Pripravte si správy o vírusoch a antivírusových programoch. Abstrakt: Vírusy a antivírusy. Antivírusový softvér na prvý pohľad

11.04.2019

Abstrakt na tému:

„Počítačové vírusy a

antivirusový softvér "

Počítačové vírusy sú tak pomenované z nejakého dôvodu – ich podobnosť so „živými“ vírusmi je zarážajúca. Šíria sa rovnakým spôsobom, žijú, konajú a zomierajú rovnakým spôsobom. Jediný rozdiel je v tom, že cieľom nie sú ľudia ani zvieratá, ale počítače. Vzájomným kontaktom prostredníctvom diskiet, CD, lokálnych sietí, internetu a iných „komunikačných prostriedkov“ sa navzájom infikujú ako človek.

Počítačový vírus je program, ktorý dokáže vytvárať svoje kópie (nie nevyhnutne úplne identické s originálom) a vkladať ich do rôznych objektov alebo prostriedkov počítačových systémov, sietí a pod. bez vedomia používateľa. Zároveň si kópie zachovávajú možnosť ďalšej distribúcie. Dnes existuje 6 hlavných typov vírusov: súborové, bootovacie, duchové (polymorfné), neviditeľné, skriptové vírusy a makrovírusy. Vírusy treba odlíšiť od škodlivé kódy... Patria sem internetové červy a programy nazývané trójske kone.

Hlavné príznaky vírusovej infekcie: spomalenie niektorých programov, zvýšenie veľkosti súborov (najmä spustiteľných), výskyt predtým neexistujúcich podozrivé súbory, zníženie množstva dostupnej pamäte RAM (v porovnaní s normálny režim práce), zrazu sa objavia rôzne videá a zvukové efekty... So všetkými vyššie uvedenými príznakmi, ako aj s inými zvláštnymi prejavmi v prevádzke systému (nestabilná práca, časté samočinné reštarty a tak ďalej), mali by ste okamžite skontrolovať, či systém neobsahuje vírusy.

Pôvod počítačových vírusov

Existuje mnoho rôznych názorov na vzhľad prvého počítačového vírusu. S istotou je známe len to, že Charles Babbage, ktorý je považovaný za vynálezcu prvého počítača, ho na stroji nemal, ale na Univaxe 1108 a IBM 360/370, v polovici 70. rokov už boli. Je zaujímavé, že myšlienka počítačových vírusov sa objavila oveľa skôr ako samotné osobné počítače. Za východiskový bod možno považovať práce slávneho vedca Johna von Neumanna o štúdiu samoreprodukujúcich sa matematických automatov, ktoré sa stali známymi v 40. rokoch 20. storočia. V roku 1951 navrhol spôsob vytvorenia takýchto strojov. A v roku 1959 časopis Scientific American uverejnil článok L.S. Penrose o samoreprodukujúcich sa mechanických štruktúrach. Opisoval najjednoduchší dvojrozmerný model samoreprodukujúcich sa mechanických štruktúr schopných aktivácie, reprodukcie, mutácie a zachytenia. Neskôr ďalší vedec F.Zh. Stahl realizovaný tento model v praxi prostredníctvom strojový kód na IBM 650.

Proces infekcie

Zjednodušený proces infikovania programových súborov vírusom môže
Kód infikovaného programu je zvyčajne prvým kontrolovaným vírusom predtým, ako začne fungovať program nosiča vírusov.
Pri prenose kontroly na vírus to nejako nájde
nový program a vloží doň svoju vlastnú kópiu
začiatok alebo koniec tohto zvyčajne ešte nie je infikovaný
programy. Ak je na koniec programu pripojený vírus, potom to
potom upraví kód programu, aby získal kontrolu
Najprv je v tele uložených niekoľko prvých bajtov
vírus a na ich miesto je vložený príkaz kódu na začiatku
vírus. Táto metóda je najbežnejšia. Autor -
Po získaní kontroly vírus najskôr obnoví „skryté“.
bajtov a po spracovaní jej telo odovzdá riadenie
program nosiča vírusov.

Antivirusový softvér

Metódy boja proti počítačovým vírusom možno rozdeliť do niekoľkých skupín: prevencia vírusová infekcia a zníženie vnímaného poškodenia z takejto kontaminácie; spôsoby používania antivírusových programov vrátane neutralizácie a odstránenia známeho vírusu; spôsoby, ako zistiť a odstrániť neznámy vírus.

Už dávno je známe, že skôr či neskôr

možno nájsť protijed. Taký protijed v počítačovom svete

sa stali programy nazývané antivírusy. Tieto programy môžu

ale sú rozdelené do piatich hlavných skupín: filtre, detektory,

audítorov, lekárov a vakcinátorov.

Antivírusové filtre sú rezidentné programy, ktoré zisťujú

vysielať používateľovi o všetkých pokusoch o nahrávanie akéhokoľvek programu

prejdite na disk a ešte viac ho naformátujte, ako aj o

iné podozrivé akcie (napríklad pokusy o zmenu

nastavenia CMOS). Zároveň sa zobrazí žiadosť o povolenie alebo zákaz.

schenia túto akciu... Princíp fungovania týchto programov je založený na

zachytenie zodpovedajúcich vektorov prerušenia. Výhodne

programy tejto triedy v porovnaní s programami detektorov môžu

ale pripisovať univerzálnosť vo vzťahu k známym aj

neznáme vírusy, zatiaľ čo detektory sú písané pre špecifické

typy, ktoré v súčasnosti programátor pozná. Toto je obzvlášť

relevantné teraz, keď sa objavilo veľa mutantných vírusov, nie

s trvalým kódom. Filtrovacie programy však nedokážu

monitorovať vírusy, ktoré pristupujú priamo do systému BIOS, a

BOOT vírusy, ktoré sú aktivované ešte pred spustením antivírusu

počiatočná fáza načítania DOS, Nevýhody možno tiež pripísať

časté vydávanie žiadostí o realizáciu akejkoľvek operácie:

Odpovedanie na otázky vyžaduje od používateľa veľa času a akcie.

liezť mu na nervy. Pri inštalácii nejakého antivírusu

cov filtre môžu byť v konflikte s inými obyvateľmi

programy používajúce rovnaké prerušenia, ktoré sú jednoducho

Prestaň pracovať.

Najrozšírenejšie sú u nás programy

sme detektory, alebo skôr programy, ktoré kombinujú detektor a

lekár. Najznámejšími predstaviteľmi tejto triedy sú Aidstest,

Doctor Web, Microsoft AntiVirus.

Antivírusové detektory sú určené pre špecifické vírusy a sú založené na

porovnanie sekvencie kódov obsiahnutých v tele vírusu s

kódy kontrolovaných programov. Takéto programy by sa mali pravidelne revidovať

aktualizovať, pretože rýchlo zastarajú a nedajú sa zistiť

nové typy vírusov.

Audítori - programy, ktoré analyzujú aktuálny stav

súbory a systémové oblasti disku a porovnať ich s informáciami,

predtým uložené v jednom z dátových súborov audítora. V čom

stav BOOT sektora, FAT tabuľku a dĺžku

súbory, čas ich vytvorenia, atribúty, kontrolný súčet. analýza-

Prečítaním správ programu audítora sa užívateľ môže rozhodnúť ako

spôsobené zmenami: vírus alebo nie. Pri vydávaní tohto druhu správy

nemali by ste panikáriť, pretože príčina zmien,

napríklad dĺžka programu nemusí byť vôbec vírusová

Posledná skupina zahŕňa najúčinnejšie antivírusy -

vakcinátorov. Znamenia zapisujú do očkovaného programu

špecifický vírus, aby ho vírus považoval za už infikovaný.

V našom storočí sú mnohé oblasti ľudskej činnosti spojené s používaním počítača. Tieto stroje sú pevne zakomponované do našich životov. Majú obrovské schopnosti, čím uvoľňujú ľudský mozog pre potrebnejšie a zodpovednejšie úlohy. Počítač dokáže uložiť a spracovať veľmi veľké množstvo informácií, čo je v súčasnosti jeden z najdrahších zdrojov.

Pri práci s moderným osobným počítačom môže používateľ čeliť mnohým problémom: strate údajov, zamrznutiu systému, poruche oddelené časti počítač a iné. Jednou z príčin týchto problémov môžu byť počítačové vírusy, ktoré sa dostali do systému. Vírusy sú takmer hlavnými nepriateľmi počítača. Tieto programy, podobne ako biologické vírusy, sa množia, zapisujú sa do systémových oblastí disku alebo sa pripájajú k súborom a vykonávajú rôzne nežiaduce akcie. Všetky akcie vírusu je možné vykonať veľmi rýchlo a bez vydávania akýchkoľvek správ, takže pre používateľa je veľmi ťažké určiť, že sa v počítači niečo deje. Pokiaľ je v počítači relatívne málo infikovaných programov, prítomnosť vírusu môže byť takmer neviditeľná.

Vírusy sa šíria mnohými spôsobmi. Vírus sa môže dostať do počítača používateľa spolu s disketou, pirátskym CD alebo so správou Email... Vírus sa spravidla zavádza do pracovný program tak, že po spustení sa naň najskôr prenesie riadenie a až po vykonaní všetkých jeho príkazov sa opäť vráti do pracovného programu. Po získaní prístupu ku kontrole sa vírus prepíše do iného pracovného programu a infikuje ho. Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory, čo môže viesť ku katastrofálnym následkom. Aby sa každý používateľ nestal obeťou tejto pohromy, mal by dobre poznať zásady ochrany pred počítačovými vírusmi. Koniec koncov, nie je nádej, že vírusy s príchodom nového tisícročia zmiznú. Rovnako ako nie je nádej na ich úplné zvládnutie v dohľadnom čase, keďže talentu autorov antivírusových programov odporuje fantázia počítačových grafomanov.

Najlepšie výsledky sa teraz dosiahli pri vývoji antivírusových programov a spôsobov ich aplikácie. Na úroveň sa dostal celý rad vývoja softvérové produkty a je široko používaný používateľmi.

Cieľom tejto práce je analyzovať a porovnať systémy antivírusovej ochrany.

Medzi hlavné úlohy patrí: zvážiť hlavné znaky prejavu vírusov a metódy ochrany pred počítačovými vírusmi, identifikovať výhody a nevýhody antivírusových programov.

Počítačové vírusy Sú to programy, ktoré sa dokážu reprodukovať v niekoľkých kópiách, prípadne sa pripisujú iným programom a môžu mať nejaké vedľajšie účinky.

Keď sa počítač nakazí vírusom, je veľmi dôležité ho včas odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch prejavu vírusov:

· Blikanie obrazovky.

· pomalá práca počítač.

· Objavenie sa neočakávanej správy na obrazovke.

· Blokovanie vstupu z klávesnice.

· Zmena veľkosti súboru, dátumu vytvorenia programov.

· Výrazný nárast súborov na disku.

· Časté zamrznutie a poruchy počítača.

· Zničenie súborov alebo čiastočné zničenie.

· Blokovanie zápisu na pevný disk.

Zvlášť nebezpečné pre užívateľa je pôsobenie vírusu ako napr ťažké formátovanie disku, čo môže viesť k rýchlej strate všetkých informácií tam uložených. Keďže žiadny používateľ nie je poistený proti prieniku vírusu, je možné znížiť možné následky prítomnosti vírusu v počítači. Ak to chcete urobiť, musíte dodržiavať niektoré pravidlá:

· Každé jeho médium, ak „navštívilo“ iný počítač, by malo byť skontrolované akýmkoľvek antivírusovým programom. Programy tohto druhu dokážu nielen odhaliť vírus, ale aj „vyliečiť“ nosiča.

· Podobné kontroly by sa mali vykonávať pre súbory prijaté cez sieť.

· Antivírusové programy je potrebné pravidelne aktualizovať, pretože starnú veľmi rýchlo.

· Pri práci s e-mailom neotvárajte súbory, ak je predmet a samotná správa prázdna, odstráňte všetky podozrivé súbory.

· Nemali by ste sa zapájať do nelicencovaného a nelegálneho kopírovania softvér z iných počítačov.

2. Spôsoby ochrany pred počítačovými vírusmi

Bez ohľadu na vírus musí používateľ poznať základné metódy ochrany pred počítačovými vírusmi. Na ochranu pred vírusmi môžete použiť:

· Všeobecné prostriedky ochrany informácií, ktoré sú užitočné aj ako poistenie fyzického poškodenia diskov, nesprávne fungujúcich programov alebo chybného konania používateľa;

· preventívne opatrenia na zníženie pravdepodobnosti vírusovej infekcie;

· Špecializované programy na ochranu pred vírusmi.

Všeobecné nástroje informačnej bezpečnosti majú dva hlavné typy:

· Kopírovanie informácií - vytváranie kópií súborov a systémových oblastí diskov;

· Kontrola prístupu zabraňuje neoprávnenému použitiu informácií, ochrana pred zmenami programov a údajov vírusmi, nesprávne fungujúcimi programami.

Aj keď sú všeobecné obrany veľmi dôležité na ochranu pred vírusmi, stále nie sú dostatočné. Vyžaduje sa prihláška špecializované programy na ochranu pred vírusmi. Tieto programy možno rozdeliť do niekoľkých typov: detektory, lekári, inšpektori, filtre, vakcíny alebo imunizátory.

Detekčné programy dokážu zistiť súbory infikované vírusmi. Ak sa zistí, v ľubovoľnom súbore sa na obrazovke zobrazí príslušná správa. Mnoho detektorov má režimy dezinfekcie alebo dezinfekcie infikovaných súborov. Nevýhodou takýchto programov je, že dokážu odhaliť iba vírusy, ktoré poznajú vývojári takýchto programov.

