Компьютерные віруси й антивирусы
ADinf має добре виконаний дружній інтерфейс, який реалізований у графічному режимі. Програма працює безпосередньо з видеопамятью, минаючи BIOS, у своїй підтримуються все графічні адаптери. Наявність великої кількості ключів дозволяє користувачеві створити максимально зручну йому конфігурацію системи. Можна встановити, що саме треба контролювати: файли із наперед заданими розширеннями… Читати ще >
Компьютерные віруси й антивирусы (реферат, курсова, диплом, контрольна)
Міністерство освіти і у справі молодежи.
Республіки Карелия.
Професійний ліцей № 12.
Комп’ютерні вирусы.
і антивирусы.
Реферат по информатике.
учнівської групи № 18.
Малишевій Н.В.
Преподаватель:
Оценка:
р. Петрозаводск.
2001 г.
Содержание Введение Хто й чому пише віруси? Комп’ютерні віруси, їх властивості і классификация.
Властивості комп’ютерних вирусов.
Класифікація вирусов.
Завантажувальні вирусы.
Файлові вирусы.
Загрузочно-файловые вирусы.
Полиморфные вирусы.
Стелс-вирусы.
Троянські коні, програмні закладання і мережні хробаки Шляхи проникнення вірусів у комп’ютер та механізм розподілу вірусних програм Ознаки появи вірусів Методи захисту від комп’ютерних вірусів Антивірусні програми Укладання Список литературы.
Годі нагадувати, що комп’ютери стали справжніми помічниками чоловіки й без нього вже неспроможна обійтися ні комерційна фірма, ні державна інституція. Проте у з цим особливо загострилася проблема захисту. Віруси, отримали стала вельми поширеною у комп’ютерній техніці, розбурхали увесь світ. Багато користувачі комп’ютерів стурбовані чутками у тому, що з допомогою комп’ютерних вірусів зловмисники зламують мережі, грабують банки, крадуть інтелектуальну собственность…
Сьогодні масове застосування персональних комп’ютерів, на жаль, виявилося що з появою самовоспроизводящихся программ-вирусов, що перешкоджають нормальної роботі комп’ютера, що руйнують файлову структуру дисків і завдають шкоди береженої в комп’ютері інформації. Дедалі частіше засобах масової інформації з’являються повідомлення про різного роду піратських витівки комп’ютерних хуліганів, появу дедалі більше скоєних саморозмножуваних програм. Нещодавно зараження вірусом текстових файлів вважалося абсурдом — цим вже не здивуєш. Досить поява «першої ластівки », наробила багато галасу — вірусу WinWord. Concept, який уражує документи у форматі текстового процесора Microsoft Word for Windows 6.0 і 7.0. Попри вжиті на багатьох країнах закони боротьби з комп’ютерними злочинами й розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів стає дедалі більше. Це від користувача самого персонального комп’ютера знання природі вірусів, засобах зараження вірусами та від них. Хочеться відразу помітити, що занадто боятися вірусів годі, особливо якщо комп’ютер придбаний нещодавно, і багато інформації на жорсткому диску ще накопичилося. Вірус комп’ютер не підірве. Нині відомий тільки один вірус (Win95.CIH), що може зіпсувати «залізо «комп'ютера. Інші можна лише знищити інформацію, трохи більше того. У літературі дуже наполегливо пропагується, що позбутися вірусів можна лише за допомогою складних (і дорогих) антивірусних програм, і нібито тільки під їх захистом ви можете почуватимуться повної безпеки. Не зовсім така — ознайомлення з особливостями будівлі та способами впровадження комп’ютерних вірусів допоможе вчасно їх виявити і локалізувати, навіть коли під рукою бракуватиме підходящої антивірусної программы.
Хто й чому пише вирусы?
Отож Європа пише віруси? На погляд, основну їх масу створюють студенти і школярі, які щойно вивчили мову ассемблера, хочуть спробувати свої сили, але з може вишукати їм більш гідного застосування. Тішить те що, значна частина таких вірусів їх авторами часто вже не поширюється, і віруси кілька днів «вмирають» разом із дискетами, у яких зберігаються. Такі віруси пишуться швидше за все лише для самоутверждения.
Другу групу становлять також молодики (частіше — студенти), які ще цілком оволоділи мистецтвом програмування, але вже настав вирішили присвятити себе написання й поширенню вірусів. Єдина причина, що штовхає подібних людей на написання вірусів, це комплекс неповноцінності, який поводиться в комп’ютерному хулиганстве.
З-під пера подібних «умільців» часто виходять або численні модифікації «класичних» вірусів, або віруси вкрай примітивні і з великою кількістю помилок (такі віруси я називаю «студентськими»). Значно полегшилася життя подібних вірусотворців після виходу конструкторів вірусів, з яких можна нові віруси навіть за мінімальних знаннях про операційній системи та ассемблері, і навіть взагалі які мають звідси жодного уявлення. Їхній побут стала ще легше після появи макро-вирусов, оскільки замість складного мови Асемблер для написання макро-вирусов досить вивчити досить простий Бейсик.
Ставши старше й досвідченіше, але не подорослішавши, частина з подібних вірусотворців потрапляють у третю, найбільш небезпечну групу, що створює і запускає у світ «професійні» віруси. Ці дуже уважно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументированные мало кому відомі засоби проникнення системні області даних. «Професійні» віруси часто виконані за технологією «стелс» і (або) є полиморфик-вирусами, заражають як файли, а й завантажувальні сектора дисків, котрий іноді що їх файли Windows і OS/2.
Значну частину — у моєї колекції займають «сімейства» — групи з кількох (іноді - більш десятка) вірусів. Представників кожної їх такі групи можна назвати за однією відмітною межах, яка називається «почерком»: у кількох різних віруси зустрічаються одні й ті ж алгоритми і прийоми програмування. Часто усе або майже все представники сімейства належать одному автору, і часом досить забавно ознайомитися з «становленням пера» подібного художника — від майже «студентських» спроб створити щось, наче вірус, до цілком працездатною реалізації «професійного» вируса.
На погляд, причина, що змушує таких людей спрямовувати свої здібності ж на таку безглузду роботу усе той самий — комплекс неповноцінності, іноді поєднуваний з неврівноваженою психікою. Показовим є факт, що таке вирусописательство часто узгоджується з іншими згубними пристрастями. Так, навесні 1997 року одне з найбільш відомих у світі авторів вірусів на прізвисько Talon (Австралія) помер віці 21 року від летальної дози героина.
Кілька окремо стоїть четверта група авторів вірусів — «дослідники». Ця група складається з досить кмітливих програмістів, які займаються винаходом принципово методів зараження, приховання, протидії антивирусам тощо. І саме придумують способи запровадження у нові операційні системи, конструктори вірусів і полиморфик-генераторы. Ці програмісти пишуть віруси не заради власне вірусів, а скоріш заради «дослідження» потенціалів «комп'ютерної фауны».
Часто автори подібних вірусів не запускають свої роботи у життя, але дуже активно пропагують свої ідеї через численні електронні видання, присвячені створенню вірусів. У цьому небезпека від таких «дослідницьких» вірусів не падає - потрапивши до рук «професіоналів» з третьої групи, нові театральні ідеї нас дуже швидко реалізуються у нових вирусах.
