Программно аппаратные средства защиты информации от вирусов

Программно-аппаратные средства защиты информации

Информация — это ресурс, владея которым, мы имеем преимущество перед конкурентами. Проблема защиты информации возникла, когда прогресс сделал человека зависимым от информационных систем. Сейчас мы получаем информацию не только из газет, телевиденья и радио, но и Интернет-ресурсов. Параллельно с прогрессом мы стали уязвимы к атакам правонарушителей и компьютерным вирусам. Постоянное увеличение объема конфиденциальной информации заставляет нас ознакомиться с программно-аппаратными средствами защиты информации.

Программно-аппаратные средства защиты.

Программно-аппаратные средства защиты — это способы контроля оборудования и программных средств от взлома, перехвата информации, несанкционированного подключения третьих лиц. Программные и технические средства защиты информации необходимы там, где утечка данных и ценной информации влечет за собой серьезные финансовые, репутационные, производственные риски для компании.

Средства защиты можно разбить на следующие группы:

Идентификация и аутентификация. Управление доступом;

протоколирование и аудит;

Рассмотрим каждый из них в отдельности:

Идентификация и аутентификация. Управление доступом.

Аутентификация — это основа безопасности любой системы, которая заключается в проверке подлинности данных о пользователе сервером.

Аутентификация не представляет собой ни идентификацию, ни авторизацию. Это три понятия, которые являются элементами защиты информации. Во-первых, идентификация, в процессе которой происходит распознавание информации о пользователе, его логине и пароле. Во-вторых, процесс проверки информации о пользователе — аутентификация. И, в-третьих, авторизация — проверка прав пользователя и определение возможности доступа.

Данная система защиты нужна для доступа к:

Управление доступом - ограниченный доступ к информации, компьютерам, сетям, приложениям, системным ресурсам, файлам и программам. В основе управления доступом лежит идентификация и аутентификация. Задача управления доступом состоит в том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций и контролировать выполнение установленного порядка.

Протоколирование и аудит.

Протоколирование — сбор и накопление информации о событиях, происходящих в информационной сфере.

Аудит — это анализ накопленной информации, проводимый в реальном времени или периодически.

Данная система защиты выполняет важные задачи:

составляет отчет обо всех пользователях и администраторах;

выявляет слабые места в защите сервера, оценивает размер повреждений и возвращает к нормальной работе;

предоставляет информацию для анализа и выявления проблем.

Характерной особенностью протоколирования и аудита является зависимость от других средств защиты информации. Идентификация и аутентификация служат началом для составления отчета о пользователях, управление доступом защищает конфиденциальность и целостность зарегистрированной информации.

Криптографическая защита информации — это механизм защиты с помощью шифрования данных, в результате которого их содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования.

Ключ – это важнейший компонент шифра, отвечающий за выбор преобразования, применяемого для зашифрования конкретного сообщения.

Криптографическими средствами защиты являются такие средства и способы преобразования информации, в результате которых скрывается ее содержание. Криптографическую защиту можно разделить на 2 основных вида: шифрование и кодирование защищаемых данных.

В случаи шифрования каждый символ скрываемых данных подвергается самостоятельному преобразованию. Когда, при кодировании защищаемых данных, информация делится на блоки, имеющие смысловые значения, и результате, каждый блок заменяется цифровым, буквенным или комбинированным кодом.

В состав криптографической системы входят: один или нескольких алгоритмов шифрования, ключи, используемые этими алгоритмами шифрования, подсистемы управления ключами, незашифрованный и зашифрованный тексты.

Экран — это средство разграничения доступа клиентов из одного множества информационных систем к серверам из другого множества посредством контроля информационных потоков между двумя множествами систем. Контроль потоков состоит в их фильтрации и выполнении некоторых преобразований.

Экран можно представить как последовательность фильтров. Каждый из фильтров, проанализировав данные, может пропустить или не пропустить их, преобразовать, передать часть данных на следующий фильтр или обработать данные от имени адресата и возвратить результат отправителю.

Главной функцией экранирования является обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией. Экранирование помогает поддерживать доступность сервисов защищаемой сети, уменьшая уязвимость внутренних сервисов безопасности.

