Комп'ютерні віруси

Музичноматематична гімназія № 2.

Екзаменаційний реферат по информатике.

Комп’ютерні вирусы.

Виконав: учень 9 класу «Б».

Кочетков Максим.

Викладач: Вайнштейн А.С.

Самара 1999.

КОМП’ЮТЕРНИЙ ВИРУС.

1.1. Що таке комп’ютерний вирус…3.

1.2. Як проявляються вирусы…3.

1. ТИПИ ВИРУСОВ.

2.1.Вирусы — спутники…4.

2.2.Файловые вирусы…5.

2.3.Загрузочные вирусы…5.

2.4.Вирусы, поєднують у собі властивості файлових і завантажувальних вирусов…5.

2.5.Вирусы DIR …5.

2.6.Макровирусы…5.

2. МЕХАНІЗМ ЗАХИСТУ ВІРУСІВ ВІД ОБНАРУЖЕНИЯ.

3.1.Стелс-вирусы…6.

3.2.Вирусы-призраки…6.

3. ЩО МОЖЕ І ЧОГО НЕ МОЖЕ КОМП’ЮТЕРНИЙ ВИРУС.

4.1.Файлы, котрі піддаються заражению…6.

4.2.Случаи, коли можна заразити свій компьютер…7.

4. ЯК НЕ ЗАРАЗИТИСЯ КОМП’ЮТЕРНИМ ВИРУСОМ.

5.1.Профилактические меры…8.

5.2.Профилактика зараження вірусом комп’ютерів групового користування …9.

5. ЩО БУЛО РОБИТИ, ЯКЩО ЗАРАЖЕННЯ ВЖЕ ПРОИЗОШЛО.

6.1.Стандартные дії при зараження вирусом…10.

6.2.Нестандартные ситуации…11.

6. Види програм захисту від вирусов.

7.1. Программы-ревизоры…12.

7.2. Программы-детекторы і доктора…12.

7.3.Программы-фильтры…13.

ЗАКЛЮЧЕНИЕ

…13.

ДОДАТОК 1…14.

ДОДАТОК 2…16.

СЛОВНИК ТЕРМИНОВ…19.

СПИСОК ЛИТЕРАТУРЫ

…23.

1.КОМПЬЮТЕРНЫЙ ВИРУС.

З проблемою комп’ютерних вірусів та можливостей пов’язано, напевно, найбільше легенд і перебільшень. Багато людей, котрий іноді цілі організації панічно боятися зараження свої машини. Насправді не все так і страшно. Щоб не заразити свої комп’ютери, досить дотримуватися лише незначну число елементарних правил, але дотримуватися їх неукоснительно.

1.1. Що таке комп’ютерний вирус.

У випадку комп’ютерний вірус — це невеличка програма, яка приписує себе у кінець виконуваних файлів, «драйверов», или «поселяється» в завантажувальному секторі диска. Після запуску заражених програм, тож драйверів спочатку відбувається виконання вірусу, а вже потім управління передається саму програму. Якщо ж вірус «оселився» в завантажувальному секторі, його активізація відбувається у момент завантаження ОС з такої диска. У той час, коли управління належить вірусу, зазвичай виконуються різні неприємні для користувача, але необхідних продовження життя цього вірусу дії. Це перебування і зараження інших програм, псування даних, і т.д. Вірус може також залишитися у пам’яті резидентно і продовжувати шкодити до перезавантаження комп’ютера. Після закінчення роботи вірусу управління передається зараженої програмі, що зазвичай працює «як у ніж не бувало», маскуючи тим самим його присутність серед системі вірусу. На жаль, часто-густо вірус можна знайти занадто пізно, коли більшість програм вже заражене. У таких випадках втрати від злобливих дій вірусу можуть бути дуже велики.

Останнім часом постали звані макровирусы. Вони передаються разом із документами, у яких передбачено виконання макрокоманд (наприклад, документи текстового редактора Word), тому й їх назва. Макровирусы є макрокоманди, які наказують переносити тіло вірусу до інших документи. й за можливості, здійснювати різні шкідливі дії. Найбільшого поширення набула нині отримали макровирусы, заражающие документи текстового редактора Word 6.0/7.0 для Windows і табличного редактора Excel 5.0/7.0 для Windows.

1.2. Як проявляються вирусы Проявление вірусів дуже различны:

— Сильне уповільнення роботи компьютера.

— Несподіване поява на екрані сторонніх фраз.

— Поява різних видеоэффектов (наприклад, переставлення экрана).

— Провалля інформації з екрана (одне із хранителів екрана під назвою Worms в Norton Commander 5.0 якраз імітує роботу відомого вірусу — «поїдання» інформації своєрідною гусеницей).

— Генерація різних звуков.

— Деякі програми перестає працювати, інші поводяться дуже странно.

— На дисках з’являється дуже багато зіпсованих файлів даних, текстових файлов.

— Разом руйнується вся файлова система одному з дисков.

— Операційна система несподівано перестає бачити винчестер.

— Довільно змінюється довжина окремих файлов.

— Несподівані проблеми з 32-х битным доступом до диска і файлам в.

Windows 3.11 чи Windows 95.

Різні віруси можуть поводитися по-різному. Деякі лише розмножуються, не роблячи шкідливих дій, інші відразу після зараження роблять багато дуже неприємних дій. Є такі, котрі спочатку поводяться непомітно, а, по спливанні якогось часу раптом разом псують всі дані (скажімо, форматируется вінчестер). А бувають віруси, які намагаються запровадити себе якомога більш непомітно, але потроху та поступово псують дані на жорсткому диску компьютера.

Отже, а то й робити заходів захисту від вірусу, то наслідки зараження комп’ютера можуть бути дуже серйозними. Наприклад, в1989г, вірусом, написаним американським студентом Моррисом, були заражені і вийшли з ладу тисячі комп’ютерів, зокрема що належать міністерства оборони США. Автор вірусу був приречений судом до трьох місяців в’язниці і штраф на 270 тыс.дол. Покарання може бути й суворішим, та суди врахував, що вірус не псував дані. лише размножался.