Ставлення до авторів вірусів в мене потрійне. По-перше, всі, хто пише віруси чи сприяє їхній поширенню, є «годувальниками» антивірусної індустрії, річний оборот якої оцінюю як дві сотні мільйонів і навіть більше (у своїй варто забувати, що найбільших збитків від вірусів становлять кілька мільйонів доларів щороку й кількаразово перевищують Витрати антивірусні програми). Якщо загальна кількість вірусів до кінця 1997 року за все досягне 20.000, то неважко підрахувати, що доход від антивірусних фірм від кожної вірусу щорічно становить мінімум 10 тисяч доларів. Звісно ж, авторам вірусів не слід очікувати матеріальну винагороду: як свідчить практика, їхню самовіддану працю був і залишається безплатним. До того ж сьогодні пропозицію (нові віруси) цілком задовольняє попит (можливості антивірусних фірм з обробки нових вирусов).
По-друге, мені кілька шкода авторів вірусів, особливо «професіоналів». Адже, щоб написати такий вірус, необхідно: a) затратити значна частина зусиль і часу, причому вулицю значно більше, ніж потрібно здобуття права дати раду вірус занести їх у базі даних і навіть написати спеціальний антивірус; і б) не мати іншого, більш привабливого, заняття. Отже, вирусописатели -«професіонали» досить працездатні і водночас із цим томляться від неробства — ситуація, на мою думку, дуже печальная.
І на третіх, до мого авторів вірусів дуже подмешаны почуття нелюбові й презирства як до людей, явно і безцільно які витрачають себе в шкода всім остальным.
Комп’ютерні віруси, їх властивості і классификация.
Властивості комп’ютерних вирусов.
Зараз застосовуються персональні комп’ютери, у яких користувач має вільний доступ всім ресурсів машини. Саме ця відкрило змога небезпеки, яка отримала назву комп’ютерного вируса.
Що таке комп’ютерний вірус? Формальне визначення цього поняття до цього часу не придумано, це і є значні сумніви, що його загалом бути дано. Численні спроби дати «сучасне» визначення вірусу не сприяли успіху. Щоб відчути всю складність проблеми, спробуйте, до прикладу, дати визначення поняття «редактор». Ви або придумаєте щось дуже загальне, або почнете перераховувати всі відомі типи редакторів. І те й інше навряд можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп’ютерних вірусів, що дозволяють них як і справу деякому певному класі программ.
Насамперед, вірус — це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про надзвичайні можливості комп’ютерних вірусів. Вірус може перевернути зображення вашому моніторі, однак може перевернути сам монітор. До легендам про вірусиубивць, «знищують операторів у вигляді виведення екран смертельної колірної гами 25-му кадром» також слід ставитися серйозно. До жалю, деякі авторитетних видань раз у раз публікують «самі свіжі новини з комп’ютерних фронтів», які за докладнішому вивченні виявляються наслідком недостатньо виразного розуміння предмета.
Вірус — програма, здатна до самовідтворення. Така здатність єдиний засобом, властивим всім типам вірусів. Та не віруси здатні до самовідтворення. Будь-яка операційна система і ще багато програм здатні власні копії. Копії ж вірусу як не зобов’язані повністю збігатися з оригіналом, але, і може взагалі з нею не збігатися! Вірус неспроможна існувати в «повну ізоляцію»: сьогодні годі уявити собі вірус, який використовує код інших програм, інформацію про файлової структурі і навіть просто імена інших програм. Причина зрозуміла: вірус повинен якимось способом забезпечити передачу собі управления.
Класифікація вирусов.
Нині відоме понад 5000 програмних вірусів, їх можна класифікувати за такими ознаками:. середовища проживання. способу зараження довкілля. впливу. особливостям алгоритма.
Залежно від довкілля віруси можна розділити на мережні, файлові, завантажувальні і файлово-загрузочные. Мережні віруси поширюються за різним комп’ютерних мережах. Файлові віруси впроваджуються головним чином виконувані модулі, т. е. У файли, мають розширення COM і EXE. Файлові віруси можуть впроваджуватися й інші типи файлів, але, зазвичай, записані таких файлах, вони отримують управління економіки й, отже, втрачають спроможність до розмноженню. Завантажувальні віруси впроваджуються у завантажувальний сектор диска (Boot-сектор) чи сектор, у якому програму завантаження системного диска (Master Boot Re-cord). Файлово-загрузочные віруси заражають як файли, і завантажувальні сектора дисков.
По способу зараження віруси діляться на резидентные і нерезидентные. Резидентный вірус при зараження (інфікуванні) комп’ютера залишає в оперативної пам’яті свою резидентную частина, що потім перехоплює звернення ОС до об'єктів зараження (файлам, завантажувальним секторам дисків тощо. п.) і впроваджується у них. Резидентные віруси перебувають у пам’яті і є активними до вимикання чи перезавантаження комп’ютера. Нерезидентные віруси не заражають пам’ять комп’ютера та є активними обмежений время.
За рівнем впливу віруси можна розділити ми такі види:. безпечні, не заважають роботі комп’ютера, але які зменшують обсяг вільної оперативної пам’яті і пам’яті на дисках, дії таких вірусів виявляється у будь-яких графічних чи звукових ефекти. небезпечні віруси, які можуть призвести до різним порушень у роботі комп’ютера. дуже небезпечні, вплив яких можуть призвести до втрати програм, знищення даних, стирання інформацією системних областях диска.
По особливостям алгоритму віруси важко класифікувати через великі розмаїття. Найпростіші віруси — паразитичні, вони змінюють вміст файлів і секторів диска і може вистачити легко виявлено і знищені. Можна відзначити вирусы-репликаторы, звані хробаками, які поширюються за комп’ютерних мережах, обчислюють адреси мережевих комп’ютерів, і записують за цими адресами свої копии.
Відомі вирусы-невидимки, звані стелс-вирусами, які дуже важко знайти й знешкодити, оскільки вони перехоплюють звернення ОС до ураженим файлам і секторам дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко знайти вирусы-мутанты, містять алгоритми шифровки-расшифровки, завдяки яким копії однієї й тієї ж вірусу немає жодної повторюваної ланцюжка байтів. Є й звані квазивирусные чи «троянські» програми, які й нездатні до самораспространению, але нам дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний і файлову систему дисков.
Тепер докладніше про деякі з цих групп.
Завантажувальні вирусы.
Розглянемо схему функціонування дуже простого завантажувального вірусу, заражающего дискеты.
Що відбувається, як ви включаєте комп’ютер? Насамперед управління передається програмі початковій завантаження, що зберігається на постійно запоминающем устрої (ПЗУ) тобто. ПНЗ ПЗУ.
Ця програма тестує обладнання та при успішному завершенні перевірок намагається знайти дискету в дисководу А:
Будь-яка дискета размечена на т.зв. сектори і доріжки. Сектори об'єднують у кластери, але це нас несущественно.
Серед секторів кілька службових, використовуваних операційній системою для потреб (у тих секторах що неспроможні розміщатися ваші дані). Серед службових секторів нас цікавить сектор початковій завантаження (boot-sector).
У секторі початковій завантаження зберігається інформацію про дискеті - кількість поверхонь, кількість доріжок, кількість секторів тощо. Але нас зараз цікавить не цю інформацію, а невеличка програма початковій завантаження (ПНЗ), які мають завантажити саму операційну систему і їй управление.
Отже, нормальна схема початковій завантаження следующая:
ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА.
Тепер на вірус. У завантажувальних віруси виділяють частини: голову та симбіоз т.зв. хвіст. Хвіст то, можливо пустым.
