Escolar Documentos
Profissional Documentos
Cultura Documentos
Katedra za elektroenergetiku
Elektroenergetski softverski inenjering
Mentor:
Sadraj
1. Uvod.................................................................................................................. 3
1.1. Antivirusni softver....................................................................................... 3
1.2. Cilj rada....................................................................................................... 3
1.3. Kratak pregled poglavlja.............................................................................. 3
2. Istorija................................................................................................................ 4
2.1. Period 1949-1980........................................................................................ 4
2.2. Period 1980-1990........................................................................................ 4
2.3. Period 1990-2000........................................................................................ 5
2.4. Period 2000-2005........................................................................................ 5
5. Period 2005-do danas..................................................................................... 6
3. Svrha korienja antivirusnih alata....................................................................6
4. Tehnike detekcije zlonamernih programa..........................................................7
4.1. Detekcija bazirana na potpisima.................................................................7
4.2. Detekcija zlonamernog ponaanja...............................................................7
4.3. Heuristika detekcija................................................................................... 7
5. Detekcija bazirana na potpisima........................................................................7
6. Detekcija zlonamernog ponaanja.....................................................................9
7. Heuristika detekcija....................................................................................... 10
8. Problemi........................................................................................................... 11
Resursi........................................................................................................... 11
Sigurnost....................................................................................................... 11
Privatnost...................................................................................................... 11
Lani antivirusi............................................................................................... 12
Lano pozitivni rezultati................................................................................. 12
9. Testiranje antivirusnog softvera................................................................................. 12
9.1 Testiranje performansi........................................................................................ 12
9.2 Testiranje zatite u realnom vremenu......................................................................13
9.3 Testiranje uklanjanja malicioznog softvera...............................................................15
10. Reference...................................................................................................... 16
1. Uvod
1.1. Antivirusni softver
Antivirusni softver ili antivirus je raunarski softver koji se koristi za zatitu,
identifikaciju i uklanjanje raunarskih virusa, kao i sveg drugog softvera koji moe da oteti
ili nanese tetu raunarskom softveru, a jednim imenom se nazivamalver(engl. malware).
Za razliku od prvobitnih antivirus softvera koji su bili bazirani iskljuivo na tretiranju
raunarskih virusa, moderni antivirus softver se dizajnira tako da sistem titi od to veeg
broja razliitih moguih malvera, kao to su crvi, fiing napadi, bekdor, rutkit, trojanci...
Svi antivirusni programi sastoje se iz vie celina. Jedan njegov deo ''Monitor'' je rezidentan u
memoriji i osigurava neprestanu zatitu od virusa, dok drugi dio ''Scan'' omoguava
skeniranje celog sistema. Antivirusi su danas neophodan deo softvera koji svako treba imati
instaliran na svom raunaru. Ovi programi ukljuuju razliite naine nadgledanja i zatite
raunara odmalicioznog koda. Najee se radi o zatiti u realnom vremenu i skeniranju na
zahtev korisnika, dok moderne verzije ovih programa nude razne druge vidove zatite od
virusa koji se ire putem Interneta.
2. Istorija
Istorija antivirusa se moe podeliti u vie perioda, grubo se mogu podeliti u pet
razdoblja:
FluShot Plus
Anti4us
4
Od tog trenutna pa nadalje, poeo je ubrzani razvoj antivirusnog softvera od strane mnogih
kompanija, od kojih mnoge i danas posluju.
Sve navedeno znai da bi se raunar mogao inficirati pri samom otvaranju dokumenata sa
skrivenim prikaenim makroima, zaraene e-mail poruke ili inae neizvrne datoteke sa
kodom izvrnog objekta.
Postoji nekoliko razliitih tehnika detekcije malvera. U tekstu koji sledi bie
predstavljeni opti koncepti, najee korienih tehnika, a u narednim poglavljima e biti
detaljno opisane.
Kada antivirus ispituje datoteke, on proverava sadraj i trai zlonamerni kod.Upravo taj
zlonamerni kod predstavlja potpis odreenog zlonamernog programa. Ukoliko je taj kod
pronaen u nekojdatoteci antivirus obino nudi jednu od tri mogue opcije brisanje
zaraene datoteke, uklanjanje zlonamernog koda, kako bi datoteka i dalje mogla biti
koriena, ili uvanje datoteke u neku vrstu karantina, odnosno njena izolacija (Slika 3.2.).
beskoristan i ne moe se dalje iriti.Budui da virusi neretko napadaju neke esto koriene
vrste datoteka (slike, video datoteke, dokumente i dr.), korisnici ih obino ne ele obrisati,
ve zadrati i nakon napada virusa.Iako veina modernih antivirusnih alata nudi opciju
obnavljanja zaraenih datoteka, zbog prirode nekih destruktivnih tipova zlonamernih
programa, obnavljanje datoteka esto nije mogue.U takvom sluaju najbolja praksa je
brisanje datoteke kako bi se spreilo dalje irenje zlonamernog koda.
Kako se novi virusi pojavljuju svakodnevno, vano je esto osveavati bazu potpisa
zlonamernih programa. Antivirusni programi esto omoguavaju korisniku jednostavno
slanje novootkrivenihzlonamernih programa strunjacima, kako bi se ubrzao proces izrade
novih potpisa i zatite ostalih korisnika antivirusnog proizvoda.Antivirusi koji koriste ovu
tehniku detekcije obino ispituju samo datoteke koje su trenutno koriene
nasistemu.Meutim, antivirusni alati se mogu konfigurisati da skeniraju sve datoteke
naraunaru u odreenim vremenskim intervalima.
