с помощью модуля обновления антивируса. Если сканер найдет, но не справится с вирусом сразу же, то он поместит файл с вирусом в карантин. Потом, впоследствии, модуль сканера компьютера может связаться через коннектор с антивирусом-сервером и получить инструкции по обезвреживанию зараженного файла. Следует отметить, что модуль сканера компьютера предназначен для профилактики компьютера от вирусов, так как основную защиту представляет модуль резидентной защиты. В модуле сканера компьютера используются только антивирусные базы, в которых четко описаны вирусы. Различные элементы проактивной защиты (например, эвристика) не используются в модуле сканера компьютера. Обычно создатели вирусов не строят специальную защиту для своих вирусов от модулей сканера компьютера, так как знают, что пользователь не часто проверяет компьютер сканером, и этого промежуточного времени от проверки до проверки хватит, чтобы украсть персональные данные пользователя.

www.intuit.ru

НОУ ИНТУИТ | Лекция | Использование антивирусных программ

Аннотация: В лекции приведены знания, касающиеся антивирусных программ: история антивирусных программ, сведения о надежности и механизмах работы современных антивирусных программ, а также основные моменты использования современных антивирусных программ.

Цель лекции: предоставить читателю знания об антивирусных программах.

Антивирусные программы (далее антивирусы) являются основной частью современной антивирусной защиты (если рассматривать антивирусную защиту как комплекс программ, которые противостоят зловредным программам). Как правило, их мощностей хватает, чтобы справиться с большинством зловредных программ, но иногда бывает и так, что по тем или иным причинам, они справиться не могут (в целях удобства для чтения все типы зловредных программ будем называть общим понятием вирусы). А с чего началась эта борьба антивирусов с различными вирусами?

История возникновения антивирусных программ

Самый первый вирус, действовавший уже точно на поражение, появился в конце 60-ых. Ему пожертвовали тот же компьютер, на котором его и создали (впервые, с целью развлечения). Но все эти развлечения, может, так и остались бы только игрушками программистов, если бы не рождение Интернета. Еще в 1975 году через сеть Telenet разошелся и самый первый сетевой вирус "The Creeper", и впервые была создана программа - антивирус "Reeper". Но уже в следующем десятилетии Ф. Коэн делал эксперименты с программами, которые смогут размножаться и иметь возможность распространиться, его "детище" создавало свои копии и находило выходы для них в большую компьютерную сеть. Так по этому принципу вирусы распространились и в наше время через глобальную сеть. А тогда, в 1984 г., Коэн выступил на седьмой конференции по безопасности информации в Соединенных Штатах, высказывая свои мысли по поводу новой угрозы в этой сфере деятельности. Также два брата Амджад в Пакистане в 86 г открыли неизвестный доселе вирус. Братья торговали программным обеспечением и вдруг нечаянно увидели, что кто-то его несанкционированно копирует и множит, лишая их честно заработанных денег. Чтобы как-нибудь остановить любителей "халявы", они написали программку "THE BRAIN" и внедрили ее в свои работы. Она стала активной при попытке копирования. Именно это было началом и прообразом всех будущих вирусов. THE BRAIN резко перешел границу Пакистана и поверг в шок неготовый к этому необычному явлению мир. А уже в 1987 году появилась первая литература о вирусах и борьбе с ними. С этого момента стало абсолютно очевидно, что для борьбы с вирусами необходимо создавать специальные программы "антивирусы", которые могли бы бороться с вирусами, тем самым "леча" зараженную машину. Первые антивирусы были далеки от современных антивирусных программ. Фактически, они были одноразовыми программами, которые предназначались для лечения определенного вируса. Само же распространение такого антивируса было достаточно дорогим и долгим занятием, так как антивирусы записывались на дискеты и высылались своим подписчикам в разные уголки мира. Естественно, такая доставка была достаточно долгой, и было весьма сложно своевременно получить нужную копию антивируса. Часто бывало и так, что жители особо удаленных мест от места отсылки дискеты с антивирусом к моменту получения антивируса были заражены парой еще других вирусов. Все это создавало плохую репутацию для антивирусов, но с развитием сети Интернет антивирусы стали высылать сначала на почтовые ящики пользователей, а потом и появилась возможность динамически обновлять специальные антивирусные базы. Сама же схема работы первых антивирусов была далека от идеала: они не умели постоянно работать на зараженной машине, а были, по сути дела, лишь сканером, который искал определенный вирус и далее пытался с ним справиться. Создатели вирусов нашли достаточно простой способ для борьбы с такими антивирусами: они стали создавать вирусы, которые уничтожали антивирус до того, как им мог воспользоваться пользователь (то есть они просто стирали антивирус с дискеты, которая приходила пользователю). Создатели же антивирусов в свою очередь стали оснащать свои антивирусы специальными "протекторами", которые не позволяли удалить антивирусную программу. Тогда стали появляться вирусы, которые маскировались под системные файлы или папки, а потом начали появляться вирусы, которые даже могли изменять свой собственный код (чтобы антивирус не мог их обнаружить). Но антивирусные программы также совершенствовались (работало правило "на каждый меч найдется свой щит"), и стала очевидна борьба создателей антивирусов с создателями вирусов. В свою очередь пресса стала распространять слухи, что антивирусные компании сами пишут различные вирусы, с целью поддержания интереса к антивирусным программам (в какой-то мере это может быть вполне логичным заключением), но подобные слухи до сих пор не могут найти своего подтверждения. Интересно и то, что создатели антивирусов составляют конкуренцию друг другу в борьбе за покупателей, и поэтому вполне логичным является вывод, что держать несколько антивирусов на компьютере нецелесообразно, так как они будут конфликтовать друг с другом, что будет играть на руку самим вирусам.