Щоб програма-вірус була непомітної, вона повинна переважно бути невеличкий. Тому, зазвичай, віруси пишуться мовою ассемблера. Деякі автори таких програм створили їх із бешкетництва, деякі - з прагнення «насолити» комусь або з ненависті до всього роду людському. У кожному разі створена програма-вірус може (потенційно) поширитися усім комп’ютерах, сумісних про те, котрій у неї написана, і заподіяти дуже серйозні разрушения.

Слід зазначити, що саме писання вірусу — не така вже складне завдання, цілком доступна вивчаючому програмування студентові. Тому щотижня у світі з’являються дедалі нові віруси. І чимало їх зроблено нашій країні та інших недостатньо цивілізованих країнах: Болгарії, Пакистані і т.д.

2.ТИПЫ ВИРУСОВ.

Віруси різняться між собою, як за способом проникнення систему, і за способом функціонування. Розглянемо основні класи вирусов.

2.1.Вирусы — спутники.

Найпримітивніший тип вірусів. До кожного файла з розширенням .ехе створюють хоча б файл з тим самим ім'ям,. але з розширенням .сом, у якому тіло вірусу. Після запуску файла операційна система спочатку шукає .сом файли, і потім .exe файли. Тому спочатку управління отримує вірус, та був вже вона сама викликає необхідний .exe файл.

2.2.Файловые вирусы.

Вражають файли з розширенням .com, .exe, рідше .sys чи оверлейные модулі .exe файлів. Ці віруси дописують своє тіло у початок, середину чи кінець файла і змінюють йому у спосіб, щоб першими отримати управління. Деякі з цих вірусів не опікуються збереженням заражаемого файла. У результаті вона виявляється непрацездатним; і що найсумніше, такий файл не можна відновити. Частина вірусів після запуску залишається у пам’яті резидентно.

2.3.Загрузочные вирусы.

Вражають завантажувальні сектора дисків. Інфікування нових дисків відбувається у той час, як у заражений комп’ютер вставляють нову дискету і починають із ній працювати. Часто вірус не поміщається повністю в завантажувальної записи, туди пишеться лише його початок, а продовження тіла вірусу зберігається у іншому місці диска. Після запуску залишаються у пам’яті резидентно.

2.4.Вирусы, поєднують у собі властивості файлових і завантажувальних вирусов.

Такі віруси можуть вражати як файли, і завантажувальні сектора дисков.

2.5.Вирусы DIR.

Цікавий клас вірусів, що з’явився недавно. Ці віруси змінюють файлову систему диска дуже хитрим чином. У таблиці розміщення файлів (FAT) всім виконуваних файлів посилання початок замінюються посиланнями на тіло вірусу. Адреси ж початку файлів в закодованому вигляді вкладаються у невикористовувані елементи директорії. Через війну, щойно ви запускаєте програму, управління автоматично отримує вірус. Він залишається в пам’яті резидентно при роботі відновлює правильні посилання початку файлів. Якщо диск, заражений вірусом DIR, потрапляє на чистий комп’ютер, вважати від нього дані, природно, виявляється неможливим (читається лише одне кластер). При спробі протестувати файлову структуру — скажімо, Norton Disk Doctor — на екран видається повідомлення про величезному кількості помилок, але досить запустити хоч одну програму з зараженого диска, як файлова система відразу «відновлюється». Насправді ж відбувається інфікування чергового компьютера.

2.6.Макровирусы.

Дуже оригінальний клас вірусів (хоча вірусами у сенсі цього терміну навіть можна назвати), що заражає документи, у яких передбачено виконання макрокоманд. Відкриття таких документів спочатку виконуються макрокоманди (спеціальні програми високого рівня), які у цьому немає, — макровирус таки є таку макрокоманду. Отже, щойно буде відкрито заражений документ, вірус отримає управління економіки й зробить все шкідливі дії (в частковості, знайде і заразить ще заражені документы).

3.МЕХАНИЗМ ЗАХИСТУ ВІРУСІВ ВІД ОБНАРУЖЕНИЯ.

Зазвичай, віруси легко виявляються за особливими ділянкам коду тіла вірусу. Щоправда, останнім часом широкого розповсюдження набули дві нові типу вірусів — вирусы-невидимки (чи стелс-вирусы) і самомодифицирующиеся віруси (вирусы-призраки), які дуже важко обнаружить.

3.1.Стелс-вирусы.

Стелс-вирусы. (від англійського steflth) реалізують дуже хитрий механізм, що ускладнює їх виявлення. При зараження ці віруси залишаються у пам’яті резидентно і за зверненні до заражених файлам і областям диска підміняють інформацію отже «замовник» отримує їх у незараженном, початковому вигляді. Досягають цього перехватыванием звернень DOS і установкою своїх векторів переривань. Побачити такий вірус можна або на незараженном комп’ютері (наприклад, загрузившись з явно чистої дискети), або у тому разі, коли програма не користується засобами DOS, а безпосередньо звертається до диску.

3.2.Вирусы-призраки.

Вирусы-призраки маскуються з допомогою іншого механізму. Ці віруси постійно модифікують себе в такий спосіб, що ні містять однакових фрагментів. Такі віруси зберігають своє тіло у закодованому вигляді й постійно змінюють параметри цієї кодування. Стартова ж його частина, що займається декодированием безпосередньо самого тіла, може генеруватися дуже складним способом. При перенесення вірусу такого типу з комп’ютера на комп’ютер код вірусу змінюється в такий спосіб, що вони немає нічого спільного зі своїм попереднім варіантом. А частина вірусів може самомодифікуватися в межах одного комп’ютера. Виявлення таких вірусів вельми складно, хоча більша частина антивірусних програм намагається знаходити їхні дільницями коду, притаманним стартовою части.

4.ЧТО МОЖЕ І ЧОГО НЕ МОЖЕ КОМП’ЮТЕРНИЙ ВИРУС.

