Antivirüs filtre örnekleri. Aşılar veya bağışıklayıcılar. Bitdefender teknolojilerine dayalı yazılım ürünleri

31.10.2019

Ders "Antivirüs programları"

Bir bilgisayara virüs bulaştığında, onu tespit etmek önemlidir. Bunu yapmak için bilmeniz gerekenler virüslerin tezahürünün ana belirtileri:

Çalışmanın sona ermesi veya daha önce başarıyla çalışan programların yanlış çalışması:
- yavaş bilgisayar performansı
- işletim sistemini başlatamama
- dosya ve dizinlerin kaybolması veya içeriklerinin bozulması
- dosya değişikliğinin tarihini ve saatini değiştirin
- dosyaları yeniden boyutlandırma
- diskteki dosya sayısında beklenmeyen önemli bir artış
- boş RAM boyutunda önemli bir azalma
- beklenmedik mesajların veya resimlerin görüntülenmesi
- istenmeyen ses sinyallerinin sunulması
- bilgisayarın sık sık donması ve arızalanması

Virüslere karşı korunmak için şunları kullanabilirsiniz:

v disklerin fiziksel hasar görmesine, hatalı çalışan programlara veya hatalı kullanıcı eylemlerine karşı sigorta olarak da yararlı olan genel bilgi koruma araçları;

v virüse yakalanma olasılığını azaltmak için önleyici tedbirler;

v virüslere karşı koruma sağlayan özel programlar.

Genel bilgi güvenliği araçları yalnızca virüslere karşı koruma sağlamak için değil:

bilgilerin kopyalanması - dosyaların ve disklerin sistem alanlarının kopyalarının oluşturulması;
erişimin sınırlandırılması, bilgilerin yetkisiz kullanımını, özellikle programlarda ve verilerde virüsler, hatalı çalışan programlar ve kullanıcıların hatalı eylemleri tarafından yapılan değişikliklere karşı korumayı önler.

Önleyici tedbirler

v Şüpheli diskleri veya diğer depolama ortamlarını kullanmayın

v Mümkün olduğunda salt okunur olarak ayarlayarak program dosyalarına erişimi kısıtlayın

v Bir ağ üzerinde çalışırken, mümkünse, diğer bilgisayarların belleğinden programları çağırmayın.

v Programları ve verileri disklerdeki arşivlerde ve sabit diskinizdeki farklı alt dizinlerde saklayın.

v Rastgele kopyalardan kendi kullanımınız için programları kopyalamayın.

v Virüsten koruma yazılımı olmalıdır

Virüs koruması için özel programlar

Antivirüs yazılımı bilgisayar virüslerini korumanıza, tespit etmenize ve kaldırmanıza izin verir. Virüslere karşı koruma sağlayan tüm özel programlar birkaç türe ayrılabilir:

Ø dedektörler,

Ø doktor (fajlar),

Ø denetçiler,

Ø doktor-denetçiler,

Ø filtreler ve aşılar (bağışıklayıcılar).

DEDEKTÖR PROGRAMLARI bilinen birkaç virüsten birinin bulaştığı dosyaları tespit etmenize olanak tanır. Bu programlar, kullanıcı tarafından belirlenen sürücüdeki dosyaların virüse özgü bir bayt kombinasyonuna sahip olup olmadığını kontrol eder. Herhangi bir dosyada bulunursa, ekranda ilgili bir mesaj görüntülenir. Birçok dedektörün, virüslü dosyaları temizleme veya dezenfekte etme modları vardır.

Algılama programlarının yalnızca kendileri tarafından "bilinen" virüsleri algılayabileceği vurgulanmalıdır. Bazı dedektör programları yeni virüs türlerine uyum sağlayabilir, yalnızca bu virüslerde bulunan bayt kombinasyonlarını belirtmeleri gerekir. Ancak, daha önce bilinmeyen herhangi bir virüsü tespit edebilecek böyle bir program geliştirmek mümkün değildir.

Bu nedenle, programın dedektörler tarafından virüslü olarak tanınmaması, sağlıklı olduğu anlamına gelmez - bazı yeni virüsleri veya dedektör programlarının bilmediği eski bir virüsün biraz değiştirilmiş bir sürümünü içerebilir.

Dedektör programlarının çoğu "doktor" işlevine sahiptir, yani. virüslü dosyaları veya disk alanlarını orijinal durumlarına geri yüklemeye çalışırlar. Geri yüklenemeyen dosyalar kural olarak çalışamaz hale gelir veya silinir.

Dr.Web program 1994 yılında I. A. Danilov tarafından oluşturuldu. ve dedektör-doktor sınıfına aittir, "sezgisel analizör" adı verilen bir algoritmaya sahiptir - bilinmeyen virüsleri tespit etmenizi sağlayan bir algoritma. Programın adı İngilizce'den çevrildiği için "Şifa Ağı", yerli programcıların kendi kendini değiştiren mutant virüslerin istilasına tepkisi oldu. İkincisi, çoğalırken, virüsün orijinal versiyonunda bulunan tek bir karakteristik bayt dizisi kalmayacak şekilde vücutlarını değiştirir.

Bu program, Rusya Federasyonu Başkanı altındaki Bilgi Kaynakları Genel Müdürlüğü tarafından büyük bir lisansın (2.000 bilgisayar için) satın alınması ve web'in ikinci en büyük alıcısının Inkombank olması ile desteklenmektedir.

AIDS testi - program onun tarafından 1988 yılında D.N. Lozinsky ve dedektör doktorudur. Aidstest programı, kodlarını değiştirmeyen yaygın (polimorfik olmayan) virüslerin bulaştığı programları düzeltmek için tasarlanmıştır. Bu sınırlama, bu programın tanımlama kodlarını kullanarak virüsleri aramasından kaynaklanmaktadır. Ancak aynı zamanda çok yüksek bir dosya tarama hızı elde edilir.

DENETÇİLER iki aşamalı çalışma var. İlk olarak, programların durumu ve disklerin sistem alanları hakkında bilgileri hatırlarlar (önyükleme sektörü ve sabit disk bölüm tablosu ile sektör). Bu noktada disklerin programlarına ve sistem alanlarına virüs bulaşmadığı varsayılır. Bundan sonra, denetçi programını kullanarak, herhangi bir zamanda programların durumunu ve disklerin sistem alanlarını orijinal ile karşılaştırabilirsiniz. Tespit edilen tutarsızlıklar kullanıcıya bildirilir.

ADinf (İleri Diskinfoskop) denetçi programları sınıfına aittir. Buprogram 1991 yılında D. Yu Mostov tarafından oluşturuldu.

Antivirüsün yüksek bir çalışma hızı vardır, bellekteki virüslere başarıyla direnebilir. Diski BIOS üzerinden sektör sektör okuyarak ve bir virüsün engelleyebileceği DOS sistemi kesintilerini kullanmadan kontrol etmenizi sağlar.

Etkilenen dosyaları iyileştirmek için, ADinf paketine dahil olmayan ve ayrıca sağlanan ADinf Tedavi Modülü kullanılır. Modülün prensibi, kontrol edilen dosyaları açıklayan küçük bir veritabanını kaydetmektir. Bu programlar birlikte çalışarak, önyükleme sektöründeki dosya virüslerinin yaklaşık %97'sini ve virüslerin %100'ünü algılayabilir ve kaldırabilir. Örneğin, sansasyonel SatanBug virüsü kolayca tespit edildi ve bulaştığı dosyalar otomatik olarak geri yüklendi. Üstelik bu virüsün ortaya çıkmasından birkaç ay önce ADinf ve ADinf Cure Module satın alan kullanıcılar bile ondan kolayca kurtulabildiler.