Programy – lekári (fágy) nielen nachádzajú súbory infikované vírusmi, ale ich aj „liečia“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Medzi fágmi sa rozlišujú polyfágy, ktoré sú určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich sú Aidstest, Doctor Web, Norton AntiVirus.

Audítorské programy sú programy, ktoré analyzujú aktuálny stav súborov a systémových oblastí disku a porovnávajú ho s informáciami predtým uloženými v jednom z dátových súborov audítora. Porovnanie stavov sa zvyčajne vykonáva ihneď po načítaní operačného systému. Tým sa skontroluje dĺžka súborov, čas ich vytvorenia a ďalšie parametre. Zistené zmeny sa zobrazia na obrazovke. Analýzou správy programu audítora môže používateľ rozhodnúť, čo spôsobilo zmeny. Široko používaný program Adinf.

Programy - filtre – Ide o rezidentné programy, ktoré upozornia používateľa na všetky pokusy programu zapísať na disk alebo ho naformátovať a upozornia aj na iné podozrivé akcie. Výhodou tohto programu je jeho univerzálnosť vo vzťahu k známym aj neznámym vírusom. Nevýhodou je časté vystavovanie požiadaviek na realizáciu akejkoľvek operácie

Očkovacie programy sú rezidentné programy, ktoré zabraňujú infikovaniu súborov. Vakcíny sa používajú, ak neexistujú žiadne programy - lekári. Očkovanie je možné len od známe vírusy.

3. Antivírusové programy

ochrana proti vírusom infekcia antivírus

Antivírusový program je softvér, ktorý sa inštaluje do počítača s cieľom skenovať disky a prichádzajúce súbory na prítomnosť počítačových vírusov a odstrániť ich, keď sa nájdu. Programy detegujú vírusy, ponúkajú vyliečenie súborov a ak nie je možné ich odstrániť. Je žiaduce, aby antivírusový program detegoval akýkoľvek vírus, a to s čo najväčšou pravdepodobnosťou.

Antivírusové programy používajú rôzne metódy detekcie vírusov v závislosti od vývojára. Väčšina však skenuje súbory alebo pamäť počítača, aby zistila prítomnosť známeho vírusu, pričom ho rozpozná podľa charakteristickej časti kódu.

Šanca na získanie starého vírusu je relatívne nízka, no nové vírusy sa objavujú každý deň. Ak chcete zachovať účinnosť antivírusového programu, odporúča sa aktualizovať antivírusové programy alebo ich vírusové databázy. Pri výbere antivírusového programu je potrebné vziať do úvahy nielen percento detekcie vírusov, ale aj schopnosť detekovať nové vírusy, počet vírusov v antivírusovej databáze, frekvenciu jej aktualizácií a dostupnosť doplnkových funkcií.

V súčasnosti musí byť seriózny antivírus schopný rozpoznať aspoň 25 000 vírusov. Mnohé z nich už prestali existovať. Existuje veľa antivírusových programov. Uvažujme o najznámejších z nich.

AIDSTEST

V našej krajine, ako je uvedené vyššie, získali mimoriadnu popularitu antivírusové programy, ktoré kombinujú funkcie detektorov a lekárov. Najznámejší z nich je program AIDSTEST od D.N. Ložinský. Na Ukrajine je takmer každý kompatibilný s IBM osobný počítač existuje jedna z verzií tohto programu. Jeden z Najnovšia verzia deteguje viac ako 8000 vírusov.

Aidstest pre svoje normálne fungovanie vyžaduje, aby sa v pamäti nenachádzali rezidentné antivírusy, ktoré blokujú zápis do programových súborov, preto by sa mali uvoľniť buď zadaním možnosti unload pre samotný rezidentný program, alebo použiť príslušnú utilitu.

Keď sa Aidstest spustí, skontroluje svoju RAM na prítomnosť vírusov, ktoré pozná, a neutralizuje ich. V tomto prípade sú paralyzované iba funkcie vírusu spojené s reprodukciou a môžu zostať ďalšie vedľajšie účinky. Preto po neutralizácii vírusu v pamäti vás program vyzve na reštart. Je nevyhnutné dodržiavať túto radu, ak operátor PC nie je systémový programátor študujúci vlastnosti vírusov. Potom by ste mali reštartovať pomocou tlačidla RESET, pretože počas „teplého reštartu“ môžu niektoré vírusy pretrvávať. Okrem toho je lepšie spustiť stroj a Aidstest z diskety chránenej proti zápisu, pretože pri spustení z infikovaného disku sa vírus môže zapísať do pamäte ako rezident a zabrániť dezinfekcii.

Aidstest testuje svoje telo na známe vírusy a posudzuje jeho infekciu neznámym vírusom podľa deformácií v jeho kóde. V tomto prípade sú možné prípady falošných poplachov, napríklad keď je antivírus komprimovaný balíčkom. Program nemá grafické rozhranie a režimy jeho činnosti sa nastavujú pomocou tlačidiel. Zadaním cesty môžete skontrolovať nie celý disk, ale samostatný podadresár.

Ako ukázala prax, najoptimálnejší režim pre každodennú prácu sa nastavuje pomocou kláves / g (skenovanie všetkých súborov, nielen súborov s príponami EXE, COM, SYS) a / s (pomalé skenovanie). Nárast času pri takýchto možnostiach je prakticky nepostrehnuteľný, ale pravdepodobnosť odhalenia je rádovo vyššia.

Počas rutinného testovania by ste nemali používať prepínač / f (opraviť infikované programy a vymazať tie, ktoré sa nedajú obnoviť), a to ani s prepínačom / q (vydať požiadavku na odstránenie súboru), pretože akýkoľvek program vrátane antivírusových programov , nie je imúnny voči chybám. Prepínač / f by sa mal použiť, keď Aidstest, ako aj iné antivírusy, indikujú prítomnosť vírusu v súbore. V takom prípade by ste mali reštartovať počítač z diskety chránenej proti zápisu, pretože systém môže byť infikovaný rezidentným vírusom a potom bude liečba neúčinná alebo dokonca jednoducho nebezpečná. Ak sa v cennom súbore nájde vírus, mali by ste ho prepísať na disketu alebo ešte lepšie - na elektronický disk a pokúsiť sa ho tam vyliečiť zadaním možnosti Aidstest / f. Ak je pokus neúspešný, musíte odstrániť všetky infikované kópie súboru a znova skontrolovať disk. Ak súbor obsahuje dôležitá informácia, ktorý je škoda vymazať, môžete súbor zazipovať a počkať na vydanie novej verzie Aidstestu alebo iného antivírusu, ktorý dokáže tento typ vírusu vyliečiť. Na urýchlenie procesu môžete infikovaný súbor poslať ako vzorku Lozinskému.

Ak chcete v súbore vytvoriť protokol programu Aidstest, použite prepínač / p. Protokol sa ukáže ako užitočný, keď používateľ nemá čas prezerať si názvy infikovaných súborov. Na podporu antivírusového softvérového a hardvérového komplexu Sheriff (ktorý bude podrobnejšie popísaný nižšie) sa používa kláves / z.

LEKÁR WEB

V poslednej dobe rýchlo rastie obľuba ďalšieho antivírusového programu Doctor Web. DR. Web, rovnako ako Aidstest, patrí do triedy detektorov - lekárov, ale na rozdiel od nich má takzvaný "heuristický analyzátor" - algoritmus, ktorý vám umožňuje odhaliť neznáme vírusy. „Healing Web“, ako je názov programu preložený z angličtiny, bola odpoveďou domácich programátorov na inváziu samomodifikujúcich sa mutantných vírusov. Tie počas reprodukcie upravia svoje telo tak, aby v ňom nebol prítomný ani jeden charakteristický bajtový reťazec originálna verzia vírus. DR. Web možno nazvať antivírusom novej generácie v porovnaní s Aidstestom a jeho náprotivkami.

Ovládanie režimov, ako aj v Aidsteste, sa vykonáva pomocou kláves. Používateľ môže programu prikázať, aby otestoval celý disk aj jednotlivé podadresáre či skupiny súborov, alebo odmietnuť kontrolu diskov a otestovať iba RAM. Testovať môžete buď len základnú pamäť, alebo navyše aj rozšírenú (označená klávesom /H). Rovnako ako Aidstest Doctor Web dokáže vytvoriť správu o práci (kláves / P), načítať generátor cyrilických znakov (kláves / R), podporuje prácu so softvérovým a hardvérovým komplexom Sheriff (kláves / Z).

Ale samozrejme, Hlavná prednosť"Liečivá pavučina" je prítomnosť heuristická analýza torus, ktorý je spojený s klávesom / S. Rovnováhu medzi rýchlosťou a kvalitou možno dosiahnuť špecifikovaním úrovne heuristickej analýzy pre kľúč: 0 - minimálna, 1 - optimálna, 2 - maximálna; v tomto prípade samozrejme rýchlosť klesá úmerne s nárastom kvality. Okrem toho Dr. Web vám umožňuje testovať súbory očkované CPAV, ako aj zabalené s LZEXE, PKLITE, DIET. Ak to chcete urobiť, zadajte kľúč / U (súbory sa rozbalia na aktuálnom zariadení) alebo / U disk: (kde disk: je zariadenie, na ktorom sa rozbalenie vykoná), ak je disketa, z ktorej je Doctor Web beh je chránený proti zápisu. Mnoho programov je zabalených týmto spôsobom, aj keď o tom používateľ nemusí vedieť. Ak prepínač / U nie je nainštalovaný, Doctor Web môže preskočiť vírus, ktorý sa dostane do zbaleného programu.

Dôležitou funkciou je kontrola infekcie testovaných súborov rezidentným vírusom (switch / V). Pri skenovaní pamäte nie je stopercentná záruka, že Healing Web zachytí všetky vírusy, ktoré sa tam nachádzajú. Takže pri nastavovaní / V Dr. Web sa snaží zabrániť tomu, aby vírusy, ktoré zostali v pamäti, infikovali testované súbory.

Testovanie Dr. Web trvá oveľa dlhšie ako Aidstest, takže nie každý používateľ si môže dovoliť tráviť toľko času každodennou kontrolou všetkého pevný disk... Takýmto užívateľom možno odporučiť, aby pozornejšie kontrolovali diskety prinesené zvonku (s voľbou / S2). Ak sú informácie na diskete v archíve (a v poslednej dobe sa programy a dáta prenášajú zo stroja na stroj iba v tejto forme; aj výrobcovia softvéru, napríklad Borland, balia svoje produkty), mali by ste ich rozbaliť do samostatného adresára na váš pevný disk a okamžite, bez meškania, spustite Dr. Web tak, že mu namiesto názvu jednotky ako parametra poskytnete úplnú cestu k tomuto podadresáru. A napriek tomu musíte vyrábať aspoň raz za dva týždne úplná kontrola"Pevný disk" pre vírusy s úlohou maximálna úroveň heuristická analýza.

Rovnako ako v prípade Aidstest, počas počiatočného testovania by ste nemali dovoliť programu dezinfikovať súbory, v ktorých deteguje vírus, pretože nemožno vylúčiť, že sekvencia bajtov braná ako šablóna v antivíruse sa môže vyskytnúť v zdravom programe. . Ak po dokončení testovania Dr. Web zobrazí správy, že našiel vírusy, musíte ho spustiť s voľbou / P (ak táto možnosť nebola zadaná), aby ste videli, ktorý súbor je infikovaný. Potom musíte súbor skopírovať na disketu alebo na elektronický disk a pokúsiť sa ho vymazať zadaním klávesu /F na Medical Web. V prípade neúspešnej liečby postupujte rovnako ako v podobnej situácii opísanej vyššie pre program Aidstest.

MICROSOFT ANTIVÍRUS

Časť moderné verzie MS-DOS (napr. 7.10) obsahuje antivírus program Microsoft Antivírus (MSAV). Tento antivírus môže pracovať v režime detektor-lekár a audítor.

MSAV má priateľské rozhranie v štýle MS-Windows je myš prirodzene podporovaná. Kontextová pomoc je dobre implementovaná: existuje nápoveda pre takmer každú položku ponuky a pre každú situáciu. Prístup k položkám ponuky je univerzálne implementovaný: na tento účel môžete použiť kurzorové klávesy, klávesové klávesy (F1-F9), klávesy zodpovedajúce jednému z písmen názvu položky, ako aj myš. Zaškrtávacie políčka nastavení v položke menu Options je možné nastaviť pomocou MEDZERNÍKA resp pomocou klávesu ENTER... Vážnou nevýhodou pri používaní programu je, že tabuľky s údajmi o súboroch neukladá do jedného súboru, ale rozhádže ich po všetkých adresároch.