Механизм работы современных антивирусов

Современный антивирус является сложным программным средством, которое должно обеспечить надежную защиту компьютерного устройства ( компьютера, карманного компьютера или нетбука) от различных вирусов (зловредных программ). Общая схема антивируса представлена на рисунке ниже:

Рис. 3.1. Схема антивируса

Как видно из схемы, антивирус состоит из следующих частей:

  1. Модуль резидентной защиты
  2. Модуль карантина
  3. Модуль "протектора" антивируса
  4. Коннектор к антивирусу-серверу
  5. Модуль обновления
  6. Модуль сканера компьютера

Модуль резидентной защиты является основным компонентом антивируса, находящийся в оперативной памяти компьютера и сканирующий в режиме реального времени все файлы, с которыми осуществляется взаимодействие пользователя, операционной системы или других программ. Слово "резидентный" означает "невидимый", "фоновый". Резидентная защита проявляет себя только при нахождении вируса. Именно на резидентной защите основывается главный принцип антивирусного ПО — предотвратить заражение компьютера. В ее состав входят такие компоненты, как активная защита (сравнение антивирусных сигнатур со сканируемым файлом и выявление известного вируса) и проактивная защита (совокупность технологий и методов, используемых в антивирусном программном обеспечении, основной целью которых является предотвращение заражения системы пользователя, а не поиск уже известного вредоносного программного обеспечения в системе).

Модуль карантина является модулем, который отвечает за помещение подозрительных файлов в специальное место, именуемое карантином. Файлы, перемещенные в карантин, не имеют возможности выполнять какие-либо действия (они заблокированы) и находятся под наблюдением антивируса. Антивирус принимает решение поместить файл на карантин при обнаружении в файле признака вирусной деятельности (при этом сам файл с точки зрения антивируса вирусом в этом случае не является, просто файл является потенциальной угрозой), либо если файл действительно заражен вирусом, но его необходимо излечить, а не удалять целиком (например, важный документ пользователя, в который попал вирус). В последнем случае файл будет помещен в карантин для последующего излечения от вируса (если же антивирус не сможет вылечить файл, его придется удалить, либо оставить, в надежде на то, что с новым обновлением антивирус сможет вылечить этот файл). Обычно карантин создается в особой папке антивирусной программы, которая изолирована от каких-либо действий, кроме действий со стороны антивируса.