AVP (Anti - Virüs Koruması) program bir dedektör, bir doktor ve bir denetçiyi birleştirir ve hatta yerleşik bir filtrenin bazı işlevlerine sahiptir (yalnızca OKUYUN özniteliği ile dosyalara yazmayı yasaklar). Tanınmış anti-virüs paketi "Doctor Kaspersky" nin genişletilmiş bir versiyonu olan antivirüs paketi. Program çalışırken bilinmeyen virüslere karşı test edilir. Kitte ayrıca bilgisayardaki şüpheli eylemleri izleyen ve hafıza kartının görüntülenmesini sağlayan yerleşik bir program da bulunur. Özel bir yardımcı program seti, yeni virüsleri tespit etmeye ve onları anlamaya yardımcı olur.

Antivirüs, hem bilinen hem de bilinmeyen virüsleri tedavi edebilir ve kullanıcının kendisi, ikincisini iyileştirme yöntemi hakkında programı bilgilendirebilir. Ek olarak, AVP kendi kendini değiştiren ve Gizli virüsleri (görünmez) tedavi edebilir.

Norton virüs koruyucu - antivirüs paketi bir "yükle ve unut" aracıdır. Tüm gerekli yapılandırma parametreleri ve planlanmış etkinlikler (disk kontrolü, yeni ve değiştirilmiş programları kontrol etme, Windows Auto-Protect yardımcı programını başlatma, yeniden başlatmadan önce disk A: önyükleme kesimini kontrol etme) varsayılan olarak yüklenir. DOS ve Windows için disk tarama yazılımı mevcuttur. Diğerlerinin yanı sıra, Norton AntiVirus polimorfik virüsleri bile algılar ve yok eder ve ayrıca virüs benzeri etkinliğe başarıyla yanıt verir ve bilinmeyen virüslere karşı savaşır.

FİLTRELER veya İZLEYİCİ veya MONİTÖRLER, bilgisayarın RAM'inde yerleşik olan ve virüslerin çoğalmak ve zarar vermek için kullandığı işletim sistemine yapılan çağrıları keser ve bunları kullanıcıya bildirir. Kullanıcı ilgili işlemi etkinleştirebilir veya devre dışı bırakabilir.

Bazı filtre programları şüpheli eylemleri "yakalamaz", ancak yürütülmesi için çağrılan programları virüslere karşı kontrol edin. Bu, bilgisayarın yavaşlamasına neden olur.

Bununla birlikte, filtre programlarını kullanmanın avantajları oldukça önemlidir - birçok virüsü, virüsün henüz çoğalmak ve bir şeyleri bozmak için zamanı olmadığında, çok erken bir aşamada tespit etmenize izin verir. Böylece virüsün verdiği zararı en aza indirebilirsiniz.

AŞILAR, veya immunizerler, programları ve diskleri, programların çalışmasını etkilemeyecek şekilde değiştirin, ancak aşılanan virüs, bu programları veya diskleri zaten bulaşmış olarak kabul eder. Bu programlar oldukça etkisizdir. Kullanıcıya işlemi yetkilendirmesi/reddetmesi için uygun bir istek göndererek potansiyel olarak tehlikeli işlemleri izlerler.

Dezavantajları antivirüs yazılımı

Ø Mevcut antivirüs teknolojilerinin hiçbiri virüslere karşı tam koruma sağlayamaz.

Ø Virüsten koruma programı, merkezi işlemciyi ve sabit sürücüyü yükleyerek sistemin bilgi işlem kaynaklarının bir kısmını tüketir. Bu, özellikle zayıf bilgisayarlarda fark edilebilir. Arka planda yavaşlama %380 kadar yüksek olabilir.

Ø Virüsten koruma programları, var olmayan bir tehdidi görebilir (yanlış pozitifler).

Ø Antivirüs programları internetten güncellemeleri indirerek trafiği boşa harcar.

Ø Kötü amaçlı yazılımları şifrelemenin ve paketlemenin çeşitli yöntemleri, bilinen virüsleri bile virüsten koruma yazılımı tarafından algılanamaz hale getirir. Bu "kamuflatılmış" virüsleri tespit etmek, dosyaları taramadan önce şifresini çözebilen güçlü bir paket açma motoru gerektirir. Ancak birçok anti-virüs programı bu özelliğe sahip değildir ve sonuç olarak şifreli virüsleri tespit etmek çoğu zaman imkansızdır.

Birçok ücretsiz ve ücretli antivirüs programı mevcuttur. Aşağıdaki popüler markalar ayırt edilebilir:

Peki antivirüs tam olarak nedir? Bazı nedenlerden dolayı, birçoğu antivirüsün herhangi bir virüsü algılayabileceğine inanıyor, yani bir virüsten koruma programı çalıştırarak güvenilirliklerinden kesinlikle emin olabilirsiniz. Bu bakış açısı tamamen doğru değil.

Gerçek şu ki, antivirüs aynı zamanda bir profesyonel tarafından yazılmış bir programdır. Ancak bu programlar yalnızca bilinen virüsleri tanıyabilir ve yok edebilir. Diğer bir deyişle, belirli bir virüse karşı bir antivirüs ancak programcının bu virüsün en az bir kopyasına sahip olması durumunda yazılabilir. Bu yüzden virüs ve antivirüs yazarları arasında bu sonsuz savaş devam ediyor, ancak bir nedenden dolayı ülkemizde ilki her zaman ikincisinden daha çoktur.

Ancak antivirüs yaratıcılarının da bir avantajı var! Gerçek şu ki, algoritması pratik olarak diğer virüslerin algoritmasından kopyalanan çok sayıda virüs var. Kural olarak, bu tür varyasyonlar, bir nedenden dolayı bir virüs yazmaya karar veren profesyonel olmayan programcılar tarafından oluşturulur. Bu tür "kopyalarla" mücadele etmek için yeni bir silah icat edildi - buluşsal analizörler. Onların yardımıyla, antivirüs bilinen virüslerin benzer analoglarını bulabilir ve kullanıcıya bir virüs kapmış gibi göründüğünü bildirir. Doğal olarak, sezgisel analizörün güvenilirliği %100 değildir, ancak verimliliği yine de 0,5'ten büyüktür.

Böylece, bu bilgi savaşında, aslında, diğerlerinde olduğu gibi, en güçlüsü kalır. Antivirüs dedektörleri tarafından tanınmayan virüsler ancak en deneyimli ve kalifiye programcılar tarafından yazılabilir.

Koruma yöntemleri.

Antivirüs programlarının tanımı ve sınıflandırılması.

Virüs ne olursa olsun, kullanıcının bilgisayar virüslerine karşı korunmanın temel yöntemlerini bilmesi gerekir.