Pri štarte program načíta vlastný generátor znakov a načíta adresárový strom aktuálneho disku, po ktorom opustí hlavnú ponuku. Nie je jasné, prečo čítať strom adresárov ihneď pri spustení: používateľ predsa nemusí chcieť skontrolovať aktuálny disk. V hlavnom menu môžete zmeniť jednotku (Vybrať novú jednotku), vybrať si medzi skenovaním bez odstránenia vírusov (Zistiť) a ich odstránením (Rozpoznať a vyčistiť). Keď spustíte kontrolu disku (v režime odinštalovania aj bez nej), program najprv skontroluje pamäť na prítomnosť vírusov, ktoré sú mu známe. Zároveň je zobrazený údaj o vykonanej práci vo forme farebného pásika a percenta vykonanej práce. Po naskenovaní pamäte MSAV začne kontrolovať samotný disk. MSAV pri prvej kontrole vytvorí v každom adresári súbory CHKLIST.MS obsahujúce spustiteľné súbory, do ktorých zapíše informácie o veľkosti, dátume, čase, atribútoch, ako aj kontrolný súčet sledovaných súborov. Pri následných kontrolách program porovná súbory s informáciami v súboroch CHKLIST.MS. Ak sa veľkosť a dátum zmenili, program o tom informuje používateľa a požiada ho o ďalšie kroky: aktualizovať informácie (Aktualizovať), nastaviť dátum a čas v súlade s údajmi v CHKLIST.MS (Oprava), pokračovať ignorovaním zmeny v tento súbor(Pokračovať), prerušiť kontrolu (Stop). Ak sa kontrolný súčet zmenil, tak MSAV zobrazí rovnaké okno, len namiesto položky Opraviť bude položka Odstrániť, keďže program nedokáže obnoviť obsah súboru. Ak sa v režime Detect & Clean zistí vírus, program tento vírus odstráni. Kontrola disku v oboch režimoch môže byť pozastavená alebo úplne prerušená stlačením ESC (alebo F3) a zodpovedaním príslušnej otázky programu. Počas skenovania disku sa zobrazujú informácie o vykonanej práci: percento spracovaných adresárov a percento spracovaných súborov v aktuálnom adresári. Tieto informácie sa zobrazujú aj vizuálne, vo forme farebného prúžku, ako v prípade kontroly pamäte. Na konci kontroly MSAV vystaví protokol vo forme tabuľky, v ktorom je uvedený počet skontrolovaných pevné disky a diskiet, o počte naskenovaných, infikovaných a dezinfikovaných súborov. Okrem toho sa zobrazí čas skenovania.

V ponuke Možnosti môžete nakonfigurovať program pomocou na vlastnú päsť... Tu môžete nastaviť režim kontroly Anti-Stealth, kontrolovať všetko a povoliť alebo zakázať vytváranie tabuliek CHKLIST.MS. Okrem toho môžete nastaviť režim ukladania správy o vykonanej práci v súbore. Ak nastavíte možnosť Vytvoriť zálohu, pred odstránením vírusu z infikovaného súboru sa jeho kópia uloží s príponou * .VIR

V hlavnom menu si môžete prezrieť zoznam vírusov, programu známe MSAV stlačením F9. Zobrazí sa okno s názvami vírusov. Ak chcete zobraziť podrobnejšie informácie o víruse, presuňte kurzor na jeho názov a stlačte ENTER. K vírusu, ktorý vás zaujíma, môžete rýchlo prejsť zadaním prvých písmen jeho názvu. Informácie o víruse je možné vytlačiť do tlačiarne výberom príslušnej položky ponuky.

ADINF (Advanced Diskinfoscope)

ADinf patrí do triedy audítorských programov. Antivírus má vysoká rýchlosť práce, je schopný úspešne odolávať vírusom v pamäti. Umožňuje ovládať disk jeho čítaním sektor po sektore cez BIOS a nepoužívaním systém preruší DOS, ktorý môže zachytiť vírus.

ADinf vyhral prvú cenu na druhej celoúniovej súťaži antivírusových programov v roku 1990 a druhú cenu na súťaži Borland "93. ADinf bol jediný antivírus, ktorý v lete 1991 detekoval vírus DIR, ktorý bol založený na zásadne novom spôsob infekcie a maskovania.

Na liečenie infikovaných súborov slúži ADinf Cure Module, ktorý nie je súčasťou balenia ADinf a je dodávaný samostatne. Princípom modulu je uloženie malej databázy popisujúcej kontrolované súbory. Spoločne tieto programy dokážu zistiť a odstrániť približne 97 % súborových vírusov a 100 % vírusov v zavádzacom sektore. Napríklad senzačný vírus SatanBug bol ľahko detekovaný a súbory ním infikované boli automaticky obnovené. Navyše aj tí používatelia, ktorí si ADinf a ADinf Cure Module zakúpili niekoľko mesiacov pred objavením sa tohto vírusu, sa ho mohli ľahko zbaviť.

Na rozdiel od iných antivírusov, Advansed Diskinfoscope nevyžaduje zavádzanie z hlavnej diskety chránenej proti zápisu. Pri zavádzaní z pevného disku sa spoľahlivosť ochrany neznižuje.

ADinf má dobre spracované užívateľsky prívetivé rozhranie, ktoré je implementované v grafickom režime. Program pracuje priamo s video pamäťou, obchádza BIOS, zatiaľ čo všetko grafické adaptéry... Prítomnosť veľkého počtu kľúčov umožňuje používateľovi vytvoriť pre neho najvhodnejšiu konfiguráciu systému. Môžete nastaviť, čo presne sa má monitorovať: súbory s určenými príponami, zavádzacie sektory, prítomnosť zlých klastrov, nové súbory na prítomnosť vírusov Stealth, súbory zo zoznamu nemenných atď. Používateľ môže ľubovoľne zakázať kontrolu niektorých adresárov (je to potrebné, ak adresáre fungujú a neustále sa v nich vyskytujú zmeny). Je možné zmeniť spôsob prístupu k disku (BIOS, Int13h alebo Int25h / 26h), upraviť zoznam prípon súborov, ktoré sa majú kontrolovať, a tiež priradiť každej prípone vlastný prehliadač, ktorý sa použije na prezeranie súborov s touto príponou . Práca s myšou je implementovaná v tradícii moderného softvéru. Rovnako ako všetky produkty DialogueNauka, ADinf podporuje softvérový a hardvérový komplex Sheriff.

Pri inštalácii ADinf do systému je možné zmeniť názov hlavného súboru ADINF.EXE a názov tabuliek, pričom užívateľ môže zadať ľubovoľný názov. Ide o veľmi užitočnú funkciu, keďže v poslednej dobe sa objavilo množstvo vírusov, ktoré „lovia“ antivírusy (napríklad existuje vírus, ktorý zmení program Aidstest tak, že namiesto šetriča obrazovky spoločnosti DialogNauka píše: „Lozinsky je peň“ ), vrátane čísla a pre ADinf.

Užitočnou funkciou je možnosť pracovať s DOSom bez opustenia programu. To je užitočné, keď potrebujete spustiť externý antivírus na vyliečenie súboru, ak používateľ nemá vytvrdzovací blok ADinf Cure Module.

Ďalší zaujímavá funkcia- zákaz práce so systémom pri zistení zmien na disku. Táto funkcia je užitočná, keď na termináloch pracujú používatelia, ktorí nemajú veľa skúseností s komunikáciou s počítačom. Takíto používatelia môžu z nevedomosti alebo nedbanlivosti ignorovať správu ADinf a pokračovať v práci, akoby sa nič nestalo, čo môže viesť k vážnym následkom.

Ak je vo volacej linke Adinf AUTOEXEC.BAT nastavený kláves - Stop, potom keď sa na disku zistia zmeny, program bude vyžadovať zavolanie systémového programátora obsluhujúceho tento terminál, a ak používateľ stlačí ESC alebo ENTER, systém reštartujte a všetko sa zopakuje.

Princíp fungovania ADinf je založený na uložení kópie MASTER-BOOT do tabuľky a BOOT sektory, zoznam chybných čísel klastrov, diagram stromu adresárov a informácie o všetkých monitorovaných súboroch. Okrem toho si program pamätá a pri každom spustení kontroluje, či sa zmenilo množstvo pamäte RAM dostupnej pre DOS (čo sa stáva pri infikovaní väčšinou zavádzacích vírusov), počet nainštalovaných pevných diskov, tabuľky parametrov pevných diskov v oblasti premenných systému BIOS.

Pri prvom spustení si program zapamätá množstvo pamäte RAM, v BIOSe nájde a uloží adresu obsluhy prerušenia Int 13h, ktorá sa použije na všetky následné kontroly a zostaví tabuľky pre kontrolované disky. Tým sa skontroluje, či sa v systéme BIOS pred načítaním systému DOS zobrazil vektor prerušenia 13 hodín.

Pri ďalších spustení ADinf skontroluje množstvo pamäte RAM dostupnej pre DOS, premenné systému BIOS, zavádzacie sektory, zoznam chybných čísel klastrov (keďže niektoré vírusy, ktoré vstúpili do klastra, ho označia ako zlé, aby neprepísali iné údaje a tiež nerozpoznajú primitívne antivírusy). Okrem toho antivírus hľadá novovytvorené a zničené podadresáre, nové, odstránené, premenované, presunuté a zmenené súbory (kontroluje sa zmena dĺžky a kontrolného súčtu). Ak ADinf zistí, že súbor z neupraviteľného zoznamu sa zmenil alebo sa súbor zmenil bez zmeny dátumu a času a súbor má zvláštny dátum (číslo väčšie ako 31, mesiac väčší ako 12 alebo rok väčší ako aktuálny) alebo čas (minúty viac ako 59, hodiny viac ako 23 alebo viac ako 59 sekúnd), potom vydá varovanie, že je možná infekcia vírusom.

Ak sa zistia zmeny v BOOT sektoroch, potom v dialógovom režime môžete porovnať systémové tabuľky, ktoré boli pred a po zmene, a ak chcete, obnoviť predchádzajúci sektor. Po obnovení sa zmenený sektor uloží do súboru na disk pre ďalšiu analýzu. Nové zlé klastre (alebo skôr informácie o nich vo FAT) sa môžu objaviť po spustení nejakého nástroja, ktorý lieči disk (napríklad NDD) alebo v dôsledku pôsobenia vírusu. Ak Adinf vydal správu a používateľ nespustil žiadne takéto nástroje, s najväčšou pravdepodobnosťou sa do počítača dostal vírus. Ak dostanete takúto správu, mali by ste pokračovať v kontrole a pozorne sledovať všetky správy o zmenách súborov a zavádzacích sektorov. Ak je v systéme skutočne vírus, takéto správy na seba nenechajú dlho čakať (napokon, ak je celé telo vírusu v „zlom“ klastri, nikdy nedostane kontrolu).

Po skontrolovaní problémov ADinf kontingenčnej tabuľky ktorý hlási zmeny na disku. V tabuľke sa môžete pohybovať pomocou šípok a zobraziť podrobné informácie stlačením ENTER na bode záujmu. Pomocou „horúcich“ kláves je možné prejsť na ľubovoľnú položku. Zmenené súbory je možné prezerať v klasickom režime (hexový výpis / ASCII kódy) pomocou vstavaného prehliadača, ktorý načíta disk cez BIOS. Môžete tiež použiť externý prehliadač, ktorý ste predtým určili cestu k nemu. Pripojením externého editora môžete upravovať zmenený súbor.

Formulár, ktorým ADinf informuje o zistených podozrivých zmenách, nevyzerá celkom povedome: namiesto hlásenia o konkrétnych zmenách zobrazí červené okno so zoznamom všetkých možných zmien a zaškrtne položky zodpovedajúce zmenám, ku ktorým došlo v r. v súčasnosti... Ak po prijatí takejto správy stlačíte ESC, program si vyžiada ďalšie akcie: aktualizovať informácie o disku, neaktualizovať ho, dezinfikovať (ak je dostupný modul ADinf Cure) alebo zaznamenať protokol. Na liečbu môžete použiť externý antivírus načítaním z okna DOS, ktorý sa vyvolá kombináciou kláves ALT + V.

Ak zmeny nie sú podozrivé, po zobrazení tabuľky zmien môžete stlačiť ESC. V tomto prípade sa program spýta, či je potrebné aktualizovať údaje na disku v tabuľkách alebo nie, a tiež, či je potrebné vytvoriť súbor v správe o priebehu. Po výbere jednej z položiek program vykoná požadovanú akciu a ukončí svoju prácu.

Kaspersky Anti-Virus

Vytvorené na kontrolu elektronickej pošty, ochranu poštových systémov. Kontroluje všetky správy prechádzajúce cez poštový server, odstraňuje vírusy z e-mailov skôr, ako sa dostanú k adresátovi. Ak sú v prílohách zistené vírusy, program ich vymaže a správu spolu s upozornením na zistenie vírusu prepošle sám na preddefinovanú adresu. To umožňuje správcovi určiť zdroj vírusov a iné malvér... Kaspersky Anti-Virus dokáže kontrolovať nielen priložené súbory, ale aj objekty vložené do dokumentov, zbalené archívy súborov a obsah priložených e-mailových správ akejkoľvek úrovne vnorenia.

Výhody programu:

· Možnosť kontroly osobných a verejných priečinkov;

· automatická aktualizácia antivírusové databázy dáta cez internet;

· Zmena zoznamu chránených poštových schránok bez reštartovania servera;

· pohodlný systém správu, aktualizáciu a konfiguráciu programu.

Na záver, vírusy sú vážnym problémom, ku ktorému je potrebné pristupovať opatrne a úsudkom.

Existujú prípady, keď vírusy zablokovali prácu organizácií a podnikov. Pred niekoľkými rokmi bol navyše zaznamenaný prípad, keď počítačový vírus spôsobil smrť človeka - v jednej z nemocníc v Holandsku dostal pacient smrteľnú dávku morfia kvôli tomu, že počítač bol infikovaný vírus a uviedol nepravdivé informácie.

Použite bezpečnostné nástroje, aby ste zabránili objaveniu sa vírusov na vašom PC.

Treba mať na pamäti, že antivírusové programy a hardvér neposkytujú úplnú záruku ochrany pred vírusmi. Približne rovnaká situácia je aj na druhej strane tandemu „človek – počítač“. Používatelia aj profesionálni programátori často nemajú ani schopnosti „sebaobrany“ a ich predstavy o víruse sú niekedy také povrchné, že by bolo lepšie, keby neexistovali.

Napriek obrovskému úsiliu konkurenčných antivírusových firiem straty spôsobené počítačovými vírusmi neklesajú a dosahujú astronomické hodnoty stoviek miliónov dolárov ročne. Tieto odhady sú jednoznačne podhodnotené, keďže je známy len zlomok takýchto incidentov.