Модуль протектора антивируса является модулем, который защищает антивирус от стороннего вмешательства со стороны различных программных средств. Этот модуль является защитником антивируса. Часто вирусы хотят стереть антивирус или предотвратить его работу путем блокировки антивируса. Модуль протектора антивируса не даст это сделать. Впрочем, не все современные антивирусы снабжены качественными протекторами. Некоторые из них ничего не могут сделать против современных вирусов, а вирусы в свою очередь могут спокойно и беспрепятственно полностью стереть антивирус. Также появились вирусы, которые имитируют удаление антивируса со стороны пользователя, то есть протектор антивируса считает, что сам пользователь по каким-либо причинам хочет удалить антивирус, и поэтому не препятствует этому, хотя на самом деле это деятельность вируса. В настоящее время антивирусные компании стали более серьезно подходить к выпуску протекторов, и становится очевидно, что если антивирус не будет иметь хороший протектор, его эффективность в борьбе с вирусами будет очень мала.

Коннектор к антивирусу-серверу является важной частью антивируса. Коннектор служит для соединения антивируса к серверу, с которого антивирус может скачать актуальные базы с описанием новых вирусов. При этом соединение должно проходить по специальному защищенному Интернет-каналу. Это очень важный момент, так как злоумышленник может подложить неверные антивирусные базы с лживым описанием вирусов, если антивирус будет соединяться с сервером по незащищенному Интернет-каналу. Также в современных антивирусах коннектор служит еще и для соединения к специальному серверу, который управляет антивирусом. Подобное соединение изображено на рисунке ниже:

Рис. 3.2. Схема соединения к серверу

Как видно из рисунка, коннектор позволяет соединять множество антивирусов пользователей с единым антивирусом-сервером, с которого антивирусы пользователя могут скачивать обновления, а также если на стороне антивируса пользователя возникли какие-либо неразрешимые проблемы, то антивирус-сервер будет удаленно их решать (например, у антивируса пользователя стал неисправен какой-либо из модулей и антивирус-сервер предоставит этот модуль отдельно для скачивания). В этом случае также очень важную роль играет защищенность канала передачи (канала связи) информации. Со стороны злоумышленников стала применяться интересная практика, в результате которой захватывается контроль над самим каналом передачи информации, и фактически злоумышленник становится управляющим для антивирусов пользователя (для всех или частично, в зависимости от того, какой именно участок канала передачи будет перехвачен злоумышленником). В свою очередь, создатели антивирусов стали зашифровывать данные на канале информации, чтобы злоумышленник не мог получить к ним доступ и как-либо завладеть ими.

Модуль обновления отвечает за то, чтобы обновление антивируса, его отдельных частей, а также его антивирусных баз прошло правильно. В современной практике создания антивирусов стала применяться следующая идея: модуль обновления также должен определять подлинные или нет антивирусные базы скачивает сам модуль. Подлинность при этом может проверяться различными методами - от проверок контрольной суммы файла с базами до поиска внутри файла с базами специальной метки, которая говорит о том, что этот файл является подлинным. Подобные действия стали вводиться после того, как участились случаи подмены антивирусных баз со стороны злоумышленников.

Модуль сканера компьютера является, пожалуй, самым старым модулем в современных антивирусах, так как раньше антивирусы состояли только из этого модуля. Этот модуль отвечает за то, чтобы сканировать компьютер на наличие вирусов, если этого будет требовать пользователь компьютера. Сам модуль при сканировании компьютера использует антивирусные базы, которые были добыты с помощью модуля обновления антивируса. Если сканер найдет, но не справится с вирусом сразу же, то он поместит файл с вирусом в карантин. Потом, впоследствии, модуль сканера компьютера может связаться через коннектор с антивирусом-сервером и получить инструкции по обезвреживанию зараженного файла. Следует отметить, что модуль сканера компьютера предназначен для профилактики компьютера от вирусов, так как основную защиту представляет модуль резидентной защиты. В модуле сканера компьютера используются только антивирусные базы, в которых четко описаны вирусы. Различные элементы проактивной защиты (например, эвристика) не используются в модуле сканера компьютера. Обычно создатели вирусов не строят специальную защиту для своих вирусов от модулей сканера компьютера, так как знают, что пользователь не часто проверяет компьютер сканером, и этого промежуточного времени от проверки до проверки хватит, чтобы украсть персональные данные пользователя.

