Реферат: Компьютерные вирусы и антивирусы - текст реферата. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Реферат

Компьютерные вирусы и антивирусы

Банк рефератов / Программирование

Рубрики  Рубрики реферат банка

закрыть
Категория: Реферат
Язык реферата: Русский
Дата добавления:   
 
Скачать
Архив Zip, 56 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникального реферата

Узнайте стоимость написания уникальной работы

25 Министерство образования и по делам молодежи Республики Карелия Про фессион альный лицей № 12 Компьютерные вирусы и антивирусы Реферат по инф орматике учащейся группы № 18 Малышевой Н.В. Преподаватель : Оценка : г . Петрозаводск 2001 г. Содержание Введение Кто и п очему пишет вирусы ? Компьютерные вирусы , и х с войства и классификация Свойства к омпьютерных вирусов Классификация вирусов Загрузочные вирусы Файловые вирусы Загрузочно-файловые вирусы Полиморфные вирусы Стелс-вирусы Троянские кони , программные закладки и сетевые черви Пути проникновения вирусов в к омпьютер и механизм распределения вирусн ых программ Признаки появления вирусов Методы защиты от компьютерных вирусов Антивирусные программы Заключение Список литературы Введение Вряд ли стоит напоминать , ч то компьютеры стали настоящими помощниками че лов ека и без них уже не может обойтись ни коммерческая фирма , ни государств енная организация . Однако в связи с этим особенно обострилась проблема защиты информа ции . Вирусы , получившие широкое распространение в компьютерной технике , взбудоражили весь м ир . Мно гие пользователи компьютеров обесп окоены слухами о том , что с помощью ко мпьютерных вирусов злоумышленники взламывают сет и , грабят банки , крадут интеллектуальную собст венность ... Сегодня массовое применение персональных компьютеров , к сожалению , оказалось связанны м с появлением самовоспроизводящихся программ-вир усов , препятствующих нормальной работе компьютера , разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информа ции. Все чаще в средствах массовой информа ции появляются сообще ния о различного рода пиратских проделках компьютерных хулигано в , о появлении все более совершенных самор азмножающихся программ . Совсем недавно заражение вирусом текстовых файлов считалось абсурдом - сейчас этим уже никого не удивишь . Д остаточно вспомнить появление "первой ласточки ", наделавшей много шума - вируса WinWord. Concept, п оражающего документы в формате текстового про цессора Microsoft Word for Windows 6.0 и 7.0. Несмотря на принятые во многих странах законы о борьбе с компь ютерными преступлениями и разработку специальных программных средств защиты от вир усов , количество новых программных вирусов по стоянно растет . Это требует от пользователя персонального компьютера знаний о природе вирусов , способах заражения вирусами и защиты от них . Хочется сраз у заметить , что слишко м уж бояться вирусов не стоит , особенно если компьютер приобретен совсем недавно , и много информации на жестком диске еще не накопилось . Вирус компьютер не взорвет . Ныне известен только один вирус (Win95.CIH), который способен испорт и ть "железо " компь ютера . Другие же могут лишь уничтожить инф ормацию , не более того . В литературе весьма настойчиво пропаганди руется , что избавиться от вирусов можно ли шь при помощи сложных (и дорогостоящих ) ан тивирусных программ , и якобы только под их защи той вы можете чувствовать себя в полной безопасности . Это не совсем та к - знакомство с особенностями строения и способами внедрения компьютерных вирусов поможет вовремя их обнаружить и локализовать , даж е если под рукой не окажется подходящей антивирусной п рограммы . Кто и почему пишет вирусы ? Кто же пишет вирусы ? На мой взгляд , основную их массу создают сту денты и школьники , которые только что изуч или язык ассемблера , хотят попробовать свои силы , но не могут найти для них бол ее д остойного применения . Отраден тот факт , что значительная часть таких вирусов их авторами часто не распространяется , и вирусы через некоторое время «умирают» вме сте с дискетами , на которых хранятся . Таки е вирусы пишутся скорее всего только для самоутвержде н ия. Вторую группу составляют также молодые люди (чаще - студенты ), которые еще не пол ностью овладели искусством программирования , но уже решили посвятить себя написанию и распространению вирусов . Единственная причина , тол кающая подобных людей на написание виру сов , это комплекс неполноценности , который про являет себя в компьютерном хулиганстве. Из-под пера подобных «умельцев» часто выходят либо многочисленные модификации «классич еских» вирусов , либо вирусы крайне примитивны е и с большим числом ошибок (такие вирусы я называю «студенческими» ). Значите льно облегчилась жизнь подобных вирусописателей после выхода конструкторов вирусов , при п омощи которых можно создавать новые вирусы даже при минимальных знаниях об операционн ой системе и ассемблере , или даже вообщ е не имея об этом никакого п редставления . Их жизнь стала еще легче пос ле появления макро-вирусов , поскольку вместо с ложного языка Ассемблер для написания макро-в ирусов достаточно изучить довольно простой Бе йсик. Став старше и опытнее , но так и не повзрослев , многие из подобных вир усописателей попадают в третью , наиболее опас ную группу , которая создает и запускает в мир «профессиональные» вирусы . Эти очень тщательно продуманные и отлаженные программы создаются профессиональными , часто очень талантли выми прог р аммистами . Такие вирусы нередко используют достаточно оригинальные алгор итмы , недокументированные и мало кому известн ые способы проникновения в системные области данных . «Профессиональные» вирусы часто выпо лнены по технологии «стелс» и (или ) являютс я полим о рфик-вирусами , заражают не только файлы , но и загрузочные сектора ди сков , а иногда и выполняемые файлы Windows и OS/2. Довольно значительную часть в моей ко ллекции занимают «семейства» - группы