4.1.Файлы, котрі піддаються заражению.

Комп’ютерний вірус може чимось заразити величезну кількість файлів. Перерахуємо ці файли. Передусім це виконувані файли з розширенням .com і .exe, потім — драйвери пристроїв з розширеннями .sys і тим самим .exe, динамічні бібліотеки (розширення .dll) і, нарешті, оверлейные модулі виконуваних файлів (зазвичай, мають розширення .ovl).

Існують віруси, заражающие пакетні .bat файли, але це віруси вкрай примітивні і чинять досить легко: вони вставляють в пакетні файли команди свого виклику. Впіймати такі віруси технічно нескладне труда.

Також можуть бути піддані зараженню файли документів і майже шаблонів редакторів, у яких під час відкриття документа передбачено виконання макрокоманд. Зокрема, це .doc і .dot файли текстового редактора Word, .xls і .xlt файли табличного редактора Excel.

Ні за яких умов неможливо знайти піддані зараженню текстові (.txt) і графічні файли (.tif, .gif, .bmp, тощо.), файли даних, і інформаційні файлы.

4.2.Случаи, коли можна заразити свій компьютер

Заразитися комп’ютерним вірусом можна лише дуже обмеженому кількості випадків. Это:

— Запуск за комп’ютером виконуваної програми, зараженої вирусом.

— Завантаження комп’ютера з дискети, що містить завантажувальний вирус.

— Підключення до системи зараженого драйвера.

— Відкриття документа, зараженого макровирусом.

— Установка за комп’ютером зараженої ОС. Комп’ютер може бути заражений, если:

— Йому листувалися текстові і графічні файли, файли даних, і інформаційні файли (крім файлів, які передбачають виконання макрокоманд).

— Нею вироблялося копіювання з одного дискети в іншу за умови, що жодного файл з дискет не запускался.

— На комп’ютері виробляється обробка принесених ззовні текстових і графічних файлів, файлів даних, і інформаційних файлів (крім файлів, які передбачають виконання макрокоманд).

Примечание: Переписування на комп’ютер зараженого вірусом файла ще означає зараження його вірусом. Щоб зараження сталося, потрібно або запустити заражену програму, або підключити заражений драйвер, або відкрити заражений документ (або, природно, завантажитися із зараженою дискеты).

Інакше висловлюючись, заразити свій комп’ютер можна лише тому випадку, якщо запустити у ньому неперевірені програми розвитку й (чи) програмні продукти, встановити неперевірені драйвери і (чи) операційні системи, загрузитися з неперевіреною системної дискети чи відкрити неперевірені документи, підвладні зараженню макровирусами.

Марно приписувати все збої у роботі устаткування чи програм дії комп’ютерного вірусу. Вірус — звичайна програма, причому невеликого розміру, вона може виконувати ніяких надприродних дій. Так, жодної програми неспроможна спалити процесор, під це і вірусу. Єдине, що здатні віруси, — це викликати тимчасову неработоспособность комп’ютера (зазвичай устраняемую вимиканням і включенням питания).

5.КАК НЕ ЗАРАЗИТИСЯ КОМП’ЮТЕРНИМ ВИРУСОМ.

Правила, які потрібно соблюдать.

Ці правила слід дотримуватися завжди. Порушивши їх лише одного разу, ви ризикуєте заразити свій комп’ютер, а набагато простіше запобігти захворювання, ніж займатися потім його лечением.

5.1.Профилактические меры.

Усі важливі програми розвитку й дані необхідно мати поза комп’ютера: наприклад, зберігати їх у дискетах. Це дозволить у разі псування вірусом чи через збої у роботі устаткування швидко відновити втрачену информацию.

Результати своєї поточної роботи рекомендується зберігати на дискетах не рідше рази на тиждень, тоді втрати від вірусів і збоїв у роботі устаткування будуть негаразд велики.

Будь-які програми розвитку й драйвери, що ви збираєтеся використати в комп’ютері перед першим запуском, необхідно перевірити на наявність вірусів программами-детекторами (ці програми дозволяють перевірити файли на інфікованість їх вірусом),. скажімо, AIDSTEST чи (та ще краще і) Dr.Web. Ці програми постійно оновлюються (у яких додається виявлення нових вірусів), тому рекомендується завжди мати дуже останні версії. З іншого боку, Dr. Web має у собі евристичний аналізатор, дозволяє виявляти підозрілі ділянки коду, характерні для самомодифицирующихся вірусів. Обидві програми мають простий інтерфейс російською, при цьому до них додається дуже докладний опис (також уперше російською мові), тому роботу з ними не рассматривается.

Усі (файли документів і майже шаблонів Word, Excel тощо.), які передбачають виконання макрокоманд, необхідно перевірити на наявність макровирусов. Зробити це можна зробити. Наприклад, з допомогою того самого Dr.Web.

Якщо програми потрапили до вас у заархивированном вигляді, та над перевіркою архів необхідно розгорнути. Але до перевірки зайве запускати будь-які програми з цього архива.

Якщо вже ви установлюєте не одиночну програму, а великий програмний продукт, необхідно перевірити все файли з дистрибутива до установки, а відразу після установки зробити повторну перевірку, наскільки можна попередньо загрузившись з дискеты.

Рекомендується завантажуватися лише з своїх, причому явно незаражених дискет. У принципі, краще мати цих цілей спеціальну дискету, проте інші диски форматувати без перенесення операційній системы.

Щоб випадково не загрузитися з дискети, залишеній в дисководу А, рекомендується в SETUP відключити завантаження з диска А:.

Если по будь-яким причин ви мені хочете загрузитися з використанням чужої дискети, та над завантаженням перевірте в наявність вирусов.

