Как называлась первая антивирусная программа
История развития антивирусов
Чтобы ощутить схожесть компьютерных сетей с человеческим организмом, погружаться в «Матрицу» совершенно не обязательно. Многие термины и вовсе переходят прямиком из биологического словаря в словарь технический, причем без изменений.
К примеру, когда в человеческий организм попадают вредоносные элементы, закономерно вырабатываются антитела. Таким же примерно образом в случае внедрения фрагментов опасного кода в компьютерный организм тут же срабатывает программа, которая начинает борьбу с ним.
В обоих случаях речь идет об антивирусной защите. На сегодняшний день история развития подобных программ не менее насыщена, чем история самих вирусов.
Первые антивирусные программы появились еще зимой 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу) под названиями CHK4BOMB и BOMBSQAD. Их написал американский программист Энди Хопкинс (Andy Hopkins).
CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявить все текстовые сообщения и «подозрительные» участки кода. Программа BOMBSQAD перехватывала операции записи и форматирования, выполняемые через BIOS. При выявлении запрещенной операции можно было разрешить или запретить ее выполнение.
Первый антивирус в современном понимании этого термина, то есть резидентный, «защищающий» от вирусных атак, появился в 1985 году. Программа DRPROTECT создана усилиями Джи Вонг (Gee Wong). Разработка блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.
Антивирусные программы до начала 90-х годов представляли собой, по сути, набор из нескольких десятков сигнатур (образцов вирусного кода), которые хранились в теле программы.
Предполагалась также процедура поиска этих сигнатур в файлах. Причем зачастую эти сигнатуры разработчики даже не шифровали. Получалось так, что порой один антивирус легко мог «найти вирус» в другом. Усложнение ситуации с вирусами повлекло за собой и усложнение программ, которые были призваны бороться с ними. Как это обычно бывает, совсем скоро инициатива по разработке и впоследствии продаже антивирусных программ перешла к большим компаниям, состоящим, естественно, более чем из одного программиста-энтузиаста. С гордостью стоит отметить, что в развитии этой индустрии одну из ведущих ролей сыграли программисты из России.
В 1992 году появилась программа MtE — генератор полиморфного (постоянно меняющегося) кода, которым мог воспользоваться не только опытный, но и любой начинающий программист.
Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные способы борьбы, такие как усложнение алгоритмических языков сверки кода, — перестали работать. Спасло ситуацию только появление эмулятора кода. Система «снимала» зашифрованную часть полиморфного вируса и добиралась до постоянного тела вируса. Первой антивирусной программой с эмулятором стал AVP Евгения Касперского.
Помимо эмулятора кода, позволившего антивирусам подстроиться под стремительно набиравшую обороты «индустрию вирусов», примерно в то же время появились такие системы защиты, как криптоанализ, статистический анализ, эвристический анализатор и поведенческий блокиратор. Расписывать, в чем заключается их суть, мы не будем, отметим только, что на их принципах, заданных уже более 15 лет назад, антивирусы большей частью «выезжают» до сих пор.
С появлением Windows с присущей ей многозадачностью и разветвленной системой сложных программ появились новые требования к производителям антивирусов. Среди них — необходимость проверять файлы «на лету» (в момент обращения к ним) и хорошая работа с программами, такими как Microsoft Office. Количество разработчиков антивирусов тогда резко сократилось ввиду более строгих требований к ним, предъявляемых временем.
Правда, и прибыль их существенно выросла. На широкое распространение Интернета и следующего за ним по пятам развития вредоносных (шпионских) программ, маскирующихся под самые обыкновенные, разработчики антивирусного ПО ответили внедрением «защиты шлюзов, периметра» — файерволов. На данный момент борьба с вирусами продолжается. Сейчас во всем мире работает около 60 компаний, разрабатывающих антивирусное ПО.
Но ситуация может измениться — рынок антивирусов, лучшие образчики которых всегда были платными, взрывает Microsoft своим совершенно бесплатным Microsoft Security Essentials, разработанным опытнейшими специалистами на основе наработок, примененных в продуктах для безопасности бизнеса — Forefront. По качеству и уровню защиты Microsoft Security Essentials не уступает платным аналогам. Вслед за тем, как Сеть пришла в каждый дом, становятся легкодоступными и антивирусы.
