1. Főoldal
  2. Cikkek
  3. Tech
  4. Védelmi szoftverek működése

Védelmi szoftverek működése

Tech

A napokban gondolkoztam el azon, hogy itt az ideje egy terjedelmes cikknek. Most megtudhatjátok, hogyan is működik a víruskergetőtök a gépen, egyáltalán van-e értelme, ingyenes, avagy fizetős, tesztekre érdemes hallgatni? Mindenre választ kaptok.

Érdemes használni kergetőt?

Ha csak böngészünk, és nem töltünk le semmiféle warez vagy ismeretlen forrásból származó tartalmat, akkor elég lenne a tűzfal használata, viszont vannak olyan telepítő installerek, melyek reklámokkal vannak teli és azok is képesek kártékony kódokat, fájlokat rátelepíteni számítógépünkre a tudtunk nélkül. Ebből adódóan, ha féltjük adatainkat érdemes telepíteni egy kisebb védelmet, akár egy tűzfal alkalmazásvédelemmel is elég lenne, persze ezt profiknak és hozzáértőknek ajánlom, mert nem biztos, hogy egy átlag felhasználó meg tudja különböztetni (akár angol nyelvű) ablakokat és „exe”, „msi”, „com” és egyéb kiterjesztésű veszélyes programokat vagy műveleteket, akár a registry bejegyzésben.

Érdemes használni tűzfalat?

A legjobb védelem a tűzfal, ha hiszitek, ha nem. Nem írtja a vírusokat, de képes a legtöbb tűzfal veszélyes, proaktív alkalmazások futtatását tiltani. A tűzfal általában nem csak a bejövő és kimenő hálózati folyamatokat figyeli, hanem például böngészés közben adatgyűjtő reklámokat blokkolja, de van, amelyik szinte az összes reklámot kiszűri. Visszatérve, ha alkalmazásvédelem van tűzfalunkba, képes blokkolni például Backdoor vagy módosító vírusokat, melyek képesek nagy kárt csinálni. Érdemes megjegyeznem, hogy ez sem nyújt teljes védelmet, hisz attól még a vírusok még lehetnek.

A legjobb védelem Vírusirtó és Tűzfal (teljes védelmi csomag)

A „legjobb védelem” kicsit túlzás, de nagyobb biztonságba érezhetjük magunkat.

Külön fejlesztőtől származik a vírusirtó és a tűzfal

A kergető cégeknek vannak olyan megoldásaik, hogy például egy Avast Antivirus Free megfér az Outpost Firewall Pro mellett. No, hát személy szerint nem vagyok híve a két „oldalas” védelemnek, tehát ha már egyszer felrakok valamit a gépemre, akkor az a védelem csak egy cégtől legyen és ne további egy vagy kettő.

A kergető cégek állítása szerint megférnek egymás mellett különféle kergetők, tűzfalak, de ez koránt sem így van, hiába dicsekednek ilyen-olyan megoldásokkal. Az összes efféle cég azt szeretné, hogy az ő termékeit használd és ne másét, tehát akár reklámokkal, akár üzenetekkel arra fognak téged buzdítani, hogy a másikat gyorsan eltávolítsd, mert az ő védelmük többet nyújt, mint a mellette levő. Egy ilyen lépés csak sunyi, pitiáner cégekre vall. Hozhatnék példát, de ez a cikk nem a lehúzásról szól.

Ingyenes vagy fizetős?

Nagyon jól tudja mindenki, hogy egy fizetős verzió mindig többet tud, mint egy ingyenes és nem is lenne ez üzlet, ha nem így lenne. Bár a fejlesztők tudják, hogy a felhasználók nagy része úgysem fog fizetni a termékért, ehelyett inkább torrenteznek és leszednek valami „okosító” programot. Az utóbbitól óvok mindenkit, de erről is szót ejtek egy újabb pontban (lejjebb).

Vannak természetesen használható ingyenes teljes körű védelmek, akár külön csak vírusirtó, akár tűzfal is. Persze ezeknek is vannak hátrányai, melyről majd szó fog esni a „Miket tud rólad a víruskergetőd” pontál.

Lehet fizetős programot ingyen és legálisan beszerezni. Vannak erre szakosodott promóciós oldalak, melyek szoktak 3 hónapra, fél évre, 1 évre teljes körű licenszeket dobálni.