Нехай ви є чиста дискета і заражений комп’ютер, під яким ми розуміємо комп’ютер з активним резидентным вірусом. Щойно цей вірус знайде, що у дисководу з’явилася підходяща жертва — у разі не захищена від запису і ще заражена дискета, він вдається до зараженню. Заражаючи дискету, вірус виробляє такі дії:. виділяє деяку область диска і позначає її як недоступну операційній системі, можна зробити по-різному, в найпростішому і традиційному разі зайняті вірусом сектори позначаються як збійні (bad). копіює в виділену область диска свій хвоста й оригінальний (здоровий) завантажувальний сектор. заміщає програму початковій завантаження в завантажувальному секторі (теперішньому) своєї головою. організує ланцюжок передачі управління відповідно до схеме.
Отже, голова вірусу тепер першої отримує управління, вірус встановлюється на згадку про і передає управління оригінальному завантажувальному сектору. У цепочке.
ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА з’являється нове звено:
ПНЗ (ПЗУ) — ВІРУС — ПНЗ (диск) — СИСТЕМА.
Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. Причому у на відміну від дискет на вінчестері є типу завантажувальних секторів, містять програми початковій завантаження, які отримують управління. При завантаженні комп’ютера з вінчестера першої утруднює себе керування програма початковій завантаження в MBR (Master Boot Record — головна завантажувальна запис). Якщо ваша жорсткий диск розбитий сталася на кілька розділів, лише них помечен як завантажувальний (boot). Програма початковій завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початковій завантаження цього розділу. Код останньої збігаються з кодом програми початковій завантаження, котра міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються лише таблицями параметрів. Отже, на вінчестері є об'єкта атаки завантажувальних вірусів — програма початковій завантаження в MBR і яскрава програма початковій завантаження в бут-секторе завантажувального диска.
Файлові вирусы.
Розглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, що практично завжди резидентны, файлові віруси не обов’язково резидентны. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай ми маємо інфікована виконуваний файл. Після запуску такого файла вірус отримує управління, виробляє деякі дії і передає управління «хозяину».
Які самі діяння виконує вірус? Він шукає новий об'єкт для зараження — підходящий на кшталт файл, який ще заражений. Заражаючи файл, вірус впроваджується у його код, щоб отримати управління під час запуску цього файла. Крім своєю основною функції - розмноження, вірус справді може зробити щонибудь мудре (сказати, запитати, зіграти) — це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентный, він встановиться на згадку про і зможе заражати файли й проявляти інші здібності лише у час зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код — отже, зараження виконуваного файла можна знайти. Але, змінюючи код файла, вірус не обов’язково вносить інші зміни:. він не змінювати довжину файла. невикористовувані ділянки коду. зобов’язаний змінювати початок файла.
Нарешті, до файловим вірусам часто відносять віруси, які «мають деякий стосунок до файлам», але з зобов’язані впроваджуватися у тому код.
Отже, під час запуску будь-якого файла вірус отримує управління (операційна система запускає його сама), резидентно встановлюється в пам’ять і передає управління викликаного файлу.
Загрузочно-файловые вирусы.
Ми не розглядати модель загрузочно-файлового вірусу, бо ніякої нову інформацію ви у своїй не дізнаєтеся. Але тут представляється нагода коротко обговорити вкрай «популярний» останнім часом загрузочно-файловый вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані файли. Основне руйнівне дійство — шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову даванку секторів, а, зашифрувавши половину жорсткого диска, радісно повідомляє звідси. Основна проблема під час лікування цього вірусу у тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану їм информацию.
Полиморфные вирусы.
Більшість питань пов’язані з терміном «поліморфний вірус». Цей вид комп’ютерних вірусів представляється нині найнебезпечнішим. Пояснімо ж, що це такое.
Полиморфные віруси — віруси, модифікують свій код в заражених програмах в такий спосіб, що дві примірника однієї й тієї ж вірусу можуть не збігатися в жодному бите.
Такі віруси як шифрують свій код, використовуючи різні шляху шифрування, а й мають код генерації шифровщика і расшифровщика, що відрізняє їхнього капіталу від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають у своїй постійний код шифрувальника і расшифровщика.
Полиморфные віруси — це віруси з самомодифицирующимися расшифровщиками. Мета такої шифрування: маючи заражений і оригінальний файли, ви однаково не зможете проаналізувати його код з допомогою звичайного дизассемблирования. Цей код зашифрований і становить безглуздий набір команд. Розшифровка виробляється самим вірусом вже безпосередньо у час виконання. У цьому можливі варіанти: може розшифрувати себе всього відразу, і може виконати такою розшифровкою «побіжно», може знову шифрувати вже які відпрацювали ділянки. Усе це робиться заради труднощі аналізу коду вируса.
Стелс-вирусы.
У ході перевірки комп’ютера антивірусні програми зчитують дані - файли й системніші області з жорстких дисків і дискет, користуючись засобами операційної системи й базової системи ввода/вывода BIOS. Ряд вірусів, після запуску залишають оперативному пам’яті комп’ютера спеціальні модулі, перехватывающие звернення програм до дискової підсистемі комп’ютера. Якщо такий модуль виявляє, що ваша програма намагається прочитати заражений файл чи системну область диска, він у ходу підміняє читаються дані, як ніби вірусу на диску нет.
Стелс-вирусы обманюють антивірусні програми розвитку й внаслідок залишаються непоміченими. Проте, існує найпростіший спосіб відключити механізм маскування стелс-вирусов. Досить завантажити комп’ютер з не зараженої системної дискети й одразу, не запускаючи інших програм з диска комп’ютера (що можуть виявитися зараженими), перевірити комп’ютер антивірусної программой.
При завантаженні з системної дискети вірус неспроможна отримати управління економіки й встановити оперативної пам’яті резидентный модуль, який реалізує стелсмеханізм. Антивірусна програма зможе прочитати інформацію, справді записану на диску, і легко знайде вирус.
Троянські коні, програмні закладання і мережні черви.
Троянський кінь — це програма, що містить у собі деяку що руйнує функцію, яка активізується в разі настання деякого умови спрацьовування. Зазвичай таких програм маскуються під якісь корисні утиліти. Віруси можуть нести у собі троянських коней чи «троянизировать «інші програми — вносити у яких руйнують функции.
«Троянські коні» є програми, реалізують крім функцій, добре описані у документації, та інших функції, пов’язані з порушенням безпеки і деструктивними діями. Відзначено випадки створення таких програм з єдиною метою полегшення поширення вірусів. Списки таких програм широко публікуються у закордонного друку. Зазвичай вони маскуються під ігрові чи розважальні програми розвитку й шкодять під гарні картинки чи музыку.
Програмні закладання також є деяку функцію, наносящую збитки ЗС, але це функція, навпаки, намагається бути як і непомітнішою, т.к. чим більше програма він не викликатиме підозр, тим довше закладання зможе работать.
Якщо віруси й «троянські коні» завдають шкоди у вигляді лавиноподібного самоорганізованого саморазмножения чи явного руйнації, то основна функція вірусів типу «хробак», які у комп’ютерних мережах, — зламування атакуемой системи, тобто. подолання захисту з порушення безпеки і целостности.
У 80% комп’ютерних злочинів, розслідуваних ФБР, «зломщики «пробираються у атакуемую систему через глобальну мережу Internet. Коли такі спроба вдається, майбутнє компанії, створення якої пішли роки, може надійти під загрозу за якісь секунды.
Цей процес відбувається то, можливо автоматизовано з допомогою вірусу, званого мережевий червь.