Virüslere karşı korunmak için şunları kullanabilirsiniz:

Aynı zamanda yararlı olan genel bilgi güvenliği araçları ilave olarak disklerdeki fiziksel hasara, hatalı çalışan programlara veya kullanıcının hatalı eylemlerine karşı sigorta;

azaltmak için önleyici tedbirler olasılık virüs enfeksiyonu;

Virüs koruması için özel programlar. Aşağıdakileri sağlayan iki ana genel bilgi güvenliği aracı türü vardır:

Bilgilerin kopyalanması - dosyaların ve disklerin sistem alanlarının kopyalarının oluşturulması;

Bilgilerin yetkisiz kullanımını önleyen erişim farklılaşması, özellikle programlarda ve verilerde virüsler, yanlış çalışan programlar ve kullanıcıların hatalı eylemleri tarafından yapılan değişikliklere karşı koruma.

Bilgisayar virüslerini tespit etmek, kaldırmak ve bunlara karşı korunmak için, virüsleri tespit etmenize ve yok etmenize izin veren çeşitli özel programlar geliştirilmiştir. Bu tür programlara antivirüs programları denir. Aşağıdaki virüsten koruma programı türleri vardır:

Dedektör programları;

Doktor programları veya fajlar;

Denetçi programları;

Filtre programları;

Aşı veya bağışıklama programları.

dedektör programları RAM'de ve dosyalarda belirli bir virüsün kodunu (imzasını) arayın ve tespit edildiğinde ilgili bir mesaj yayınlayın. Bu tür virüsten koruma programlarının dezavantajı, yalnızca bu tür programların geliştiricileri tarafından bilinen virüsleri bulabilmeleridir.

Doktor programları veya fajların yanı sıra aşı programları, yalnızca virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları "iyileştirir", yani virüs programının gövdesini dosyadan siler ve dosyaları orijinal durumlarına döndürür. Fajlar, çalışmalarının başında RAM'de virüs arar, onları yok eder ve ancak bundan sonra dosyaları "tedavi etmeye" devam eder. Fajlar arasında polifajlar ayırt edilir, yani çok sayıda virüsü aramak ve yok etmek için tasarlanmış doktor programları. Bunların en ünlüsü: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Sürekli yeni virüslerin ortaya çıktığı düşünüldüğünde dedektör programları ve doktor programları hızla eskimekte ve düzenli sürüm güncellemeleri gerekmektedir.

Çok yönlü antivirüsler, en yaygın kötü amaçlı yazılımdan koruma araçlarıdır. Tarihsel olarak, bu alanda ilk ortaya çıkan ve hala şüphesiz liderliği elinde tutanlar onlardı.

Polifajların çalışması basit bir prensibe dayanmaktadır - viral kodun tanıdık bölümleri için programları ve belgeleri aramak (sözde imzalar virüsler). Genel olarak imza, bir programda veya belgede bir virüs kodunun varlığını açık bir şekilde tanımlamanıza izin veren bir virüsle ilgili bir kayıttır. Çoğu zaman, imza doğrudan viral mesajın bir parçasıdır. kod veya sağlama toplamı (özet).

Başlangıçta, polifag antivirüsler çok basit bir prensibe göre çalıştılar - dosyaları virüs programları için sırayla taradılar. Bir virüs imzası bulunursa, virüs kodunu programın veya belgenin gövdesinden kaldırmak için prosedür gerçekleştirildi. Dosyaları taramaya başlamadan önce faj programı her zaman RAM'i kontrol eder. RAM'de bir virüs belirirse, devre dışı bırakılır. Bunun nedeni, virüs programlarının genellikle virüsün aktif bir aşamada olduğu anda başlatılan veya açılan programlara bulaşmasıdır (bu, enfeksiyon nesnelerini arama çabalarından tasarruf etme arzusundan kaynaklanmaktadır). Bu nedenle, virüs bellekte etkin kalırsa, tüm yürütülebilir dosyaların toplam taraması, sistemin tamamen bulaşmasına yol açacaktır.

Günümüzde, virüs programları çok daha karmaşık hale geldi. Örneğin, sözde "gizli virüsler" ortaya çıktı. Çalışmaları, işletim sisteminin çevresel aygıtlara (sabit diskler dahil) erişirken bir kesme mekanizması kullanması gerçeğine dayanmaktadır. Burada "Kesme mekanizması nasıl çalışır" konusunda küçük bir ara vermek gerekiyor. Bir kesinti meydana geldiğinde, kontrol özel bir programa aktarılır - "Kesme işleyicisi". Bu program, çevresel aygıta / aygıttan bilgi giriş ve çıkışından sorumludur. Ek olarak, kesintiler çevre birimleriyle (bizim durumumuzda sabit ve disketlerle) etkileşim seviyelerine ayrılır. Bir işletim sistemi seviyesi vardır (MS DOS ortamında - 25h kesme), temel giriş / çıkış sisteminin bir seviyesi vardır (BIOS seviyesi - 13h kesme). Deneyimli sistem programcıları, cihazların I/O portlarına doğrudan erişerek çalışabilirler. Ancak bu oldukça ciddi ve zor bir iştir. Böyle katmanlı bir sistem, öncelikle uygulamaların taşınabilirliğini korumak amacıyla yapılmıştır. Örneğin, böyle bir sistem sayesinde, MS Windows veya IBM OS / 2 gibi çoklu görev ortamlarında DOS uygulamalarını başlatmak mümkün hale geldi.

Ancak böyle bir sistemde bir güvenlik açığı da gizlidir: kesme işleyicisini kontrol ederek, çevresel aygıttan kullanıcıya bilgi akışını kontrol edebilirsiniz. Özellikle gizli virüsler, bir kesinti meydana geldiğinde bir kontrol engelleme mekanizması kullanır. Orijinal kesme işleyicisini kendi koduyla değiştirerek, gizli virüsler diskten veri okumasını kontrol eder.

Virüs bulaşmış bir program diskten okunursa, virüs kendi kodunu "ısırır" (genellikle kod kelimenin tam anlamıyla "ısırmaz", ancak diskin okuma sektörünün sayısı değiştirilir). Sonuç olarak, kullanıcı okuma için "temiz" bir kod alır. Böylece, kesme işleyicisinin vektörü virüs kodu tarafından değiştirildiği sürece, virüsün kendisi bilgisayarın belleğinde aktiftir; işletim sistemini kullanarak sadece diski okuyarak onu tespit etmek imkansızdır. Benzer bir maskeleme mekanizması, daha sonra tartışılacak olan önyükleme virüsleri tarafından kullanılır. Gizli virüslerle mücadele etmek için, daha önce bir disketten sistemin alternatif bir önyüklemesinin gerçekleştirilmesi ve ancak bundan sonra virüs programlarının aranması ve kaldırılması önerildi (ve prensip olarak hala önerilir). Disketten önyükleme yapmak şu anda sorunlu olabilir (Win32 durumunda, virüsten koruma uygulamaları başlatılamaz). Yukarıdakilerin ışığında, polifag antivirüsler yalnızca zaten bilinen virüslerle, yani imzaları ve davranış yöntemleri geliştiricilerin aşina olduğu virüslerle uğraşırken en etkilidir.

Sadece bu durumda virüs %100 doğrulukla algılanacak ve bilgisayar belleğinden ve ardından taranan tüm dosyalardan kaldırılacaktır. Virüs bilinmiyorsa, onu tespit etme ve tedavi etme girişimlerine başarıyla direnebilir. Bu nedenle, herhangi bir polifaj kullanırken ana şey, program sürümlerini ve virüs veritabanlarını mümkün olduğunca sık güncellemektir.