1. Alekseev, A.P. Informatika / A.P. Aleksejev. - vyd. "Solon" 2002. - 280 s.

2. Bezrukov, N.N. Počítačové vírusy / N.N. Bezrukov. - Moskva: Nauka, 1991 .-- 312 s.

3. Ostreykovsky, V.A. Informatika / V.A. Ostreykovský. - vyd. "Vyššia škola", 2001. - 245 s.

4. Informatika. Základný kurz: tutoriál pre vysoké školy / vyd. S.V. Simonovich - SPb .: Peter, 2001 .-- 640 s.

5. Gornets, N.N. Organizácia počítačov a systémov: učebnica / N.N. Gornets, A.G. Roshchin, V.V. Solomentsev. - M .: Akadémia, 2006 .-- 320 s. Grif UMO.

Ministerstvo školstva a mládeže

Karelijská republika

Odborné lýceum č.12

Počítačové vírusy

a antivírusy

Abstrakt informatiky

študentská skupina číslo 18

Malyshevoy N.V.

učiteľ:

Petrozavodsk

Úvod

Kto píše vírusy a prečo?

Počítačové vírusy, ich vlastnosti a klasifikácia

Vlastnosti počítačových vírusov

Klasifikácia vírusov

Spúšťacie vírusy

Súborové vírusy

Vírusy spúšťacích súborov

Polymorfné vírusy

Stealth vírusy

Trójske kone, softvérové záložky a sieťové červy

Spôsoby prieniku vírusov do počítača a mechanizmus distribúcie vírusových programov

Známky vírusov

Spôsoby ochrany pred počítačovými vírusmi

Antivirusový softvér

Záver

Bibliografia

Úvod

Sotva stojí za to pripomenúť, že počítače sa stali skutočnými ľudskými asistentmi a nie komerčnou spoločnosťou ani štátna organizácia... V tejto súvislosti sa však problém ochrany informácií stal obzvlášť akútnym.

Vírusy, ktoré sa rozšírili vo výpočtovej technike, rozbúrili celý svet. Mnohí používatelia počítačov sú znepokojení fámami, že počítačoví zločinci používajú počítačové vírusy na prenikanie do sietí, vykrádanie bánk, krádeže duševného vlastníctva...

V súčasnosti sa masívne používanie osobných počítačov, žiaľ, ukázalo ako spojené so vznikom samoreprodukujúcich sa vírusov, ktoré bránia normálnej prevádzke počítača, ničia súborovú štruktúru diskov a poškodzujú informácie uložené v počítači.

V masmédiách sa čoraz častejšie objavujú správy o rôznych druhoch pirátskych trikov počítačových chuligánov, o vzniku čoraz sofistikovanejších samoreprodukujúcich sa programov. Nedávno bola vírusová infekcia textových súborov považovaná za absurdnú - teraz už nikoho neprekvapíte. Stačí pripomenúť vzhľad "prvej lastovičky", ktorá narobila veľa hluku - vírus WinWord. Koncept, ktorý infikuje dokumenty v textovom formáte Procesor Microsoft Word pre Windows 6.0 a 7.0. Napriek zákonom o boji proti počítačovej kriminalite prijatým v mnohých krajinách a vývoju špeciálnych softvérových nástrojov na ochranu pred vírusmi počet nových softvérových vírusov neustále rastie. To si vyžaduje, aby používateľ osobného počítača vedel o povahe vírusov, o tom, ako môžu byť infikované a ako sa proti nim môžu chrániť.

Chcel by som okamžite poznamenať, že by ste sa nemali príliš báť vírusov, najmä ak bol počítač zakúpený pomerne nedávno a na pevnom disku sa ešte nenahromadilo veľa informácií. Vírus nevybuchne váš počítač. V súčasnosti je známy iba jeden vírus (Win95.CIH), ktorý je schopný poškodiť hardvér počítača. Iní môžu len zničiť informácie, nič viac.

Literatúra silne presadzuje, že vírusov sa môžete zbaviť len pomocou zložitých (a drahých) antivírusových programov a vraj len pod ich ochranou sa môžete cítiť úplne bezpečne. Nie je to úplne pravda - oboznámenie sa so štrukturálnymi vlastnosťami a metódami zavádzania počítačových vírusov ich pomôže včas odhaliť a lokalizovať, aj keď nie je k dispozícii vhodný antivírusový program.

Kto píše vírusy a prečo?

Kto píše vírusy? Podľa môjho názoru ich väčšinu tvoria študenti a školáci, ktorí sa práve naučili jazyk montáže, chcú si to vyskúšať, ale nevedia pre nich nájsť hodnotnejšie uplatnenie. Potešiteľné je, že značnú časť takýchto vírusov ich autori často nešíria a vírusy po čase „umierajú“ spolu s disketami, na ktorých sú uložené. Takéto vírusy sú s najväčšou pravdepodobnosťou napísané len pre sebapotvrdenie.

Druhú skupinu tvoria tiež mladí ľudia (častejšie študenti), ktorí ešte úplne nezvládli umenie programovania, no už sa rozhodli venovať písaniu a distribúcii vírusov. Jediným dôvodom, prečo takýchto ľudí núti písať vírusy, je komplex menejcennosti, ktorý sa prejavuje v počítačovom chuligánstve.

Spod pera takýchto „remeselníkov“ často vychádzajú buď početné modifikácie „klasických“ vírusov, alebo vírusy extrémne primitívne a s veľkým množstvom chýb (takéto vírusy nazývam „študentské“). Život takýchto tvorcov vírusov sa výrazne uľahčil po vydaní vírusových konštruktérov, pomocou ktorých je možné vytvárať nové vírusy aj s minimálnou znalosťou operačného systému a assembleru, alebo o ňom dokonca vôbec netušia. Ich život sa stal ešte ľahším po objavení sa makrovírusov, pretože namiesto toho zložitý jazyk Na naučenie sa celkom jednoduchého ZÁKLADU stačí assembler na písanie makrovírusov.

Ako starnú a sú skúsenejší, ale nikdy nedospeli, mnohí z týchto autorov vírusov spadajú do tretej, najnebezpečnejšej skupiny, ktorá vytvára a spúšťa do sveta „profesionálne“ vírusy. Tieto vysoko sofistikované a vycibrené programy vytvárajú profesionálni, často veľmi talentovaní programátori. Takéto vírusy často využívajú skôr originálne algoritmy, nezdokumentované a málo známe metódy prieniku do systémových dátových oblastí. „Profesionálne“ vírusy sa často vyrábajú pomocou technológie stealth a / alebo sú to polymorfné vírusy, ktoré infikujú nielen súbory, ale aj zavádzacie sektory diskov a niekedy aj spustiteľné súbory systému Windows a OS / 2.

Pomerne významnú časť mojej zbierky zaberajú „rodiny“ – skupiny niekoľkých (niekedy aj viac ako desiatky) vírusov. Zástupcovia každej z týchto skupín sa vyznačujú jednou charakteristickou črtou, ktorá sa nazýva „rukopis“: v niekoľkých rôznych vírusoch sa nachádzajú rovnaké algoritmy a programovacie techniky. Často všetci alebo takmer všetci členovia rodiny patria jednému autorovi a niekedy je celkom zábavné sledovať „formovanie pera“ takého umelca – od takmer „študentských“ pokusov vytvoriť aspoň niečo, čo vyzerá ako vírus. k plne funkčnej implementácii „profesionálneho“ vírusu.

Dôvod, ktorý núti takýchto ľudí nasmerovať svoje schopnosti k takejto nezmyselnej práci, je podľa mňa stále rovnaký – komplex menejcennosti, niekedy kombinovaný s nevyrovnanou psychikou. Je príznačné, že takéto písanie vírusov sa často kombinuje s inými závislosťami. Na jar roku 1997 jeden z najznámejších svetových autorov vírusov menom Talon (Austrália) zomrel vo veku 21 rokov na smrteľnú dávku heroínu.

Štvrtá skupina autorov vírusov – „výskumníci“ je do istej miery samostatná. Táto skupina pozostáva z pomerne inteligentných programátorov, ktorí sa zaoberajú vynájdením zásadne nových metód infikovania, skrývania, boja proti antivírusom atď. Prichádzajú tiež so spôsobmi implementácie nových operačných systémov, konštruktérov vírusov a polymorfných generátorov. Títo programátori nepíšu vírusy kvôli vírusom samotným, ale skôr kvôli „skúmaniu“ potenciálu „počítačovej fauny“.

Autori takýchto vírusov často neuvádzajú svoje výtvory do života, ale veľmi aktívne propagujú svoje nápady prostredníctvom množstva elektronických publikácií venovaných tvorbe vírusov. Nebezpečenstvo z takýchto „výskumných“ vírusov zároveň neklesá – akonáhle sa dostanú do rúk „profesionálov“ z tretej skupiny, nové nápady sa veľmi rýchlo implementujú do nových vírusov.

K autorom vírusov mám trojaký postoj. Po prvé, každý, kto píše vírusy alebo prispieva k ich šíreniu, je „živiteľom“ antivírusového priemyslu, ktorého ročný obrat je podľa môjho odhadu najmenej dvesto miliónov dolárov alebo dokonca viac. miliónov dolárov ročne a niekoľkonásobne vyššie ako náklady na antivírus softvér). Ak celková suma vírusov do konca roku 1997 s najväčšou pravdepodobnosťou dosiahne 20 000, je ľahké vypočítať, že príjmy antivírusových firiem z každého vírusu sú najmenej 10 tisíc dolárov ročne. Samozrejme, autori vírusov by sa nemali spoliehať na materiálne odmeny: ako ukazuje prax, ich práca bola a zostáva bezplatná. Navyše dnes ponuka (nové vírusy) plne uspokojuje dopyt (schopnosť antivírusových firiem zvládnuť nové vírusy).

Po druhé, je mi trochu ľúto autorov vírusov, najmä tých "profesionálov". Na napísanie takéhoto vírusu je skutočne potrebné: a) vynaložiť pomerne veľa úsilia a času a oveľa viac, ako je potrebné na pochopenie vírusu, jeho vloženie do databázy alebo dokonca napísanie špeciálneho antivírusu ; a b) nemajú žiadne iné, atraktívnejšie zamestnanie. V dôsledku toho sú autori vírusov - "profesionáli" dosť výkonní a zároveň sa namáhajú nečinnosťou - situácia, zdá sa mi, je veľmi smutná.

Počítačové vírusy, ich vlastnosti a klasifikácia

Vlastnosti počítačových vírusov

V súčasnosti sa používajú osobné počítače, v ktorých má používateľ voľný prístup ku všetkým zdrojom stroja. Práve to otvorilo možnosť pre nebezpečenstvo, ktoré sa nazýva počítačový vírus.

Čo je počítačový vírus? Formálna definícia tohto pojmu ešte nebola vynájdená a existujú vážne pochybnosti o tom, že ju možno vôbec podať. Početné pokusy poskytnúť „modernú“ definíciu vírusu neboli úspešné. Ak chcete získať pocit zložitosti problému, skúste napríklad definovať editor. Buď prídete na niečo veľmi všeobecné, alebo začnete vypisovať všetky známe typy editorov. Oboje možno len ťažko považovať za prijateľné. Preto sa obmedzíme na zváženie niektorých vlastností počítačových vírusov, ktoré nám umožňujú hovoriť o nich ako o určitej triede programov.

Po prvé, vírus je program. Takéto jednoduché tvrdenie samo o sebe môže vyvrátiť mnohé legendy o mimoriadnych schopnostiach počítačových vírusov. Vírus dokáže prevrátiť obraz na vašom monitore, ale nedokáže prevrátiť samotný monitor. Legendy o vražedných vírusoch, ktoré „zabíjajú operátorov zobrazením smrtiaceho farebného gamutu v 25. snímke“, by sa tiež nemali brať vážne. Žiaľ, niektoré renomované publikácie z času na čas uverejnia „najnovšie správy z počítačových frontov“, ktoré sa pri bližšom skúmaní ukážu ako výsledok nie celkom jasného pochopenia témy.

Vírus je program so schopnosťou reprodukovať sa. Táto schopnosť je jediná spoločná pre všetky typy vírusov. Ale nielen vírusy sú schopné sebareplikácie. Každý operačný systém a mnoho ďalších programov dokáže vytvárať svoje vlastné kópie. Kópie vírusu sa nielenže nemusia úplne zhodovať s originálom, ale, a nemusia sa s ním zhodovať vôbec!

Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúre súborov alebo dokonca len názvy iných programov. Dôvod je jasný: vírus musí nejakým spôsobom zabezpečiť odovzdanie kontroly na seba.

Klasifikácia vírusov

V súčasnosti je známych viac ako 5000 softvérových vírusov, ktoré možno klasifikovať podľa nasledujúcich kritérií:

biotop

spôsob kontaminácie biotopu

vplyv

vlastnosti algoritmu

V závislosti od biotopu možno vírusy rozdeliť na sieťové, súborové, zavádzacie a zavádzacie. Sieťové vírusyšírené v rôznych počítačových sieťach. Súborové vírusy sú vložené hlavne do spustiteľných modulov, teda do súborov s príponami COM a EXE. Súborové vírusy sa môžu injektovať do iných typov súborov, ale spravidla zaznamenané v takýchto súboroch nikdy nezískajú kontrolu, a preto stratia svoju schopnosť replikácie. Spúšťacie vírusy sú vložené v zavádzacom sektore disku (Boot sektor) alebo v sektore obsahujúcom spúšťací program systémového disku (Master Boot Re-cord). Spustenie súboru vírusy infikujú súbory aj zavádzacie sektory diskov.

Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentské. Vírus rezidentný v pamäti Keď je počítač infikovaný (infikovaný), zanechá svoju rezidentnú časť v pamäti RAM, ktorá následne zachytí prístup operačného systému k objektom infekcie (súbory, boot sektory diskov atď.) a je v nich zabudovaná. Rezidentné vírusy sú uložené v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje. Vírusy, ktoré nie sú rezidentné v pamäti neinfikujú pamäť počítača a sú aktívne len obmedzený čas.