Хробаками називають віруси, які поширюються за глобальним мереж, вражаючи цілі системи, а чи не окремі програми. Це найбільш небезпечного вигляду вірусів, оскільки об'єктами нападу цьому випадку стають інформаційні державного масштабу. З появою глобальної мережі Internet цей вид порушення безпеки представляє найбільшу загрозу, т. до. то будь-якої миті може піддатися кожній із 40 мільйонів комп’ютерів, підключених до цієї сети.
Шляхи проникнення вірусів у комп’ютер та механізм розподілу вірусних програм Основними шляхами проникнення вірусів у комп’ютер є знімні диски (гнучкі і лазерні), і навіть комп’ютерні мережі. Зараження жорсткого диска вірусами може статися за завантаженні програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу Проте й перезавантажили комп’ютер, у своїй дискета може бути розглянуті і не системної. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп’ютера та, наприклад, прочитали її оглавление.
Вірус, зазвичай, впроваджується у робочу програму в такий спосіб, щоб у її запуску управління спочатку передалося йому тільки після виконання усіх її команд знову повернулося до робочої програмі. Отримавши доступом до управлінню, вірус, передусім, переписує саму себе до іншої робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлов.
Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файлы.
Після зараження програми вірус може виконати якусь диверсію, дуже серйозну, ніж привернути увагу. І, нарешті, не забуває повернути управління тієї програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус в таку. Отже, заразиться все програмне обеспечение.
Ознаки появи вирусов.
При зараження комп’ютера вірусом дуже важливо його знайти. І тому слід знайомитися з основних ознаках прояви вірусів. До них віднести такі:. припинення роботи, чи неправильна робота раніше успішно функционировавших програм. повільна робота комп’ютера. неможливість завантаження ОС. зникнення файлів і каталогів чи спотворення їх вмісту. зміна дати й часу модифікації файлів. зміна розмірів файлів. несподіване значне збільшення кількості файлів на диску. істотне зменшення розміру вільної оперативної пам’яті. висновок на екран непередбачених повідомлень чи вірогідних зображень. подача непередбачених звукових сигналів. часті зависання і збої у роботі компьютера.
Слід зазначити, що названі вище явища необов’язково викликаються присутністю вірусу, а може бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану компьютера.
Методи захисту від комп’ютерних вирусов.
Хоч би яким ні вірус, користувачеві треба зазначити основні методи захисту від комп’ютерних вирусов.
Для захисту від вірусів можна використовувати:. спільні кошти захисту, які корисні й як і страховка від фізичного псування дисків, неправильно працюючих програм чи хибних дій користувача;. профілактичних заходів, дозволяють зменшити ймовірність зараження вірусом;. спеціалізовані програми захисту від вирусов.
Загальні засоби захисту інформації корисні як захисту від вірусів. Є дві основні різновиду цих коштів:. копіювання інформації - створення копій файлів і системних областей дисків;. розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захисту від змін програм, тож даних вірусами, неправильно які працюють програмами та хибними діями пользователей.
Попри те що, що спільні кошти захисту дуже важливі для захисту від вірусів, все-таки їх недостатньо. Необхідно врахувати і застосування спеціалізованих програм захисту від вірусів. Ці програми можна розділити сталася на кілька видів: детектори, доктора (фаги), ревізори, доктора-ревизоры, фільтри і вакцини (иммунизаторы).
ПРОГРАММЫ-ДЕТЕКТОРЫ дозволяють виявляти файли, заражені однією з кількох відомих вірусів. Ці програми перевіряють, чи є в файлах на зазначеному користувачем диску специфічна для цього вірусу комбінація байтів. За її виявленні в якомусь файлі на екран виводиться відповідне повідомлення. Багато детектори мають режими лікування чи знищення заражених файлів. Слід сказати, що программы-детекторы можуть виявляти ті віруси, що їй «відомі «. Програма Scan фірми McAfee Associates і Aidstest Д. Н. Лозинского дозволяють виявляти близько 9000 вірусів, а передусім їхній понад двадцять тисяч! Деякі програмидетектори, наприклад Norton AntiVirus чи AVSP фірми «Диалог-МГУ », можуть налаштовувати налаштувалася на нові типи вірусів, їм необхідні лише вказати комбінації байтів, властиві цим вірусам. Проте він думка неможливо розробити таку програму, яка б виявляти будь-який заздалегідь невідомий вирус.
Отже, речей, що ваша програма не орієнтується детекторами як заражена, годі було, що вона здорова — у ній можуть сидіти який-небудь новий вірус чи злегка модифікована версія старого вірусу, невідомі программам-детекторам.
Багато программы-детекторы (зокрема і Aidstest) не вміють виявляти зараження «невидимими «вірусами, якщо такий вірус активний в пам’яті комп’ютера. Річ у тім, що з читання диска вони використовують функції DOS, що перехоплюються вірусом, який свідчить, що це добре. Щоправда, Aidstest та інші детектори намагаються виявити вірус шляхом перегляду оперативної пам’яті, але проти деяких «хитрих «вірусів це допомагає. Отож надійний діагноз программы-детекторы дають лише за завантаженні DOS з «чистої «, захищеної від записи дискети, у своїй копія программы-детектора повинен бути запущена з цим дискеты.
Деякі детектори (скажімо ADinf фірми «Диалог-Наука ») вміють ловити «невидимі «віруси, навіть коли вони активні. І тому вони читають диск, не використовуючи виклики DOS. Щоправда, його не усім дисководах.
Більшість программ-детекторов мають функцію «доктора », тобто. вони намагаються повернути заражені файли або області диска у тому вихідне стан. Ті файли, які вдалося відновити, зазвичай, робляться непрацездатними чи удаляются.
Більшість программ-докторов вміють «лікувати «тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Та деякі програми можуть навчатися як способам виявлення, а й способам лікування нових вірусів. До таких програмам належить AVSP фірми «ДіалогМДУ » .
ПРОГРАММЫ-РЕВИЗОРЫ мають стадії роботи. Спочатку вони запам’ятовують інформацію про стані програм, тож системних областей дисків (завантажувального сектори й сектори із таблицею розбивки жорсткого диска). Передбачається, що цей момент програми розвитку й системні області дисків не заражені. Після цього з допомогою программы-ревизора можна у будь-якій момент порівняти стан програм, тож системних областей дисків з вихідним. Про виявлених невідповідностях повідомляється пользователю.
Щоб перевірка справжнього стану програм, тож дисків відбувалася за кожної завантаженні ОС, необхідно включити команду запуску программы-ревизора в командний файл AUTOEXEC.BAT. Це дає змоги виявити зараження комп’ютерним вірусом, коли він ще я не встиг завдати великого шкоди. Понад те, той самий программа-ревизор зможе знайти пошкоджені вірусом файлы.
Багато программы-ревизоры є досить «інтелектуальними «- вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, змін, внесених вірусом, і піднімають удаваної тривоги. Річ у тім, що віруси зазвичай змінюють файли дуже специфічним способом мислення й виробляють однакові зміни у різних програмних файлах. Зрозуміло, що у нормальної ситуації такі зміни практично будь-коли зустрічаються, тому программа-ревизор, зафіксувавши факт цих змін, можна з упевненістю повідомити, що їх викликала саме вирусом.
Інші програми часто використовують різні півзаходи — намагаються знайти вірус оперативному пам’яті, вимагають виклики з першого рядки файла AUTOEXEC. BAT, сподіваючись працювати на «чистому «комп'ютері, тощо. На жаль, проти деяких «хитрих «вірусів усе це бесполезно.