При постійному перенесення на ваш комп’ютер нових файлів рекомендується встановити жодну з программ-ревизоров, скажімо пакет Adinf (ці програми відстежують зміни у системі - зміни на дисках, розподіл пам’яті, включення і відключення драйверів — і за підозрілих діях попереджають користувача). Це якійсь мірі застрахує вас від появи нових вірусів. Відразу після установки нової програми (особливо невідомого походження) слід також на кілька днів встановити жодну з программ-фильтров (програм, які відстежують поточні операції з диском і пам’яттю і інформують про те їх, які можна викликані вірусом). Якщо недоїмку протягом днів ніяких підозрілих дій не виявиться, то программу-фильтр можна отключить.

5.2.Профилактика зараження вірусом комп’ютерів групового пользования.

Забезпечити захист комп’ютерів групового користування набагато складніше. Для таких комп’ютерів кілька додаткових рекомендаций.

Запобігти ситуацію, коли різні групи користувачів приносять на комп’ютер різні програми, як свідчить практика, неможливо. Можна можна не сумніватися, що хтось обов’язково принесе вірус. Рекомендується вступити так: дозволити приносити будь-які програми, у цьому однині і гри, але за однієї умови — всі ці програми перевіряє на наявність вірусів й встановлює на комп’ютери системний адміністратор даної організації. Якщо ця умова порушено, то винного чекають штрафні санкції. Цей метод діє дуже ефективно, треба тільки стежити, щоб гри були на збитки роботі (чого, зазвичай, і бывает).

Інший вихід — розмежування доступу. На комп’ютері створюється системний логічний диск і диски кожної групи користувачів. Розбивка твориться з допомогою однієї з існуючих менеджерів диска, і диски захищаються паролем. У звичайному режимі для читання доступний лише системний диск і диск цієї групи користувачів, а записи — лише диск цієї групи користувачів. Решта диски просто недоступні. Системний адміністратор знає все паролі і може мати простий доступом до кожному диску. Цей метод дозволяє досить ефективно боротися з зараженням, але, на жаль, частина вірусів обходить і цю защиту.

Що стосується колективного користування можна рекомендувати один спосіб — відключити дисководи. Щоправда, практично може бути реалізувати лише у тому випадку, коли комп’ютери об'єднують у мережу. Дисководи залишаються під'єднаними лише з сервері, на яких постійно сидить системний адміністратор, контролюючий все принесені файлы.

6.ЧТО РОБИТИ, ЯКЩО ЗАРАЖЕННЯ ВЖЕ ПРОИЗОШЛО.

Розглянемо тепер дії при зараження комп’ютера. Припустимо, попри всі ваші старання, комп’ютерному вірусу вдалося проникнути до вас у систему.

6.1.Стандартные дії при зараження вирусом.

Ви должны:

1. Відразу ж вимкнути харчування, щоб вірус перестав поширюватися далі. Єдине, можна зробити до вимикання харчування, — це зберегти результати поточної роботи. Не варто використовувати гарячу перезавантаження (Ctrl + Alt + Del), т.к. деякі віруси у своїй зберігають свою активность.

2. Ввійти у SETUP і може включити завантаження з диска А. Заодно рекомендується перевірити правильність всіх установок, включаючи параметри жорстких дисків. Якщо сталися певні зміни, необхідно відновити старі значения.

3. У жодному разі запускати жодної нової програми, яка перебуває на жорсткому диске.

4. Необхідно загрузитися з дискети (повинна бути захищена від записи) і запустити почергово программы-детекторы, що перебувають у дискеті. Якщо один із програм знайде завантажувальний вірус, його можна відразу видалити, аналогічно треба зробити й за наявності вірусу DIR. Врахуйте, що вірусів то, можливо много.

5. Якщо программа-детектор знайде файловий вірус, можливі два варіанта дій. Коли ви встановлено программа-ревизор зі своїм модулем, то відновлення файлів краще робити з її допомогою. Якщо такий програми немає, необхідно скористатися на лікування однією з детекторів. Зіпсовані файли (якщо, звісно, де вони текстові або файли даних) необхідно удалить.

6. Коли все віруси віддалені, необхідно наново перенести операційну систему на жорсткий диск (з допомогою команди SYS).

7. Необхідно перевірити цілісність файлової системи на вінчестері (з допомогою CHKDSK) і виправити все ушкодження. Якщо таких ушкоджень дуже багато, та над виправленням файловою структури треба намагатися скопіювати найважливіші файли на дискеты.

8. Необхідно вкотре перевірити жорсткий диск на наявність вірусів, коли їх немає, можна перезавантажитися з вінчестера. Після перезавантаження вінчестера необхідно оцінити втрати від дій вірусу. Якщо ушкоджень дуже багато, то простіше наново переформатувати вінчестер (за необхідності зберігши найважливіші файлы).

9. Необхідно відновити всі необхідні файли і програми з допомогою архіву — й у страховки, вкотре загрузившись з дискети, протестувати вінчестер. Якщо знову виявлено вірус, то, вам не пощастило, ваш архів також заражений вірусом. І тут ви повинні протестувати весь ваш архив.

10. Якщо всі гаразд, необхідно перевірити все дискети, які можуть виявитися зараженими вірусом й за необхідності пролікувати їх. Не забудьте лише відключити завантаження з диска A:.

11. Потому, як вірус дезактивирован, ви можете продовжувати своєї роботи. Рекомендується лише підключити на кілька днів жодну з программ-фильтров.

6.2.Нестандартные ситуации.

Під час вірусної атаки може виникнути ряд нестандартних ситуаций.

Например.

Коли ви встановлено менеджер диска, то, при завантаженні з дискети частина дисків то, можливо недоступна. Тоді слід пролікувати спочатку все доступні цей час диски, потім завантажитися з жорсткого системного диска і пролікувати всі логічні диски.

Якщо за завантаженні з дискети з’ясовується, що систему просто «вбачає» ваш вінчестер, то швидше за все вірус пошкодив таблицю розбивки жорсткого диска. І тут потрібен ще раз перевірити установки SETUP і відновити розбивка з допомогою Norton Disk Doctor (чи, коли ви добре уявляєте собі свої дії, з допомогою Norton Disk Edit). Якщо це допоможе, то, всю інформацію з вінчестера втрачені, залишається тільки скористатися програмою EDISK.