Igényesség vagy a megfelelő védelem?

Ha van egy kis megspórolt pénzünk, vagy nem tudjuk, mire költsük, akkor érdemes pár ezer forintot beruházni egy teljes körű védelemre. Lehet akár promóciós kulcsokat is szerezni, hogy olcsóbb legyen vagy akár ingyen jussunk hozzá 1 évnyi kulcshoz, használathoz.

A fizetős teljes körű védelem nem zaklat semmivel, nincs reklám a szoftverben, nincsen értesítés, hogy fizess a jobb védelemért.

Crack, keygenerátor, trial reset használjak?

A három, avagy négy szótól is feláll a szőr a hátamon. Ti sem gondolhatjátok komolyan, hogy csak úgy valaki napokat kínlódik egy védelmi szoftver feltörésén, hogy azt sokáig lehessen használni, minden hátulütő nélkül.

A Trial Reset, Keygenerátorok és crackek temérdeke nem hiába vírusos és nem hiába tartalmaznak olyan kódokat, melyek veszélyesek a rendszerre nézve.

Az is lehet, hogy kihagynak néhány vírusos fájlt, de képesek lehetnek, akár behatolókat beengedni a számítógépre felhasználók tudna nélkül. Ilyenkor minden fontos adatod veszélyben lehet, mint például: jelszavak, fényképek, zenék, videók és egyéb biztonsági vagy médiatartalmak.

Milyen lenne, ha egy crack miatt eltűnne kb 200ezer forintod. Persze a netbankoknak van megfelelő védelmük, de nehogy azt higgyük, hogy ezeket nem lehet kijátszani.

Vegyünk példának a PayPal-t. Ha nincs kétlépcsős védelem, csatolva van a kártyád és megtudják az email címed, jelszavad, akkor van mitől félni, mivel a kártyádon levő teljes összeg, akár azon túlmenően minden veszélyben lehet.

Ezek után még crackelni, trial resettelni szeretnéd? Remélem nem.

Vannak használható ingyenes megoldások, ha nincs pénzünk kergetőre.

Honnan töltsem le a kergetőt?

A kergetőt érdemes mindig a fejlesztő eredeti oldaláról letölteni, vagy ha más oldalról szedjük le, akkor érdemes megnézni, hogy a letöltött fájl linkje hova mutat (például nálunk a fejlesztő oldalára. Saját szerveren nem tároljuk a szoftvereket). Különböző downloaderekkel felszerelt oldalakról nem szabad letölteni, túlzottan veszélyes lehet, mivel belepiszkálhatnak a szoftverbe vagy szoftvertelepítőbe is. Akár azokban vagy az downloaderekben elhelyezhetnek veszélyes reklámokat, vagy a registry-ben olyan bejegyzéseket végezhetnek el, hogy a kergető telepítése után, adott URL-eket a vizsgálat alól kihagyjon, akár manipulálhatják a programot és a downloaderüket nem nézi vírusnak.

Számtalan oka van annak, hogy eredeti, azaz fejlesztő, cég weboldaláról töltsük le a nekünk megfelelő védelmet.

A víruskergető oldalára való regisztrálás

Kifejezetten utálom, és nem ajánlom azokat a védelmi szoftvereket, melyek köteleznek a felhasználókat a regisztrálásra, hogy tudd használni, mert a hackerek fő célpontja mindig is a védelmi szoftverek és weboldalaik, felhasználók adatai lesznek.

Gondolom, nem egy ember van, aki egy ugyanazt a jelszót használja több weboldalon.

Teszt vagy saját tapasztalat?

Ez lehet kétoldalú. Én személy szerint tapasztalatra és tesztre is álláspontot adok, viszont a személyes vélemény mindig előre tör.

Érdemes megjegyezni, hogy ne a kergető dizájnjából induljunk ki és ne éppen abból, hogy ezt és azt az extrát tudja, gondolok én a biztonsági mentésre, automatikus fájl feltöltésre.

Tesztek nem mindig mutatnak pontos eredmény, sokszor elég eltérő különböző teszteken.