Правда, при одном условии: версия Windows должна быть лицензионной.
Как называлась первая антивирусная программа
Краткая история возникновения и развития антивирусов
Первые вирусы и антивирусы, их развитие и совершенствование.
Появление первого вируса для компьютеров Apple относится еще к 1977 году. В 1981 году уже известно о появлении вирусных программ, которые представляли серьезную угрозу данным. В 1984 году Энди Хопкинсом были созданы самые первые антивирусные программы с названиями CHK4BOMB и BOCHK4BOMB. Программа CHK4BOMB производила сканирование текста модуля загрузки для обнаружения подозрительных участков и текстовых сообщений в коде. Программа BOCHK4BOMB осуществляла перехват записи и форматирования, выполняемых через BIOS. Нежелательную операцию можно было как запретить, так и разрешить. Первая антивирусная программа для защиты от атак вирусов была создана Джи Вонгом в 1985 году и носила название DRPROTECT. Она блокировала все операции (форматирование, запись), выполняемые через BIOS. При обнаружении какой-нибудь операции требовалась перезагрузка системы.
Антивирусы до 90-годов являлись своеобразным набором образцов вирусных кодов, сохраняемых непосредственно в самой программе. В антивирусе предполагался поиск в файлах сохраненных образцов. Но подобные образцы не шифровались создателями, поэтому антивирусные программы при сканировании друг друга находили их и относили к вирусам. Со временем интерес к антивирусным программам стали проявлять крупные компании, имеющие в наличии огромный штат программистов. Большая роль развития антивирусов принадлежит русским программистам. В 1992 году создается новый антивирус MtE, доступный как опытному, так и начинающему программисту. MtE выступал в роли генератора полиморфного (постоянно меняющегося) кода. Полиморфные вирусы появлялись буквально каждый день. Исправить ситуацию смог эмулятор кода, благодаря которому антивирусная программа обходила стороной зашифрованную часть и подбиралась к самому вирусу. Первой подобной программой с эмулятором кода является AVP (создана программистом Касперским), которая прекрасно боролась с увеличивающимся количеством вирусов.
Одновременно появились и системы защиты (поведенческий блокатор, статистический анализ, эвристический анализатор и криптоанализ), принцип работы которых используется и по сей день. Появление многозадачной системы Windows и сложных программ усилило требования, предъявляемые к антивирусным программам, одной из задач которых являлась организация проверки файлов при обращении к ним. Быстрое распространение Интернета и появление вирусов, маскирующихся под стандартные программы, подтолкнуло разработчиков антивирусного программного обеспечения на внедрение файерволов. Сегодня также продолжается борьба с вирусными программами. В настоящее время известно о наличии около 60 компаний, занимающихся разработкой новых антивирусов как платного, так и бесплатного характера. Стоит отметить российских флагманов антивирусной индустрии Dr. Web и Лаборатория Касперского.
Какими были первые компьютерные вирусы и антивирусы? И что сегодня умеют самые продвинутые из них?
Какие страны могут гордиться разработчиками антивирусных программ? Спойлер: это не только США и Россия. Почему антивирус, написанный Евгением Касперским в 1992 году, был действительно крут? И что умеют современные антивирусы, которые уже выросли из этого узкого определения?
Как игра стала прототипом вируса…
Прообразом компьютерного вируса иногда называют игру Darwin, которую создали американские программисты для компьютеров IBM 7010 в 1961 году. В ней было несколько ассемблерных программ – так называемых «организмов», которые боролись друг с другом за место в памяти. Победитель должен был забрать себе пространство, уничтожив при этом конкурентов.
… и как появился прообраз антивируса
В 1970-х годах в США появилось еще несколько программ, которые тоже относились к прототипам. Программу Creeper можно было запускать на удаленном компьютере. При этом на терминале появлялось сообщение (или печатался текст) вроде: «Я Крипер. Поймай меня, если сможешь».