Якщо ви зіткнулися з невідомим вірусом, не та справа трохи складніше. По-перше, ви можете скористатися программой-ревизором, якщо вона в вас встановлено. Цілком можливо, що вона допоможе знешкодити ваш вірус. Якщо немає або він не допомогла, то залишається тільки наново перенести на диск операційну систему, та був видалити від нього все виконувані і пакетні файли, драйвери і оверлейные файли, після чого відновити їх із архіву. Можна ще скористатися послугами антивірусної швидкої помощи.

І насамкінець одне зауваження. Марно приписувати все ваші неприємності діям вірусу. Говорити ж про про дії невідомого вірусу, а тим паче вдаватися до радикальних заходам слід лише тоді, коли залишається жодних сумнівів. Варто спочатку спробувати відновити файли, і, лише це вдається, видалити их.

Ситуація, що склалася зараз у області вірусної безпеки, дуже стабільна. Різні організації (виключаючи, звісно, інститутські навчальні центри, у яких пробують свої сили юні автори вірусів) піддаються вірусним атакам дуже рідко, — а про індивідуальних пользователях.

7.Виды програм захисту від вирусов.

7.1Программы-ревизоры.

Программы-ревизоры є надійним засобом захисту від вірусів і дружина мають укладати арсенал кожного користувача. Ревізори це єдиний спосіб, що дозволяє ознайомитися з цілісністю системних файлів і змінами у використовуваних каталогах. Слід зазначити, що отримувана з допомогою ревізорів інформація істотно полегшує орієнтування в лабіринті каталогів і «нововведення «серед трансляторів і використовуваних утиліт. Тому не можна розглядати лише у контексті захисту від вірусів — нині вони мають бути робочим інструментом кожного поважаючого свою працю программиста.

Існують дві основні типу программ-ревизоров: пакетні і резидентные.

Программ-ревизоры мають стадії роботи. Спочатку вони запам’ятовують інформацію про стані програм, тож системних областей дисків. Після цього з допомогою программы-ревизора можна у будь-якій момент порівняти стан програм і системних областей дисків з вихідними. Про виявлених невідповідностях повідомляється пользователю.

Доктора-ревизоры.

Останнім часом з’явилися дуже корисні гібриди ревізорів і докторів — програми, що виявляють зміни у файлах, але і може в разі змін автоматично повернути кошти у початковий стан. Такі програми може бути значно більше універсальними, ніж програмидоктора, оскільки за лікуванні вони використовують заздалегідь збережену інформацію про состояни файлів і областей диска. Це дозволяє йому вилікувати файли навіть від вірусів, які було створено на даний момент написання программы.

Звісно, доктора-ревизоры — це панацея. Вони можуть лікувати невід всіх вірусів, лише від, що використовують відомі на момент написання програми, механізми зараження файлов.

7.2. Программы-детекторы і доктора.

Найчастіше щоб виявити вірусу, заразившего ваш комп’ютер, можна знайти вже розроблені программы-детекторы. Ці програми перевіряють, чи є в файлах на зазначеному користувачем диску специфічні для цього вірусу комбінація байтів. За її виявленні в якому або файлі на екрані виводиться відповідне повідомлення. Багато детектори мають режими лікування чи знищення заражених файлів. Слід підкреслити, що программы-детекторы можуть виявляти ті віруси, що їй «известны».

Лікування від вирусов.

Більшість программ-детекторов мають ще й функцію «доктора», тобто. вони хочуть повернути заражені файли й області диска у тому вихідне стан. Ті файли, які вдалося відновити, зазвичай, робляться непрацездатними чи видаляються. Більшість программ-докторов вміють «лікувати» тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Та деякі програми можуть навчатися як способам виявлення, а й способам лікування нових вірусів. До таких програмам належить AVSP фірми «ДіалогМДУ». Інший перспективний підхід — відновлення файлів з урахуванням заздалегідь збереженої інформацію про їх состоянии.

7.3.Программы-фильтры.

Однією з причин їхнього, від яких можна було таке явище, як комп’ютерний вірус, є у операційній системі MS-DOS ефективних засобів захисту інформації від несанкціонованого доступу. Через відсутність засобів захисту комп’ютерні віруси можуть непомітно і безкарно змінювати програми, псувати таблиці розміщення файлів і т.д.

У зв’язку з цим різними фірмами і програмістами розроблено програмифільтри, чи резедентные програми захисту від вірусу, які певною мірою заповнюють зазначений недолік DOS.

Ці програми розташовуються резедентно оперативному пам’яті комп’ютера та «перехоплюють» повідомлення до операційній системі, які використовуються вірусами для розмноження і нанесення вреда.

ЗАКЛЮЧЕНИЕ

.

Нині для є кілька десятків тисяч комп’ютерних вірусів і їхня кількість продовжує зростати. Тому треба, з одного боку, очікувати поступового проникнення Росію нових, більш небезпечних і витончено написаних вірусів, включаючи стелс-вирусы, і з іншого — потоку порівняно простих, а й у безграмотно написаних вірусів у результаті «вірусного вибуху «всередині самої країни. Не слід думати, що еволюція вірусів піде у бік їх ускладнення. Досвід показав, що складність стелс-вирусов істотно знижує їх життєздатність. Як зазначив С. Н. Паркинсон у одному з свої знамениті законів, «зростання означає ускладнення, а ускладнення — розкладання ». Повидимому, еволюція комп’ютерних вірусів може бути відразу у кількох напрямах, лише одне серед яких є стелс-вирусы.

Хоча загальна кількість вірусів велике, які у основі ідеї порівняно нечисленні й непросто піддаються розширенню. Тому основною тенденцією, що спостерігається нині, не стільки поява нових типів вірусів, скільки комбінування вже ідей. Такі «гібриди », зазвичай, виявляються небезпечніше базисних видів. Ще частіше спостерігається тенденція до мінімальної модифікації однієї з отримали стала вельми поширеною вірусів, що зумовлює освіті навколо «базисного «вірусу групи штамів, причому їх кількість у деяких випадках перевищує десяток.