из неско льких (иногда более десятка ) вирусов . Представи телей к аждой их таких групп можно выделить по одной отличительной черте , кото рая называется «почерком» : в нескольких разли чных вирусах встречаются одни и те же алгоритмы и приемы программирования . Часто все или почти все представители семейства принадлежат одном у автору , и иног да довольно забавно следить за «становлением пера» подобного художника - от почти «сту денческих» попыток создать хоть что-нибудь , по хожее на вирус , до вполне работоспособной реализации «профессионального» вируса. По моему мнению , причина , за ставля ющая таких людей направлять свои способности на такую бессмысленную работу все та же - комплекс неполноценности , иногда сочетающий ся с неуравновешенной психикой . Показателен т от факт , что подобное вирусописательство част о сочетается с другими пагубн ы ми пристрастиями . Так , весной 1997 года один из наиболее известных в мире авторов вирусо в по кличке Talon (Австралия ) скончался в возра сте 21 года от летальной дозы героина. Несколько отдельно стоит четвертая группа авторов вирусов - «исследователи» . Эта г руппа состоит из довольно сообразительных программистов , которые занимаются изобретением принципиально новых методов заражения , скрытия , противодействия антивирусам и т.д . Они же придумывают способы внедрения в новые оп ерационные системы , конструкторы вир у сов и полиморфик-генераторы . Эти программисты пишут вирусы не ради собственно вирусов , а скорее ради «исследования» потенциалов «комп ьютерной фауны». Часто авторы подобных вирусов не запу скают свои творения в жизнь , однако очень активно пропагандируют свои идеи через многочисленные электронные издания , посвященные созданию вирусов . При этом опасность от таких «исследовательских» вирусов не падает - попав в руки «профессионалов» из третье й группы , новые идеи очень быстро реализую тся в новых вирусах. Отношени е к авторам вирусов у меня тройственное . Во-первых , все , кто пишет вирусы или способствует их распространению , являются «кормильцами» антивирусной индустрии , годовой оборот которой я оцениваю как минимум две сотни миллионов долларов или даже более того (п р и этом не стоит забывать , что убытки от вирусов с оставляют несколько сотен миллионов долларов ежегодно и в разы превышают расходы на антивирусные программы ). Если общее количество вирусов к концу 1997 года скорее всего д остигнет 20.000, то нетрудно подсчи т ать , что доход антивирусных фирм от каждого вируса ежегодно составляет минимум 10 тысяч долларов . Конечно же , авторам вирусов не с ледует надеяться на материальное вознаграждение : как показывает практика , их труд был и остается бесплатным . К тому же на се г о дняшний день предложение (новые вирусы ) вполне удовлетворяет спрос (возможности антивирусных фирм по обработке новых вирус ов ). Во-вторых , мне несколько жаль авторов вирусов , особенно «профессионалов» . Ведь для т ого , чтобы написать подобный вирус , необходим о : a) затратить довольно много сил и времени , причем гораздо больше , чем требуетс я для того , чтобы разобраться в вирусе занести его в базу данных или даже написать специальный антивирус ; и б ) не им еть другого , более привлекательного , занятия . С ледовательн о , вирусописатели -»профессионалы » довольно работоспособны и одновременно с этим маются от безделья - ситуация , как м не кажется , весьма печальная. И в третьих , к моему отношению к авторам вирусов довольно сильно подмешаны чувства нелюбви и презрения как к л юдям , заведомо и бесцельно тратящим се бя во вред всем остальным. Компь ютерные вирусы , их свойства и классификация Свойства компьютерных вирусов Сейчас применяются персональные компьютеры , в которых пользователь имеет св ободный доступ ко всем ресурсам маш ин ы . Именно это открыло возможность для опас ности , которая получила название компьютерного вируса. Что такое компьютерный вирус ? Формальное определение этого понятия до си х пор не придумано , и есть серьезные с омнения , что оно вообще может быть дано . Многоч исленные попытки дать «современное» определение вируса не привели к успеху . Чтобы почувствовать всю сложность проблемы , попробуйте , к примеру , дать определение пон ятия «редактор» . Вы либо придумаете нечто очень общее , либо начнете перечислять все известны е типы редакторов . И то и другое вряд ли можно считать приемлемым . Поэтому мы ограничимся рассмотрением некото рых свойств компьютерных вирусов , которые поз воляют говорить о них как о некотором определенном классе программ. Прежде всего , вирус - это программ а . Такое простое утверждение само по себе способно развеять множество легенд о нео быкновенных возможностях компьютерных вирусов . Ви рус может перевернуть изображение на вашем мониторе , но не может перевернуть сам м онитор . К легендам о вирусах-убийцах , «уни ч тожающих операторов посредством выво да на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьез но . К сожалению , некоторые авторитетные издани я время от времени публикуют «самые свежи е новости с компьютерных фронтов» , которые при б лижайшем рассмотрении оказывают ся следствием не вполне ясного понимания предмета. Вирус - программа , обладающая способностью к самовоспроизведению . Такая способность является единственным средством , присущим всем типам вирусов . Но не только вирусы способн ы к самовоспроизведению . Любая операционн ая система и еще множество программ спосо бны создавать собственные копии . Копии же вируса не только не обязаны полностью сов падать с оригиналом , но , и могут вообще с ним не совпадать ! Вирус не может существовать в « полной изоляции» : сегодня нельзя представить себе вирус , кото рый не использует код других программ , инф ормацию о файловой структуре или даже про сто имена других программ . Причина понятна : вирус должен каким-нибудь способом обеспечить передачу себе управле н ия . Классификация вирусов В настоящее время известно более 5000 программных вирусов , их можно классифи цировать по следующим признакам : · среде обитания · способу заражения среды обитания · воздейст вию · особенно стям алгоритма В зависимос ти от среды обитания вирусы можно р азделить на сетевые , файловые , загрузочные и файлово-загрузочные . Сетевые виру сы распространяются по различным компьютерным сетям . Файловые вирусы внедряются главным обр азом в исполняемые модули , т . е . В файл ы , имеющие расширения CO M и EXE. Файловые ви русы могут внедряться и в другие типы файлов , но , как правило , записанные в так их файлах , они никогда не получают управле ние и , следовательно , теряют способность к размножению . Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор ) или в сектор , соде ржащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы , так и загрузочные сектора дисков. По способу заражения вирусы делятся н а резидентные и нерезидентные . Резидентн ый вирус пр и заражении (инфицировании ) компьютера оставляет в оперативной памяти свою резидентную част ь , которая потом перехватывает обращение опер ационной системы к объектам заражения (файлам , загрузочным секторам дисков и т . п .) и внедряется в них . Резид ентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки ко мпьютера . Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. По степени воздействия вирусы можно разделить на следующие в иды : · неопасн ые , не мешающие работе компью тера , но уменьшающие объем свободной оператив ной памяти и памяти на дисках , действия таких вирусов проявляются в каких-либо граф ических или звуковых эффектах · опасные вирусы , которые могут привес ти к различным нарушениям в работе компьютера · очень опасные , воздействие которых м ожет привести к потере программ , уничтожению данных , стиранию информации в системных о бластях диска. По особенно стям алгоритма вирусы трудно классифицировать из-за большого разнообразия . Простейшие вирусы - паразитич еские , они изменяют содержимое файлов и се кторов диска и могут быть достаточно легк о обнаружены и уничтожены . Можно отметить вирусы-репликаторы , называемые червями , которые распространяются по компьютерным сетям , вычисляют ад реса сетевых компь ютеров и записывают по этим адресам свои копии . Известны вирусы-невидимки , называемые стелс-вир усами , которые очень трудно о бнаружить и обезвредить , так как они перех ватывают обращения операционной системы к пор аженным файлам и секторам дисков и подставляют вместо своего тела незараженные у частки диска . Наиболее трудно обнаружить вирусы-мутанты , содержащ ие алгоритмы шифровки-расшифровки , благодаря котор ым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байто в . Имеютс я и так называемые квазивирусные или «троянские» программ ы , которые хотя и не способны к самора спространению , но очень опасны , так как , ма скируясь под полезную программу , разрушают за грузочный сектор и файловую систему дисков. Теперь поподробнее о некотор ых из этих групп. Загрузочные вирусы Рассмотрим схему функционирования очень простого загрузочного вируса , заражающ его дискеты . Что происходит , когда вы включаете ко мпьютер ? Первым делом управление передается программе начальной загрузки , которая хранит ся в постоя нно запоминающем устройстве (ПЗУ ) т.е . ПНЗ П ЗУ. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А : Всякая дискета размечена на т.н . секто ры и дорожки . Секторы объединяются в класт еры , но это для нас несущественно. Среди секторов есть несколько служебных , используемых операционной системой для собс твенных нужд (в этих секторах не могут размещаться ваши данные ). Среди служебных се кторов нас интересует сектор начальной загрузки (boot-secto r). В секторе начальной загрузки хранится информация о дискете - количество поверхностей , количество дорожек , количество секторов и пр . Но нас сейчас интересует не эта информация , а небольшая программа начальной з агрузки (ПНЗ ), которая должна загрузить сам у операционную систему и передать ей управление. Таким образом , нормальная схема начальной загрузки следующая : ПНЗ (ПЗУ ) - ПНЗ (диск ) - СИСТЕМА Теперь рассмотрим вирус . В загрузочных вирусах выделяют две части : голову и т .н . хвост . Хвост может быть п устым. Пусть у вас имеются чистая дискета и зараженный компьютер , под которым мы понимаем компьютер с активным резидентным вир усом . Как только этот вирус обнаружит , что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета , он пр иступает к заражению . Заражая дискету , вирус производит следующие действия : · выделяет некоторую область диска и помечает ее как недоступную операционной системе , это м ожно сделать по-разному , в простейшем и тр адиционном случае занятые вирусом секторы помечаются как сбойные (bad) · копирует в выделенную область диска свой хвост и оригинальный (здоровый ) загрузочный сектор · замещает программу начальной загрузки в загрузочном секторе (настоящем ) своей головой · организу ет цепо чку передачи управления согласно схеме. Таким образ ом , голова вируса теперь первой получает у правление , вирус устанавливается в память и передает управление оригинальному загрузочному сектору . В цепочке ПНЗ (ПЗУ ) - ПНЗ (диск ) - СИСТЕМА появляется новое зве но : ПНЗ (ПЗУ ) - ВИРУС - ПНЗ (диск ) - СИСТЕМА Мы рассмотрели схему функциони рования простого бутового вируса , живущего в загрузочных секторах дискет . Как правило , вирусы способны заражать не только загрузочн ые секторы дискет , но и загрузочные секто ры винче стеров . При этом в отличие от дискет на винчестере имеются два ти па загрузочных секторов , содержащих программы начальной загрузки , которые получают управление . При загрузке компьютера с винчестера перво й берет на себя управление программа нача льной загруз к и в MBR (Master Boot Record - главная з агрузочная запись ). Если ваш жесткий диск разбит на несколько разделов , то лишь один из них помечен как загрузочный (boot). Програм ма начальной загрузки в MBR находит загрузочный раздел винчестера и передает управлен и е на программу начальной загрузк и этого раздела . Код последней совпадает с кодом программы начальной загрузки , содержащ ейся на обычных дискетах , а соответствующие загрузочные секторы отличаются только таблицам и параметров . Таким образом , на винчестере им е ются два объекта атаки загрузо чных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут-сек торе загрузочного диска. Файловые вирус ы Рассмотрим теперь схему работы простого файлового вируса . В отличие от загрузочных вирусов , ко торые практически всегда резидентны , файловые вирусы совсем не обязательно резидентны . Рассмотрим схему функционирования нерезидентного файлового вируса . Пусть у нас имеется инфицированный испол няемый файл . При запуске такого файла виру с получает управлен и е , производит некоторые действия и передает управление «хоз яину» Какие же действия выполняет вирус ? Он ищет новый объект для заражения - подходя щий по типу файл , который еще не зараж ен . Заражая файл , вирус внедряется в его код , чтобы получить управление п ри запуске этого файла . Кроме своей основной функции - размножения , вирус вполне может сдела ть что-нибудь замысловатое (сказать , спросить , с ыграть ) - это уже зависит от фантазии автор а вируса . Если файловый вирус резидентный , то он установится в память и получит возможность заражать файлы и проявлят ь прочие способности не только во время работы зараженного файла . Заражая исполняемый файл , вирус всегда изменяет его код - следовательно , заражение исполняемого файла всегд а можно обнаружить . Но , изменяя код ф а йла , вирус не обязательно вносит другие изменения : · он н е обязан менять длину файла · неисполь зуемые участки кода · не о бязан менять начало файла Наконец , к файловым вирусам часто относят вирусы , ко торые «имеют некоторое отношение к файлам» , но не обяз аны внедряться в их код . Таким образом , при запуске любого файл а вирус получает управление (операционная сис тема запускает его сама ), резидентно устанавли вается в память и передает управление выз ванному файлу. Загрузочно-файловые вирусы Мы не станем расс матри вать модель загрузочно-файлового вируса , ибо н икакой новой информации вы при этом не узнаете . Но здесь представляется удобный сл учай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, за ражающий главный загрузочн ы й сектор (MBR) и исполняемые файлы . Основное разрушительно е действие - шифрование секторов винчестера . Пр и каждом запуске вирус шифрует очередную порцию секторов , а , зашифровав половину жестко го диска , радостно сообщает об этом . Основ ная проблема при лече н ии данного вируса состоит в том , что недостаточно просто удалить вирус из MBR и файлов , надо расшифровать зашифрованную им информацию. Полиморфные ви русы Большинство вопросов связано с термином «полиморфный вирус» . Этот вид ко мпьютерных вирусов представляе тся на сего дняшний день наиболее опасным . Объясним же , что это такое . Полиморфные вирусы - вирусы , модифицирующие свой код в зараженных программах таким образом , что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код , используя различные пути шифрования , но и содержат код генерации шифровщика и расшифровщика , что отличает их от о бычных шифровальных вирусов , которые также мо гут шифровать участки своего кода , но имею т при этом постоянный код ш и ф ровальщика и расшифровщика. Полиморфные вирусы - это вирусы с само модифицирующимися расшифровщиками . Цель такого ши фрования : имея зараженный и оригинальный файл ы , вы все равно не сможете проанализироват ь его код с помощью обычного дизассемблир ования . Этот код зашифрован и представля ет собой бессмысленный набор команд . Расшифро вка производится самим вирусом уже непосредст венно во время выполнения . При этом возмож ны варианты : он может расшифровать себя вс его сразу , а может выполнить такую расшифр овку «по х о ду дела» , может вно вь шифровать уже отработавшие участки . Все это делается ради затруднения анализа кода вируса. Стелс-вирусы В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет , пользуяс ь средствами операционно й системы и базовой системы ввода /вывода BIOS. Ряд вирусов , после запуска оставляют в оперативной памяти компьютера специальные мо дули , перехватывающие обращение программ к ди сковой подсистеме компьютера . Если такой моду ль обнаружи в ает , что программа пыт ается прочитать зараженный файл или системную область диска , он на ходу подменяет ч итаемые данные , как будто вируса на диске нет . Стелс-вирусы обманывают антивирусные программ ы и в результате остаются незамеченными . Т ем не менее , сущ ествует простой способ отключить механизм маскировки стелс-вирусов . Достаточно загрузить компьютер с не зараженно й системной дискеты и сразу , не запуская других программ с диска компьютера (котор ые также могут оказаться зараженными ), провери ть компьютер а н тивирусной программой . При загрузке с системной дискеты виру с не может получить управление и установи ть в оперативной памяти резидентный модуль , реализующий стелс-механизм . Антивирусная программа сможет прочитать информацию , действительно з аписанную на ди ске , и легко обнаружит вирус . Троянские кони , программные закладки и сетевые черви Троянский конь – это программа , содержащая в себе нек оторую разрушающую функцию , которая активизируетс я при наступлении некоторого условия срабаты вания . Обычно такие про граммы маскируются под какие-нибудь полезные утилиты . Вирусы могут нести в себе троянских коней или "троянизировать " другие программы – вносить в них разрушающие функции. «Троянские кони» представляют собой прогр аммы , реализующие помимо функций , описанн ы х в документации , и некоторые другие функц ии , связанные с нарушением безопасности и деструктивными действиями . Отмечены случаи создан ия таких программ с целью облегчения расп ространения вирусов . Списки таких программ ши роко публикуются в зарубежной пе ч ати . Обычно они маскируются под игровые и ли развлекательные программы и наносят вред под красивые картинки или музыку. Программные закладки также содержат некоторую функцию , нанос ящую ущерб ВС , но эта функция , наоборот , старается быть как можно незаметн ее , т.