Sözde sezgisel analizörler. Gerçek şu ki, algoritması pratik olarak diğer virüslerin algoritmasından kopyalanan çok sayıda virüs var.

Kural olarak, bu tür varyasyonlar, bir nedenden dolayı bir virüs yazmaya karar veren profesyonel olmayan programcılar tarafından oluşturulur. Bu tür "kopyalarla" mücadele etmek için buluşsal analizörler icat edildi. Onların yardımıyla, antivirüs bilinen virüslerin benzer analoglarını bulabilir ve kullanıcıya bir virüs kapmış gibi göründüğünü bildirir. Doğal olarak, sezgisel analizörün güvenilirliği %100 değildir, ancak verimliliği yine de %50'den fazladır. Antivirüs dedektörleri tarafından tanınmayan virüsler ancak en deneyimli ve kalifiye programcılar tarafından yazılabilir.

Sezgisel kod çözümleyici, içindeki farklı bilgisayar virüslerini algılamak için yürütülebilir dosyaların, belleğin veya önyükleme sektörlerinin kodunu analiz eden bir dizi rutindir. Sezgisel analizörün ana kısmı bir kod öykünücüsüdür. Kod öykünücüsü görünüm modunda çalışır, yani asıl görevi kodu yürütmek değil, içindeki her türlü olayı, yani bir kod kümesini veya işletim sisteminin belirli bir işlevine yapılan bir çağrıyı algılamaktır. sistem verilerini dönüştürme, dosyalarla çalışma veya sıklıkla kullanılan viral yapıları algılama. Kabaca söylemek gerekirse, öykünücü program koduna bakar ve bu programın gerçekleştirdiği eylemleri tanımlar. Bu programın eylemleri belirli bir şemaya uyuyorsa, programda bir virüs kodunun varlığı hakkında bir sonuca varılır.

Tabii ki, hem atlama hem de yanlış pozitif olma olasılığı çok yüksektir. Ancak, sezgisel mekanizmayı doğru kullanarak, kullanıcı bağımsız olarak doğru sonuçlara varabilir. Örneğin, antivirüs tek bir dosya için şüpheli bir virüs rapor ederse, yanlış pozitif olma olasılığı çok yüksektir. Bu, birçok dosyada tekrarlanırsa (ve bundan önce antivirüs bu dosyalarda şüpheli bir şey bulamadıysa), sisteme %100'e yakın bir olasılıkla bir virüs bulaşmasından bahsedebiliriz. En güçlü buluşsal çözümleyici şu anda Dr.Web anti-virüsüdür.

Sezgisel analizörün kullanılması, yukarıdakilerin tümüne ek olarak, aşağıdakilerle de başa çıkmanıza olanak tanır. virüs üreteçleri ve polimorfik virüsler.

Bu "durumda virüsleri imza yoluyla tespit etmenin klasik yöntemi genellikle etkisizdir. Jeneratör virüsü, kullanıcının çok az programlama bilgisine sahip olsa bile kendi virüsünü kolayca oluşturmasına izin veren özel bir kitaplıklar kümesidir. Jeneratör kitaplıkları, yazılı program, gerekli olanlara eklenmiş harici prosedür çağrıları - ve şimdi basit bir virüs oldukça karmaşık bir ürüne dönüştü.En üzücü olan şey bu durumda virüsün imzasının her seferinde farklı olacağıdır, bu nedenle virüsü yalnızca harici prosedürlerin karakteristik çağrılarıyla takip edin - ve bu bir buluşsal analizörün işidir. daha da karmaşık bir yapıya sahiptir: virüsün gövdesi, işlevsel içeriğini korurken enfeksiyondan enfeksiyona değişir.

En basit durumda - virüsün gövdesine rastgele bir şekilde hiçbir şey yürütmezseniz, boş operatörler ("mov balta, balta" veya "gözenek" gibi) dağıtırsanız, virüs kodunun gövdesi önemli değişikliklere uğrayacaktır, ancak algoritma aynı kalacaktır. Bu durumda, bir buluşsal çözümleyici de kurtarmaya gelir.

Antivirüs, bilgisayar virüslerini algılayan ve etkisiz hale getiren bir programdır.

Programlar - dedektörler veya tarayıcılar, virüs bulaşmış dosyaları algılamanıza izin verir. Algılanırsa, herhangi bir dosyada ekranda ilgili bir mesaj görüntülenir. Birçok dedektörün, virüslü dosyaları temizleme veya dezenfekte etme modları vardır. Bu tür programların dezavantajı, yalnızca bu tür programların geliştiricileri tarafından bilinen virüsleri algılayabilmeleridir. Aşağıdaki anti-virüs tarayıcıları mevcuttur: A-squared Free, Dr.Web CureIt, BitDefender Free Edition, ClamWin, vb.

Programlar - doktorlar(fajlar) yalnızca virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları "iyileştirir", yani. virüs programı gövdesini dosyadan kaldırarak dosyaları orijinal durumlarına döndürün. Fajlar arasında, çok sayıda virüsü aramak ve yok etmek için tasarlanmış polifajlar ayırt edilir. Bunların en ünlüsü Aidstest, Doctor Web, Norton AntiVirus.

Programlar - denetçiler Diskteki dosyaların ve sistem alanlarının mevcut durumunu analiz eden ve bunu denetçinin veri dosyalarından birinde önceden depolanmış bilgilerle karşılaştıran programlardır. Durumların karşılaştırılması genellikle işletim sistemi yüklendikten hemen sonra yapılır. Bu, dosyaların uzunluğunu, oluşturulma zamanlarını ve diğer parametreleri kontrol eder. Algılanan değişiklikler görüntülenir. Kullanıcı, denetçi programının mesajını analiz ederek, değişikliklere neyin sebep olduğuna karar verebilir. Ortak denetçi programları şunları içerir: Adinf32, AVP Inspector ve Kaspersky Anti-Virus'ta yerleşik bir denetçi.

Programlar - filtreler Bir programın diske yazma veya diski biçimlendirmeye yönelik tüm girişimlerini kullanıcıya bildiren ve ayrıca diğer şüpheli eylemleri bildiren yerleşik programlardır. Bu programın avantajı, hem bilinen hem de bilinmeyen virüslere göre çok yönlülüğüdür. Dezavantajları, bir operasyon için sık sık talep verilmesidir. AVP Monitor, yaygın filtreleme programlarından biridir.

Virüsler bilgisayara çoğunlukla yazılımla birlikte girer. Bu nedenle, virüslere karşı korunmada en önemli şey, virüslerin ana kaynağı yasadışı, sözde "korsan" yazılım kopyaları olduğundan, virüs bulaşmamış programların kullanılmasıdır. Özellikle tehlikeli olan, bilgisayar enfeksiyonlarının diğer taşıyıcılarından daha sık olan bilgisayar oyunları ve çeşitli eğlence programlarıdır. Bu nedenle, anti-virüs korumasının ilk ve en önemli kuralı şudur: YALNIZCA GÜVENİLİR TEDARİKÇİLERDEN ALINAN LİSANS-SAF YAZILIMLARIN KULLANILMASI GEREKLİDİR... Aşağıdaki organizasyonel tavsiyeler bu kuralı takip eder:

· Markalı ambalajdaki tüm programları güvenilir bir tedarikçiden satın alın;

· Kesinlikle gerekli olmadıkça başkalarının disketlerini kullanmayın;

· Amacı bilinmeyen veya anlaşılmayan programları çalıştırmayın.