Для перевірки того і не чи змінився файл, деякі программы-ревизоры перевіряють довжину файла. Але це перевірка недостатня — деякі віруси не змінюють довжину заражених файлів. Більше надійна перевірка — прочитати весь файл і обчислити його контрольну суму. Змінити файл те щоб його контрольна сума не змінилася, практично невозможно.
Останнім часом з’явилися дуже корисні гібриди ревізорів і докторів, тобто. ДОКТОРА-РЕВИЗОРЫ, — програми, що виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично була повернути їх у початковий стан. Такі програми може бути значно більше універсальними, ніж программы-доктора, оскільки під час лікування вони використовують заздалегідь збережену інформацію про стан файлів і областей дисків. Це дозволяє йому вилікувати файли навіть від вірусів, які було створено на даний момент написання программы.
Але можуть лікувати немає від всіх вірусів, лише від, які використовують «стандартні «, відомі на даний момент написання програми, механізми зараження файлов.
Є також ПРОГРАММЫ-ФИЛЬТРЫ, які розташовуються резидентно в оперативної пам’яті комп’ютера та перехоплюють звертання до операційній системі, що використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про неї користувача. Користувач розв’яже чи заборонити виконання відповідної операции.
Деякі программы-фильтры не «ловлять «підозрілі дії, а перевіряють викликані виконання програми, на наявність вірусів. Це викликає уповільнення роботи компьютера.
Проте переваги використання программ-фильтров дуже великі - вказують знайти багато віруси самісінькому ранній стадії, коли вірус ще встиг розмножитися і щось зіпсувати. Тим самим було можна звести втрати від вірусу до минимуму.
ПРОГРАММЫ-ВАКЦИНЫ, чи ИММУНИЗАТОРЫ, модифікують програми розвитку й диски в такий спосіб, що це віддзеркалюється в роботі програм, але вона вірус, від якої виробляється вакцинація, вважає ці програми чи диски вже зараженими. Ці програми вкрай неэффективны.
Антивірусні программы Итак, що таке антивірус? Відразу ж розвіємо одну часто виникає ілюзію. Чомусь багато хто вважає, що антивірус може знайти будь-який вірус, тобто, запустивши антивірусну програму чи монітор, можна бути абсолютно впевненим у тому надійності. Така думка ні правильна. Річ у тім, що антивірус — це теж іде програма, звісно, написана професіоналом. Але це програми здатні розпізнавати і знищувати лише відомі віруси. Тобто антивірус проти конкретного вірусу то, можливо написано в тому разі, коли в програміста є у наявності хоча б примірника цього. Тому-то й йде ця нескінченна війна" між авторами вірусів і антивірусів, щоправда, перших у нашій країні чомусь більше, ніж других. Та і в творців антивірусів є перевага! Річ у тім, що є дуже багато вірусів, алгоритм яких практично скопійовано з алгоритму інших вірусів. Зазвичай, такі варіації створюють непрофесійні програмісти, котрі з якихось причин вирішили написати вірус. Для боротьби з цими «копіями «придумано нову зброю — евристичні аналізатори. З їхньою допомогою антивірус здатний знаходити подібні аналоги відомих вірусів, повідомляючи користувачеві, що з нього, схоже, завівся вірус. Природно, надійність евристичного аналізатора не 100%, проте його коефіцієнт корисної дії більше 0,5. Отже, у цій інформаційної війни, як, втім, в будь-якій інший, залишаються найсильніші. Віруси, які розпізнаються антивірусними детекторами, здатні написати лише найбільш побачити дослідні та кваліфіковані програмісти. Отже, на 100% захисту від вірусів практично неможливо (мається на увазі, що користувач змінюється дискетами з і грає у гри, і навіть отримує інформацію з джерел, приміром, із мереж). Якщо ж ми вносити інформацію в комп’ютер ззовні, заразитися вірусом неможливо — не родится.
AIDSTEST.
У нашій країні, як було зазначено вище, особливої популярності придбали антивірусні програми, поєднують у собі функції детекторів і докторів. Найвідомішою є програма AIDSTEST Д. Н. Лозинського. Україна має на кожному IBM-совместимом персональному комп’ютері є одне з версій програмних засобів. Один із останніх версія виявляє більш 8000 вирусов.
Aidstest для свого нормально функціонувати вимагає, щоб у пам’яті був резидентных антивірусів, блокуючих запис в програмні файли, тому вони мають вивантажити, або, вказавши опцію вивантаження самої резидентной програмі, або скористатися відповідної утилитой.
Після запуску Aidstest перевіряє себе оперативну пам’ять на наявність відомих йому вірусів і знешкоджує їх. У цьому парализуются лише функції вірусу, пов’язані з розмноженням, інші побічні ефекти можуть залишатися. Програма по закінченні знешкодження вірусу в пам’яті видає запит про перезавантаженні. Слід обов’язково наслідувати цьому раді, якщо оператор ПЕОМ перестав бути системним програмістом, які займаються вивченням властивостей вірусів. До чого слід перезавантажитися кнопкою RESET, бо за «теплою перезавантаженні «деякі віруси можуть зберігатися. До того ж, краще запустити автомобіль і Aidstest з защищённой від записи дискети, бо за запуску з зараженого диска вірус може записатись у пам’ять резидентом і перешкоджати лечению.
Aidstest тестує своє тіло на наявність відомих вірусів, і навіть по спотворень у своїй коді судить про своє зараження невідомим вірусом. При цьому можливі випадки удаваної тривоги, наприклад при стискуванні антивірусу упаковщиком. Програма немає графічного інтерфейсу, і режими її роботи задаються з допомогою ключів. Вказавши шлях, можна перевірити не весь диск, а окремий подкаталог.
Як показало практика, найоптимальніший режим для щоденної роботи задається ключами /g (перевірка всіх файлів, Не тільки з розширенням EXE, COM, SYS) і /p.s (повільна перевірка). Збільшення часу при таких опціях мало відчутно, зате можливість виявлення значно выше.
При звичайному тестуванні годі було ставити ключ /f (виправлення заражених програм, тож стирання що підлягали відновленню), і з ключем /q (видавати запит про видалення файла), оскільки будь-яка програма, в тому однині і антивірусна, не застрахована від власних помилок. Ключ /f слід використовувати тоді, коли Aidstest, і навіть інші антивіруси вказують на наявність в якомусь файлі. У цьому слід перезапустить комп’ютер з защищённой від записи дискети, оскільки система то, можливо заражене резидентным вірусом, і тоді лікування буде неефективним, або навіть просто небезпечним. При виявленні вірусу в ценном файлі слід переписати його за дискету, а ще краще — електронну, диск де він спробувати вилікувати з допомогою вказівки Aidstest-у опції /f. Якщо спроба не увінчається успіхом, треба видалити все заражені копії файла і перевірити диск знову. Якщо файлі міститься важливу інформацію, яку прати шкода, можна заархівувати файл і почекати виходу нової версії Aidstest чи іншого антивірусу, здатної лікувати цей тип вірусу. Для прискорення процесу можна направити заражений файл за зразок Лозинскому.
До сформування в файлі протоколу роботи програми Aidstest служить ключ /p. Протокол виявляється за потрібне, коли користувач не встигає переглянути імена заражених файлів. Для підтримки антивірусного програмно — апаратного комплексу Sheriff (далі розглянутий докладніше), служить ключ /z.
DOCTOR WEB.