Podľa stupňa expozície možno vírusy rozdeliť do nasledujúcich typov:

nie je nebezpečný ktoré nezasahujú do prevádzky počítača, ale znižujú množstvo voľnej pamäte RAM a pamäte na diskoch, akcie takýchto vírusov sa prejavujú akýmikoľvek grafickými alebo zvukovými efektmi

nebezpečné vírusy, ktoré môžu viesť k rôznym poruchám v prevádzke počítača

veľmi nebezpečné, ktorých vplyv môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.

Známy neviditeľné vírusy volal stealth vírusy, ktoré je veľmi ťažké odhaliť a neutralizovať, pretože zachytávajú volania operačného systému na infikované súbory a sektory disku a nahradzujú neinfikované oblasti disku namiesto ich tiel. Najťažšie nájsť mutantné vírusy obsahujúce šifrovacie a dešifrovacie algoritmy, vďaka ktorým kópie toho istého vírusu nemajú jediný opakujúci sa reťazec bajtov. Existujú aj tzv kvázi vírusové alebo Trojan programy, ktoré, aj keď nie sú schopné samového šírenia, sú veľmi nebezpečné, pretože maskujúc sa za užitočný program zničia boot sektor a systém súborov disky.

Teraz podrobnejšie o niektorých z týchto skupín.

Spúšťacie vírusy

Zoberme si fungovanie veľmi jednoduchého zavádzacieho vírusu, ktorý infikuje diskety.

Čo sa stane, keď zapnete počítač? V prvom rade sa prenáša kontrola program bootstrap ktorý je uložený v pamäti iba na čítanie (ROM) t.j. PNZ ROM.

Tento program otestuje hardvér a ak uspeje, pokúsi sa nájsť disketu v jednotke A:

Každá disketa je označená tzv. sektory a stopy. Sektory sa spájajú do zhlukov, ale to je pre nás nepodstatné.

Medzi sektormi je niekoľko sektorov služieb, ktoré operačný systém používa pre svoje vlastné potreby (tieto sektory nemôžu pojať vaše údaje). Spomedzi sektorov služieb nás zaujíma boot-sektor.

Boot sektor ukladá informácie o diskete - počet povrchov, počet skladieb, počet sektorov atď.. Teraz nás ale nezaujímajú tieto informácie, ale malý bootovací program (PNZ), ktorý sa musí načítať samotný operačný systém a preniesť naň riadenie.

Takže normálna bootstrap schéma je nasledovná:

Teraz sa pozrime na vírus. Pri boot vírusoch sa rozlišujú dve časti: hlava, a tzv. chvost. Chvost môže byť prázdny.

Predpokladajme, že máte prázdnu disketu a infikovaný počítač, čím myslíme počítač s aktívnym rezidentným vírusom. Len čo tento vírus zistí, že sa v mechanike objavila vhodná obeť – v našom prípade nepopísaná a ešte neinfikovaná disketa, pristúpi k infekcii. Po infikovaní diskety vykoná vírus nasledujúce akcie:

pridelí určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, možno to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé

skopíruje svoj chvost a pôvodný (zdravý) zavádzací sektor do vybranej oblasti disku

nahradí zavádzací program v zavádzacom sektore (prítomný) svojou hlavou

organizuje reťaz prenosu kontroly podľa schémy.

Hlava vírusu je teda teraz prvá, ktorá získa kontrolu, vírus sa nainštaluje do pamäte a prenesie kontrolu do pôvodného zavádzacieho sektora. V reťazci

PNZ (ROM) - PNZ (disk) - SYSTÉM

objaví sa nový odkaz:

PNZ (ROM) - VÍRUS - PNZ (disk) - SYSTÉM

Preskúmali sme schému fungovania jednoduchého vírusu sutiny, ktorý žije v zavádzacích sektoroch diskiet. Vírusy sú spravidla schopné infikovať nielen boot sektory diskiet, ale aj boot sektory pevných diskov. Na rozdiel od diskiet má však pevný disk dva typy spúšťacích sektorov, ktoré obsahujú riadené spúšťacie programy. Keď sa počítač zavedie z pevného disku, riadenie najprv prevezme zavádzací program MBR (Master Boot Record). Ak je váš pevný disk rozdelený na niekoľko oddielov, iba jeden z nich je označený ako zavádzací. Bootstrap program v MBR nájde zavádzací oddiel pevný disk a prenesie riadenie na zavádzací program pre túto časť. Kód toho druhého je rovnaký ako kód bootstrap programu na bežných disketách a zodpovedajúce boot sektory sa líšia iba v tabuľkách parametrov. Na pevnom disku sú teda dva objekty útoku zavádzacích vírusov - zavádzací program v MBR a zavádzací program v zavádzacom sektore zavádzacieho disku.

Súborové vírusy

Pozrime sa teraz na to, ako funguje jednoduchý súborový vírus. Na rozdiel od zavádzacích vírusov, ktoré sú takmer vždy rezidentné v pamäti, súborové vírusy nemusia byť nevyhnutne rezidentné v pamäti. Pozrime sa na operačnú schému súborového vírusu, ktorý nie je rezidentný v pamäti. Predpokladajme, že máme infikovaný spustiteľný súbor. Keď sa takýto súbor spustí, vírus získa kontrolu, vykoná niektoré akcie a odovzdá kontrolu „masterovi“

Čo robí vírus? Hľadá nový objekt, ktorý má byť infikovaný – súbor vhodného typu, ktorý ešte nebol infikovaný. Infikovaním súboru sa vírus vloží do svojho kódu, aby získal kontrolu nad spustením súboru. Okrem svojej hlavnej funkcie - reprodukcie, môže vírus robiť aj niečo zložité (povedzte, požiadajte, zahrajte sa) - to už závisí od predstavivosti autora vírusu. Ak je súborový vírus rezidentný v pamäti, nainštaluje sa do pamäte a bude môcť infikovať súbory a zobrazovať ďalšie schopnosti nielen počas spustenia infikovaného súboru. Infikovaním spustiteľného súboru vírus vždy zmení svoj kód – infekciu spustiteľného súboru je preto možné vždy odhaliť. Ale zmenou kódu súboru vírus nemusí nevyhnutne vykonať ďalšie zmeny:

nie je povinný meniť dĺžku spisu

nepoužité časti kódu

nie je povinný zmeniť začiatok spisu

Napokon, súborové vírusy sa často označujú ako vírusy, ktoré „majú niečo spoločné so súbormi“, ale nemusia byť vložené do ich kódu.

Pri spustení akéhokoľvek súboru teda vírus získa kontrolu (operačný systém ho sám spustí), nainštaluje sa do pamäte a prenesie kontrolu na volaný súbor.

Vírusy spúšťacích súborov

Nebudeme uvažovať o modeli boot-file vírusu, pretože sa nedozviete žiadne nové informácie. Tu je však dobrá príležitosť stručne podiskutovať o mimoriadne „populárnom“ víruse zavádzacích súborov OneHalf, ktorý infikuje hlavný zavádzací sektor (MBR) a spustiteľné súbory... Hlavnou deštruktívnou akciou je šifrovanie sektorov pevného disku. Pri každom spustení vírus zašifruje ďalšiu časť sektorov a po zašifrovaní polovice pevného disku o tom šťastne informuje. Hlavným problémom pri liečbe tohto vírusu je, že nestačí len odstrániť vírus z MBR a súborov, je potrebné dešifrovať ním zašifrované informácie.

Polymorfné vírusy

Väčšina otázok súvisí s pojmom „polymorfný vírus“. Zdá sa, že tento typ počítačových vírusov je dnes najnebezpečnejší. Poďme si vysvetliť, čo to je.

Polymorfné vírusy sú vírusy, ktoré modifikujú svoj kód v infikovaných programoch takým spôsobom, že dve kópie toho istého vírusu sa nemusia zhodovať v jednom bite.

Takéto vírusy nielenže zašifrujú svoj kód pomocou rôznych šifrovacích ciest, ale obsahujú aj kód generovania šifrovania a dešifrovania, čím sa odlišujú od bežných. šifrovacie vírusy, ktorý tiež dokáže zašifrovať časti svojho kódu, no zároveň má konštantný kód ransomvéru a dešifrovača.

Polymorfné vírusy sú vírusy so samomodifikačnými dešifrovačmi. Účel tohto šifrovania: ak máte infikované a pôvodné súbory, stále nemôžete analyzovať ich kód pomocou bežnej demontáže. Tento kód je zašifrovaný a je to nezmyselná sada príkazov. Dešifrovanie vykonáva samotný vírus už za behu. V tomto prípade sú možné možnosti: môže sa dešifrovať sám naraz, alebo môže takéto dešifrovanie vykonať „za pochodu“, môže znovu zašifrovať už použité úseky. To všetko sa robí preto, aby bolo ťažké analyzovať kód vírusu.

Stealth vírusy

Počas kontroly počítača antivírusové programy čítajú údaje - súbory a systémové oblasti z pevných diskov a diskiet pomocou operačného systému a základný systém Vstup / výstup systému BIOS. Množstvo vírusov po spustení zanechá v pamäti RAM počítača špeciálne moduly, ktoré zachytia prístup programov k diskovému podsystému počítača. Ak takýto modul zistí, že sa program pokúša prečítať infikovaný súbor alebo systémovú oblasť disku, načítané dáta nahradí za behu, ako keby na disku nebol žiadny vírus.

Stealth vírusy oklamú antivírusové programy a v dôsledku toho zostanú nepovšimnuté. Existuje však jednoduchý spôsob, ako deaktivovať mechanizmus maskovania vírusu stealth. Počítač stačí nabootovať z neinfikovanej systémovej diskety a ihneď bez spúšťania iných programov z disku počítača (ktoré môžu byť tiež infikované) skontrolovať počítač antivírusovým programom.

Pri načítaní z systémová disketa vírus nemôže získať kontrolu a nainštalovať rezidentný modul, ktorý implementuje mechanizmus stealth v RAM. Antivírusový program bude vedieť prečítať informácie skutočne zaznamenané na disku a vírus jednoducho odhalí.

Trójske kone, softvérové záložky a sieťové červy

trójsky kôň Je program, ktorý obsahuje nejakú deštruktívnu funkciu, ktorá sa aktivuje, keď nastane určitý spúšťací stav. Zvyčajne sú takéto programy zamaskované ako niektoré užitočné pomôcky... Vírusy môžu prenášať trójske kone alebo „trojanizovať“ iné programy – zavádzať do nich deštruktívne funkcie.

Trójske kone sú programy, ktoré okrem funkcií opísaných v dokumentácii implementujú niektoré ďalšie funkcie súvisiace s narušením bezpečnosti a deštruktívnymi akciami. Vyskytli sa prípady, že takéto programy boli vytvorené s cieľom uľahčiť šírenie vírusov. Zoznamy takýchto programov sú široko publikované v zahraničnej tlači. Obyčajne sa maskujú za herné alebo zábavné programy a škodia pod krásne obrázky alebo hudba.

Záložky programu obsahujú aj nejakú funkciu, ktorá spôsobuje poškodenie lietadla, no táto funkcia sa naopak snaží byť čo najnenápadnejšia, pretože čím dlhšie program nevzbudzuje podozrenie, tým dlhšie môže záložka fungovať.

Ak vírusy a " trójske kone„Spôsobiť poškodenie lavínovitým samošírením alebo zjavnou deštrukciou, čo je hlavná funkcia vírusov typu červov pôsobiacich v počítačové siete, - hacknutie napadnutého systému, t.j. prekonanie ochrany s cieľom narušiť bezpečnosť a integritu.

Vo viac ako 80 % počítačových zločinov vyšetrovaných FBI prenikajú „hackeri“ do napadnutého systému cez globálny internet. Keď sa takýto pokus podarí, budúcnosť spoločnosti, ktorej vytvorenie trvalo roky, môže byť ohrozená v priebehu niekoľkých sekúnd.

Tento proces je možné automatizovať pomocou vírusu nazývaného sieťový červ.

Červy sa nazývajú vírusy, ktoré sa šíria po globálnych sieťach a infikujú celé systémy, a nie jednotlivé programy... Ide o najnebezpečnejší typ vírusov, keďže objektom útoku sú v tomto prípade informačné systémy celoštátneho rozsahu. S príchodom globálnej siete Tento typ narušenia bezpečnosti predstavuje najväčšiu hrozbu pre internet, pretože môže kedykoľvek ovplyvniť ktorýkoľvek zo 40 miliónov počítačov pripojených k tejto sieti.

Spôsoby prenikania vírusov do počítača

a mechanizmus distribúcie vírusových programov

Hlavnými spôsobmi, akými vírusy vstupujú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Infekcia pevného disku vírusmi môže nastať pri načítaní programu z diskety obsahujúcej vírus. Takáto infekcia môže byť aj náhodná, napríklad ak sa disketa nevyberie z jednotky A a počítač sa reštartuje, pričom disketa nemusí byť systémový disk. Infikovanie diskety je oveľa jednoduchšie. Vírus sa naň môže dostať, aj keď sa disketa jednoducho vloží do disketovej mechaniky infikovaného počítača a napríklad si prečíta jej obsah.

Vírus sa spravidla zavedie do pracovného programu tak, že po spustení sa mu najskôr prenesie riadenie a až po vykonaní všetkých jeho príkazov sa vráti do pracovného programu. Po získaní prístupu ku kontrole sa vírus najskôr prepíše do iného pracovného programu a infikuje ho. Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory.

Najbežnejší vírus infikuje boot sektor disku a spustiteľné súbory s príponami EXE, COM, SYS, BAT. Textové súbory sú zriedkavo infikované.