Программно-аппаратные механизмы защиты информации находят все большее применение. Они используются не только для защиты локальных сетей, но и для работы с облачными хранилищами. При разработке архитектуры собственной информационной системы, в целях обеспечения максимально достижимого уровня безопасности, следует рассмотреть возможность их применения.

Основные выводы о способах использования, рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Казарин О. В., Забабурин А. С. Программно-аппаратные средства защиты информации – Москва, 2017

Если не принимать меры для защиты от компьютерных вирусов, то следствия заражения могут быть очень серьёзными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за внедрение вирусов. Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительных последствий относят:

Основными мерами профилактики вирусов являются:

· резервное копирование информации (создание копий файлов и системных областей жестких дисков);

· избегание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

· перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;

· ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с неё;

· применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интернете).

· Проверка на наличие вирусов файлов, полученных по сети;

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы.

Следует заметить, что вирусы в своём развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус.

Однако, много современных антивирусных пакетов имеют в своём составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это даёт возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения заражённых файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать заражённые файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения заражённых дисков и программ. Лечение программы состоит в изъятии из заражённой программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение повреждённых файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы. На сегодняшний день существует большое количество разнообразных антивирусных программ. Рассмотрим коротко, распространённые в странах СНГ.

DRWEB

Один из лучших антивирусов с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно сказать, что эпидемию очень опасного вируса OneHalf остановил именно DrWeb. Эвристический анализатор DrWeb, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь DrWeb проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя.

ADINF

Антивирус-ревизор диска ADINF (Avanced DiskINFoscope) разрешает находить и уничтожать, как существующие обычные, stealth- и полиморфные вирусы, так и совсем новые. Антивирус имеет в своем распоряжении лечащий блок ревизора ADINF - Adinf Cure Module - что может обезвредить до 97% всех вирусов. Эту цифру приводит "Диалогнаука", исходя из результатов тестирования, которое происходило на коллекциях вирусов двух признанных авторитетов в этой области - Д.Н.Лозинского и фирмы Dr.Sоlомоn's (Великобритания).

ADINF загружается автоматически в случае включения компьютера и контролирует boot-сектор и файлы на диске (дата и время создания, длина, контрольная сумма), выводя сообщения про их изменения. Благодаря тому, что ADINF осуществляет дисковые операции в обход операционной системы, обращаясь к функциям BIOS, достигаются не только возможность выявления активных stеаlth-вірусів, но и высокая скорость проверки диска. Если найден boot-вирус, то ADINF просто восстановит предшествующий загрузочный сектор, который хранится в его таблице. Если вирус файловый, то здесь на помощь приходит лечащий блок Adinf Cure Module, который на основе отчета основного модуля о зараженных файлах сравнивает новые параметры файлов с предыдущими, хранящиеся в специальных таблицах. При выявлении расхождений ADINF восстанавливает предыдущее состояние файла, а не уничтожает тело вируса, как это делают полифаги.

AVP

Антивирус AVP (AntiVirus Program) относится к полифагам, в процессе работы проверяет оперативную память, файлы, в том числе архивные, на гибких, локальных, сетевых и CD-ROM дисках, а также системные структуры данных, такие как загрузочный сектор, таблицу разделов и т.д. Программа имеет эвристический анализатор, который, по утверждениям разработчиков антивируса способен находить почти 80% всех вирусов. Программа AVP является 32-разрядным приложением для работы в среде операционных систем Windows, имеет удобный интерфейс, а также одну из самых больших в мире антивирусную базу. Базы антивирусов к AVP обновляются приблизительно один раз в неделю и их можно получить с Internеt. Эта программа осуществляет поиск и изъятие разнообразнейших вирусов, в том числе:

· полиморфных, или самошифрующихся вирусов;

· стелс-вирусов, или вирусов-невидимок;

· новых вирусов для Windows;

· макровирусов, заражающих документы Word и таблицы Excel.

Кроме того, программа AVP осуществляет контроль файловых операций в системе в фоновом режиме, выявляет вирус до момента реального заражения системы, а также определяет неизвестные вирусы с помощью эвристического модуля.