А программист Рэй Томлинсон (он, кстати, изобрел электронную почту) в пику ему придумал программу Reaper — прообраз антивируса. Reaper перемещался по сети и, обнаружив Creeper, удалял его.
Эти ранние разработки, которые умели уничтожать что-то на компьютере с помощью кода, все же не считаются полноценными вирусами, потому что они не были способны масштабироваться. Киберугрозы, близкие к современным, пришли с началом эры домашних компьютеров.
Зачем школьник написал первый вирус для Apple?
В 1977 году Стив Джобс и Стив Возняк представляют в Сан-Франциско ПК Apple II, изменивший мир вычислительной техники. Эта модель в отличие от многих ранних машин выглядела, как компьютер, а не какое-то громоздкое лабораторное оборудование. Apple II подходил для игр, а еще к нему можно было подключать периферийные устройства — модемы, принтеры. «Яблочный» ПК начали покупать для домашнего использования и устанавливать в школах.
Спустя четыре года 15-летний американец Рич Скрента написал специальный вирус Elk Cloner, атакующий Apple II. Именно эта вредоносная программа считается первым настоящим вирусом. Она умела распространяться in the wild (в диких условиях), то есть обнаруживалась на компьютерах пользователей, а не в той системе, где была создана.
Рич не преследовал корыстных целей, как современные хакеры, требующие у жертв выкуп в биткоинах. Он просто хотел поиграться с кодом. Elk Cloner заражал магнитные дискеты не с целью повредить их, хотя так иногда происходило, а для забавы. Кстати, после 50-й загрузки он выводил на дисплей стишок:
It will get on all your disks
It will infiltrate your chips
Похожих программ было довольно много в те годы. И, как в случае с разработкой Рича, они создавались just for fun. Только в конце 80-х в обществе заговорят о компьютерных вирусах, как о серьезных угрозах.
Вирус для наказания «пиратов»
В 1987 году Базит и Амджан Алви из Пакистана написали вирус Brain уже не с целью поиграться с кодом, а с конкретной задачей — защитить свои авторские права. Алви делали медицинское программное обеспечение, а пираты наживались на распространении нелегальных копий. Братья научили Brain отслеживать эти копии. В случае их обнаружения вирус замедлял работу дискет и выдавал на экран ПК контакты разработчиков и короткий текст, объясняющий, что происходит. Вы, мол, пользуетесь пиратским софтом, не надо так.
Brain, если не считать замедление работы ПК, был безвредным, он не уничтожал и не воровал информацию. Иногда пользователи даже не замечали его. Однако вирус вышел за пределы Пакистана и заразил тысячи ПК в разных странах.
Первые массовые эпидемии
В 1991 году в Австралии появился вирус, который смог заразить более миллиона компьютеров по всему миру. Программа Michelangelo была написана для IBM-совместимых ПК и операционной системы DOS.
Каждый год, 6 мая, в день рождения художника Микеланджело Буонаротти, программа срабатывала и стирала данные на главной загрузочной области жесткого диска. Информацию можно было восстановить, но обычные пользователи с такой задачей не справлялись. Автор вируса остался неизвестен, а случаи обнаружения Michelangelo фиксировались еще в течение шести лет.
В 1997 году корейский студент написал вирус «Чернобыль» — он срабатывал 26 апреля в день годовщины катастрофы на ЧАЭС и заражал компьютеры с ОС Windows 95 и 98. Умел стирать загрузочную область жесткого диска, реже — данные BIOS. Во втором случае требовалось менять чип на материнской плате или вообще выбрасывать компьютер. Всего «Чернобыль» заразил 60 миллионов устройств.
Вирусы, атаковавшие «Роснефть» и МВД РФ
В 2017 году произошли две заметные атаки, которые повлияли на работу российских предприятий.
12 мая программа-вымогатель WannaCry атаковала инфраструктуру организаций в 72 странах мира. Его первыми жертвами стали пользователи в Испании, но больше всего пострадали пользователи в России, Украине и Индии. WannaCry — это сетевой червь, он сумел атаковать МВД РФ, «Мегафон» и «Сбербанк».