Po infikovaní programu môže vírus vykonať nejakú sabotáž, nie príliš závažnú, aby nevzbudila pozornosť. A na záver nezabudne vrátiť ovládanie programu, z ktorého bol spustený. Každé spustenie infikovaného programu prenáša vírus na ďalší. Všetok softvér bude teda infikovaný.

Známky vírusov

Keď sa počítač nakazí vírusom, je dôležité ho odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch prejavu vírusov. Patria sem nasledujúce položky:

ukončenie práce resp nesprávna práca predtým úspešne fungujúce programy

pomalý počítač

nemožnosť zaviesť operačný systém

zmiznutie súborov a adresárov alebo skreslenie ich obsahu

zmena dátumu a času úpravy súboru

zmena veľkosti súborov

neočakávane veľký nárast počtu súborov na disku

výrazné zníženie veľkosti voľnej pamäte RAM

zobrazovanie neočakávaných správ alebo obrázkov

vydávaním neúmyselných zvukových signálov

časté zamrznutie a poruchy počítača

Treba poznamenať, že vyššie uvedené javy nie sú nevyhnutne spôsobené prítomnosťou vírusu, ale môžu byť spôsobené inými príčinami. Preto je vždy ťažké správne diagnostikovať stav počítača.

Spôsoby ochrany pred počítačovými vírusmi

Bez ohľadu na vírus musí používateľ poznať základné metódy ochrany pred počítačovými vírusmi.

Na ochranu pred vírusmi môžete použiť:

všeobecné nástroje na ochranu informácií, ktoré sú užitočné aj ako poistenie proti fyzickému poškodeniu diskov, nefunkčnosti programov alebo chybným zásahom používateľa;

preventívne opatrenia na zníženie pravdepodobnosti nákazy vírusom;

špecializované programy na ochranu pred vírusmi.

Všeobecné nástroje zabezpečenia informácií sú užitočné nielen na ochranu pred vírusmi. Existujú dva hlavné typy týchto nápravných opatrení:

kopírovanie informácií - vytváranie kópií súborov a systémových oblastí diskov;

vymedzenie prístupu bráni neoprávnenému použitiu informácií, najmä ochrana pred zmenami programov a údajov vírusmi, nefunkčnosťou programov a chybným konaním používateľov.

Aj keď sú všeobecné nástroje informačnej bezpečnosti veľmi dôležité na ochranu pred vírusmi, stále nestačia. Na ochranu pred vírusmi je tiež potrebné používať špecializované programy. Tieto programy možno rozdeliť do niekoľkých typov: detektory, lekári (fágy), vyšetrovatelia, vyšetrovatelia, filtre a vakcíny (imunizátory).

PROGRAMY DETEKTOROV umožňuje odhaliť súbory infikované jedným z niekoľkých známych vírusov. Tieto programy kontrolujú, či súbory na jednotke určenej používateľom obsahujú kombináciu bajtov špecifickú pre vírusy. Ak sa nájde v akomkoľvek súbore, na obrazovke sa zobrazí príslušná správa. Mnoho detektorov má režimy dezinfekcie alebo dezinfekcie infikovaných súborov. Treba zdôrazniť, že detekčné programy dokážu odhaliť len tie vírusy, ktoré sú im „známe“. Scan program od McAfee Associates a Aidstest od D. N. Lozinského dokáže odhaliť okolo 9000 vírusov, ale je ich viac ako dvadsaťtisíc! Niektoré detekčné programy, napríklad Norton AntiVirus alebo AVSP od Dialog-MGU, sa dokážu naladiť na nové typy vírusov, stačí im špecifikovať kombinácie bajtov, ktoré sú týmto vírusom vlastné. Je však nemožné vyvinúť taký program, ktorý by dokázal odhaliť akýkoľvek predtým neznámy vírus.

Z toho, že program detektory nerozpoznajú ako infikovaný, teda nevyplýva, že je zdravý - môže obsahovať nejaký nový vírus alebo mierne upravená verzia starý vírus, neznámy detekčným programom.

Mnohé detekčné programy (vrátane Aidstestu) nedokážu odhaliť infekciu „neviditeľnými“ vírusmi, ak je takýto vírus aktívny v pamäti počítača. Faktom je, že na čítanie disku používajú funkcie DOS a zachytí ich vírus, ktorý hovorí, že je všetko v poriadku. Je pravda, že Aidstest a iné detektory sa pokúšajú detekovať vírus skenovaním RAM, ale proti niektorým „záludným“ vírusom to nepomôže. Detektory teda dávajú spoľahlivú diagnózu iba vtedy, keď je DOS zavedený z "čistej" diskety chránenej proti zápisu, pričom z tejto diskety je potrebné spustiť aj kópiu programu detektora.

Niektoré detektory (napríklad ADinf od Dialog-Nauka) dokážu zachytiť „neviditeľné“ vírusy, aj keď sú aktívne. Na tento účel čítajú disk bez použitia volaní systému DOS. Táto metóda však nefunguje na všetkých jednotkách.

Väčšina programov detektorov má funkciu "doktor", t.j. sa pokúšajú obnoviť infikované súbory alebo oblasti disku do pôvodného stavu. Tie súbory, ktoré nebolo možné obnoviť, sa spravidla stanú nefunkčnými alebo vymazanými.

Väčšina programov lekárov je schopná „vyliečiť“ len určitú fixnú sadu vírusov, takže rýchlo zastarajú. Niektoré programy sa však môžu naučiť nielen detekovať, ale aj liečiť nové vírusy. Tieto programy zahŕňajú AVSP od Dialog-MGU.

AUDÍTORSKÉ PROGRAMY majú dve etapy práce. Najprv si zapamätajú informácie o stave programov a systémových oblastiach diskov (boot sektor a sektor s tabuľkou rozdelenia pevného disku). Predpokladá sa, že v tomto bode programy a systémové oblasti diskov nie sú infikované. Potom môžete pomocou programu audítor kedykoľvek porovnať stav programov a systémových oblastí diskov s originálom. Zistené nezrovnalosti sú nahlásené užívateľovi.

Ak chcete skontrolovať stav programov a diskov pri každom spustení operačného systému, musíte do dávkového súboru AUTOEXEC.BAT zahrnúť príkaz na spustenie programu audítora. To vám umožní odhaliť infekciu počítačovým vírusom skôr, než napácha veľa škody. Okrem toho bude ten istý audítorský program schopný nájsť súbory poškodené vírusom.

Mnohé auditovacie programy sú dosť „inteligentné“ – dokážu rozlíšiť zmeny v súboroch spôsobené napríklad prechodom na novú verziu programu od zmien vykonaných vírusom a nevyvolávajú falošné poplachy. Faktom je, že vírusy zvyčajne upravujú súbory veľmi špecifickým spôsobom a robia rovnaké zmeny v rôznych programové súbory... Je jasné, že v normálnej situácii sa takéto zmeny takmer nikdy nevyskytujú, takže program audítora po zaznamenaní takýchto zmien môže s istotou oznámiť, že sú spôsobené vírusom.

Iné programy často používajú rôzne polovičné opatrenia – pokúšajú sa odhaliť vírus v RAM, vyžadujú volanie z prvého riadku súboru AUTOEXEC.BAT, dúfajúc, že pobežia na „čistom“ počítači a podobne. Bohužiaľ, toto všetko je zbytočné proti niektorým "prefíkaným" vírusom.

Ak chcete skontrolovať, či sa súbor zmenil, niektorí audítori kontrolujú dĺžku súboru. Táto kontrola je však nedostatočná - niektoré vírusy nemenia dĺžku infikovaných súborov. Spoľahlivejšou kontrolou je prečítať celý súbor a vypočítať jeho kontrolný súčet. Je takmer nemožné zmeniť súbor tak, aby jeho kontrolný súčet zostal rovnaký.

V poslednej dobe sa objavujú veľmi užitočné hybridy audítorov a lekárov, t.j. LEKÁRI-AUDITORI, - programy, ktoré nielen detegujú zmeny v súboroch a systémových oblastiach diskov, ale dokážu ich v prípade zmien aj automaticky vrátiť do pôvodného stavu. Takéto programy môžu byť oveľa všestrannejšie ako programy pre lekárov, pretože počas liečby používajú predtým uložené informácie o stave súborov a oblastí disku. To im umožňuje liečiť súbory aj z tých vírusov, ktoré neboli vytvorené v čase písania programu.

Nedokážu však vyliečiť všetky vírusy, ale iba tie, ktoré využívajú „štandardné“ mechanizmy infekcie súborov známe v čase písania programu.

Existujú tiež FILTRAČNÉ PROGRAMY, ktoré sú rezidentné v RAM počítača a zachytávajú tie volania operačného systému, ktoré využívajú vírusy na množenie a poškodzovanie, a hlásia ich používateľovi. Používateľ môže povoliť alebo zakázať príslušnú operáciu.

Niektoré filtrovacie programy „nezachytia“ podozrivé akcie, ale kontrolujú programy, ktoré sa majú spustiť, na prítomnosť vírusov. To spôsobí spomalenie počítača.

Výhody používania filtračných programov sú však dosť významné - umožňujú odhaliť veľa vírusov vo veľmi skorom štádiu, keď sa vírus ešte nestihol rozmnožiť a niečo pokaziť. Môžete tak znížiť škody spôsobené vírusom na minimum.

OČKOVACIE PROGRAMY, alebo IMUNIZÁTORY, upravovať programy a disky tak, aby to neovplyvnilo činnosť programov, ale vírus, proti ktorému je očkovaný, považoval tieto programy alebo disky za už infikované. Tieto programy sú veľmi neefektívne.

Antivirusový softvér

Čo je to teda vlastne antivírus? Hneď zažeňme jednu zaužívanú ilúziu. Z nejakého dôvodu sa mnohí domnievajú, že antivírus dokáže zistiť akýkoľvek vírus, to znamená, že spustením antivírusového programu alebo monitora si môžete byť úplne istí ich spoľahlivosťou. Tento uhol pohľadu nie je úplne správny. Faktom je, že antivírus je tiež program, samozrejme, napísaný profesionálom. Tieto programy sú však schopné rozpoznať a zničiť iba známe vírusy. To znamená, že antivírus proti konkrétnemu vírusu je možné napísať iba vtedy, ak má programátor k dispozícii aspoň jednu kópiu tohto vírusu. Táto nekonečná vojna teda prebieha medzi autormi vírusov a antivírusov, no z nejakého dôvodu sú tí prví u nás vždy početnejší ako tí druhí. Výhodu však majú aj tvorcovia antivírusov! Faktom je, že existuje veľké množstvo vírusov, ktorých algoritmus je prakticky skopírovaný z algoritmu iných vírusov. Takéto variácie spravidla vytvárajú neprofesionálni programátori, ktorí sa z nejakého dôvodu rozhodli napísať vírus. Na boj proti takýmto „kópiám“ bola vynájdená nová zbraň - heuristické analyzátory... S ich pomocou je antivírus schopný nájsť podobné analógy známych vírusov a informovať používateľa, že sa zdá, že dostal vírus. Prirodzene, spoľahlivosť heuristického analyzátora nie je 100%, ale jeho účinnosť je stále väčšia ako 0,5. V tejto informačnej vojne, ako aj v každej inej, teda zostávajú tí najsilnejší. Vírusy, ktoré antivírusové detektory nerozpoznajú, môžu písať iba najskúsenejší a najkvalifikovanejší programátori.

Je teda takmer nemožné byť 100% chránený pred vírusmi (predpokladá sa, že používateľ si vymieňa diskety s priateľmi a hrá hry a tiež prijíma informácie z iných zdrojov, napríklad zo sietí). Ak do počítača nezadáte informácie zvonku, je nemožné nakaziť sa vírusom – sám sa nenarodí.

AIDSTEST

V našej krajine, ako je uvedené vyššie, získali mimoriadnu popularitu antivírusové programy, ktoré kombinujú funkcie detektorov a lekárov. Najznámejší z nich je program AIDSTEST od D.N. Ložinský. Na Ukrajine má takmer každý osobný počítač kompatibilný s IBM niektorú z verzií tohto programu. Jedna z najnovších verzií deteguje viac ako 8000 vírusov.

Aidstest testuje svoje telo na známe vírusy a posudzuje jeho infekciu neznámym vírusom podľa deformácií v jeho kóde. V tomto prípade sú možné prípady falošných poplachov, napríklad keď je antivírus komprimovaný balíčkom. Program nemá grafické rozhranie a jeho režimy činnosti sa nastavujú pomocou klávesov. Zadaním cesty môžete skontrolovať nie celý disk, ale samostatný podadresár.

Počas rutinného testovania by ste nemali používať prepínač / f (opraviť infikované programy a vymazať tie, ktoré sa nedajú obnoviť), a to ani s prepínačom / q (vydať požiadavku na odstránenie súboru), pretože akýkoľvek program vrátane antivírusových programov , nie je imúnny voči chybám. Prepínač / f by sa mal použiť, keď Aidstest, ako aj iné antivírusy, indikujú prítomnosť vírusu v súbore. V takom prípade by ste mali reštartovať počítač z diskety chránenej proti zápisu, pretože systém môže byť infikovaný rezidentným vírusom a potom bude liečba neúčinná alebo dokonca jednoducho nebezpečná. Ak sa v cennom súbore nájde vírus, mali by ste ho prepísať na disketu alebo ešte lepšie - na elektronický disk a tam sa ho pokúsiť vyliečiť zadaním možnosti Aidstest / f. Ak je pokus neúspešný, musíte odstrániť všetky infikované kópie súboru a znova skontrolovať disk. Ak súbor obsahuje dôležité informácie, ktoré je škoda vymazať, potom môžete súbor zazipovať a počkať na vydanie novej verzie Aidstestu alebo iného antivírusu, ktorý dokáže tento typ vírusu vyliečiť. Na urýchlenie procesu môžete infikovaný súbor poslať ako vzorku Lozinskému.