ДОДАТОК 1.

Опис деяких комп’ютерних вирусов.

Чи є порятунок від вірусу «Чернобыль»?

Вірус цей не новий: вперше він виявили майже минулого року. CIN («Чорнобиль») Активізується 26 числа кожного місяці. На 13-ту річницю трагедії на АЕС сплеск був вельми сильний. Вірус перенесено у файлах з розширенням «exe», що працюють у програмах Microsoft Windows. Зараження може статися за установці програм з піратського компакт-диска (а таких ми 94 відсотка), при перекачуванні файлів через мережу Інтернет, і електронною поштою. Зараз CIN ми — найпоширеніший вірус. Тішить одне: «Чорнобиль» успішно ліквідують більшість сучасних антивірусних программ.

Але якщо він проникає до системи, то наслідки руйнівні. Він спроможний перетворитися на кращому разі стерти усе, що є у пам’яті персонального комп’ютера, а гіршому — повністю вивести його з строя.

За прогнозами експертів, спалах цього цикличного вірусу 26 квітня 2000 року так само сильной.

Фахівці стверджують, що «котра захворіла» комп’ютери можна оживити, замінивши мікросхему Flash-BIOS. Проте за деяких моделях вона може бути відділена материнської плати, й у цьому випадку доведеться купувати нову материнську плату.

. Вірус Cookie Monster — Печеньевое чудовище.

Ця легенда полягає в демонстраційному вірус, справді що був за комп’ютерами з мікропроцесором 8080 чи Apple II. Або, можливо, вірус повністю знищено й належить до «копалинам «вірусам. Назва цього вірусу пов’язані з персонажем популярною США дитячої телевізійної програми SESAME STREET. Прояв цього пов’язані з видачею на екран сообщения.

I WANT COOKIE.

(Хочу печенья).

Тільки введення з клавіатури слова COOKIE дозволяє продовжити з програмою. Введенням таємного пароля «OREO «можна «приспати «вірус сталася на кілька тижнів. У деяких варіантах легенди вірус стирає файли при неправильному відповіді або занадто тривалої затримки з відповіддю. Вітчизняний аналог даного міфу під назвою Чуча (нібито видає повідомлення «Хочу чучу ») опубліковано у [Павлов89].

Історичні відомості. Чутки про даному вірус сягнули Києва кінці 1988 р., тобто. до появи у Києві справжніх комп’ютерних вірусів. Вірус згадується у низці публикаций.

. ДЕЯКІ СЕТЕВЫЕ ВИРУСЫ.

Мережні віруси точніше називати не вірусами, а репликаторами, оскільки де вони заражають що їх програми, а й просто поширюються за мережі від однієї ЕОМ в іншу. Буквальний переклад відповідного англомовного терміна Worm — черв’як представляється менш вдалим, ніж запропонований термін репликатор. Натомість, репликатор, подібно касетної боеголовке, може переносити з собою троянських коней та звичайні віруси. На щастя, два найвідоміших випадку створення таких вірусів пов’язані з вандализмом.

. Вірус Christmas Tree (Різдвяна елка).

Аналізований вірус написано студентом університету ClausthalZellerfeld (Німеччина), що наприкінці грудня 1987 р. запустив їх у університетської мережі. Назва вірусу пов’язана з тим, що він малював на екрані дисплея новорічну ялинку і далі розсилав себе за всі адресами, знайденим на зараженому комп’ютері, використовуючи механізм електронної пошти. Вірус було написано мовою управління завданнями REXX операційній системи VM/CMS. Фактично, це одне з небагатьох вірусів, написаних на мові управління завданнями, і це засвідчує лише потужності і гнучкості REXX — безсумнівно одного з найкращих безлічі мов управління завданнями для комп’ютерів системи 360/370.

ДОДАТОК 2.

АНТИВІРУСНІ ПРОГРАММЫ.

AVP Inspector™.

Що таке AVP Inspector™.

AVP Inspector™ — це антивірусна программа-ревизор диска, яка під управлінням ОС Microsoft Windows 95/98® чи Microsoft Windows NT®. AVP Inspector стежить за змінами вмісту файлів і директорій. Вона можна використовувати як допоміжної антивірусної програми чи контролю над змінами на диску. Програма значно зменшує час перевірки дисків антивірусним сканером AVP, оскільки по закінченні перевірки дисків зміни, AVPI може передати на перевірку сканера AVP тільки новостворені і змінені файлы.

Ее робота полягає в збереженні основних даних про диску в таблиці, що містить образи Master-Boot і Boot секторів, список номерів збійних кластерів, схему дерева каталогів і інформацію про контрольованих файлах. З іншого боку, AVP Inspector запам’ятовує і кожному запуску перевіряє, не чи змінився доступний DOS обсяг оперативної пам’яті (що трапляється при зараження більшістю завантажувальних вірусів), кількість встановлених вінчестерів. За всіх цих перевірках програма переглядає диск по секторам безпосередньо через IOS і використовує стандартні методи (переривання INT 21h і INT 13h), що дозволяє успішно виявляти активні маскуються віруси, перебувають у пам’яті і цю він обробку цих життєво важливих (для комп’ютера) прерываний.

Основні особливості AVP Inspector.

Основными особливостями AVP Inspector являются:

· Праця у середовищі Microsoft Windows 95, Microsoft Windows 98 чи Microsoft Windows NT; · Можливість розбору файлових систем (FAT12, FAT16, VFAT32, NTFS) без використання інтерпретацій функцій ОС, які працюють із файлами; · Можливість перевірки мережевих дисків; · Звернення до дискам безпосередньо через драйвер IOS (супервизор введеннявиведення) оминаючи DOS-резидентов (зокрема Boot вірусів, перехвативших 13h переривання за мінімального завантаження компьютера);

· Справжня 32-х розрядність, многозадачная робота, графічний інтерфейс; · Доступ до компрессионным дискам оминаючи DOS; · Відновлення завантажувальних секторів; · Ведення бази даних про попередніх перевірках; · Аналіз змінених файлів на схоже зміна довжини; · Фундаментальна обізнаність із OLE2 документами (документи Word, Excel і Access); · Можливість відновлення виконуваних файлів DOS, Windows 95/98/NT, який забезпечується лікуючим модулем AVPI Cure Module;

· Можливість виявлення активних Stelth-вирусов. · Контроль за змінами у системному реестре.