к . чем дол ьше программа не будет вызывать подозрений , тем дольше закладка сможет работать. Если вирусы и «троянские кони» нанося т ущерб посредством лавинообразного саморазмноже ния или явного разрушения , то основная фун кция вирусов типа «червь» , де йствующих в компьютерных сетях , – взлом атакуемой системы , т.е . преодоление защиты с целью нарушения безопасности и целостности. В более 80% компьютерных преступлений , рассл едуемых ФБР , "взломщики " проникают в атакуемую систему через глобальную сеть Inte rnet. Ког да такая попытка удается , будущее компании , на создание которой ушли годы , может бы ть поставлено под угрозу за какие-то секун ды. Этот процесс может быть автоматизирован с помощью вируса , называемого сетевой чер вь. Червями называют вирусы , которы е распространяются по г лобальным сетям , поражая целые системы , а не отдельные программы . Это самый опасный вид вирусов , так как объектами нападения в этом случае становятся информационные сист емы государственного масштаба . С появлением г лобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу , т . к . ему в любой момент может подверг нуться любой из 40 миллионов компьютеров , подкл юченных к этой сети. Пути проникнове ния вирусов в компьютер и механизм распределения вирусных программ Основными путями проникновения ви русов в компьютер являются съемные диски ( гибкие и лазерные ), а также компьютерные с ети . Заражение жесткого диска вирусами может произойти при загрузке программы с диске ты , содержащей вирус . Такое заражение может быть и случайным , например , если диске ту не вынули из дисковода А и перезаг рузили компьютер , при этом дискета может б ыть и не системной . Заразить дискету гораз до проще . На нее вирус может попасть , д аже если дискету просто вставили в дисков од зараженного к о мпьютера и , напри мер , прочитали ее оглавление . Вирус , как правило , внедряется в рабочую программу т аким образом , чтобы при ее запуске управле ние сначала передалось ему и только после выполнения всех его команд снова вернуло сь к рабочей программе . Получив доступ к управлению , вирус , прежде всего , переписыв ает сам себя в другую рабочую программу и заражает ее . После запуска программы , содержащей вирус , становится возможным заражение других файлов . Наиболее часто вирусом заражаются загрузо чный сектор диска и исполняемые файлы , имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаютс я текстовые файлы . После заражения программы вирус может выполнить какую-нибудь диверсию , не слишком серьезную , чтобы не привлечь внимания . И , н аконец , не забывает возвратить управление той программе , из которой был запущен . К аждое выполнение зараженной программы переносит вирус в следующую . Таким образом , заразит ся все программное обеспечение. Признаки появле ния вирусов При заражении компьютера вирус ом важно его обнаружить . Для этого с ледует знать об основных признаках проявления вирусов . К ним можно отнести следующие : · прекраще ние работы или неправильная работа ранее успешно функционировавших программ · медленна я работа компьютера · невозмож ность загрузки операционной си стемы · исчезнов ение файлов и каталогов или искажение их содержимого · изменени е даты и времени модификации файлов · изменени е размеров файлов · неожидан ное значительное увеличение количества файлов на диске · существе нное уменьшение размера свободной оперативн ой памяти · вывод на экран непредусмотренных сообщений или и зображений · подача непредусмотренных звуковых сигналов · частые зависания и сбои в работе компьютера Следует отм етить , что вышеперечисленные явления необязательн о вызываются присутст вием вируса , а мо гут быть следствием других причин . Поэтому всегда затруднена правильная диагностика состо яния компьютера. Методы защиты от компьютерных вирусов Каким бы не был вирус , пользователю необходимо знать основные методы защиты от компьютерных вирусов. Для защиты от вирусов можно использов ать : · общие средства защиты информации , которые полезны также и как страховка от физической по рчи дисков , неправильно работающих программ и ли ошибочных действий пользователя ; · профилак тические меры , позволя ющие уменьшить веро ятность заражения вирусом ; · специали зированные программы для защиты от вирусов. Общие средс тва защиты информации полезны не только д ля защиты от вирусов . Имеются две основные разновидности этих средств : · копирова ние информации - соз дание копий файлов и системных областей дисков ; · разграни чение доступа предотвращает несанкционированное использование информации , в частности , защиту от изменений программ и данных вирусами , неправильно работающими программами и ошибочными действ иями пользователей. Несмотря на то , что общие средства защиты информации очень важны для защиты от вирусов , в се же их недостаточно . Необходимо и приме нение специализированных программ для защиты от вирусов . Эти программы можно разделить на несколько видов : детекторы , доктора ( фаги ), ревизоры , доктора-ревизоры , фильтры и вак цины (иммунизаторы ). ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы , зараженные одним из нескольких известных вирусов . Эти программы проверяют , имеется ли в файлах на указанном пользователем диске специ фическая для данного вируса комбинация байтов . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение . Многие детекторы имеют режимы лечения ил и уничтожения зараженных файлов . Следует подч еркнуть , что программы-детекторы могут обнаруживать только те вирусы , которые ей "известны ". Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинског о позволяют обнаруживать около 9000 вирусов , но всего их более двадцати тысяч ! Некоторые программы-детекторы , н апример Norton AntiVirus или AVSP фирмы "Диалог-МГУ ", могут настраивать на новые типы вирусов , им необходимо лишь указать комбинации байтов , присущие этим вирусам . Тем не мнение невозможно разработать такую программу , которая могла бы обнаруживать лю б о й заранее неизвестный вирус. Таким образом , из того , что программа не опознается детекторами как зараженная , не следует , что она здорова - в ней м огут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса , неизвестные прогр аммам-детекторам. Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невид имыми " вирусами , если такой вирус активен в памяти компьютера . Дело в том , что дл я чтения диска они используют функции DOS, а они перехватываются ви русом , который говорит , что все хорошо . Правда , Aidstest и други е детекторы пытаются выявить вирус путем просмотра оперативной памяти , но против некот орых "хитрых " вирусов это не помогает . Так что надежный диагноз программы-детекторы даю т только при загрузке DOS с "чистой ", защищенной от записи дискеты , при этом копия программы-детектора также должна быть з апущена с этой дискеты. Некоторые детекторы (скажем ADinf фирмы "Диалог -Наука ") умеют ловить "невидимые " вирусы , даже когда они активны . Для этого они ч итают диск , не используя вызовы DOS. Правда , э тот метод работает не на всех дисководах . Большинство программ-детекторов имеют функцию "доктора ", т.е . они пытаются вернуть заражен ные файлы или области диска в их исхо дное состояние . Те файлы , которы е не удалось восстановить , как правило , делаются неработоспособными или удаляются. Большинство программ-докторов умеют "лечить " только от некоторого фиксированного набора вирусов , поэтому они быстро устаревают . Но некоторые программы могут обучаться не т о лько способам обнаружения , но и спосо бам лечения новых вирусов . К таким програ ммам относится AVSP фирмы "Диалог-МГУ ". ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы . Сначала они за поминают сведения о состоянии программ и системных областей дисков (загрузо чного с ектора и сектора с таблицей разбиения жес ткого диска ). Предполагается , что в этот мо мент программы и системные области дисков не заражены . После этого с помощью прог раммы-ревизора можно в любой момент сравнить состояние программ и системных област е й дисков с исходным . О выявл енных несоответствиях сообщается пользователю . Чтобы проверка состояния программ и д исков проходила при каждой загрузке операцион ной системы , необходимо включить команду запу ска программы-ревизора в командный файл AUTOEXEC.B AT. Это позволяет обнаружить заражение ко мпьютерным вирусом , когда он еще не успел нанести большого вреда . Более того , та же программа-ревизор сможет найти поврежденные вирусом файлы. Многие программы-ревизоры являются довольно "интеллектуальными " - они могут отличать изменения в файлах , вызванные , например , перехо дом к новой версии программы , от изменени й , вносимых вирусом , и не поднимают ложной тревоги . Дело в том , что вирусы обычн о изменяют файлы весьма специфическим образо м и производят одинако в ые изменен ия в разных программных файлах . Понятно , ч то в нормальной ситуации такие изменения практически никогда не встречаются , поэтому п рограмма-ревизор , зафиксировав факт таких изменени й , может с уверенностью сообщить , что они вызваны именно вирусом. Другие программы часто используют различн ые полумеры – пытаются обнаружить вирус в оперативной памяти , требуют вызовы из п ервой строки файла AUTOEXEC.BAT, надеясь работать на "чистом " компьютере , и т.д . Увы , против нек оторых "хитрых " вирусов все э то беспол езно . Для проверки того , не изменился ли файл , некоторые программы-ревизоры проверяют дл ину файла . Но эта проверка недостаточна - н екоторые вирусы не изменяют длину зараженных файлов . Более надежная проверка - прочесть весь файл и вычислить его контрольну ю сумму . Изменить файл так , чтобы его к онтрольная сумма осталась прежней , практически невозможно . В последнее время появились очень пол езные гибриды ревизоров и докторов , т.е . ДОКТОРА-РЕВИЗОРЫ ,- пр ограммы , которые не только обнаруживают изм енения в файлах и системных областях дисков , но и могут в случае изменений автоматически вернуть их в исходное сост ояние . Такие программы могут быть гораздо более универсальными , чем программы-доктора , поскол ьку при лечении они используют заранее со хране н ную информацию о состоянии файлов и областей дисков . Это позволяет и м вылечивать файлы даже от тех вирусов , которые не были созданы на момент напи сания программы. Но они могут лечить не от всех вирусов , а только от тех , которые испол ьзуют "стандартны е ", известные на момент написания программы , механизмы заражения файлов . Существуют также ПРОГРАММЫ- ФИЛЬТРЫ , которые располагаются ре зидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе , которые используются вир усами дл я размножения и нанесения вреда , и сообща ют о них пользователя . Пользователь может разрешить или запретить выполнение соответствующ ей операции. Некоторые программы-фильтры не "ловят " подо зрительные действия , а проверяют вызываемые н а выполнени е программы , на наличие вир усов . Это вызывает замедление работы компьюте ра. Однако преимущества использования программ-фи льтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии , когда вирус еще не успел размн ожиться и что-либо испортить . Тем самым можно свести убытки от вируса к мини муму. ПРОГРАММЫ-ВАКЦИНЫ , или ИММУНИЗАТОРЫ , модифицируют программы и диски таким образом , что это не отражается на раб оте программ , но тот вирус , от которого производится вакцинация , считает эти прог раммы или диски уже зараженными . Эти прог раммы крайне неэффективны. Антивирусные пр ограммы