Антивирус Касперского Personal - разработка "Лаборатории Касперского", воплощающая результаты многолетних исследований ведущих экспертов в области защиты от вредоносных программ. Продукт сочетает уникальную функциональность, удобный пользовательский интерфейс и высокий уровень защиты от вирусов. Программный комплекс позволяет организовать полномасштабную систему антивирусной защиты персонального компьютера. Он охватывает все возможные источники проникновения вирусной угрозы - съемные и постоянные файловые носители, электронную почту и Интернет. Использование "Антивируса Касперского" обеспечивает полное восстановление работоспособности системы при вирусной атаке. В то же время функция антивирусной проверки и лечения электронной почты позволяет очистить от вирусов входящую и исходящую корреспонденцию в режиме реального времени. В случае необходимости пользователю также доступны проверка и лечение почтовых баз различных почтовых систем.

Регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых “чужих” дискет и дисков с любой информацией на них, в т.ч. и переформатированных позволяет поддерживать информационную безопасность.

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

Н еобходимость защиты информации очевидна для всех, даже для далеких от IT-сферы людей. Частые утечки конфиденциальных данных, например, сведений о клиентах банков с номерами их карт или персональных данных детей, угрожают личной безопасности пострадавших и несут проблемы виновникам инцидентов. Программно-аппаратная защита с использованием современных технических средств призвана снизить риск утечек, ограничив внутренний доступ к информационным системам.

Для чего нужна программно-аппаратная защита информации

Обеспечение безопасности информации на программно-аппаратном уровне предохраняет сведения от несанкционированного доступа и снижает риски хищения и дальнейшего неправомерного использования полученных сведений.

Комплекс аппаратно-программной защиты состоит из двух частей:

• аппаратное устройство;
• программный модуль.

Принцип работы системы состоит в том, что при попытке получения доступа к данным программа отправляет запрос к устройству, обеспечивающему работу ключа (токену, ридеру, электронному идентификатору, после подключения которого к компьютеру тот дает разрешение на работу), и функционирует только при его положительной реакции.

С точки зрения надежности эта методика выглядит предпочтительнее, чем просто программная защита, но стоимость аппаратной части делает ее доступной только для крупных и средних компаний или государственных организаций.

Защита от НСД

При выборе методов и средств защиты данных нужно учитывать, что существует несколько принципов защиты от несанкционированного доступа (НСД). На них основана работа средств программно-аппаратной защиты:

• доступ к данным предоставляется только тем пользователям, которые уполномочены его получить на уровне внутренних документов компании;
• каждый уполномоченный пользователь имеет доступ только к своему уровню информации, его прав недостаточно для работы с данными, находящимися в сфере ответственности других пользователей;
• перечень операций, которые допустимо выполнять с данными, строго регламентирован, и зависит от изначально заданных прав пользователей.

Для защиты от НСД в аппаратно-программных средствах должен быть механизм распознавания уполномоченного пользователя и его авторизации (идентификации и аутентификации).

Процесс авторизации состоит из трех этапов:

1. Идентификация. Пользователь должен передать системе свой идентифицирующий признак, например, логин и пароль. При использовании аппаратных средств становится возможной и более глубокая степень идентификации по отпечатку пальца, сетчатке глаза, иным биометрическим признакам или на основании владения определенным устройством (магнитная карточка, электронный ключ);

3. Авторизация. После того как подлинность пользователя установлена, аппаратно-программным средством определяется объем предоставленных ему прав.

Электронные ключи

Работа программно-аппаратных средств защиты информации становится невозможной, если их архитектурой не предусмотрено наличие электронных ключей. Они представляют собой явление предметного мира, физическое устройство, снабженное электронной начинкой и содержащее уникальную информацию, позволяющую идентифицировать пользователя.

Ключи бывают трех видов:

1. Специализированный электронный чип.
2. Микросхема перепрограммируемой памяти, имеющая собственные источники электропитания.
3. Ключ на базе микропроцессора.