Aki szokta nézni az AV-Test cég oldalát, tudhatja, hogy egy német cégről van szó és nézzük meg a teszteken belül elért pontokat, azon belül a szoftverek nevét/fejlesztő céget és azok székhelyét. Természetesen a 80-90%-uk, akik a legjobb pontokat érték el, német. Ebből egy átlag felhasználó azt szűrné le, hogy a német szoftverek jók. Koránt sem, mivel hónapról-hónapra látszik, hogy az AV-Test cég a saját nemzetiségű cégeket sorolja előrébb a rangsorban.

Természetesen ennek háttéroldaláról nem tudok, de mélyen belegondolva, teljesen logikus, csak a felhasználókkal így játszanak. Nem szép dolog.

Víruskergető működése

Egy vírusirtó program többféle módszer alkalmazásával véd minket. Az egyik legismertebb eljárás a számítógép teljes átvizsgálása. Akár a felhasználó kezdeményezésére, akár egy ütemezett eljárás szerint végrehajtva, az átvizsgálás lehetővé teszi a fájlok egyenként történő elemzését, és annak ellenőrzését, hogy tartalmaznak-e vírust.

Az ellenőrzés során a vírusirtó vírusok nyomait keresi az aláírás-adatbázisa segítségével. Hasonlóan a többi futtatható programhoz, a vírusok is kódokból épülnek fel. Minden esetben, amikor egy vírust felfedeznek, a vírusirtók készítői feljegyzik az „aláírásnak” nevezett kódjukat, és a szoftver-adatbázisukban egyesítik őket. Az aláírás karakterek olyan sorozatából áll, mely a felhasználó számára értelmezhetetlen, csak a védelmi szoftver képes az olvasására.

Hozok egy példát:

X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Ha ezt a sort bemásoljuk egy szövegfájlba és „.com” kiterjesztéssel elmentjük, akkor a vírusirtó vírusként fogja észlelni, mivel a kódja benne van az adatbázisában.

A fenti kódsor egy tesztkód, tehát egy „EICAR” ellenőrző. Ha ezt nem csípi meg a kergetőd, akkor valami nagy gond lehet.

A legjobb védelem az aktív védelem, mikor valós időben ellenőrzi a kergető a megnyitott mappákat, meghajtókat, fájlokat.

Az aktív védelem még figyeli a számítógép bejövő és kiáramló fájljait, elemez minden lemezen tárolt, letöltött vagy e-mailben elküldött új dokumentumot. Ezzel az állandó figyeléssel a vírusirtó szinte minden gyanús fájlt sakkban tud tartani.

Az átvizsgáláshoz hasonlóan, a figyelés is használja az aláírás-adatbázist. A vírusirtó nem lesz képes észlelni a legújabb fenyegetéseket, ha nincs frissítve.

Terjedés:

A vírusok szaporodás céljából futtatható állományokat keresnek, megpróbálnak közvetlenül a lemezre írni, megpróbálják megfejteni az eredetileg titkosított kódjukat és így tovább. Ha a vírusirtó olyan alkalmazást észlel, mely a szokásostól több eltérő jelenséget is tartalmaz (olyat például, mely háttérben való merevlemez formázási kódot tartalmaz), akkor vírusriasztást fog leadni.

Egy vírusirtó így blokkolhatja az ismeretlen, illetve az aláírás adatbázisban még nem szereplő vírusokat. Előfordulhatnak téves riasztások is, melyet a kergető felküld elemzésre, ha nem biztos abban, hogy amit fogott az vírus, de képesek vagyunk akár manuálisan is beküldeni a cégeknek adott fájlokat, melyekben nem vagyunk biztosak, hogy tiszták vagy éppen teljesen ártalmatlanok és mégis jelez rá az adott szoftver.

Eltávolítás, semlegesítés vagy karanténba helyezés:

Amint a vírusirtó egy fertőző vírust észlel, akkor először a szaporodás megakadályozása végett elszigeteli, blokkolja azt. Azután a vírus kódjának törlésével, és a fájl sérült részeinek helyreállításával megpróbálja a vírust eltávolítani. Ez az eljárás akkor lehetséges, ha a vírus úgy terjed, hogy a kódját hozzáfűzi az alkalmazás kódjához. Némely vírus azonban a fájlok egészét fertőzi meg, így ezeket már nem lehet helyreállítani. A vírusirtó karanténba helyezi ezeket a fájlokat és javaslatot tesz, hogy a felhasználó törölje le azokat.

Miket tud rólad víruskergetőd?