Yukarıdaki kurala tüm kullanıcılar uymadığından ve ayrıca davetsiz misafirlerin eylemleriyle karşılaşabileceğiniz için aşağıdaki kurallara uyulmalıdır:

· Disketlerinizi enfekte etmemek için disketlerinizi yabancılara kullanması için vermeyin;

· Yetkisiz kişilerin PC'nize erişimini kısıtlayın ve izniniz olmadan disketlerini kullanmalarını yasaklayın;

· Başka bir kişinin ardından bir PC üzerinde çalışmaya başlamadan önce, bellekte yerleşik virüsleri RAM'den kaldırmak için PC'yi soğuk bir şekilde yeniden başlatın;

· Birkaç kullanıcı için bir PC üzerinde çalışırken, sabit diski birkaç mantıksal diske bölün ve farklı disklere erişim hakkını sınırlandırın;

· AUTOEXEC.BAT dosyasına anti-virüs koruma programlarını dahil edin;

· Kendinizi yalnızca bir anti-virüs yazılımı ürünü kullanmakla sınırlamayın. Her zaman yeni virüsler ortaya çıkıyor ve bunları tespit etmek için yeni virüsten koruma programları gerekiyor;

· Mümkün olduğunda yazma korumalı disketler kullanın.

Denetçi programları, virüslere karşı en güvenilir korunma araçları arasındadır. Denetçiler, bilgisayara virüs bulaşmadığında diskin programlarının, dizinlerinin ve sistem alanlarının ilk durumunu hatırlar ve ardından periyodik olarak veya kullanıcının isteği üzerine mevcut durumu ilk durumla karşılaştırır. Algılanan değişiklikler monitör ekranında görüntülenir. Kural olarak, durumların karşılaştırılması, işletim sistemi yüklendikten hemen sonra gerçekleştirilir. Karşılaştırılırken dosya uzunluğu, döngüsel kontrol kodu (dosya sağlama toplamı), değişiklik tarihi ve saati ve diğer parametreler kontrol edilir. Denetçi programları oldukça gelişmiş algoritmalara sahiptir, gizli virüsleri algılar ve hatta taranan programın sürümündeki değişiklikleri virüsün getirdiği değişikliklerden temizleyebilir. Rusya'da yaygın olan Adinf programı denetçi programlarından biridir.

Antivirüs denetçileri bir virüsü algılayabilir. Çoğu zaman, vaka bir virüsün tespiti ile sona erer. Popüler anti-virüs denetçisi Adinf için Cure Module olarak adlandırılan bir dezenfeksiyon bloğu vardır, ancak böyle bir blok yalnızca program veritabanının oluşturulduğu sırada virüs bulaşmamış dosyaları temizlemenize izin verir. Bununla birlikte, antivirüs denetçileri bir bilgisayardaki bir virüsü yüksek derecede güvenilirlikle algılayabilir (hatta bundan şüphelenebilir). Genellikle en uygun kombinasyon bir polifaj ve bir denetçidir. Denetçi, sistemin bulaştığı gerçeğini tespit etmek için kullanılır. Sisteme virüs bulaşmışsa, polifaj başlatılır. Virüsü yok edemediyse, virüsten koruma araçlarının geliştiricisiyle iletişime geçebilirsiniz - büyük olasılıkla, geliştiriciler tarafından bilinmeyen yeni bir virüs bilgisayara girdi.

Denetçilerin çalışmalarının temeli, virüs programlarının çalışması için tipik olan değişikliklerin kontrolüdür. Bilgi içerirler: değişmez dosyaların sağlama toplamları, sistem alanlarının içeriği, kesme işleyicilerinin adresleri, kullanılabilir RAM boyutu vb. hakkında tablolar virüslü makinede oluşturulmamıştır. Sadece bu durumda denetçinin çalışması yeterince verimli olacaktır. Öyleyse, denetçi programının çalışmalarının aşamalarına geçelim.

RAM kontrolü. Bu tarama aşaması, bilgisayar belleğindeki etkin önyükleme ve gizli virüs izlerinin saptanmasına yönelik prosedürleri içerir. Bu tür algoritmalar bulunursa, ilgili bir uyarı verilir. Genellikle program önce tanıdık virüsleri arar. Ardından program, Intl3h işleyicisinin değişip değişmediğini kontrol eder. Eğer değiştiyse, %90 olasılıkla bilgisayara bir önyükleme virüsü bulaştığını söyleyebiliriz (önyükleme virüsleri, etkinleştirmeden sonra kontrolü “normal” önyükleme sektörüne aktarmak için bu kesintiyi engellemeye zorlanır ve sistem hatasız önyükleme). Denetçi bununla ilgili bir uyarı verir ve yeni Intl3h işleyicisinin bulunduğu bellek adresini bildirir. Prensip olarak, programcılar ve sistem yöneticileri için işleyicinin konumu hakkında bilgi gereklidir ve sıradan bir kullanıcı uyarıya dikkat etmelidir. Denetçi zaten virüs bulaşmış bir bilgisayara kurulmuş olsa ve Int 13h işleyicisinin gerçek adresi virüs tarafından maskelenmiş olsa bile, vakaların %85'inde denetçi Intl3h işleyicisinin gerçek adresini BIOS'ta bulabilir ve çalışabilir. onu kullanmak. Denetçi herhangi bir nedenle işleyicinin gerçek adresini alamazsa, bir uyarı verilir. Kesinti işleyicisinin gerçek adresine, virüs gövdesinin adım adım taranmasıyla ulaşılır (işletiminin algoritmasına göre, önyükleme virüsü nihayetinde kontrolü orijinal işleyiciye aktarmaya zorlanır).

Bazı virüsler kesinti izlemeyi engeller: kodlarını izlemeye çalışırken sistemin donmasına, bilgisayarı yeniden başlatmasına vb. neden olurlar. Bu nedenle, bilgisayar kesintileri izlerken "garip" davranmaya başlarsa, çok dikkatli olmalısınız - bu mümkündür. çalışan belleğe bir virüs bulaşmış demektir.

Önemli bir parametre, boş RAM'in boyutudur. Genellikle, herhangi bir program yüklenmeden önce denetçi başlatılır. RAM'in boyutu azaldıysa, bu RAM'de başka bir programın varlığının kesin bir işaretidir. Büyük olasılıkla, bu program bir virüstür.

Sistem alanlarının kontrolü. Sistem alanı denetimi, kendilerini etkinleştirmek için önyükleme mekanizmasını kullanan virüsleri algılamak üzere tasarlanmıştır. İlk önyükleme kaydı, daha fazla önyüklemeyi kontrol eden bir mini program içeren diskten yüklenir. Sabit disk için önce ana önyükleme kaydı (Ana Önyükleme Kaydı veya MBR) yüklenir.