В том же году вирус NonPetya атаковал российские организации «Роснефть», «Башнефть», Mars, Nivea, Mondelez International (производитель Alpen Gold). Также пострадали украинские компании – «Киевстар», «Укртелеком», «Приватбанк» и другие.
Обе программы — WannaCry и NonPetya — блокировали компьютеры и требовали за восстановление работы выкуп в биткойнах.
Сейчас с каждым годом киберугрозы эволюционируют. Они уже давно не ограничиваются только компьютерными вирусами. Число угроз растет не только для ПК, а для смартфонов и интернета вещей. Поэтому системы защиты становятся все важнее и для компаний, и для рядовых пользователей.
Какими были первые антивирусы?
В 1984 году программист Энди Хопкинс создал две программы, действующие по принципу антивируса. CHK4BOMB могла проанализировать текст загрузочного модуля и обнаружить подозрительные участки кода. BOMBSQAD находила операции, совершаемые через BIOS, и могла запретить выполнение.
А в 1985 году Джи Вонг написал программу DRPROTECT, которую считают первым настоящим антивирусом. Софт умел блокировать любые попытки записи на дискеты и винчестер.
С каждым годом угрозы становились более разнообразными. В 1992 году к ужасу разработчиков появилась программа MtE — генератор полиморфного (постоянно меняющегося) кода. С ее помощью любой чайник мог написать сложный вирус. Угрозы появлялись чуть ли не каждый день, обычные антивирусы перестали с ними справляться — они не могли пробраться через зашифрованную полиморфную часть к телу вредоноса. Но скоро появилось более продвинутое решение проблемы.
Антивирус смотрит за его поведением и при обнаружении чего-то необычного изолирует для проведения дополнительных исследований. Это было прорывом в борьбе с киберугрозами.
— Эксперты начали восторгаться детектом нашего антивируса, да, тогда он ещё был антивирусом, — вспоминает Евгений Касперский, — который рвал конкурентов в независимых тестах, в том числе благодаря работе эмулятора.
Какие системы защиты лучшие в наше время?
Сегодня существует много рейтингов — от подборок удобных бесплатных антивирусов до серьезных исследований, которые проводятся, чтобы понять, какие решения способны защищать от новых и заковыристых киберугроз вроде WannaCry и NonPetya.
Независимая австрийская лаборатория AV-Comparatives в течение года тестирует популярные программы. Эксперты определяют, насколько разные антивирусы способны противостоять известным и новым онлайн-угрозам, не замедляют ли они при этом работу устройств.
Согласно результатам тестирования антивирусов для Windows 10, опубликованным в июне 2019 года, наивысшие баллы у решений «Лаборатории Касперского», F-Secure SAFE, Windows Defender от Microsoft и Norton.
В рейтинге лучших антивирусов для Mac OS по баллам лидирует софт Norton, Trend Micro, Vipre, Bitfinder.
Еще есть рейтинг антивирусов, который Роскачество составило вместе с ICRT (International Consumer Research and Testing Ltd). Лучшие решения для Mac OS: G Data Antivirus for Mac OS, Norton Security Deluxe, Kaspersky Internet Security, Bitdefender Antivirus for Mac и Avira Free Antivirus for Mac. Только последний антивирус бесплатный для установки, первые четыре — платные.
Топ-5 антивирусов для Windows 10, согласно этому же исследованию, — это платная версия BitDefender Internet Security, Kaspersky Internet Security, бесплатный Bitdefender Antivirus Free Edition, антивирус BullGuard Internet Security и Norton Security Deluxe.
Стоит также отметить защитные решения от Avast, которые входят в топы многих других рейтингов и считаются одними из самых популярных в мире.
В каких странах лучшие разработчики?
Возможно, вы думаете, что антивирусы Касперского конкурируют с решениями разработчиков из США? Это было бы логично, ведь там расположены самые заметные технологические компании.