www.intuit.ru

Принципы работы антивируса

Антивирус – программа, ищущая вирусы, трояны, червей, бэкдоры и прочее нежелательное ПО на компьютере пользователя. Как правило антивирусы разрабатываются для семейства ОС Windows, что как бы намекает на следующие особенности этой операционки: а) большую распространенность, б) большую уязвимость к атакам, в) большую перспективность рынка антивирусов из-за высокой коммерциализации (а Windows – в большинстве релизов платная ОС) и г) увы, малую компьютерную грамотность её пользователей.

Антивирусы бывают платные и бесплатные. Подробно о плюсах и минусах обоих категорий мы говорить здесь не будем, замечу только лишь, что все не так однозначно, как может показаться на первый взгляд.

Если посмотреть со стороны на работу антивируса, его самого можно легко принять за вирус, но только со знаком плюс. Методы работы антивируса – слежение за сетевым трафиком, прослушивание портов, контроль служб, модификация и удаление файлов, сбор статистики и отправка данных разработчику ПО, изрядное потребление вычислительных мощностей… Разве что вывода из строя оборудования не хватает! Разумеется, все это направлено во благо пользователя и во имя сохранения его данных, но общая картина по меньшей мере любопытна. Кстати, именно из-за этой особенности крайне не рекомендуется устанавливать на одну машину сразу два антивируса. Мало того, что это без танцев с бубном редко кому удастся, так и последствия их совместной «работы» могут быть самыми причудливыми, вплоть до летальных для ОС.

В массовом сознании накрепко засел миф, что многие вирусы созданы самими антивирусными компаниями, точки над «i» в этом вопросе расставит неплохая статья здесь.

Разные антивирусы по-разному борются с вредоносным ПО. Все антивирусы могут обнаруживать вирусы, но, к сожалению, не все эффективно лечить. В состав антивируса могут входить несколько модулей, в зависимости от релиза и того, на что способна контора-разработчик антивируса. Модули могут быть следующие: модуль поиска нежелательного ПО, модуль анализа подозрительного поведения программ (эвристический модуль), карантинный модуль для изоляции подозрительных файлов, модуль обновлений – для поддержания актуальности новым угрозам, модуль «исцеления» зараженных файлов, брандмауэр, он же файрвол, и некоторые другие.

Антивирус не является панацеей! Это один из множества «бойцов», брошенных в бой с угрозами безопасности в бесконечной войне за информацию, причем не самый сильный. Никакой антивирус не дает 100% защиты в силу особенностей его функционирования.

К сожалению, большая часть работы антивируса направлена на устранение последствий «негигиеничной» рискованной, а иногда, увы, попросту неграмотной работы пользователя в Интернете, с внешними носителями данных и неизвестными приложениями.

Основные методы борьбы с вирусами

Сигнатурный метод обнаружения

Наверняка вы встречались с сообщениями антивируса, например, Антивируса Касперского, о том, что антивирусные базы устарели и их необходимо обновить. О каких базах идет речь?

Антивирусная лаборатория – разработчик антивируса – выявляет вирус, анализирует его, и выявляет так называемую сигнатуру. Сигнатура вируса (сигнатура атаки) – особый цифровой признак вредоносной программы, по которому её можно «узнать» и однозначно определить. Эти сигнатуры вносятся в базу данных, чье обновление регулярно скачивает пользователь вручную или по расписанию. Сообщение от антивируса об устаревании базы вирусов сигнализирует об ослаблении защиты и повышении вероятности подхватить какой-нибудь «свежак».

Достоинства этого метода:

  1. Отработанная надежность. Метод применяется давно и с успехом, можно сказать что это основной метод обнаружения вируса.
  2. Высокое быстродействие.