Detekcija zlonamernog ponaanja prua zatitu protiv tzv. zero day virusa, odnosno onih
koji jonisu u bazi proizvoaa antivirusnog proizvoda. Meutim, korienjem ove metode
antivirus takoe prijavljuje veliki broj lano pozitivnih programa, to korisnika moe uiniti
9
7. Heuristika detekcija
Najnapredniji antivirusni alati koriste tzv.heuristiku analizu kako bi detektovali nove,
do sada nepoznate, zlonamerne programe, kao i mutirane verzije ve poznatih. Postoje tri
glavne metode koje se koriste kod ove vrste detekcije, a one su:
analiza programa,
emulacija rada programa i
opti potpisi.
Analiza programa je proces pod kojim se podrazumeva da antivirus ispituje svaku naredbu
programa, te prema ispitanim naredbama odluuje da li je program zlonameran ili ne. Ako
program sadri naredbu koja npr.brie neke vane sistemske datoteke, antivirus e ga
verovatnookarakterisatizlonamernim. Iako jeova metoda izuzetno korisna za detekciju novih i
mutiranih zlonamernih programa, ona, poputdrugih heuristikih metoda, prijavljuje veliki
broj lano pozitivnih programa.
Druga metoda heuristike detekcije je emulacija rada programa. Kod ove metode program se
pokree u posebnom, virtuelnom, okruenju koje je odvojeno od stvarnog raunarskog
sistema. Promene koje program napravi u tom okruenju se belee i analiziraju.Ukoliko
antivirus proceni da su zabeleenepromene rezultat zlonamerne aktivnosti, prijavljuje ispitani
program korisniku.
Mnogi virusi poinju delovati kao jedinstven primerak, a naknadno mutiraju u nekoliko
razliitih verzija.Takoe, esto drugi napadai menjaju izvorni program kako bi ga poboljali
i ponovno zloupotrebili. Korienjem optih potpisa mogue je detektovatinpr. celu familiju
zlonamernih programa. Istraivai izrauju optepotpise tako da analiziraju sline
zlonamerne programe i pronalaze njihove zajednike take.
Nakon opisa tehnika detekcije, u Tabeli 5.1 bie prikazane prednosti i mane svake od njih, na
osnovu uspenosti u pronalaenju zlonamernih programa.
Tehnika
Potpisi zlonamernih
programa
Prednosti
-
Preciznost detekcije
Mane
-
ne detektuje zero
day viruse
10
Detekcija zlonamernog
ponaanja
Heuristika detekcija
Neke od ostalih tehnika, iji detalji izlaze van okvira ovog rada, su Data Mining
tehnika, Wildcard metoda, Pametno skeniranje itd.
8. Problemi
Iako razvoj antivirusnih proizvoda traje ve preko dve decenije i oni su u svim
podrujima napredovali, neki osnovni problemi i dalje ih prate:
Resursi
Mnogi antivirusni alati zbog prevelikog korienjaraunarskih resursa znaajno utiu
nasmanjenje performansi sistemanakom su pokrenuti. Korisnici ih zato esto odbijaju
upotrebljavatiiliih iskljuuju i time poveavaju rizik da se njihov raunarski sistem zarazi
nekim zlonamernim programom.Da bi bio potpuno efikasan, antivirusni program mora biti
sve vreme pokrenut, ali to esto rezultuje slabijim performansama zatienog raunara.
Sigurnost
Sami antivirusni proizvodi predstavljaju odreen sigurnosni rizik jer u svom radu
koriste najvie sistemske privilegije. Iako su im one neophodne za pravilan rad, u sluaju
kompromitovanja alata napada je u mogunosti preuzeti potpunu kontrolu nad ranjivim
raunarom.
Privatnost
Mnogi antivirusni alati imaju podrazumevanu konfiguraciju koja dozvoljava slanje
zaraenih datoteka proizvoau, kako bi se one detaljnije analizirale.Iako je ovo korisna
opcija, u borbi protiv zloudnih programa, potrebno je obratiti panju kako se sistemu za
11
Lani antivirusi
Postoji veliki broj lanih antivirusnih proizvoda koji se prilino esto reklamiraju na
raznim internet portalima. Ovi programi, iako se predstavljaju kao korisni, u sebi sadre
zlonameran programski kod i time kompromituju korisnika. Neki od poznatijih programa, te
vrste, su WinFixer i MS Antivirus.
9.1Testiranje performansi
Kao testni sluajevi za test performansi preuzeti su:
Kopiranje fajlova, gde treba napomenuti da neki antivirusni paketi ignoriu odreene
tipove fajlova.
Arhiviranje fajlova, gde e testovi uzeti u obzir ve pomenuti problem sa
ignorisanjem odreenih tipova fajlova.
Instalacija i brisanje fajlova
Preuzimanje fajlova
12
13
14
15
10. Reference
[1] Al Daoud, E., Iqbal H., J.&Zaqaibeh, B., Computer Virus Strategies and Detection
Methods, Int. J. Open Problems Compt. Math., Vol. 1, No. 2, (2008)
[2] Harley, D., Lee, A., Heuristic Analysis - Detecting Unknown Viruses(2007)
[3] Antivirus software, http://en.wikipedia.org/wiki/Antivirus_software, preuzeto 17/1/2015
[4] AV-comparatives, http://www.av-comparatives.org/comparatives-reviews/, rezultati iz
2014
16