Egy régi ismerősömtől nem régiben kaptam egy jó kis dokumentumot, mely tartalmazza mindazon vírusirtó cégek „adathalász” tevékenységeit, amelyekre adtak válaszolt a cégek, vagy éppen tőlük kiszivárgott információ.

Vagy letölthetjük a teljes PDF állományt INNEN.

Ha megnézzük, láthatjuk, hogy az Amerikai (USA) székhelyű céget gyűjtenek rólunk sok-sok információt. Mindemellett egy másik cég felmérése szerint, nem csak az Amerikai, hanem Kínai céget is rengeteg adatot képesek rólunk összeszedni.

Emiatt én ajánlom az EU-s vagy Orosz termékek használatát. Gondolom, ti sem szeretnétek, hogy amerikai vagy kínai szerveren ott csücsüljön sok-sok adat rólad.

Fordítás, hogy a képen vagy a PDF állományon ki tudjatok igazodni:

  • „Is the product version and license information transmitted?” – „A szoftver verziója és licenszelése”
  • „Is a unique idenfication number transmitted?” – „Egyedi szoftver azonosító elküldése”
  • „Are statistics for product usage transmitted?” – „Statisztika elküldése (blokkolt vírusok, tartalmak.)”
  • „Is the version of the operating system transmitted?” – „Az Operációs rendszer verziószámának elküldése”
  • „Is the Computername transmitted?” – „Számítógép nevének elküldése”
  • „Is information (e.g. version numbers, etc.) about third party applications transmitted?” – „Programverziók és harmadik féltől származó programok felküldése”
  • „Is information about the hardware (RAM, CPU, …) transmitted?” – „Hardveres információk (CPU, RAM, HDD és minden egyéb..) elküldése”
  • „Is information about running processes transitted?” – „Futó folyamatok listájának elküldése”
  • „Is the local IP address transmitted?” – „Az ip címed és rejtett hálózati cím elküldése”
  • „Are event- or errorlogs of the operating system transmitted?” – „Az operációs rendszer hibanapló(k) elküldése”
  • „Is the display resolution transmitted?” – „A kijelző felbontás elküldése”
  • „Are visited URLs (malicious and non-malicious URLs) transmitted?” – „Meglátogatott linkek (weboldalak) (független attól, hogy rosszindulatú vagy sem) elküldése”
  • „Is the Referer (previous page with link to malware-hosting site) transmitted?” – „A frissítő, korábbi malware, fertőzött linkek elküldése”
  • „Is the country / region of the settings of the operating system transmitted?” – „Az operációs rendszeren belül az általad beállított régió/ország elküldése”
  • „Is the language of the operating system transmitted?” – „Az operációs rendszeren használt nyelv elküldése”
  • „Is the windows username transmitted?” – „Felhasználóneved elküldése”
  • „Are hashes of files (or hashes of parts of files) transmitted?” – „Hashelt fájlok és kódok továbbítása”
  • „Is the detection name (of malware detections) transmitted?” – „Észlelt vírusok nevének elküldése”
  • „Is the name and path of files transmitted?” – „Megnyitott fájlok neve, információja és elérési útvonala”
  • „If "suspicious" files are transmitted: Are executable files transmitted?” – „Gyanús, futtatható futtatható fájlok felküldése”
  • „If "suspicious" files are transmitted: Are non-executable files (e.g. documents) transmitted?” – „Gyanus, de önmagában nem futtatható fájlok (dokumentumok pl: képek, zenék, tömörített fájlok..) elküldése”
  • „Can user opt out of sending files?”  - „A felhasználó kikapcsolhatja a fájlok küldését?”
  • „Are special updates delivered to users with specific IDs?” – „Speciális felhasználói információ, tehát beleértve fiók ID és Windows felhasználóhoz köthető minden információ”
  • „In which jurisdiction is the data stored (EU, USA, worldwide/random, etc)?” – „Hol tárolják az adatokat.”

Mindez a felhasználók tudta nélkül.

A „YES” nem jelent jót, mivel azt az információt elküldi, a „NO” pedig nem küldi el. A „Not disclosed”, pedig azt jelenti, hogy az adott cég erről nem kívánt nyilatkozni. Szerintem ezt vehetjük nyugodtan igennek.