Выбор технологии, на которой основан ключ, связан с типом аппаратного средства. Ранее ключи совмещались с рабочей станцией посредством обычных портов, через которые подключаются принтер или МФУ, что создавало неудобство для пользователей. Развитие USB-технологий упростило использование электронных ключей при работе с аппаратно-программными средствами защиты информации.

Как работает электронный ключ? Устройство, содержащее код легитимного пользователя, опознается программной частью системы, в результате осуществляется допуск к работе. Помимо данных, идентифицирующих пользователя, в ключе могут содержаться сведения о программе, используемой аппаратной частью: номер, данные о выпуске, дата оформления лицензии.

Данные, содержащиеся в памяти ключа, могут перепрограммироваться в дистанционном режиме, что усиливает безопасность. Электронные ключи применяются и для защиты авторских прав разработчика программы: считают число лицензий и не допускают их использование в большем количестве, чем оговорено в соглашении.

Как взламывается аппаратно-программная защита и как избежать взлома

Принимая решение о выборе аппаратно-программного средства, необходимо понимать, что современные технологии позволяют взламывать системы с недостаточным уровнем защиты. При этом стоимость аппаратной части высока. Современные версии ключей, токены, основаны на новейших технологиях, которые позволяют избежать ряда рисков, но не в полном объеме.

Для несанкционированного проникновения (взлома) в систему обычно используется один из двух методов:

• поиск и использование уязвимостей в программной части;
• эмулирование (подмена) данных, содержащихся в электронном ключе.

В первом случае из программы (приложения) удаляются части, в которых содержится код, обеспечивающий работу механизмов защиты. Это могут быть команды опроса электронного ключа (направление запроса в отдельном токе данных) или команды сравнения введенных данных с эталоном. Второй путь взлома, эмулирование электронного ключа, связан с использованием специальных программных средств – эмуляторов. Программа отправляет приложению обращения, содержащие, правильные ответы.

Если в первом случае методом защиты будет стандартное ограничение прав пользователей, исключающее вмешательство в программный код, во втором рекомендуется вкладывать в конструкцию устройства алгоритм хаотического обмена данными.

Следует учитывать, что реализация схемы эмуляции ключа крайне сложна и доступна немногим специалистам. Взаимодействие эмулятора ключа с программой осуществляется одним из двух способов:

• путем подмены драйвера;
• через точку входа API вызова ключа.

В первом случае решением станет регулярный аудит системных файлов, проверяющих их изменения. Во втором – шифрование той части программы, которая отвечает за взаимодействие с ключом, или реализация опции постоянного контроля его целостности. Дополнительным способом контроля целостности будет использование электронной подписи. Одним из решений станут микроконтроллеры. Это утилиты, которые отсылают сразу несколько запросов, позволяющих сверить точность введенного ключа. В некоторых программных продуктах реализуется до 18 алгоритмов, на основании которых производятся дополнительные вычисления, обеспечивающие точность аутентификации и контролирующие только легитимный доступ к информации.

Программно-аппаратные механизмы защиты информации находят все большее применение. Они используются не только для защиты локальных сетей, но и для работы с облачными хранилищами. Цена устройств по мере развития технологий снижается. Поэтому при разработке архитектуры собственной информационной системы, в целях обеспечения максимально достижимого уровня безопасности, следует рассмотреть возможность их применения.

Одним из условий безопасной работы в информационной системе является соблюдение пользователем ряда правил, которые проверены на практике и показали свою высокую эффективность. Их несколько:

1. Использование программных продуктов, полученных законным официальным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
2. Дублирование информации. Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
3. Регулярное обновление системного ПО. Операционную систему необходимо регулярно обновлять и устанавливать все исправления безопасности от Microsoft и других производителей, чтобы устранить существующие уязвимости программного обеспечения.
4. Ограничение доступа пользователей к настройкам операционной системы и системным данным. Для обеспечения стабильной работы системы довольно часто требуется ограничивать возможности пользователей, что можно сделать либо с помощью встроенных средств Windows, либо с помощью специализированных программ, предназначенных для управления доступом к компьютеру.

В корпоративных сетях возможно применение групповых политик в сети домена Windows.