LEKÁR WEB

V poslednej dobe rýchlo rastie obľuba ďalšieho antivírusového programu Doctor Web. Dr.Web, podobne ako Aidstest, patrí do triedy detektorov – lekárov, no na rozdiel od nich má takzvaný „heuristický analyzátor“ – algoritmus, ktorý deteguje neznáme vírusy. „Healing Web“, ako je názov programu preložený z angličtiny, bola odpoveďou domácich programátorov na inváziu samomodifikujúcich sa mutantných vírusov. Tie pri množení upravia svoje telo tak, aby nezostal ani jeden charakteristický bajtový reťazec, ktorý bol prítomný v pôvodnej verzii vírusu. Dr.Web možno nazvať antivírusom novej generácie v porovnaní s Aidstestom a jeho analógmi.

Ale, samozrejme, hlavnou črtou "Healing Web" je prítomnosť heuristického analyzátora, ktorý je spojený s klávesom / S. Rovnováhu medzi rýchlosťou a kvalitou možno dosiahnuť špecifikovaním úrovne heuristickej analýzy pre kľúč: 0 - minimálna, 1 - optimálna, 2 - maximálna; v tomto prípade samozrejme rýchlosť klesá úmerne s nárastom kvality. Okrem toho vám Dr.Web umožňuje testovať súbory očkované CPAV, ako aj zabalené s LZEXE, PKLITE, DIET. Ak to chcete urobiť, zadajte kľúč / U (súbory sa rozbalia na aktuálnom zariadení) alebo / U disk: (kde disk: je zariadenie, na ktorom sa rozbalenie vykoná), ak je disketa, z ktorej je Doctor Web beh je chránený proti zápisu. Mnoho programov je zabalených týmto spôsobom, aj keď o tom používateľ nemusí vedieť. Ak prepínač / U nie je nainštalovaný, Doctor Web môže preskočiť vírus, ktorý sa dostane do zbaleného programu.

Dôležitou funkciou je kontrola infekcie testovaných súborov rezidentným vírusom (switch / V). Pri skenovaní pamäte neexistuje 100% záruka, že Healing Web deteguje všetky vírusy, ktoré sa tam nachádzajú. Takže pri nastavovaní funkcie /V sa Dr.Web snaží zabrániť zvyšným pamäťovým rezidentným vírusom a infikovať testované súbory.

Testovanie pevného disku spoločnosťou Dr.Web trvá oveľa dlhšie ako Aidstest, takže nie každý používateľ si môže dovoliť venovať toľko času každodennej kontrole celého pevného disku. Takýmto užívateľom možno odporučiť, aby pozornejšie kontrolovali diskety prinesené zvonku (s voľbou / S2). Ak sú informácie na diskete v archíve (a v poslednej dobe sa programy a dáta prenášajú zo stroja na stroj iba v tejto forme; aj výrobcovia softvéru, napríklad Borland, balia svoje produkty), mali by ste ich rozbaliť do samostatného adresára na váš pevný disk a okamžite, bez meškania, spustite Dr.Web, pričom ako parameter namiesto názvu jednotky uveďte úplnú cestu k tomuto podadresáru. A predsa je potrebné aspoň raz za dva týždne vykonať kompletnú kontrolu „pevného disku“ na vírusy s nastavením maximálnej úrovne heuristickej analýzy.

Rovnako ako v prípade Aidstest, počas počiatočného testovania by ste nemali dovoliť programu dezinfikovať súbory, v ktorých deteguje vírus, pretože nemožno vylúčiť, že sekvencia bajtov braná ako šablóna v antivíruse sa môže vyskytnúť v zdravom programe. . Ak po dokončení testovania Dr.Web zobrazí správy, že našiel vírusy, musíte ho spustiť s voľbou / P (ak táto možnosť nebola zadaná), aby ste videli, ktorý súbor je infikovaný. Potom musíte súbor skopírovať na disketu alebo na elektronický disk a pokúsiť sa ho vymazať zadaním klávesu / F na "Medical Web". V prípade neúspešnej liečby postupujte rovnako ako v podobnej situácii opísanej vyššie pre program Aidstest.

MICROSOFT ANTIVÍRUS

Moderné verzie systému MS-DOS (napríklad 7.10) zahŕňajú Microsoft Antivirus (MSAV). Tento antivírus môže pracovať v režime detektor-lekár a audítor.

MSAV má prívetivé rozhranie v štýle MS Windows, samozrejmosťou je podpora myši. Kontextová pomoc je dobre implementovaná: existuje nápoveda pre takmer každú položku ponuky a pre každú situáciu. Prístup k položkám ponuky je univerzálne implementovaný: na tento účel môžete použiť kurzorové klávesy, klávesové klávesy (F1-F9), klávesy zodpovedajúce jednému z písmen názvu položky, ako aj myš. Začiarkavacie políčka v položke ponuky Možnosti je možné nastaviť pomocou MEDZERNÍKA alebo klávesu ENTER. Vážnou nevýhodou pri používaní programu je, že tabuľky s údajmi o súboroch neukladá do jedného súboru, ale rozhádže ich po všetkých adresároch.

MSAV pri prvej kontrole vytvorí v každom adresári súbory CHKLIST.MS obsahujúce spustiteľné súbory, do ktorých zapíše informácie o veľkosti, dátume, čase, atribútoch, ako aj kontrolný súčet sledovaných súborov. Pri následných kontrolách program porovná súbory s informáciami v súboroch CHKLIST.MS. Ak sa veľkosť a dátum zmenili, program o tom informuje používateľa a vyzve ho na ďalšie kroky: aktualizovať informácie (Aktualizovať), nastaviť dátum a čas v súlade s údajmi v CHKLIST.MS (Oprava), pokračovať ignorovaním zmeny v tomto súbore (Continue), prerušte kontrolu (Stop). Ak sa kontrolný súčet zmenil, tak MSAV zobrazí rovnaké okno, len namiesto položky Opraviť bude položka Odstrániť, keďže program nedokáže obnoviť obsah súboru. Ak sa v režime Detect & Clean zistí vírus, program tento vírus odstráni. Kontrola disku v oboch režimoch môže byť pozastavená alebo úplne prerušená stlačením ESC (alebo F3) a zodpovedaním príslušnej otázky programu. Počas skenovania disku sa zobrazujú informácie o vykonanej práci: percento spracovaných adresárov a percento spracovaných súborov v aktuálnom adresári. Tieto informácie sa zobrazujú aj vizuálne, vo forme farebného prúžku, ako v prípade kontroly pamäte. Na konci kontroly vydá MSAV hlásenie vo forme tabuľky, v ktorej sa uvádza počet oskenovaných pevných diskov a diskiet, počet oskenovaných, infikovaných a dezinfikovaných súborov. Okrem toho sa zobrazí čas skenovania.

V ponuke Možnosti môžete nakonfigurovať program podľa potreby. Tu môžete nastaviť režim kontroly na neviditeľné vírusy (Anti-Stealth), skontrolovať všetky (nielen spustiteľné) súbory (Skontrolovať všetky súbory) a tiež povoliť alebo zakázať vytváranie tabuliek CHKLIST.MS (Vytvoriť nové kontrolné súčty). Okrem toho môžete nastaviť režim ukladania správy o vykonanej práci v súbore. Ak nastavíte možnosť Vytvoriť zálohu, pred odstránením vírusu z infikovaného súboru sa jeho kópia uloží s príponou * .VIR

Z hlavnej ponuky si stlačením klávesu F9 môžete zobraziť zoznam vírusov známych MSAV. Zobrazí sa okno s názvami vírusov. Ak chcete zobraziť podrobnejšie informácie o víruse, presuňte kurzor na jeho názov a stlačte ENTER. K vírusu, ktorý vás zaujíma, môžete rýchlo prejsť zadaním prvých písmen jeho názvu. Informácie o víruse je možné vytlačiť do tlačiarne výberom príslušnej položky ponuky.

ADINF

(Pokročilý Diskinfoscope)

ADinf patrí do triedy audítorských programov. Antivírus má vysokú rýchlosť práce, je schopný úspešne odolávať vírusom v pamäti. Umožňuje vám ovládať disk jeho čítaním sektor po sektore cez BIOS a bez použitia systémových prerušení DOS, ktoré môže zachytiť vírus.

Vírusy a antivírusové programy

S rozvojom a modernizáciou počítačových systémov a softvéru narastá objem a zraniteľnosť údajov v nich uložených. Jedným z nových faktorov, ktoré dramaticky zvýšili túto zraniteľnosť, je hromadná výroba softvérovo kompatibilných výkonných osobných počítačov

Počítač, čo bol jeden z dôvodov vzniku novej triedy vandalských programov – počítačových vírusov. Najväčšie nebezpečenstvo vyplývajúce z nebezpečenstva napadnutia softvéru počítačovými vírusmi predstavuje možnosť skreslenia alebo zničenia životne dôležitých informácií, čo môže viesť nielen k finančným a dočasným stratám, ale aj k ľudským obetiam.

Počítačové vírusy sa veľmi rozšírili a boj proti nim prináša veľa " bolesť hlavy". Preto je dôležité pochopiť, ako sa vírusy šíria a ako sa objavujú a ako sa s nimi vysporiadať.

Najlepšie výsledky sa teraz dosiahli pri vývoji antivírusových programov a spôsobov ich aplikácie. Množstvo noviniek sa dostalo na úroveň softvérových produktov a používatelia ich vo veľkej miere využívajú.

1. Podstata a prejav počítačových vírusov.

Počítačový vírus je špeciálne napísaný program, ktorý sa môže spontánne pripojiť k iným programom, vytvárať svoje kópie a vkladať ich do súborov, systémových oblastí počítača a počítačové siete s cieľom narušiť činnosť programov, poškodiť súbory a adresáre, vytvárať všetky druhy rušenia v práci na počítači.

Príčiny vzniku a šírenia počítačových vírusov sú na jednej strane skryté v psychológii ľudskej osobnosti a jej tieňové strany(závisť, pomstychtivosť, ješitnosť neuznaných tvorcov, neschopnosť konštruktívne uplatniť svoje schopnosti) sú na druhej strane spôsobené nedostatočnou hardvérovou ochranou a odporom operačného systému osobného počítača.

Hlavnými spôsobmi, akými vírusy vstupujú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Infekcia pevného disku vírusmi sa môže vyskytnúť pri zavádzaní počítača z diskety obsahujúcej vírus. Takáto infekcia môže byť aj náhodná, napríklad ak sa disketa nevyberie z mechaniky a počítač sa reštartuje, pričom disketa nemusí byť systémový disk. Infikovanie diskety je oveľa jednoduchšie. Vírus sa naň môže dostať, aj keď sa disketa jednoducho vloží do disketovej mechaniky infikovaného počítača a napríklad si prečíta jej obsah.

Infikovaný disk je disk, v ktorého boot sektore sa nachádza vírusový program.

Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory. Najbežnejší vírus infikuje boot sektor disku a spustiteľné súbory s príponami EXE, COM, SYS alebo BAT.

Infikovanie textových a grafických súborov je extrémne zriedkavé.

Infikovaný program je program, ktorý obsahuje v sebe zabudovaný vírusový program.

Keď sa počítač nakazí vírusom, je veľmi dôležité ho včas odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch prejavu vírusov. Patria sem nasledujúce položky:

Ukončenie práce alebo nesprávna prevádzka predtým úspešne fungujúcich programov;

pomalý výkon počítača;

Neschopnosť načítať operačný systém;

Zmiznutie súborov a adresárov alebo skreslenie ich obsahu;

Zmena dátumu a času úpravy súboru;

Zmena veľkosti súborov;

Neočakávané výrazné zvýšenie počtu súborov na disku;

Výrazné zníženie veľkosti voľnej pamäte RAM;

Zobrazovanie neúmyselných správ alebo obrázkov na obrazovke;

Vysielanie neúmyselných zvukových signálov;

Časté zamrznutie a pády počítača.

Vyššie uvedené javy nie sú nevyhnutne spôsobené prítomnosťou vírusu, ale môžu byť spôsobené inými príčinami. Preto je vždy ťažké správne diagnostikovať stav počítača.

2. Klasifikácia vírusov.

Mnohé počítačové vírusy, ktoré dnes existujú, možno rozdeliť do niekoľkých skupín.

1. Podľa biotopu.

Sieťové vírusy sa šíria rôznymi sieťami, t.j. pri prenose informácií z jedného počítača do druhého, prepojeného sieťou, napríklad internetom.

Súborové vírusy infikujú spustiteľné súbory a načítavajú sa po spustení programu, v ktorom sa nachádzajú. Súborové vírusy sa môžu vložiť do iných súborov, ale keď sú zapísané v takýchto súboroch, nezískajú kontrolu a stratia svoju schopnosť replikácie.

Zavádzacie vírusy infikujú zavádzací sektor diskiet alebo logických jednotiek obsahujúcich zavádzací program.

Súborové zavádzacie vírusy súčasne infikujú súbory a zavádzacie sektory disku.

2. Spôsobom kontaminácie biotopu.

Keď vírus rezidentný v pamäti infikuje počítač, zanechá svoju rezidentnú časť v pamäti RAM, ktorá následne zachytí prístup operačného systému k objektom infekcie (súbory, zavádzacie sektory diskov atď.) a vstrekne sa do nich. Rezidentné vírusy sú uložené v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje.

Nepamäťový vírus neinfikuje pamäť počítača a je aktívny len obmedzený čas. Aktivujú sa v určitých časoch, napríklad pri spracovaní dokumentov textovým procesorom.