Где действительно появились антивирусы, которые лидируют в рейтингах? Например, BitDefender — это решения румынской компании. Eset — из Словакии. Avast — это чехи. Avira и G Data — разработчики из Германии. Trend Micro — из Японии. F-Secure — финны. Антивирусы Norton делают в американской компании Symantec, также разработчикам из США принадлежат популярные решения Comodo и McAfee. И, кстати, в России есть не только антивирусы Касперского. Dr.Web — тоже отечественная разработка.
Как видите, в разработке софта несколько другой расклад, нежели в производстве компьютеров и смартфонов, где за лидерство борются США, Южная Корея и Китай.
Антивирусы умеют больше
Когда-то люди использовали телефоны, чтобы позвонить, но сегодня смартфон умеет много чего еще, а для звонков используется реже, чем для скроллинга соцсетей. Вот и с антивирусами примерно такая же ситуация. Они борются не только с вирусами — отдельным классом опасностей, но и с любыми киберугрозами, вдобавок, включают множество дополнительных функций.
— Например, менеджер паролей, родительский контроль, резервное копирование и многое другое, — перечисляет в своем блоге Евгений Касперский. — Т. е. если называть антивирус по-новому, то получится что-то вроде Анти-все-плюс-много-чего-еще.
Почитать, какой софт предназначен для защиты бизнеса от сложных киберугроз, можно в нашем тексте про способы обмана искусственного интеллекта.
Как называлась первая антивирусная программа
Более 20 лет компьютерные вирусы досаждают пользователям по всему миру, и более 20 лет антивирусные эксперты борются с ними. За это время антивирусные программы прошли путь от любительских до коммерческих пакетов, приносящих своим авторам миллионы долларов. Однако практически все основные анивирусные технологии были придуманы еще к середине 90-х годов, и последние 10 лет наблюдается лишь экстенсивное их развитие.
Каким будет антивирус завтра? Какие технологии будут использоваться в антивирусе 2010? Что бы лучше понять, почему современные антивирусы такие какие они есть, и в каком направлении развивается мысль авторов и архитекторов антивирусов, полезно сделать краткий экскурс в прошлое и посмотреть какой путь прошли антивирусы.
Антивирусы неразрывным образом связаны со своим антиподом вирусами. Исчезни, вдруг, по какой-либо причине вирусы, нужда в антивирусах бы отпала. Но, к счастью для разработчиков антивирусов, такая ситуация из ряда гипотетических и фантастических. Поэтому, чтобы лучше понять, этапы эволюционного развития антивирусных программ, необходимо рассматривать их совершенствование неотрывно от совершенствования самих вирусов.
Преистория. Конец 80-х. Все первые вирусы были по современным меркам примитивными. Большинство вирусов начального периода заражала исполняемые файлы типа COM, чуть более сложные EXE файлы заражались реже. Причина этому наличие некоторых сложностей, с которыми большинство вирусописателей того периода не могли справиться (шифрование, полиморфизм или другие сложные алгоритмы). В ответ на появление первых вредоносных программ, которые были довольно примитивными, появилось множество таких же примитивных антивирусных программ.
Поток новых вирусов был мизерным несколько вирусов в месяц, никаких сложностей с точки зрения программирования антивируса не было. Все антивирусы того периода отличались лишь алгоритмами обхода дерева каталога, и скорость работы антивируса зависела именно от этого, а не от работы антивирусного движка. Да и движка-то как такового не было. Был набор из нескольких десятков сигнатур, которые хранились в теле программы и процедура поиска этих сигнатур в файлах. Кстати, некоторые разработчики даже не утруждали себя шифрованием сигнатур, поэтому в то время были не редки случаи, когда один антивирус находил вирус в другом антивирусе. Кроме антивирусных сканеров ничего другого тогда не было. И не нужно было.
Каменный век. Начало 90-х. В 1990 г. появилось новое поколение вирусов полиморфные вирусы. Хотя в то время такое слово и не использовалось. Первый представитель этого типа вредоносных программ, Chameleon (С1260, V2P1, V2P2 и V2P6), «эволюционировал»; из двух других ранее известных вирусов Vienna и Cascade. В отличие от Cascade, Chameleon изменял внешний вид как тела вируса, так и самого расшифровщика, ни оставляя ни одного постоянного байта. Антивирусные конференции того периода, были полны восторженных возгласов по поводу сложности и красоты кода. Параллельно разработчики антивирусов обсуждали, как теперь это можно ловить, потому что полиморфизм делал современные антивирусные программы малоэффективными. В Chameleon отсутствовал постоянный вирусный код, что делало разработку новых принципов антивирусной защиты приоритетной задачей.