Останнім часом різко зростає популярність інший антивірусної програми — Doctor Web. Dr. Web як і, як і Aidstest належить до класу детекторів — докторів, та на відміну від нього, має так званий «евристичний аналізатор «- алгоритм, дозволяє виявляти невідомі віруси. «Лікувальна павутиння », як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вирусов-мутантов. Останні при розмноженні модифікують своє тіло отже іншого жодної характерною ланцюжка байт, котра була присутня в вихідної версії вірусу. Dr. Web може бути антивирусом нової генерації проти Aidstest та її аналогами.
Управління режимами як і в Aidstest здійснюється з допомогою ключів. Користувач може вказати програмі, тестувати як усе диск, і окремі підкаталоги чи групи файлів, або ж відмовитися від перевірки дисків і тестувати лише оперативну пам’ять. Натомість можна тестувати або тільки базову пам’ять, або, ще й, ще й розширену (вказується з допомогою ключа /H). Хоча це й Aidstest Doctor Web може створювати звіт на роботу (ключ /P), завантажувати знакогенератор Кирилиці (ключ /R), підтримує роботи з программно-аппаратным комплексом Sheriff (ключ /Z).
Але, звісно, головною особливістю «Лікувальної павутиння «служить наявність евристичного аналізатора, який підключається ключем /P.S. Балансу між швидкістю і якістю можна домогтися, вказавши ключу рівень евристичного аналізу: 0 — мінімальний, 1 — оптимальний, 2 — максимальний; у своїй, природно, швидкість зменшується паралельно зі збільшенням якості. До до того ж Dr. Web дозволяє тестувати файли, вакциновані CPAV, і навіть упаковані LZEXE, PKLITE, DIET. І тому слід зазначити ключ /U (при цьому розпакування файлів проведуть на поточному устрої) чи /U диск: (де диск: — пристрій, де буде здійснюватися розпакування), якщо дискета, з якою запущено Doctor Web захищена від записи. Багато програм упаковані у такий спосіб, хоча користувач може і підозрювати звідси. Якщо ключ /U не встановлено, то Doctor Web може пропустити вірус, заліз в запаковану программу.
Важливою функцією є контроль зараження тестируемых файлів резидентным вірусом (ключ /V). При скануванні пам’яті немає стовідсоткової гарантії, що «Лікувальна павутиння «знайде все віруси, які перебувають там. Отож, при завданні функції /V Dr. Web намагається перешкодити які залишилися резидентным вірусам, заразити тестируемые файлы.
Тестування вінчестера Dr. Web-ом займає набагато більше часу, ніж Aidstest-ом, тому кожен користувач може ми собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше (з опцією /S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті перебуває у архіві (а останнім часом програми розвитку й дані переносяться з машини на машину лише у такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують своєї продукції), слід розпакувати їх у окремий каталог на жорсткому диску відразу ж, одразу ж, запустити Dr. Web, поставивши йому як параметра замість імені диска повний шлях до цьому подкаталогу. І все-таки потрібно б разів у два тижні виробляти повну перевірку «вінчестера «на віруси із завданням за максимальний рівень евристичного анализа.
Як у разі з Aidstest при початковому тестуванні годі вирішувати програмі лікувати файли, у яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, затверджена антивирусе за шаблон може зіткнутися здорової програмі. Якщо з завершенні тестування Dr. Web видасть повідомлення у тому, що знайшов віруси, потрібно запустити його з опцією /P (Якщо ця опція була зазначена) у тому, щоб подивитися, який файл заражений. Після цього необхідно скопіювати файл на дискету чи електронний диск і спробувати видалити, вказавши «Лікувальної павутинні «ключ /F. При невдалому лікуванні слід вступити як і, як і аналогічній ситуації, описаної вище для програми Aidstest.
MICROSOFT ANTIVIRUS.
До складу сучасних версій MS-DOS (наприклад, 7.10) входить антивірусна програма Microsoft Antivirus (MSAV). Цей антивірус може працювати у режимах детектора-доктора і ревизора.
MSAV має дружній інтерфейс у стилі MS-Windows, природно, підтримується миша. Добре реалізована контекстна допомогу: підказка є до будь-якого пункту меню, до будь-якої ситуації. Універсально реалізований доступом до пунктах меню: при цьому можна використовувати клавіші управління курсором, ключові клавіші (F1-F9), клавіші, відповідні одній з літер назви пункту, і навіть миша. Прапорці установок у пункті меню Options можна встановлювати як клавіш ПРОГАЛИНУ, і клавіш ENTER. Серйозним незручністю під час використання програми і те, що вона таблиці з цими про файлах над одному файлі, а розкидає за всіма директориям.
Після запуску програма завантажує власний знакогенератор й читає дерево каталогів поточного диска, після чого відбуває о головне меню. Не зрозуміло, навіщо читати дерево каталогів відразу під час запуску: адже користувач може і захотіти перевіряти поточний диск. У головному меню можна змінити диск (Select new drive), вибрати між перевіркою без видалення вірусів (Detect) і зі своїми видаленням (Detect&Clean). Після запуску перевірки диска (як як видалення, і ж без нього) програма спочатку сканує пам’ять на наявність відомих їй вірусів. У цьому виводиться індикація виконану роботи у вигляді кольорової смужки і відсотка виконаної роботи. Після сканування пам’яті MSAV приймається за перевірку безпосередньо диска.
За першої перевірці MSAV створює у кожному директорії, що містить исполнимые файли, файли CHKLIST. MS, у яких записує інформацію про розмірі, дати, часу, атрибутах, і навіть контрольну суму контрольованих файлів. При наступних перевірках програма буде порівнювати файли з туристичною інформацією в CHKLIST. MS-файлах. Якщо змінилися розмір й час, то програма повідомить звідси користувачеві й запросить про подальших діях: оновити інформацію (Update), встановити дату та палестинці час в відповідність до даними в CHKLIST. MS (Repair), продовжити, не звертаючи увагу зміни у даному файлі (Continue), перервати перевірку (Stop). Якщо змінилася контрольна сума, то MSAV виведе таку ж вікно, лише замість пункту Repair буде пункт Delete (видалити), оскільки програма неспроможна відновити вміст файла. При виявленні вірусу в режимі Detect&Clean програма віддалить цей вірус. Перевірку диска в обох режимах можна призупинити, або повністю перервати, натиснувши ESC (чи F3) і відповівши на запитання програми. Під час сканування диска виводиться інформацію про виконану роботу: відсоток опрацьованих каталогів і відсоток опрацьованих файлів нинішнього року каталозі. Ця інформація видається також наочно, як кольорової смужки, як і за перевірці пам’яті. Наприкінці перевірки MSAV видає звіт як таблиці, в якої повідомляється про кількість перевірених жорстких дисків і гнучких дисків, про кількість перевірених, інфікованих і вилікуваних файлів. З іншого боку, виводиться час сканирования.
У меню Options можна сконфигурировать програму з власному бажанню. Тут можна встановити режим пошуку вирусов-невидимок (AntiStealth), перевірки всіх (Не тільки исполнимых) файлів (Check All Files), і навіть дозволити чи заборонити створювати таблиці CHKLIST. MS (Create New Checksums). До того ж можна поставити режим збереження звіту про виконану роботу в файлі. Якщо встановити опцію Create Backup, та над видаленням вірусу з зараженого файла його копія буде збережено з розширенням *.VIR.
Знаходячись у основному меню, можна переглянути список вірусів, відомих програмі MSAV, натиснувши клавішу F9. У цьому виведеться вікно з назвами вірусів. Щоб подивитися докладнішу інформацію про вірус, потрібно підвести курсор для її імені Ілліча та натиснути ENTER. Можна швидко перейти до цікавого для вірусу, набравши перші літери його від імені. Щодо вірус можна вивести на принтер, обравши відповідного пункту меню.