Boot virüslerinin tespiti ile ilgili bazı açıklamalar yapmak gerekiyor. Sisteme bir önyükleme virüsü bulaşmışsa, etkilenen diskten önyükleme yapmaya çalışırken kontrol ona aktarılır. Bu bir virüs tehlikesidir - sabit disk hasar görürse, bilgisayar her açıldığında virüsün kontrolü aktarılır. Önyükleme virüsleri saf biçimlerinde yalnızca disketler aracılığıyla iletilir ve virüs bulaşmış bir disketten önyükleme girişiminde bulunulduğunda enfeksiyon oluşur. Zamanla, genel olarak disketlerin ve özel olarak önyükleme disketlerinin kullanımı en aza indirildi. Ancak, kontrolü ele alma yönteminin o kadar uygun olduğu kanıtlandı ki, hem dosyalara hem de önyükleme sektörlerine bulaşabilen virüsler artık çok yaygın. Bir kez "temiz" bir bilgisayarda, bu virüsler önce Ana Önyükleme Kaydı'na saldırır. Ancak, önyükleme virüslerini tespit etme yöntemleri şu anda son derece etkilidir ve %100 güvenilirliğe yaklaşmaktadır.

Bir virüsün nasıl algılandığını anlamak için böyle bir virüsü manuel olarak algılamayı düşünün. Boş bir disketten önyükleme yapalım (13h kesintisinin önyükleme virüsü tarafından ele geçirilmeyeceği garanti edilir) ve sabit diskin 0/0/1 sektörünü ele alalım (bu, ana önyükleme kayıt sektörünün fiziksel adresidir). Sabit sürücü (fdisk kullanılarak) mantıksal disklere bölünürse, kod bir sektörün yaklaşık yarısını kaplar ve FAh33hCOh baytlarıyla başlar (bazen 33h yerine 2Bh olabilir). Kod, "Eksik işletim sistemi" gibi metin satırlarıyla bitmelidir. Bir sektörün sonunda, bölüm tablosunun harici olarak dağılmış baytları bulunur. Aktif bölümün bölüm tablosundaki yerleşimine dikkat etmeniz gerekiyor. İşletim sistemi C sürücüsünde bulunuyorsa ve 2., 3. veya 4. bölümler aktifse, virüs kendini başka bir mantıksal diskin başına yerleştirerek başlangıç noktasını değiştirebilir (aynı zamanda orada). Ancak, makinede birkaç işletim sisteminin varlığını ve seçici önyükleme sağlayan bir tür önyükleme yöneticisinin varlığını da gösterebilir. Tüm sıfır parçayı kontrol ediyoruz. Temizse, yani sektörler yalnızca dolgu baytı içeriyorsa, her şey yolunda demektir. Çöpün varlığı, 0/0/1 sektörünün kopyaları ve diğer şeyler, bir önyükleme virüsünün varlığını gösterebilir. Bununla birlikte, antivirüsler, önyükleme virüslerini iyileştirirken, yalnızca düşmanın "kafasını keser" (0/0/1 sektörünün başlangıç değerini geri yükler). MS-DOS önyükleme sektörünü kontrol ediyoruz, genellikle 0/1/1 sektöründe bulunur. Karşılaştırma için görünümü herhangi bir "temiz" makinede bulunabilir. Denetçi programları yaklaşık olarak aynı şekilde çalışır. Tuhaflıkları, RAM'in ilk "temizliğini" değerlendirememeleridir, bu nedenle Ana Önyükleme Kaydı üç farklı şekilde okunur:

● (bios) - BIOS'a doğrudan erişim;

● (il3h) - BIOS kesintisi Intl3h aracılığıyla okuma;

● (i25h) - işletim sistemi aracılığıyla okuma (Interrupt Int25h).

Okunan bilgiler uyuşmuyorsa, gizli algoritmalar etkindir. Daha fazla güvenilirlik için MBR, sabit sürücünün IDE bağlantı noktalarından okunur. Şimdiye kadar böyle bir işleve sahip bir denetçiden maskelenebilecek hiçbir virüs yoktu.

Basit (ana değil) bir önyükleme sektörü aynı şekilde kontrol edilir.

Genellikle, denetçinin sistem alanlarının yedek bir kopyasını kaydetmesi nedeniyle, önyükleme virüsünden kaynaklanan hasarı geri yüklemek oldukça basittir: kullanıcı onay verirse, denetçi sistem alanlarının üzerine yazar.

Değişmez dosyaları kontrol etme. Dosya virüslerinin etkinliğini tespit etmeyi amaçlayan taramanın son aşaması, dosya değişikliklerinin kontrolüdür. Aktif olarak kullanılan ve aynı zamanda değiştirilmemesi gereken tüm dosyalar için (genellikle win.com vb. programlardır) kontrol listeleri oluşturulur. Sağlama toplamlarının ve dosya boyutlarının değerlerini içerirler. Ardından, denetçinin daha sonraki kullanımı sırasında, Disklerden gelen bilgiler tablolarda saklanan referans bilgilerle karşılaştırılır. Bilgiler uyuşmuyorsa, sistemde bir dosya virüsünün olması çok muhtemeldir. En belirgin gösterge, dosyanın oluşturulduğu tarihi değiştirmeden dosyanın boyutunun veya içeriğinin değişmiş olmasıdır.

Hangi dosyaların değişmez olduğunu belirlemek çok önemlidir. Denetçi programı yapılandırılırken, değiştirilemeyen dosyalara ilişkin veriler, denetçi kontrolüne tabi dosya ve dizin adlarının bir listesini içeren tablolara girilir. Tablonun her satırı bir ad veya maske içerir. Prensipte, yolu PATH değişkeninde belirtilen yürütülebilir dosyaların "değişmez" kategorisine eklenmesi önerilir. Çoğu zaman dosya virüslerinin avına düşerler.

Tüm dosyalar kontrol edildikten sonra, denetçiler genellikle virüsler tarafından bozulabilecek ek bellek alanlarının kopyalarını tutar. Bunlar FLASH ve CMOS bellektir. Bu hafıza alanları da oldukça nadiren değişir ve bu nedenle değişiklikleri şüpheli olabilir.

Bir kez daha, en etkili anti-virüs korumasının "paket" denetçisi - polifajın kullanılması olacağını not ediyoruz. Denetçi, virüsün diskteki etkinliğini izlemenize izin verir ve polifaj, yeni dosyaları taramak ve zaten bilinen virüsleri kaldırmak için kullanılır.

Filtre programları, veya "bekçi", bilgisayar çalışması sırasında tipik virüsler olan şüpheli eylemleri algılamak için tasarlanmış küçük yerleşik programlardır. Bu tür eylemler şunlar olabilir:

● COM, EXE uzantılı dosyaları düzeltmeye çalışır;

● dosya özniteliklerinin değiştirilmesi;

● mutlak bir adreste diske doğrudan yazma;

● diskin önyükleme sektörlerine yazma;

Herhangi bir program belirtilen eylemleri gerçekleştirmeye çalıştığında, "bekçi" kullanıcıya bir mesaj gönderir ve ilgili eylemi yasaklamayı veya izin vermeyi teklif eder. Filtreler, bir virüsü çoğalmadan önce varlığının en erken aşamasında tespit edebildikleri için kullanışlıdır. Ancak, dosyaları ve diskleri "düzeltmezler". Virüsleri yok etmek için fajlar gibi diğer programları kullanmanız gerekir. Bekçi programlarının dezavantajları arasında "müdahaleciliği" (örneğin, yürütülebilir bir dosyayı kopyalamaya yönelik herhangi bir girişim hakkında sürekli bir uyarı yayınlarlar) ve diğer yazılımlarla olası çakışmalar bulunur. Filtre programına bir örnek, MS DOS yardımcı program paketinde bulunan Vsafe programıdır.