Разумеется, такие принципы не заставили себя долго ждать, и вскоре антивирусные эксперты изобрели специальные алгоритмические языки, способные распознать в зараженном файле даже полиморфный вирус. Появление первых сколько-нибудь сложных вирусов не смогли пережить многие примитивные антивирусы. Также росло и число вирусов.
Параллельно с разработкой сканеров, шли и эксперименты с другими лекарствами. В начале 90-х были популярны программы вакцины (или вакцинаторы). Идею авторы таких программ подсмотрели в медицине. Нужно заметить, что на ранней стадии развития компьютерной вирусологии довольно много было заимствовано из медицины. Начиная от термина вирус и заканчивая методами лечения и борьбы. Только через несколько лет эксперты отошли от копирования медицинских терминов и методов, а тогда почти все проводили аналогии. Одной из аналогий были вакцины. Они работали по тому же принципу, что и медицинские вакцины делалась некая «прививка» и вирус больше не мог заражать «привитый» или вакцинированный файл. Поводом для разработки вакцин послужил тот факт, что все более-менее разумно написанные вирусы проверяли файл жертву на наличие своей копии, что бы избежать повторного заражения. Для этого обычно применялась некая метка, говорящая о том, что файл уже заражен. Например, знаменитый Иерусалимский вирус добавлял 5 байт к концу зараженного файла «MsDoS».
1992 г. стал переломным годом в эволюции антивирусных средств. Нужно было что-то такое, что помогло бы бороться с полиморфными вирусами. И выход был найден эмулятор кода. Полиморфные вирусы после расшифровки всегда одинаковы и нужно было придумать нечто, что смогло бы «снять» зашифрованную часть и позволило добраться до постоянного тела вируса. Такую операцию делали антивирусные эксперты при анализе вируса, но делали это при помощи отладчика.
Некоторые авторы антивирусов так и поступили добавили возможности отладчика (трассировку исполняемого кода) в свои программы. Это, конечно, облегчило задачу, но вирусописатели довольно быстро научились ускользать из под отладчиков (а это, если честно, не сложно было сделать). Получилось, что авторы антивирусов добились обратного эффекта их программы сами способствовали запуску вирусов. Требовалось что-то другое и этим другим стал эмулятор. Первым антивирусом с эмулятором стал AVP (в 2000 году название программы изменено на Антивирус Касперского). Это сейчас без эмулятора не мыслим современный антивирус, а тогда использование эмулятора было супер новой идеей. Использование эмулятора позволяло обнаружить любой полиморфный вирус того периода.
Появление большого количества полиморфных вирусов отразилось и на молодой антивирусной индустрии. Если до 92-го любой программист мог написать антивирус, который бы справлялся со всеми вирусами того периода, то после MtE таких программистов остались десятки т.к. задача написания эмулятора была не всем под силу.
Конечно же, не только эмулятор использовался для обнаружения полиморфных вирусов. К другим инструментам, использовавшимся (и использующимся) для поиска полиморфных вирусов в начале 90-х, относятся криптоанализ и статистический анализ.
Криптоанализ заключается в следующем: по известному базовому коду вируса и по известному зашифрованному коду (или по «подозрительному» коду, похожему на зашифрованное тело вируса) восстанавливаются ключи и алгоритм программы-расшифровщика. Затем этот алгоритм применяется к зашифрованному участку, результатом чего является расшифрованное тело вируса. При решении этой задачи приходится иметь дело с системой уравнений.
Как правило, этот способ работает значительно быстрее и занимает гораздо меньше памяти, чем эмуляция инструкций вируса. Однако решение подобных систем часто является задачей высокой сложности. Причем основная проблема это математический анализ полученного уравнения или полученной системы уравнений. Т.е. требовалась очень серьезная математическая и криптографическая подготовка эксперта, который бы пользовался этим методом.