ADINF.
(Advanced Diskinfoscope).
ADinf належить до класу программ-ревизоров. Антивірус має високий швидкість роботи, здатний успішно протистояти вірусам, які у пам’яті. Він дає змогу контролювати диск, читаючи його за секторам через BIOS і використовуючи системні переривання DOS, що може перехопити вирус.
Програма ADinf отримала перший приз на Другому Всесоюзному конкурсі антивірусних програм, у 1990 року, і навіть другий приз на конкурсі Borland Contest «93. ADinf був єдиним антивирусом, який улітку 1991 року відшукав вірус DIR, побудований на принципово новий спосіб зараження і маскировки.
Для лікування заражённых файлів застосовується модуль ADinf Cure Module, не входить у пакет ADinf і поставляющийся окремо. Принцип роботи модуля — збереження невеличкий бази даних, яка описує контрольовані файли. Працюючи спільно, ці програми дозволяють знайти й видалити близько 97% файлових вірусів і 100% вірусів у завантажувальному секторі. До прикладу, гучний вірус SatanBug був легко виявлено, і заражённые їм файли автоматично відновлено. Причому, навіть ті користувачі, які придбали ADinf і ADinf Cure Module кілька місяців до появи цього, змогли легко від цього избавиться.
На відміну з інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, защищённой від записи дискети. При завантаженні з вінчестера надійність захисту не уменьшается.
ADinf має добре виконаний дружній інтерфейс, який реалізований у графічному режимі. Програма працює безпосередньо з видеопамятью, минаючи BIOS, у своїй підтримуються все графічні адаптери. Наявність великої кількості ключів дозволяє користувачеві створити максимально зручну йому конфігурацію системи. Можна встановити, що саме треба контролювати: файли із наперед заданими розширеннями, завантажувальні сектора, наявність збійних кластерів, нові файли на наявність Stealth-вирусов, файли зі списку незмінних тощо. З власного бажанню користувач може заборонити перевіряти деякі каталоги (це потрібно, якщо каталоги є робітниками і над ними постійно відбуваються зміни). Є можливість змінювати спосіб доступу до диска (BIOS, Int13h чи Int25h/26h), редагувати список розширень перевірених файлів, і навіть призначити кожному розширенню власний вьюер, з допомогою якого буде проглядатися файли з цим розширенням. У традиціях сучасного програмного забезпечення реалізована роботу з мишею. САМІ Як і вся продукція фірми «ДиалогНаука », ADinf підтримує програмноапаратний комплекс Sheriff.
При інсталяції ADinf до системи є можливість змінити ім'я основного файла ADINF. EXE й ім'я таблиць, у своїй користувач може поставити будь-яке ім'я. Це дуже корисна функція, позаяк у останнім часом з’явилося багато вірусів, «охотящихся «за антивирусами (наприклад, є вірус, який змінює програму Aidstest що вона замість заставки фірми «ДиалогНаука «пише: «Лозинський — пень »), зокрема і поза ADinf.
Корисною функцією є можливість роботи з DOS, виходячи з програми. Це корисно, коли це треба запустити зовнішній антивірус на лікування файла, якщо в користувача немає лікуючого блоку ADinf Cure Module.
Ще один цікавий функція — заборона роботи і системи при виявленні змін диску. Ця функція корисна, коли, використовуючи терміналами працюють користувачі, які мають ще великого досвіду зі спілкуванням з комп’ютером. Такі користувачі, це через незнання чи з халатності, можуть проігнорувати повідомлення ADinf та продовжити роботу, як у що ж не бувало, що може спричинити до важким последствиям.
Якщо ж встановлено ключStop в рядку виклику Adinf AUTOEXEC. BAT, то, при виявленні змін диску програма зажадає покликати системного програміста, обслуговуючого даний термінал, і якщо користувач натисне ESC чи ENTER, то система перезагрузится і всі повториться снова.
Принцип роботи ADinf грунтується зберігається в таблиці копії MASTERBOOT і BOOT секторів, список номерів збійних кластерів, схему дерева каталогів і інформацію про контрольованих файлах. З іншого боку, програма запам’ятовує і кожному запуску перевіряє, посутньо не змінився чи доступний DOS обсяг оперативної пам’яті (що трапляється при зараження більшістю завантажувальних вірусів), кількість встановлених вінчестерів, таблиці параметрів вінчестера у сфері змінних BIOS.
За першого запуску програма запам’ятовує обсяг оперативної пам’яті, знаходить і запам’ятовує адресу оброблювача переривання Int 13h в BIOS, який використовуватиметься попри всі наступних перевірках, і будує таблиці для перевірених дисків. У цьому перевіряється, показував чи вектор переривання 13h в BIOS перед завантаженням DOS.
При наступних запусках ADinf перевіряє обсяг оперативної пам’яті, доступною DOS, перемінні BIOS, завантажувальні сектора, список номерів збійних кластерів (бо окремі віруси, записавшись в кластер, позначають його, як сбойный, щоб їх затёрли інші дані, і навіть не виявили примітивні антивіруси). До того ж антивірус шукає знову створені і знищені підкаталоги, нові, віддалені, перейменовані, перемещённые і змінилися файли (перевіряється зміна довжини і контрольної суми). Якщо ADinf знайде, що, змінився файл зі списку незмінних, або у файлі відбулися зміни без зміни дати й часу, і навіть наявність в файла дивній дати (число більше 31, місяць більше 12 чи рік довший поточного) або часі (хвилин більше 59, годин більше 23 чи секунд більше 59), він видасть попередження у тому, що можна зараження вирусом.
Якщо виявлено зміни BOOT-секторов, можна як діалогу порівняти системні таблиці, хто був доі після зміни, і з бажанню відновити колишній сектор. Після поновлення змінений сектор зберігається у файлі на диску на подальше аналізу. Нові збійні кластери (вірніше інформації про неї в FAT) можуть з’явитися після запуску будь-якої утиліти, лечащей диск (наприклад, NDD) чи завдяки діям вірусу. Якщо Adinf видав повідомлення, а користувач не запускала ніяких подібних утиліт, то, швидше за все в комп’ютер видерся вірус. При отримання такої повідомлення слід продовжити перевірку, уважно стежачи над усіма повідомленнями про зміни файлів і завантажувальних секторів. Якщо системі справді вірус, то такі повідомлення не змусять на себе довго чекати (бо коли її вірусу перебуватиме у «сбойном «кластері, йому будь-коли передасться управление).
Після перевірки ADinf видає зведену таблицю, сообщающую про змінах на диску. По таблиці можна переміщатися стрілками і переглядати докладну інформацію, натиснувши ENTER на сюжеті, який пункті. Існує можливість початку кожному пункту з допомогою «швидких «клавіш. Змінилися файли можна переглянути у «класичному режимі (шестнадцатеричный скиньте / ASCII-коды) з допомогою вмонтованого вьюера, котрий читає диск через BIOS. Можна ще скористатися зовнішнім вьюером, попередньо вказавши щодо нього шлях. Залучивши зовнішній редактор, можна відредагувати змінився файл.