Aşılar veya bağışıklayıcılar, dosyaların bulaşmasını önleyen bellekte yerleşik programlardır. Virüsü "tedavi eden" doktor programları yoksa aşılar kullanılır. Aşılama sadece bilinen virüslere karşı mümkündür. Aşı, programı veya diski, çalışmalarını etkilemeyecek şekilde değiştirir ve virüs onları enfekte olarak algılar ve bu nedenle devreye girmez. Aşı programları şu anda sınırlı kullanımdadır.

VİRÜS TESPİT VE KORUMA PROGRAMLARI

Aşağıdaki virüsten koruma programı türleri vardır (Şekil 11.11):

§ dedektör programları;

§ programlar-doktorlar veya fajlar;

§ programlar-denetçiler;

§ filtre programları;

§ aşı programları veya bağışıklayıcılar.

Pirinç. 11.11. Virüsten koruma programı türleri

dedektör programları RAM'de ve dosyalarda belirli bir virüsün karakteristiği olan bir bayt dizisi (virüs imzası) arayın ve tespit edildiğinde ilgili bir mesaj yayınlayın. Bu tür virüsten koruma programlarının dezavantajı, yalnızca bu tür programların geliştiricileri tarafından bilinen virüsleri bulabilmeleridir.

Doktor programları veya fajlar, ve aşı programları sadece virüs bulaşmış dosyaları bulmakla kalmaz, aynı zamanda onları "tedavi eder", yani. virüs programı gövdesini dosyadan kaldırarak dosyaları orijinal durumlarına döndürün. Fajlar, çalışmalarının başında RAM'de virüs arar, onları yok eder ve ancak bundan sonra dosyaları "tedavi etmeye" devam eder. Fajlar arasında, polifajlar, onlar. Çok sayıda virüsü aramak ve yok etmek için tasarlanmış doktor programları. En ünlü polifajlar programlardır. Aidstest, Tarama, Norton AntiVirus ve Doktor Web.

Sürekli yeni virüslerin ortaya çıktığı düşünüldüğünde dedektör programları ve doktor programları hızla eskimekte ve sürümlerinin düzenli olarak güncellenmesi gerekmektedir.

Denetçi programları virüslere karşı en güvenilir koruma araçları arasındadır. Denetçiler, bilgisayara virüs bulaşmadığında diskin programlarının, dizinlerinin ve sistem alanlarının ilk durumunu hatırlar ve ardından periyodik olarak veya kullanıcının isteği üzerine mevcut durumu ilk durumla karşılaştırır. Algılanan değişiklikler video monitör ekranında görüntülenir. Kural olarak, işletim sistemi yüklendikten hemen sonra durumlar karşılaştırılır. Karşılaştırılırken dosya uzunluğu, döngüsel kontrol kodu (dosya sağlama toplamı), değişiklik tarihi ve saati ve diğer parametreler kontrol edilir. Denetçi programları oldukça gelişmiş algoritmalara sahiptir, gizli virüsleri algılar ve hatta taranan programın sürümündeki değişiklikleri bir virüs tarafından yapılan değişikliklerden ayırt edebilir. Denetçi programları arasında Rusya'da yaygın bir program var ADinf firma "Diyalog-Bilim".

filtreler veya "bekçi" bilgisayar çalışması sırasında tipik virüsler olan şüpheli eylemleri algılamak için tasarlanmış küçük yerleşik programlardır. Bu tür eylemler şunlar olabilir:

§ COM ve EXE uzantılı dosyaları düzeltmeye çalışır;

§ dosyaların özniteliklerinin değiştirilmesi;

§ mutlak bir adreste diske doğrudan kayıt;

§ diskin önyükleme sektörlerine yazma;

Herhangi bir program belirtilen eylemleri gerçekleştirmeye çalıştığında, "bekçi" kullanıcıya bir mesaj gönderir ve ilgili eylemi yasaklamayı veya izin vermeyi teklif eder. Filtreler, bir virüsü çoğalmadan önce varlığının en erken aşamasında tespit edebildikleri için kullanışlıdır. Ancak, dosyaları ve diskleri "düzeltmezler". Virüsleri yok etmek için fajlar gibi diğer programları kullanmanız gerekir. Bekçi programlarının dezavantajları arasında "müdahaleciliği" (örneğin, yürütülebilir bir dosyayı kopyalamaya yönelik herhangi bir girişim hakkında sürekli bir uyarı yayınlarlar) ve diğer yazılımlarla olası çakışmalar bulunur. Filtre programına bir örnek, programdır. güvenli, MS DOS işletim sisteminin yardımcı programları paketine dahil edilmiştir.

Aşılar veya bağışıklayıcılar - bunlar dosya enfeksiyonlarını önleyen TSR programlarıdır. Bu virüsü "tedavi eden" doktor programları yoksa aşılar kullanılır. Aşılama sadece bilinen virüslere karşı mümkündür. Aşı, programı veya diski, çalışmalarını etkilemeyecek şekilde değiştirir ve virüs onları enfekte olarak algılar ve bu nedenle devreye girmez. Aşı programları şu anda sınırlı kullanımdadır.

Virüs bulaşmış dosya ve disklerin zamanında tespiti, her bilgisayarda tespit edilen virüslerin tamamen ortadan kaldırılması, virüs salgınının diğer bilgisayarlara yayılmasını önlemeye yardımcı olur.

JSC "Dialogue-Science" antivirüs kiti

Bilgisayar virüsleriyle mücadeleye yönelik modern yazılım araçlarının bolluğu arasında, Dialog-Nauka JSC'nin dört yazılım ürünü içeren anti-virüs paketi tercih edilmelidir: polifajlar Aidstest ve Doctor Web (Dr.Web olarak kısaltılır), disk denetçisi ADinf ve tedavi bloğu ADinf Cure Module. Bu anti-virüs programlarının nasıl ve ne zaman kullanılacağına kısaca değinelim.

Polifaj programı Aidstest.AIDS testi Rusya'da en yaygın olan 1.300'den fazla bilgisayar virüsünü tespit edip yok edebilen bir programdır. Sürümler AIDS testi düzenli olarak güncellenir ve yeni virüsler hakkında bilgilerle güncellenir.

Aramak AIDS testi komutu girmelisiniz:

AIDSTEST []

yol burada sürücü adı, tam ad veya dosya belirtimi, dosya grubu maskesidir:

* - sabit diskin tüm bölümleri,

** - ağ sürücüleri ve CD-ROM sürücüleri dahil tüm sürücüler;

seçenekler - aşağıdaki tuşların herhangi bir kombinasyonu:

/ F - virüslü programları düzeltin ve bozuk olanları silin;

/ G - arka arkaya tüm dosyaları tara (sadece COM, EXE ve SYS değil);

/ S - bozuk virüsleri bulmak için yavaş çalışma;

/ X - virüsün yapısında ihlal bulunan tüm dosyaları silin;

/ Q - bozuk dosyaları silmek için izin isteyin;

/ B - bir sonraki disketi işlemeyi teklif etmeyin.