Недостатки:

  1. Проблема лавинообразного увеличения сигнатур. Виноваты и рост количества новых вирусов и способность видоизменяться у «старых». В итоге базы сигнатур вырастают до неприличных размеров, так что теряется второе достоинство метода. Ситуацию разрешают путем особых оптимизаций, когда одна сигнатура описывает сразу множество вирусов, однако при этом возникает проблема ложных срабатываний, что уменьшает первое достоинство.
  2. Проблема выявления новых вирусов. Считается, что сами пользователи вносят слишком маленький вклад в увеличение базы данных вирусов. То есть обнаружение новых вирусов – это как будто бы проблема разработчиков антивируса, что с одной стороны кажется справедливым, с другой является нарушением принципа «безопасность – дело каждого». Во многих антивирусах встроена функция «отправить на проверку», которой следует невозбранно пользоваться. Основные методы решения проблемы – это взаимный обмен информацией с другими антивирусными конторами, эвристический, (то есть интеллектуальный, использующих особый алгоритм) поиск вирусов в Интернете, быстрая реакция во время эпидемий и сознательность системных инженеров, анализирующих подозрительную активность в сети.

Эвристические методы обнаружения

Многие антивирусные программы содержат в себе модуль так называемого эвристического поиска вредоносных программ. Суть метода в анализе поведения всех запускаемых программ. Если в процессе работы системы вдруг обнаруживается «подозрительное» поведение приложения, то есть программа вдруг начинает делать то, что раньше не делала, то срабатывает тревога и эвристический модуль сообщает пользователю о потенциальной угрозе.

Достоинства метода:

  1. Весьма перспективное направление, в будущем возможности эвристического модуля возрастут и компьютер и информация будут лучше защищены от неожиданных и новейших угроз.
  2. Эвристический модуль может реагировать на угрозы, информации о которых нет в базе сигнатур.

Недостатки метода:

  1. Ложное срабатывание на безопасные события. В итоге пользователь может в раздражении отключить эвристический модуль, уменьшив защиту.
  2. Из-за особенностей работы эвристического модуля есть проблема излишнего потребления вычислительных мощностей. Попросту говоря, антивирус сжирает всю память и процессор, в итоге не то что в игры не поиграешь, в Word`е толком не поработаешь. Итог тот же – отключение модуля и уменьшение защиты.

Брандмауэр или файрвол

Брандмауэр предназначен для защиты от сетевых угроз – из локальной сети и Интернета.

Этот модуль далеко не всегда входит в стандартный набор антивируса, зачастую брандмауэр разрабатывается, поставляется и продается как отдельная программа.

Многие программы для соединения с удаленными компьютерами или серверами могут использовать небезопасные методы, оставляя «дырки» и уязвимости для проникновения извне.

Суть работы брандмауэра в контроле как входящего, так и исходящего трафика путем ограничения возможности устанавливать соединения с определенными удаленными ресурсами. Самый наглядный метод защиты – белые и черные списки сетевых ресурсов.

«Черный» список сетевых ресурсов – это список, например, сайтов, куда заходить нельзя, а «белый» список – это список ресурсов, куда только и можно заходить. Как нетрудно заметить, метод белого списка значительно более безопасен, но и сильно ограничивает возможности пользователя и программ.

Достоинства брандмауэра:

  1. Настройки брандмауэра позволяют обеспечить возможность сетевого взаимодействия только с проверенными ресурсами, отсекая все потенциально опасные и непроверенные.
  2. Может быть установлен на сетевом шлюзе локальной сети, то есть на сервере, «раздающем» доступ в Интернет компьютерам, например, школы, при этом не тратя вычислительные ресурсы пользовательских машин.

Недостатки брандмауэра:

  1. Недостаток брандмауэра логически вытекает из его достоинства: для качественной настройки файрвола требуются хорошие знания сетевых протоколов и особенностей работы сетевых приложений. Брандмауэр, работающий с настройками «по умолчанию» мало от чего способен защитить.

security.mosmetod.ru