Статистический анализ. Во время своей работы сканер анализирует частоту использования команд процессора, строит таблицу встречающихся команд процессора (опкодов) и на основе этой информации делает вывод о заражении файла вирусом. Данный метод эффективен для поиска некоторых полиморфных вирусов т.к. эти вирусы используют ограниченный набор команд в декрипторе, тогда как «чистые» файлы используют совершенно другие команды с другой частотой. Например, все программы для MS DOS часто используют прерывание 21h (опкод CDh 21h), однако в декрипторе полиморфных DOS-вирусов эта команда практически не встречается. Основной недостаток этого метода в том, что есть ряд сложных полиморфных вирусов, которые используют почти все команды процессора, и от копии к копии набор используемых команд сильно изменяется, т.е. по построенной таблице частот не представляется возможным обнаружить вирус.
Справедливости ради, необходимо заметить, что и криптоанализ и статистический анализ применяется для обнаружения вредоносных программ и по сей день.
Естественным развитием было совмещение эвристического анализатора и эмулятора. Но добавление эмулятора дало еще одно преимущество перед эвристиками первого поколения возможность эмулирования не только процессора, но и операционной системы. Суть работы такого эвристика состоит в эмуляции исполнения программы и протоколировании всех «подозрительных» ее действий. На основе этого протокола принимается решение о возможном заражении программы вирусом.
В отличии от эвристических анализаторов первого поколения, новые эвристики более требовательны к ресурсам компьютера, однако и уровень обнаружения у них метода значительно выше. Эвристические анализаторы в большинстве современных антивирусов являются эвристиками второго поколения. Казалось бы, эвристики второго поколения могут обнаружить все вредоносные программы, если бы удалось создать 100% эмулятор, но эта задача не реализуема (особенно, если учесть сложность современных операционных систем) и поэтому (но не только поэтому) эвристик не может достичь результата в 100%.
А что если не эмулировать, а дать возможность исполняться программе в контролируемой среде? Ответом на этот вопрос стало появление поведенческих блокираторов.
История поведенческих блокираторов насчитывает уже более 13 лет. Данный вид антивирусного программного обеспечения не был популярным долгое время, но с появлением новых видов ИТ-угроз о поведенческих блокираторах вновь вспомнили. Основная идея блокиратора анализ поведения программ и блокировка выполнения любых опасных действий. Теоретически, блокиратор может предотвратить распространение любого, как известного, так и неизвестного (написанного после блокиратора) вируса. Именно в этом направлении и движется сегодня большинство разработчиков антивирусного ПО. Примеров реализации данной технологии довольно много. В последнее время большинство систем предотвращения распространения почтовых червей по механизму являются поведенческими блокираторами.
Как уже говорилось выше, первое поколение поведенческих блокираторов появилось еще в середине 90-х годов (в самый разгар эпохи DOS-вирусов). Принцип их работы был прост при обнаружении потенциально опасного действия задавался вопрос пользователю разрешить или запретить действие. Во многих случаях такой подход работал, но «подозрительные» действия производили и легитимные программы (вплоть до операционной системы) и если пользователь не обладал должной квалификацией, вопросы антивируса вызывали непонимание. С проникновением персональных компьютеров все глубже в повседневную жизнь снижался средний уровень квалификации пользователей и первые поведенческие блокираторы перестали быть востребованными рынком.
Второе поколение поведенческих блокираторов отличает то, что они анализируют не отдельные действия, а последовательность действий, и уже на основании этого делается заключение о вредоносности той или иной программы. Это значительно сокращает количество запросов к пользователю и повышает надежность детектирования.