Örnek 11.27. AIDS testi diski kontrol etmek ve "tedavi etmek" için V:. Tespit edilen virüslü programlar düzeltilecektir. Diskteki tüm dosyalar taranır. Dosya düzeltilemezse, program onu silmek için izin isteyecektir:

aidstest b: / f / g / q

Doktor Web polifaj programı. Bu program öncelikle bilgisayar dünyasında son zamanlarda ortaya çıkan polimorfik virüslerle mücadele etmek için tasarlanmıştır. kullanım Dr. ağ programa benzer şekilde, diskleri taramak ve genel olarak algılanan virüsleri kaldırmak için Yardım testi. Aynı zamanda, pratikte doğrulamanın tekrarı yoktur, çünkü AIDS testi ve Dr. ağ farklı virüs grupları üzerinde çalışır.

programı Dr. ağ programın gücünü aşan karmaşık mutant virüslerle etkili bir şekilde savaşabilir Yardım testi. farklı AIDS testi program Dr. ağ kendi program kodundaki değişiklikleri tespit etme, yeni, bilinmeyen virüsler bulaşmış dosyaları etkili bir şekilde tespit etme, şifreli ve paketlenmiş dosyalara nüfuz etme ve ayrıca "aşı örtüsünü" aşma yeteneğine sahiptir. Bu, yeterince güçlü bir sezgisel analizörün varlığı nedeniyle elde edilir.

Sezgisel analiz modunda, program Dr.Web disklerin dosyalarını ve sistem alanlarını inceler, virüslerin karakteristik kod dizileriyle yeni veya bilinmeyen virüsleri tespit etmeye çalışır. Herhangi biri bulunursa, nesneye bilinmeyen bir virüs bulaşmış olabileceğini belirten bir uyarı görüntülenir.

Sezgisel analizin üç seviyesi vardır. Sezgisel analiz modunda, yanlış pozitifler mümkündür, yani. virüs bulaşmamış dosyaların algılanması. "Sezgisel" seviye, yanlış pozitiflerin olmadığı kod analizi seviyesidir. "Sezgisel" seviye ne kadar yüksek olursa, hata veya yanlış pozitiflerin yüzdesi o kadar yüksek olur. Sezgisel çözümleyicinin ilk iki düzeyi önerilir.

Sezgisel analizin üçüncü düzeyi, dosyaların oluşturulmalarının "şüpheli" zamanı için ek tarama sağlar. Dosyalara bulaşırken, bazı virüsler bu dosyalara bulaşmanın bir işareti olarak yanlış bir oluşturma zamanı ayarlar. Örneğin, virüslü dosyalar için saniye 62 olarak ayarlanabilir ve oluşturma yılı 100 yıl artırılabilir.

Anti-virüs programı ile birlikte verilir Dr. ağ ayrıca programın ana virüs veritabanına, yeteneklerini genişleten eklenti dosyaları da içerebilir.

Programla çalışın Dr. ağ iki modda mümkündür:

§ menüleri ve iletişim kutularını kullanarak tam ekran arayüz modunda;

§ komut satırı kontrol modunda.

Bir kerelik düzensiz kullanım için ilk mod daha uygundur, ancak disketlerin sistematik giriş kontrolü amacıyla düzenli kullanım için ikinci modu kullanmak daha iyidir. İkinci modu kullanırken, karşılık gelen başlatma komutu Dr. ağ Norton Commander işletim kabuğunun kullanıcı menüsüne veya özel bir toplu iş dosyasına dahil edilmelidir.

Çalıştırılacak komut satırı Dr. ağ aşağıdaki gibi:

DrWeb [sürücü: [yol]] [anahtarlar]

sürücü nerede:

X: bir sabit diskin mantıksal aygıtı veya bir disketin fiziksel aygıtıdır, örneğin F: veya A :,

* - sabit diskteki tüm mantıksal aygıtlar,

path, gerekli dosyaların yolu veya maskesidir.

En önemli anahtarlar şunlardır:

/ AL - belirtilen cihazdaki tüm dosyaların teşhisi;

/ CU [P] - disklerin ve dosyaların "dezenfeksiyonu", bulunan virüslerin kaldırılması;

R - kullanıcı onayı ile virüs temizleme;

/ DL - doğru şekilde dezenfekte edilemeyen dosyaları silin;

/ ON [level] - dosyaların buluşsal analizi ve içlerinde bilinmeyen virüslerin aranması, nerede

0, 1, 2 değerleri alabilir;

/ RР [dosya adı] - çalışma günlüğünü bir dosyaya yazma (varsayılan olarak REPORT.WEB dosyasına);

/ CL - dosyaları test ederken programı komut satırı modunda başlatın ve

sistem alanları tam ekran arayüzünü kullanmaz;

/ QU - testten hemen sonra DOS'a çık;

/? - kısa bir yardım ekranı gösteriliyor.

Dr.Web komut satırında herhangi bir anahtar belirtilmezse, geçerli başlatma için tüm bilgiler DRWEB.EXE dosyasıyla aynı dizinde bulunan DRWEB.INI yapılandırma dosyasından okunacaktır. Programla çalışırken yapılandırma dosyası oluşturulur Dr. ağ test için gerekli parametreleri kaydetmek için komutu kullanarak.

Örnek 11.28. Bir virüsten koruma programı başlatma Dr.Web diski kontrol etmek ve tedavi etmek için V:. Tespit edilen virüslü dosyalar "dezenfekte edilecektir". Diskteki tüm dosyalar taranır. Dosya "iyileştirilemez" ise, program onu silmek için izin isteyecektir. Virüs taraması yapmak için, sezgisel analiz seviyesi 1 kullanılmalıdır.Program, test tamamlandıktan sonra DOS'a çıkış ile yalnızca komut satırı modunda yürütülmelidir:

DrWeb B: / AL / CUP / HA1 / QU / CL

En son makaleler

2021-11-11 12:38:28
Kendi Twitter Anınızı Nasıl Yaratabilirsiniz?
2021-11-11 12:38:28
Bir sosyal ağdaki bir avatar sahibi hakkında ne söyleyebilir?
2021-11-11 12:38:28
Kendi Twitter Anınızı Nasıl Yaratabilirsiniz?

Popüler Makaleler

Editörün Seçimi

2021-11-06 10:20:40

Delphi programlama ortamı
Delphi görsel programlama sistemi, geniş bir kullanıcı yelpazesi arasında çok popülerdir: sıradan insanlardan sisteme ...
2021-11-06 10:20:40

Mikrodenetleyiciler MCS-51: yazılım modeli, yapısı, talimatları
UDC 681.5, 681.325.5 (075.8) BBK 32.973.202-018.2 i 73 Shcherbina A.N. Bilgisayar makineleri, sistemleri ve ağları. Mikrodenetleyiciler ve mikroişlemciler ...
2021-11-06 10:20:40

Kodlama teorisi. Kodlama türleri. Kodlama teorisinin doğuşu Kodlama yöntemlerinin sınıflandırılması
"Bu kursun amacı sizi teknik geleceğiniz için hazırlamaktır." Merhaba, Habr. "Siz ve işiniz" harika makalesini hatırlayın (+219, 2442 yer imi, ...
2021-11-06 10:20:40

Geri Besleme Kaydırma Kayıtları Doğrusal Geri Besleme Kaydırma Kayıtları c
Doğrusal bir geri besleme kaydırma kaydı (LFSR), değeri ... olan bir bit sözcük kaydırma kaydıdır.
2021-11-01 11:09:32

Sörf ve otomatik sörften nasıl para kazanılır?
Sörfte kazanç: sörf özellikleri + 5 avantaj ve dezavantaj + otomatik sörf için 3 özel program + 5 popüler hizmet ...