3. Deštruktívnymi (deštruktívnymi) príležitosťami.

Neškodné vírusy sa prejavujú len tým, že v dôsledku svojho šírenia znižujú množstvo pamäte na disku.

Sú neškodné, tiež znižujú množstvo pamäte, nezasahujú do prevádzky počítača, takéto vírusy vytvárajú grafické, zvukové a iné efekty.

Nebezpečné vírusy, ktoré môžu viesť k rôznym poruchám počítača, ako je zamrznutie alebo nesprávna tlač dokumentu.

Veľmi nebezpečné, ktorých činnosť môže viesť k strate programov, údajov, vymazaniu informácií v systémových pamäťových oblastiach a dokonca k zlyhaniu pohyblivých častí pevného disku pri vstupe do rezonancie.

4. Podľa zvláštností algoritmu.

Replikátorové vírusy (červy) sa šíria po počítačových sieťach, vypočítavajú adresy sieťových počítačov a na tieto adresy píšu svoje kópie.

Stealth vírusy (stealth vírusy) sú vírusy, ktoré je veľmi ťažké odhaliť a neutralizovať, pretože zachytávajú volania operačného systému na infikované súbory a sektory disku a nahradzujú neinfikované oblasti disku namiesto nich.

Mutanti (duchovia) obsahujú šifrovacie-dešifrovacie algoritmy, vďaka ktorým kópie toho istého vírusu nemajú jediný opakovaný bajtový reťazec. Tieto vírusy je najťažšie odhaliť.

Trójske kone (kvázivírusy) nie sú schopné samošírenia, ale sú veľmi nebezpečné, pretože sa maskujú ako užitočný program a zničia zavádzací sektor a súborový systém diskov.

Satelity sú vírus, ktorý neupravuje súbor, ale pre spustiteľné programy (exe) vytvárajú programy rovnakého mena typu com, ktoré sa po spustení pôvodného programu najskôr spustia a potom prenesú riadenie na pôvodný spustiteľný program.

Študentské vírusy sú najjednoduchšie a najľahšie detekované vírusy.

Jednoznačné rozdelenie medzi nimi však neexistuje a všetky môžu byť kombináciou možností interakcie – akýmsi vírusovým „koktailom“.

3. Antivírusové programy.

Na detekciu, odstránenie a ochranu pred počítačovými vírusmi boli vyvinuté špeciálne programy, ktoré umožňujú detekovať a ničiť vírusy.

Takéto programy sa nazývajú antivírusové programy. Moderné antivírusové programy sú multifunkčné produkty, ktoré kombinujú preventívnu, profylaktickú a antivírusovú liečbu a nástroje na obnovu dát.

3.1 Požiadavky na antivírusový softvér.

Množstvo a rozmanitosť vírusov je veľká a na ich rýchlu a efektívnu detekciu musí antivírusový program spĺňať určité parametre.

Stabilita a spoľahlivosť práce. Tento parameter je nepochybne rozhodujúci – dokonca aj ten najviac najlepší antivírus sa ukáže ako úplne zbytočné, ak na vašom počítači nemôže normálne fungovať, ak v dôsledku nejakej poruchy v prevádzke programu proces kontroly počítača neprejde do konca. Potom vždy existuje možnosť, že niektoré infikované súbory zostali nepovšimnuté.

Veľkosť vírusovej databázy programu (počet vírusov, ktoré program správne deteguje). Vzhľadom na neustály výskyt nových vírusov je potrebné databázu pravidelne aktualizovať – načo je nám program, ktorý polovicu nových vírusov nevidí a v dôsledku toho vytvára mylný pocit „čistoty“ počítača. To by malo zahŕňať aj schopnosť programu detekovať rôzne typy vírusov a schopnosť pracovať so súbormi rôznych typov (archívy, dokumenty). Je tiež dôležité mať rezidentný monitor, ktorý kontroluje všetky nové súbory „za chodu“ (teda automaticky, keď sa zapisujú na disk).

Rýchlosť programu, prítomnosť ďalších funkcií, ako sú detekčné algoritmy, dokonca programu neznámy vírusy (heuristické skenovanie). To zahŕňa aj možnosť obnoviť infikované súbory bez ich vymazania z pevného disku, ale iba odstránením vírusov z nich. Dôležité je aj percento falošných poplachov programu (chybná detekcia vírusu v „čistom“ súbore).

Multiplatforma (dostupnosť verzií programu pre rôzne operačné systémy). Samozrejme, ak sa antivírus používa iba doma, na jednom počítači, potom tento parameter nemá veľký význam... Ale antivírus pre veľkú organizáciu je jednoducho povinný podporovať všetky bežné operačné systémy. Okrem toho je pri práci v sieti dôležité mať funkcie servera určené na administratívnu prácu, ako aj schopnosť pracovať s rôznymi typmi serverov.

3.2 Charakteristika antivírusových programov.

Antivírusové programy sa delia na: programy-detektory, programy-lekári, programy-audítori, programy-filtre, programy-vakcíny.

Detekčné programy zabezpečujú vyhľadávanie a detekciu vírusov v RAM a na externých médiách, a ak sú detekované, vydajú zodpovedajúcu správu. Rozlišujte medzi univerzálnymi a špecializovanými detektormi.

Univerzálne detektory pri svojej práci využívajú kontrolu nemennosti súborov počítaním a porovnávaním so štandardným kontrolným súčtom. Nevýhoda univerzálnych detektorov je spojená s nemožnosťou určiť príčiny poškodenia súborov.

Špecializované detektory vyhľadávajú známe vírusy podľa ich podpisu (opakovaný kus kódu). Nevýhodou takýchto detektorov je, že nedokážu odhaliť všetky známe vírusy.

Detektor, ktorý deteguje viacero vírusov, sa nazýva polydetektor.

Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

Lekárske programy (fágy) nielen nachádzajú súbory infikované vírusmi, ale ich aj „liečia“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečení“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. Lekárske programy určené na vyhľadávanie a ničenie veľkého počtu vírusov.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a ich verzie je potrebné pravidelne aktualizovať.

Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s počiatočným. Zistené zmeny sa zobrazia na obrazovke video monitora. Stavy sa spravidla porovnávajú ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre.

Audítorské programy majú pomerne pokročilé algoritmy, detegujú stealth vírusy a dokonca dokážu rozlíšiť zmeny vo verzii kontrolovaného programu od zmien vykonaných vírusom.

Filtre (strážne psy) sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, typické pre vírusy. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM a ЕХЕ;

Zmena atribútov súboru;

Priamy zápis na disk na absolútnu adresu;

Zápis na zavádzanie sektorov disku.

Keď sa program pokúsi vykonať zadané akcie, „strážca“ pošle používateľovi správu a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtre sú veľmi užitočné, pretože dokážu odhaliť vírus v najskoršom štádiu jeho existencie, ešte pred jeho premnožením. Súbory a disky však „neliečia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Medzi nevýhody watchdogových programov patrí ich „dotieravosť“ (napr. neustále vydávajú varovanie pri každom pokuse o skopírovanie spustiteľného súboru), ako aj možné konflikty s iným softvérom.

Vakcíny (imunizátory) sú programy rezidentné v pamäti, ktoré zabraňujú infikovaniu súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by tento vírus „liečili“. Očkovanie je možné len proti známym vírusom.

Vakcína upraví program alebo disk tak, že neovplyvní ich prácu a vírus ich bude vnímať ako infikované, a preto nebude zavlečený. Očkovacie programy majú v súčasnosti obmedzené využitie.

Významnou nevýhodou takýchto programov je ich obmedzená schopnosť zabrániť infekcii širokou škálou vírusov.

3.3 Krátka recenzia antivirusový softvér.

Pri výbere antivírusového programu je potrebné vziať do úvahy nielen percento detekcie vírusov, ale aj schopnosť detekovať nové vírusy, počet vírusov v antivírusovej databáze, frekvenciu jej aktualizácií a dostupnosť doplnkových funkcií.

V súčasnosti musí byť seriózny antivírus schopný rozpoznať aspoň 25 000 vírusov. To neznamená, že sú všetci „po vôli“. V skutočnosti väčšina z nich už prestala existovať alebo sú v laboratóriách a nie sú distribuované. V skutočnosti môžete nájsť 200-300 vírusov a len niekoľko desiatok z nich je nebezpečných.

Existuje veľa antivírusových programov. Uvažujme o najznámejších z nich.

Norton AntiVirus (výrobca: "Symantec").

Jeden z najznámejších a najpopulárnejších antivírusov. Miera detekcie vírusu je veľmi vysoká (takmer 100 %). Program využíva mechanizmus, ktorý mu umožňuje rozpoznať nové neznáme vírusy.

Norton AntiVirus má vo svojom rozhraní funkciu LiveUpdate, ktorá vám umožňuje aktualizovať program aj súpravu vírusových signatúr cez web kliknutím na tlačidlo. Sprievodca vírusom poskytuje podrobné informácie o zistenom víruse a tiež vám dáva možnosť: odstrániť vírus buď automaticky, alebo opatrnejšie, postup krok za krokom, ktorá vám umožňuje zobraziť každú z akcií vykonaných počas procesu odinštalovania.

Antivírusové databázy sú aktualizované veľmi často (niekedy sa aktualizácie objavujú niekoľkokrát týždenne). K dispozícii je rezidentný monitor.

Nevýhodou tohto programu je zložitosť konfigurácie (aj keď základné nastavenia prakticky nie je potrebné meniť).

Antivírus doktora Solomona (výrobca: "Softvér Dr Solomona").

Je považovaný za jeden z najlepších antivírusov (Evgeny Kaspersky raz povedal, že toto jediným konkurentom jeho AVP). Detekuje takmer 100% známych a nových vírusov. Veľké množstvo funkcií, skener, monitor, heuristika a všetko, čo potrebujete na úspešné odolanie vírusom.

McAfee VirusScan (výrobca: McAfee Associates).

Ide o jeden z najznámejších antivírusových balíkov. Veľmi dobre odstraňuje vírusy, ale VirusScan je horší ako iné balíky, pokiaľ ide o detekciu nových typov súborových vírusov. Jeho inštalácia je rýchla a jednoduchá pomocou predvolených nastavení, ale môžete si ho prispôsobiť, ako uznáte za vhodné. Môžete skenovať všetky súbory alebo len programové súbory, distribuovať alebo nedistribuovať postup skenovania komprimovaných súborov. Má veľa funkcií pre prácu s internetom.

Dr.Web (výrobca: Dialogue Science)

Populárny domáci antivírus. Vírusy rozpoznáva dobre, no v jeho databáze je ich oveľa menej ako iných antivírusových programov.

Kaspersky AntiVirus Personal Pro (výrobca: Kaspersky Lab).

Tento antivírus je celosvetovo uznávaný ako jeden z najspoľahlivejších.

Napriek jednoduchému použitiu má všetok arzenál, ktorý potrebujete na boj proti vírusom. Heuristický mechanizmus, redundantné skenovanie, skenovanie archívov a zbalených súborov ani zďaleka nie je úplný zoznam jeho schopnosti.

Spoločnosť Kaspersky Lab pozorne monitoruje výskyt nových vírusov a včas vydáva aktualizácie antivírusovej databázy. K dispozícii je rezidentný monitor na monitorovanie spustiteľných súborov.

Záver.

Napriek rozsiahlemu rozšíreniu antivírusových programov sa vírusy naďalej „množia“. Aby sme sa s nimi vyrovnali, je potrebné vytvoriť univerzálnejšie a kvalitatívne nové antivírusové programy, ktoré budú zahŕňať všetky pozitívne vlastnosti svojich predchodcov. Žiaľ, v súčasnosti neexistuje antivírusový program, ktorý by zaručoval 100% ochranu pred všetkými typmi vírusov, ale niektoré spoločnosti, napríklad Kaspersky Lab, doteraz dosiahli dobré výsledky.

Vírusy vírusy možno rozdeliť do niekoľkých ...

Najnovšie články

2021-11-01 11:09:32
Pokyny pre pokladníka kkt elves-micro-k a elfs-mk z technického servisného strediska pre registračné pokladnice "" Hlásenia o ecls
2021-10-27 13:58:02
Hybridný TV a FM tuner GOTVIEW PCI Hybrid - zaujímavé riešenie rozpočtu s podporou DVB-T
2021-10-27 13:58:02
Reverzný mastering: dá sa zvýšiť dynamický rozsah komprimovaných nahrávok?

Populárne články

Voľba editora

2021-10-22 16:51:17

Otvorte ľavé menu Valle d'Aosta
Jedno z hlavných miest koncentrácie známych lyžiarskych stredísk Valle d'Aosta v Taliansku sa každoročne snažia navštíviť tisíce turistov z celého sveta ...
2021-10-22 16:51:17

Ktoré hotely v regióne Rabac ponúkajú pekný výhľad?
Zmena nastavení ochrany osobných údajov Vyberte súbory cookie, ktoré chcete na stránke prijať. Čo sú funkčné cookies? Funkčné...
2021-10-22 16:51:17

Valle d'Aosta. Taliansko. Otvorte ľavé menu Valle d'Aosta Heroes of the Vine
Val d "Aosta zažila výhody svojej polohy už od starovekých rímskych čias, keď bola uprostred obchodnej cesty spájajúcej sever a juh Európy. Teraz ...
2021-10-22 16:51:17

Typy a napätia elektrických zásuviek po celom svete
Keď idete na dovolenku, uistite sa, že nezostanete bez smartfónu, ak sa vám minie. Zásuvky nie sú všade rovnaké, rovnako ako sieťové napätia. Ak...
2021-10-22 16:51:17

Aké sú normy napätia, frekvencie a typy zásuviek v rôznych krajinách sveta
Pri elektrine môžete zabudnúť na globalizáciu. Aj v Európskej únii, kde obieha rovnaká mena, existujú rôzne elektrické zásuvky ...