Постоянное следование приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации. Однако даже при скрупулезном выполнении всех правил профилактики возможность заражения ПК компьютерными вирусами полностью исключить нельзя, поэтому методы и средства противодействия вредоносному ПО необходимо постоянно совершенствовать и поддерживать в работоспособном состоянии.

Массовое распространение вредоносного программного обеспечения, серьезность последствий его воздействия на информационные системы и сети вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.

Нужно отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных программ-вирусов.

Антивирусные средства применяются для решения следующих задач:

• обнаружение вредоносного ПО в информационных системах;
• блокирование работы вредоносного ПО;
• устранение последствий воздействия вредоносного ПО.

Обнаружение вредоносного ПО желательно осуществлять на стадии его внедрения в систему или, по крайней мере, до начала осуществления им деструктивных действий. При обнаружении такого программного обеспечения или его деятельности необходимо сразу же прекратить работу программы-вируса в целях минимизации ущерба от ее воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

• удаление вирусов;
• восстановление (при необходимости) файлов, областей памяти.

Процедуру удаления обнаруженного вредоносного кода из зараженной системы необходимо выполнять крайне аккуратно. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его уничтожения становится достаточно нетривиальной.

Восстановление системы зависит от типа вируса, а также от времени его обнаружения по отношению к началу деструктивных действий. В том случае, когда программа-вирус уже запущена в системе и ее деятельность предусматривает изменение или удаление данных, восстановление информации (особенно, если она не продублирована) может быть невыполнимо.Для борьбы с вирусами используются программные и программно-аппаратные средства, которые применяются в определенной последовательности и комбинации, образуя методы защиты от вредоносного ПО.

Известны следующие методы обнаружения вирусов, активно применяемые современными антивирусными средствами:

• сканирование;
• обнаружение изменений;
• эвристический анализ;
• использование резидентных сторожей;
• использование программно-аппаратной защиты от вирусов.

Сканирование – один из самых простых методов обнаружения вирусов, осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры . Под сигнатурой понимается уникальная последовательность байтов, принадлежащая конкретному вирусу и не встречающаяся в других программах.

Программа фиксирует наличие уже известных вирусов, для которых сигнатура определена. Для эффективного применения антивирусных программ, использующих метод сканирования, необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров, которые следят за изменениями файлов и дисковых секторов на компьютере. Любой вирус каким-либо образом изменяет систему данных на диске. Например, может измениться загрузочный сектор, появиться новый исполняемый файл или измениться уже существующий, и т.п.

Как правило, антивирусные программы-ревизоры определяют и запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров диска. Периодически ревизор проверяет текущее состояние областей дисков и файловой системы, сравнивает с предыдущим состоянием и немедленно выдает сообщения обо всех подозрительных изменениях.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Эвристический анализ , как и метод обнаружения изменений, позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Эвристический анализ в антивирусных программах основан на сигнатурах и эвристическом алгоритме, призван улучшить способность программ-сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда код неизвестной программы совпадает с сигнатурой не полностью, но в подозрительной программе явно выражены более общие признаки вируса либо его поведенческая модель. При обнаружении подобных кодов, выдается сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Недостатком данного метода является большое количество ложных срабатываний антивирусных средств в тех случаях, когда в легальной программе присутствуют фрагменты кода, выполняющего действия и/или последовательности, свойственные некоторым вирусам.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в оперативной памяти устройства (компьютера) и отслеживают все действия, выполняемые остальными программами. В случае выполнения какой-либо программой подозрительных действий, свойственных вирусам (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытки перехвата прерываний и т.п.), резидентный сторож выдает сообщение пользователю.

Применение антивирусных программ с резидентным сторожем снижает вероятность запуска вирусов на компьютере, но следует учитывать, что постоянное использование ресурсов оперативной памяти под резидентные программы уменьшает объем памяти, доступной для других программ.

На сегодняшний день одним из самых надежных механизмов защиты информационных систем и сетей являются программно-аппаратные средства , как правило, включающие в себя не только антивирусные системы, но и обеспечивающие дополнительный сервис. Эта тема подробно рассмотрена в разделе "Программно-аппаратные средства обеспечения безопасности информационных сетей".