Але не зовсім звично виглядає форма, у якій ADinf повідомляє про виявлених підозрілих змінах: замість видачі повідомлення про конкретних змінах виводить червоне вікно з переліком всіх можливих і позначає галочкою пункти, відповідні змін, що стався в сьогодні. Якщо після отримання такого повідомлення натиснути ESC, то програма запросить про подальші дії: оновити інформацію про диску, не оновлювати її, лікувати (за наявності лікуючого модуля ADinf Cure Module) чи записати протокол. Для лікування можна скористатися зовнішнім антивирусом, завантаживши його з вікна на роботи з DOS, яке викликається комбінацією клавіш ALT+V.
Якщо не ставляться до розряду підозрілих, то після видачі таблиці змін можна натиснути ESC. У цьому програма запитає, чи потрібно оновлювати даних про диску в таблицях або потрібно, і навіть чи потрібно створювати файл в звіті про виконану роботу. Після вибору однієї з пунктів програма виконує затребованное дію і завершує свою работу.
Заключение
.
Жоден тип антивірусних програм окремо це не дає повної захисту від вірусів. Кращою стратегією захисту від вірусів є багаторівнева, «ешелонована «оборона. Засобам розвідки в «обороні «від вірусів відповідають программы-детекторы, дозволяють перевіряти знову отримане програмне забезпечення на наявність вірусів. На передньому краї оборони перебувають программы-фильтры. Ці програми можуть першими повідомити на роботу вірусу й не допустити зараження програм, тож дисків. Другий ешелон оборони становлять программы-ревизоры, програмидоктори наук і доктора-ревизоры. Найглибший ешелон оборони — це кошти розмежування доступу. Не дозволяють вірусам й невірно працюючим програмам, навіть якщо вони проникли в комп’ютер, зіпсувати важливі дані. Що буде завтра?
Чого від комп’ютерного андеґраунду у наступні роки? Швидше всього основні проблеми залишаться: 1) полиморфик-DOS-вирусы, яких додадуться проблеми поліморфізму в макро-вирусах і віруси для Windows і OS/2; 2) макро-вирусы, які знаходити дедалі нові прийоми зараження і приховання свого коду у системі; 3) мережні віруси, використовують для свого поширення протоколи і команди комп’ютерних сетей.
Пункт 3) поки що лише з ранній стадії - віруси роблять перші боязкі спроби самостійно поширювати свій код по MS Mail і користуючись ftp, проте ще впереди.
Ймовірно, що будуть інші проблеми, які принесуть чимало неприємностей користувачам і неурочной роботи розробникам антивірусних програм. Однак я геть дивлюся у майбутнє з оптимізмом: всі проблеми, коли-небудь встававшие історія розвитку вірусів, були досить успішно вирішені. Скоріш за все ж успішно вирішуватимуться і майбутні проблеми, поки що тільки витающие ідеями в збудженому розумі вірусотворців. Що буде послезавтра?
Що буде післязавтра і як взагалі існуватимуть віруси? Щоб відповісти на запитання слід визначити, що й за яких умовах водяться вирусы.
Основна живильне середовище масової поширення вірусу в ЕОМ, мій погляд, зобов’язана утримувати такі необхідні компоненти: незахищеність ОС (ОС); наявність різноманітною та досить повної документації по OC і «залозу»; стала вельми поширеною цієї ОС і їх «железа».
Слід зазначити, що правове поняття ОС досить еластичне. Наприклад, для макро-вирусов операційній системою є редактори Word і Excel, оскільки редактори, а чи не Windows надають макро-вирусам (тобто. програмам на Бейсике) необхідні ресурси, і функции.
Якщо операційній системі присутні елементи захисту, як це робиться практично переважають у всіх ОС, вірусу буде важко вразити об'єкти нападу, оскільки цього доведеться (принаймні) зламати систему паролів і. Через війну робота, необхідна для написання вірусу, виявиться під силу лише професіоналам високого рівня (вірус Морріса для VAX — приклад цьому). У професіоналів, мій погляд, рівень порядності все-таки набагато вища, ніж у середовищі споживачів їх продукції, і, отже, число створених і запущених у життя вірусів ще більше сократится.
Для виробництва вірусів також потрібен і достатню кількість інформації про середовищі їхнього проживання. Який відсоток числа системних програмістів, працівників мини-ЭВМ в операционках UNIX, VMS тощо. знає систему управління процесами оперативному пам’яті, повні формати виконуваних файлів і завантажувальних записів на диску? (тобто. інформацію, необхідну створення вірусу). І отже, який від своїх вересня стані виростити справжнього повноцінного звіра? Інший приклад — операційна система Novell NetWare, досить популярна, але дуже слабко документована. Через війну я поки що невідомо жодного вірусу, уразив що їх файли Novell NetWare, попри численні обіцянки вірусотворців випустити такий вірус до найближчого время.
А щодо поширення ОС як необхідна умова для вірусного нашестя й аж говорити набридло: на 1000 програмістів лише 100 здатні написати вірус, з цього сотню припадає одна, який згадану ідею доведе до завершення. Тепер отриману пропорцію множимо на число тисяч програмістів — й одержуємо результат: з одного боку 15.000 і навіть 20.000 повністю IBM-сумісних вірусів, з іншого — кілька сотень вірусів для Apple-Macintosh. Така ж невідповідність пропорцій простежується й у порівнянні загальної кількості вірусів для Windows (кілька десятків) й у OS/2 (кілька штук).
Наведених вище трьом умовам «розквіту» комп’ютерних вірусів задовольняють відразу кількох OS (включаючи редактори), вироблених фірмою Microsoft (DOS, Windows, Win95/NT і Word, Excel, Office97), що дозволяє благодатний грунт в існуванні найрізноманітніших файлових і макровірусів. Задовольняють наведених умовам ще й стандарти розбивки жорстких дисків. Результат — різноманітні варіанти завантажувальних вірусів, вражаючих систему в останній момент її загрузки.
А, щоб прикинути тривалість навали комп’ютерних вірусів у будь-якої OC, треба оцінити час співіснування наведених вище необхідних условий.
Досить очевидно, що у найближчому майбутньому фірми IBM і Apple не збираються поступатися масовий ринок своїх конкурентів (на радість Appleі IBM-программистам), навіть для цього цим фірмам доведеться об'єднати зусилля. Не можна і усічення потоку інформації з найпоширенішим системам, оскільки це зашкодить числу додатків їм, отже, за їхніми «продаваемости». Залишається одне — захист ОС. Проте, захищеність ОС вимагає виконання деяких правил (паролів тощо.), що зумовлює ряду незручностей. Тому здається малоймовірним, такі ОС стануть популярними середовищі звичайних користувачів — секретарок, бухгалтерів, на домашніх комп’ютерах, тощо., і т.п., або функції захисту будуть відключатися користувачем іще за установці ОС.
Відповідно до вищезазначеного можна зробити єдиний висновок: віруси успішно проникали в повсякденну комп’ютерну життя й залишати їх у найближчому майбутньому не собираются.
1. Ф. Файтс, П. Джонстон, М. Кратц «Комп'ютерний вірус: ж проблеми і прогноз » ,.
Москва, «Світ », 1993 р. 2. Н. Н. Безруков «Класифікація комп’ютерних вірусів MS-DOS й фізичні методи захисту від нього », Москва, СП «ICE », 1990 р. 3. Безруков М. М. «Комп'ютерні віруси », Москва, Наука, 1991. 4. Мостовий Д. Ю. «Сучасні технології боротьби з вірусами «// Світ ПК. ;
№ 8. — 1993. 5. Денисов Т. В. «Антивірусна захист «//Мій Компьютер-№ 4−1999г. 6. internet 7. internet 8. internet 9. internet 10. internet 11. internet 12. internet.