Принципи роботи ревізора AVP Inspector™.

Антивирусные ревізори мають єдиний принцип роботи, заснований на підрахунку CRC-сумм для дискових секторів і файлів, збереженні в деякою базі даних (таблиці) і наступному порівнянні реальних (нових) CRC-сумм зі своїми оригінальними значеннями, хранящимися базі даних. У базі даних також зберігається додаткову інформацію про файлах — їх довжини, час створення і останньої модифікації, атрибути і такі, необхідних відновлення змінених (заражених) файлів. У базі даних також зберігаються повні образи завантажувальних секторів диска (Master-Boot і Boot), список номерів збійних кластерів, схема дерева підкаталогів та інших інформація про контрольованих объектах.

Помимо цього, AVP Inspector™ запам’ятовує і далі при кожному запуску перевіряє інформацію про операційній системи та встановленому апаратній забезпеченні: обсяг оперативної пам’яті (контроль на зараження завантажувальним вірусом), кількість встановлених жорстких дисків і пояснюються деякі ключі системного реєстру. При перевірках AVP Inspector звертається до секторам диска безпосередньо безпосередньо через IOS і використовує стандартні методи (переривання INT 21h і INT 13h). Ця особливість роботи AVP Inspector дозволяє йому успішно виявляти і нездатності ліквідувати звані стелсвіруси (вирусы-невидимки).

ОСОБЛИВОСТІ РОБОТИ AVP Inspector в MS Windows NT.

В зв’язки Польщі з архітектурними особливостями Microsort Windows NT®, AVP Inspector™ не виробляє такі проверки:

· Отладочных регістрів · Перевірка розміру доступною DOS памяти.

AntiViral Toolkit Pro для Windows 95/98/NT.

AntiViral Toolkit Pro для Windows 95/98/NT є потужну інтегровану антивірусну систему, що включає у собі два програмних модуля:

· антивірусний сканер AVP, · антивірусний резидентный монітор AVP Monitor.

AVP для Windows 95/98/NT є цілком 32-х розрядним додатком, оптимизированным до роботи на операційні системи Microsoft Windows 95/98/NT і використовує всі можливості, що ці системи предоставляют.

Резидентный монітор AVP Monitor, постійно перебувають у оперативної пам’яті, в фоновому режимі здійснює за операціями звернення до файлам і секторам. Перш ніж дозволити доступом до об'єкту, AVP Monitor перевіряє його на наявність. Отже, AVP Monitor дає змоги виявити і видалити вірус досі реального зараження системы.

Программы мають зручний користувальницький інтерфейс, характерний середовища Windows 95/98/NT, дуже багато настройок, выбираемых користувачем, а також найбільшу антивірусну базі даних, кількість даних про віруси в якому безперервно зростає. Вбудована в AVP для Windows 95/98/NT функція «живі апдейты «дозволяє автоматично оновлювати антивірусні бази. Залежно від вибраних користувачем опцій, відновлення можна виготовити або через Інтернет (безпосередньо сіло httpабо ftp-сервера, у якому завжди перебувають найостанніші бази), або з каталогу на Вашем компьютере.

Словник терминов Атрибуты файла Містить характеристики файла: системний файл, прихований файл, файл лише для читання (read-only) і т.д.

Заголовок EXE-файла Частина EXE-файла, яка містить управляючу інформацію. Міститься на початку EXE-файла і має інформацію для системного завантажника: довжину загружаемого модуля, значення регістрів, таблицю настройки адрес і др.

Кластер Одиниця розбивки логічного диска. Вона складається з однієї чи кількох поспіль розташованих логічних секторів диска. Довжина кластера на флоппидисках зазвичай дорівнює 1 чи 2 секторам, на вінчестері - до 64 секторов.

Логический диск Одиниця розбивки диска. Вона складається з поспіль розташованих фізичних секторів. Логічний диск ділиться на Boot-сектор, сектори FAT, кореневого каталогу й області даних. Сектори, що входять до область даних, групуються в кластери. Логічним дискам ставляться у відповідність заголовні символи (A, B, D: тощо.). У межах логічного диска можлива логічна адресація до секторам.

Монитор (программа-монитор, блокировщик) Резидентно яка перебуває у оперативної пам’яті утиліта, що дозволяє виявляти «підозрілі «дії користувальних програм: зміну цін і перейменування виконуваних програм (COMі EXE-файлов), запис на диск по абсолютному адресою, форматування диска тощо. При виявленні «підозрілої «функції программа-монитор або видає на екран повідомлення, або блокує виконання перехопленої функції, або робить інші спеціальні действия.

Прерывание Сигнал, яким процесор перериває виконання поточної послідовності команд і передає управління на програму — оброблювач переривання. Адреса программы-обработчика обчислюється за таблицею векторів переривань. Переривання то, можливо ініційоване або програмами користувача під час роботи з дисками, екраном, принтером тощо. (програмні переривання) або зовнішніми пристроями: клавіатурою, таймером (апаратні прерывания).

Призрак (віруси- «привиди ») Віруси, предпринимающие спеціальні заходи для труднощі їх пошуку миру і аналізу. Не мають сигнатур, тобто. не містять жодного постійного ділянки коду. Найчастіше два зразка однієї й тієї ж вірусу- «привиду «ні мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями программы-расшифровщика.