 

Ingyenes védelmek (Windows):

  • 360 Internet Security (Teljes körű védelem)
  • Ad-Aware Antivirus Free (Vírusirtó)
  • Agnitum Outpost Security Suite Free (Teljes körű védelem)
  • Ashampoo Antivirus Free (Vírusirtó)
  • Ashampoo Firewall Free (Tűzfal)
  • Avast Antivirus Free (Vírusirtó)
  • Avira Free Antivirus (Vírusirtó)
  • AVG Antivirus Free (Vírusirtó)
  • Baidu Antivirus Free (Vírusirtó)
  • Comodo Internet Security (Teljes körű védelem)
  • Comodo Antivirus (Vírusirtó)
  • Comodo Firewall (Tűzfal)
  • Emsisoft Anti-Malware Free (Vírusirtó)
  • Immunet Antivirus Free (Vírusirtó)
  • iObit Malware Fighter (Vírusirtó)
  • Kingsoft Antivirus (Vírusirtó)
  • Malwarebytes Anti-Malware (Vírusirtó)
  • Nano Antivirus (Vírusirtó)
  • Microsoft Security Essentials (Vírusirtó)
  • Panda Cloud Antivirus Free (Vírusirtó)
  • Roboscan Internet Security Free (Teljes körű védelem)
  • ZoneAlarm Antivirus+Firewall (Teljes körű védelem)

 

Promóciós kulcsokat kínáló oldalak:

bykewix profilképe
Polgár Zoltán @bykewix +869 .NetDEV, PHP Engineer, Designer.
14 hozzászólás
Hozzászóláshoz jelentkezz be vagy Regisztrálj!
Az EICAR nem vírus, csak egy víruskergető teszt. Elvileg az összesnek kéne rá jeleznie :D
2014.07.09 11:43
@vmarci21: És NOT-ot is csupa nagybetűkkel írja :D
2014.07.02 17:07
Avast - EICAR Test-NOT virus!!!

Ez igen, 3 felkiáltójellel kihangsúlyozza, hogy ez nem vírus.. :D
2014.07.02 16:46
https://www.virustotal.com/hu/file/8b3f191819931d1f2cef7289239b5f77c00b079847b9c2636e56854d1e5eff71/analysis/1404239130/
Virustotal valamit félreért... Baidu fenyegetésként észlelte a fájlt...
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

a fájlban ez a kód van
X5O!P%@AP[4\PZX54(P^)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

a cikkben ez.
Tehát egy } volt a ludas :D
2014.07.01 21:28
@bykewix: Látom, nemcsak a Baidu-nál vannak ilyen gondok. Avast, AVG, Avira, MSE, Kaspersky, Malwarebytes, McAfee, Norton sem jelzi vírusnak.
2014.07.01 17:40
@bigblog: Érdekes.. EICAR-t elvileg ismernie kéne az összesnek.
2014.07.01 14:48
Észlelt fenyegetések: 0 így is...
2014.07.01 14:31
@bigblog: Jobb klikk - Ellenőrzés. Így sem?
2014.07.01 14:27
@bykewix: Baidu Antivirus. Jól másoltam ki és virus.com néven mentettem el.
2014.07.01 14:16
@bigblog: Kergető neve? valami.com néven mentetted? Jól másoltad ki?
Ha igen, akkor a kergetőd dobd ki mert az nem lehet valami jó..
2014.07.01 14:13
De ott van, hogy nem futtatható. A futtatható is lehet, akár valami esküvői képek egy exe-ben tárolva.
A megtekintett URL és öneállóan nem futtatható elemek elküldése azért nagyon durva..
--
A kijelző felbontással a szoftver ablakának méretét optimizálják. Tehát, már nincs sok 1024x768 rendelkező monitor, akkor már nem fejlesztik tovább arra a méretre. Ez kb statisztika a fejlesztéshez.
2014.07.01 14:11
Ha ezt nem csípi meg a kergetőd, akkor valami nagy gond lehet

Nem észlelt fenyegetést >.<
2014.07.01 14:10
„YES” nem jelent jót, mivel azt az információt elküldi

Dehogynem, igenis több pontban jót jelent, hogy ha elküldi, pl.: Észlelt vírusok nevének elküldése,Gyanús, futtatható futtatható fájlok felküldése, stb...
De hogy a kijelző felbontásával mit kezdenek :D
2014.07.01 14:07