Эволюция поведенческих блокираторов является хорошей иллюстрацией другого фактора, влияющего на эволюцию антивирусов квалификация пользователя. Если на заре эры персональных компьютеров, большинство пользователей были довольно опытными и худо-бедно разбирались в устройстве ПК (вспомните книги Фигурнова), то с увеличением количества компьютеров их средний уровень снижался. Аналогично менялась сложность и интерфейс антивирусных программ в сторону упрощения. И если поведенческие блокираторы сначала стали жертвой усложнения, а потом восстали из пепла, то вот ревизорам изменения диска не так повезло суперпопулярные вид антивирусного ПО 90-х сейчас практически никем не используется. Причина та же сложность и необходимость понимать природу происходящего в компьютере.
Таким образом, к середине 90-х были придуманы и разработаны все основные технологии, которые применяются до сих пор.
Вирусы умерли, да здравствуют вредоносные программы
Windows 95, Office и макро вирусы. 95-й год для многих запомнится выходом Microsoft Windows 95 и появлению первого макро вируса для MS Word. Оба этих события повлияли на антивирусы, но в разной мере.
С появлением Windows 95 программистам пришлось серьезно задуматься о многозадачности, фоновых проверках, синхронизации и других вопросах, которых ранее попросту не возникало.
Развитая многозадачность операционной системы подтолкнула разработчиков к созданию таких антивирусов, которые бы проверяли файлы на лету (при обращении к ним) On-Access Scanner или мониторов. Конечно же, такие программы были и раньше до Windows 95, но MS DOS налагала существенные ограничения на функционал мониторов. Появление Windows 95 открыла новые горизонты и для вирусописателей, но к счастью для разработчиков антивирусов, они не торопились осваивать новую ОС и у разработчиков появилась небольшая фора.
Второй фактор (появление макро вирусов) также повлиял на индустрию, но в гораздо меньшей степени разработка движков для работы с файлами MS Word (а в дальнейшем и с другими программами MS Office) показала кто из разработчиков антивирусов на самом деле является технологическим лидером.
21 век принес, пожалуй, самые большие изменения в индустрию антивирусов умер термин вирус. На смену пришло понятие вредоносная программа. Разумеется, эти изменения произошли не сразу, этому были явные предпосылки в конце 90-х интернет из игрушки для профи стал непременным атрибутом нашей жизни. В Сети люди знакомились, женились, влюблялись, делали покупки. В Сети люди просто жили. Постепенно в интенет появились деньги сначала это были аккаунты для доступа в Сеть, потом виртуальные деньги, а затем реальные (номера счетов, кредитных карточек), а раз где-то есть деньги, значит, найдутся люди, которые захотят эти деньги отобрать.
Постепенно поменялась цель написание вирусов от простого хулиганства или самоутверждения цель сместилась в область финансов и как следствие классические вирусы, заражающие файлы, практически исчезли. Остались одни троянские программы в своих различных проявлениях. Все это решено было называть «вредоносными программами». Кроме этих программ появились еще и другие, которые при некоторых условиях могут нанести вред (например, открыть доступ к вашему компьютеру и данным злоумышленнику), передать персональные данные пользователя злоумышленнику или показывать непрошенную рекламу. Не смотря на то, что эти программы очень разные по своим действиям, их стали называть Spyware (шпионское программное обеспечение), что не совсем корректно. Более правильный термин (чаще используется специалистами) потенциально опасные программы или потенциально нежелательные программы (Potentially Unwanted Programs).
Всему этому вредоносным программам, потенциально опасным программам, утилитам для финансовых махинаций противостоят все те же антивирусные программы, которые пора бы уже переименовать в антивредоносные, но люди привыкли к старому названию и по привычке называют их антивирусами.
Интернет повлиял не только на вирусы, развитие сетей повлияло и на стратегию защиты. Стала доминировать эшелонированная защита с обязательной защитой периметра интернет-шлюзов и почтовых серверов. Постепенно акцент был смещен с защиты только рабочих станций именно на эти узлы защиты. Причина проста изменение приоритетов путей проникновения угроз на компьютеры. Сегодня основной источник заразы это протоколы интернета HTTP, FTP, SMTP и др., различные протоколы для систем мгновенного обмена сообщениями (ICQ, AOL IM, MSN Messenger), протоколы программ P2P и другие. Сменные носители, как средство переноса вредоносных программ отошли на второй план.