Псевдосбойный кластер Кожен кластер логічного диска позначається в FAT як вільний, зайнятий чи сбойный. Сбойным (поганим) вважається кластер, який містить чи кілька дефектних секторів. Такий кластер немає DOS і невидимий нею. Псевдосбойным називається нормальний кластер (тобто. яка має дефектних секторів), але позначений в FAT як сбойный. Виділити псевдосбойный кластер з, насправді, збійних секторів можна кілька раз прочитавши вміст секторів кластера. Якщо за цьому сталося помилки, то кластер псевдосбойный. Нормальні кластери (тобто. які мають дефектних секторів) позначаються як збійні деякими вірусами, які можуть потім використовувати простір таких кластерів у целях.

Резидентный (TSR — Terminate and Stay Resident) Запущені виконання програми діляться на резидентные і нерезидентные. Резидентная програма після закінчення залишає свій код чи частину коду в оперативної пам’яті, у своїй DOS резервує необхідний її ділянку пам’яті. Потім резидентная програма працює паралельно іншим програмам, що з резидентных програм може бути вивантажені з пам’яті. Нерезидентная програма при завершенні не в пам’яті свого коду, а зайнята нею пам’ять освобождается.

Сектор Мінімальна одиниця розбивки диска (тобто. мінімальна адресуемая частина диска). Розбивка диска на сектори відбувається за його форматуванні. Розрізняють фізичні (абсолютні) і логічні сектори диска. Один і хоча б сектор може розглядатися як фізичний при зверненні щодо нього функціями BIOS як і логічний при зверненні щодо нього з допомогою переривань DOS. Довжина сектора зазвичай дорівнює 512 байтам.

Стелс (Stealth) «Стелс «-віруси (вирусы-невидимки) є програми, які перехоплюють звернення DOS до ураженим файлам чи секторам дисків і «підставляють «замість себе незаражені ділянки інформації. Крім цього такі віруси при зверненні до файлам використовують досить оригінальні алгоритми, дозволяють «обманювати «резидентные антивірусні монітори. До «стелс «-вірусам ставляться віруси «V-4096 », «Fish#6 », «Brain «і пояснюються деякі другие.

Файл Одиниця організації логічного диска. Файли містять інформацію, що містить будь-якої конкретний об'єкт: програму, частина бази даних, тексти, інші дані. До характеристикам файла ставляться його довжина (обсяг котра міститься в файлі інформації), атрибути, час й час останньої модификации.

Backup Резервні копії програмного забезпечення, баз даних, робочих файлів тощо. Створюються на відновлення інформацією її втрати, наприклад при збої комп’ютера або за зараження вирусом.

BIOS (Basic Input-Output System) Базова система виводу-введення-висновку. Частина програмного забезпечення, входить у склад комп’ютера. Відповідає за тестування і початкову завантаження системи. Також підтримує стандартний інтерфейс з зовнішніми пристроями (екраном, дисками, принтером тощо.). Зберігається в ПЗУ.

Boot-сектор (завантажувальний сектор) Перший сектор логічного диска (на флоппи-дисках збігаються з першим фізичним сектором). Містить программу-загрузчик, відповідальну за запуск операційній системы.

DOS (Disk Operating System) Операційна система. Завантажується з диска й відповідає за інтерфейс користувача та програмного забезпечення з логічними елементами дисків, устаткуванням і т.д.

FAT (File Allocation Table) Таблиця розподілу файлів. Вона складається з послідовних секторів логічного диска і має таблицю розташування файлів у цьому диску. Розміщається в секторах, наступних за Boot-сектором. Додатково інформує про вільних і збійних секторах логічного диска.

MBR (Master Boot Record) Перший фізичний сектор диска. Зазвичай утримує невеликий програмузавантажник і таблицю розбивки диска (Disk Partition Table). Програмазавантажник аналізує Disk Partition Table, виділяє у ній активний логічний диск, завантажує на згадку про Boot-сектор цього диска і передає на нього управление.

MCB (Memory Control Block) Одиниця (блок) системної пам’яті. Виділяється, змінюється і звільняється DOS під час запуску програм або за відповідних запитах. Ще блоки пам’яті зорганізовані у вигляді списку, що складається з M-блоков і який спливає Z-блоком.

PSP (Program Segment Prefix) Префікс програмного сегмента. Лежить за початку ділянки пам’яті, який виділяється DOS під запускаемую програму. Складається операційній системою і має інформацію про деякі вектори переривань, адреси системних полів і т.д.

TSR див. Резидентный.

COM-файл Двоїчний що здійснюється файл, располагаемый при старті щодо одного сегменті і працював у межах цього сегмента. Програми, які у COM-файлах (COM-программы) може використати та інші сегменти, але це дії вимагають спеціальних обчислень всередині самих програм. Тому всі заслання COM-программах внутрисегментные і вимагають прив’язки до сегментному адресу.

EXE-файл Двоїчний що здійснюється файл, котрі можуть обіймати у оперативної пам’яті один чи кілька сегментів. При зверненні до якогось сегменту EXE-программе потрібно знати сегментний адресу цього сегмента. І тому за мінімального завантаження в пам’ять DOS прив’язує (налаштовує) EXE-файл до адресами пам’яті, тобто. поміщає в необхідні осередки відповідні сегментні адреси. Налаштування EXE-файла іде за рахунок таблиці настройки адрес. Таблиця настройки адрес (ТНА) лежить у заголовку EXE-файла і має адреси, по яким відбувається прив’язка EXE-программы до сегментным адресами памяти.

OVL-файл Файл, у якому що їх двоичные коди, використовувані основний програмою за необхідності. Часто оформлено у вигляді COMчи EXE-файла.

SYS-файл Файл, у якому системний драйвер. Завантажується на згадку про при ініціалізації DOS після завантаження системи. Для запуску SYS-файла необхідно помістити відповідну команду в файл CONFIG. SYS і перезавантажити компьютер.

СПИСОК ЛІТЕРАТУРИ 1.В. Э. Фигурнов. IBM PC для користувача 2.А.Микляев. Настільна книга користувача 3. Internet сайды (Диалог-наука).