Итак , что же такое антивиру с ? Сразу же развеем одну часто возникающую иллюзию . Почему-то многие считают , что ант ивирус может обнаружить любой в ирус , т о есть , запустив антивирусную программу или монитор , можно быть абсолютно уверенным в их надежности . Такая точка зрения не со всем верна . Дело в том , что антивирус - это тоже программа , конечно , написанная профес сионалом . Но эти программы способны р а спознавать и уничтожать только известные вирусы . То есть антивирус против конкретн ого вируса может быть написан только в том случае , когда у программиста есть в наличии хотя бы один экземпляр этого вируса . Вот и идет эта бесконечная войн а между авторами в и русов и ан тивирусов , правда , первых в нашей стране п очему-то всегда больше , чем вторых . Но и у создателей антивирусов есть преимущество ! Дело в том , что существует большое коли чество вирусов , алгоритм которых практически скопирован с алгоритма других виру с ов . Как правило , такие вариации создаю т непрофессиональные программисты , которые по каким-то причинам решили написать вирус . Для борьбы с такими "копиями " придумано новое оружие - эвристические анализаторы . С их пом ощью антивирус способен находить подобны е аналоги известных вирусов , сообщая поль зователю , что у него , похоже , завелся вирус . Естественно , надежность эвристического анализато ра не 100%, но все же его коэффициент поле зного действия больше 0,5. Таким образом , в э той информационной войне , как , впро ч ем , и в любой другой , остаются силь нейшие . Вирусы , которые не распознаются антиви русными детекторами , способны написать только наиболее опытные и квалифицированные программист ы . Таким образом , на 100% защититься от виру сов практически невозможно (подразум евается , что пользователь меняется дискетами с друз ьями и играет в игры , а также получает информацию из других источников , например из сетей ). Если же не вносить информацию в компьютер извне , заразиться вирусом нев озможно - сам он не родится . AIDSTEST В наш ей стране , как уже было сказано выше , особую популярность приобрели антивирусные прогр аммы , совмещающие в себе функции детекторов и докторов . Самой известной из них явля ется программа AIDSTEST Д.Н . Лозинского . В Украине практически на каждом I B M-совместимо м персональном компьютере есть одна из ве рсий этой программы . Одна из последних вер сия обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует , чтобы в памяти не было резид ентных антивирусов , блокирующих запись в программные файлы , поэтому их следует выгру зить , либо , указав опцию выгрузки самой ре зидентной программе , либо воспользоваться соответ ствующей утилитой. При запуске Aidstest проверяет себя оперативную память на наличие известных ем у вирусов и обе звреживает их . При этом парализуются только функции вируса , связ анные с размножением , а другие побочные э ффекты могут оставаться . Поэтому программа по сле окончания обезвреживания вируса в памяти выдает запрос о перезагрузке . Следует об язательно послед о вать этому совету , если оператор ПЭВМ не является системным программистом , занимающимся изучением свойств в ирусов . При чем следует перезагрузиться кнопк ой RESET, так как при "теплой перезагрузке " нек оторые вирусы могут сохраняться . Вдобавок , лу чше з а пустить машину и Aidstest с защищённой от записи дискеты , так как при запуске с зараженного диска вирус может записаться в память резидентом и препят ствовать лечению. Aidstest тестирует свое тело на наличие известных вирусов , а также по и скаже ниям в своем коде судит о св оем заражении неизвестным вирусом . При этом возможны случаи ложной тревоги , например п ри сжатии антивируса упаковщиком . Программа н е имеет графического интерфейса , и режимы ее работы задаются с помощью ключей . Указ ав путь , м ожно проверить не весь диск , а отдельный подкаталог. Как показала практика , самый оптимальный режим для ежедневной работы задается кл ючами /g (проверка всех файлов , а не только с расширением EXE,COM,SYS) и /s (медленная проверка ). Увеличение времени при таких опциях пра ктически не ощутимо , зато вероятность обнаруж ения на порядок выше. При обычном тестировании не следует с тавить ключ /f (исправление зараженных программ и стирание не подлежащих восстановлению ), даже с ключом /q (выдавать запрос об удалени и файла ), поскольку любая программа , в том числе и антивирусная , не застрахован а от ошибок . Ключ /f следует использовать тогда , когда Aidstest, а также другие антивирусы указывают на наличие вируса в каком-либо ф айле . При этом следует перезапусти т ь компьютер с защищённой от записи дискеты , так как система может быть зар ажена резидентным вирусом , и тогда лечение будет неэффективным , а то и просто опас ным . При обнаружении вируса в ценном файле следует переписать его на дискету , а ещё лучше - на э л ектронный , диск и там попытаться вылечить с помощью ук азания Aidstest-у опции /f. Если попытка не увенчае тся успехом , то надо удалить все зараженны е копии файла и проверить диск снова . Если в файле содержится важная информация , которую стирать жалко , то м ожно заархивировать файл и подождать выхода нов ой версии Aidstest или другого антивируса , способно й лечить этот тип вируса . Для ускорения процесса можно направить зараженный файл в качестве образца Лозинскому. Для создания в файле протокола работы п рограммы Aidstest служит ключ /p. Протокол ок азывается нужным , когда пользователь не успев ает просмотреть имена зараженных файлов . Для поддержки антивирусного программно - аппаратного комплекса Sheriff (далее будет рассмотрен подробне е ), служит ключ /z. DOCTOR WEB В последнее время стремительно растет популярность друго й антивирусной программы - Doctor Web. Dr.Web так же , как и Aidstest относится к классу детекторов - докторов , но в отличие от последнего , имеет так называемый "эвристический анализатор " - ал горитм , позволяющий обнаруживать неизвестные виру сы . "Лечебная паутина ", как переводится с ан глийского название программы , стала ответом о течественных программистов на нашествие самомоди фицирующихся вирусов-мутантов . Последние при размн ожении модиф и цируют свое тело так , что не остается ни одной характерной цепочки байт , присутствовавшей в исходной в ерсии вируса . Dr.Web можно назвать антивирусом ново го поколения по сравнению с Aidstest и его а налогами. Управление режимами также как и в Aidstest ос уществляется с помощью ключей . П ользователь может указать программе , тестировать как весь диск , так и отдельные подкат алоги или группы файлов , либо же отказатьс я от проверки дисков и тестировать только оперативную память . В свою очередь можно тестироват ь либо только базовую память , либо , вдобавок , ещё и расширенную (указывается с помощью ключа /H). Как и Aidstest Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), под держивает работу с программно-апп а рат ным комплексом Sheriff (ключ /Z). Но , конечно , главной особенностью "Лечебной паутины " является наличие эвристического ана лизатора , который подключается ключом /S. Баланса между скоростью и качеством можно добиться , указав ключу уровень эвристического ан ализа : 0 - минимальный , 1 - оптимальный , 2 - максимальный ; п ри этом , естественно , скорость уменьшается пр опорционально увеличению качества . К тому же Dr.Web позволяет тестировать файлы , вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Д л я этого следует указать ключ /U (при этом расп аковка файлов будет произведена на текущем устройстве ) или /U диск : (где диск : - устройство , на котором будет производиться распаковка ), если дискета , с которой запущен Doctor Web защищ ена от записи . Мн о гие программы упакованы таким способом , хотя пользователь может и не подозревать об этом . Если ключ /U не установлен , то Doctor Web может пропустить вирус , забравшийся в запакованную программу. Важной функцией является контроль заражен ия тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопр оцентной гарантии , что "Лечебная паутина " обнар ужит все вирусы , находящиеся там . Так вот , при задании функции /V Dr.Web пытается воспрепятств овать оставшимся резидентным вирусам , за р азить тестируемые файлы. Тестирование винчестера Dr.Web-ом занимает на много больше времени , чем Aidstest-ом , поэтому не каждый пользователь может себе позволи ть тратить столько времени на ежедневную проверку всего жесткого диска . Таким пользо вателя м можно посоветовать более тщатель но (с опцией /S2) проверять принесенные извне дискеты . Если информация на дискете находится в архиве (а в последнее время програ ммы и данные переносятся с машины на машину только в таком виде ; даже фирмы-про изводите л и программного обеспечения , например Borland, пакуют свою продукцию ), следует ра спаковать его в отдельный каталог на жест ком диске и сразу же , не откладывая , з апустить Dr.Web, задав ему в качестве параметра вместо имени диска полный путь к этому подк а талогу . И все же нужно хотя бы раз в две недели производить полную проверку "винчестера " на вирусы с заданием максимального уровня эвристического а нализа. Так же как и в случае с Aidstest при начальном тестировании не стоит разрешать программе лечить фа йлы , в которых она обнаружит вирус , так как нельзя исключить , что последовательность байт , принятая в антивирусе за шаблон может вс третиться в здоровой программе . Если по з авершении тестирования Dr.Web выдаст сообщения о т ом , что нашел вирусы , нужн о запус тить его с опцией /P (если эта опция не была указана ) для того , чтобы посмотреть , какой файл заражен . После этого нужно скопировать файл на дискету или на эле ктронный диск и попытаться удалить , указав "Лечебной паутине " ключ /F. При неудачном лечен и и следует поступить так же , к ак в аналогичной ситуации , описанной выше для программы Aidstest. MICROSOFT ANTIVIRUS В состав современных версий MS-DOS (например , 7.10) входит антивир усная программа Microsoft Antivirus (MSAV). Этот антивирус может рабо тать в режимах детектора-доктора и ревизора . MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно , поддерживается мышь . Хорошо р еализована контекстная помощь : подсказка есть практически к любому пункту меню , к люб ой ситуации . Универсально реализован доступ к пунктам меню : для этого можно испол ьзовать клавиши управления курсором , ключевые клавиши (F1-F9), клавиши , соответствующие одной из б укв названия пункта , а также мышь . Флажки установок в пункте меню Options можно устанавл ивать как к лавишей ПРОБЕЛ , так и клавишей ENTER. Серьёзным неудобством при исполь зовании программы является то , что она сох раняет таблицы с данными о файлах не в одном файле , а разбрасывает их по в сем директориям . При запуске программа загружает собственн ый зн акогенератор и читает дерево ка талогов текущего диска , после чего выходит в главное меню . Не понятно , зачем читать дерево каталогов сразу при запуске : ведь пользователь может и не захотеть проверя ть текущий диск . В главном меню можно сменить диск ( Select new drive), выбрать между проверкой без удаления вирусов (Detect) и с их удалением (Detect&Clean). При запуске проверки диска (как в режиме удаления , так и без не го ) программа сначала сканирует память на наличие известных ей вирусов . При этом выводится индикация проделанной рабо ты в виде цветной полоски и процента выполненной работы . После сканирования памяти MSAV принимается за проверку непосредственно диска. При первой проверке MSAV создает в каждой директории , содержащей исполнимые файлы , фа йлы CHKLIST.MS, в которые записывает информацию о размере , дате , времени , атрибутах , а т акже контрольную сумму контролируемых файлов . При последующих проверках программа будет ср авнивать файлы с информацией в CHKLIST.MS-файлах . Если изменились р азмер и дата , т о программа сообщит об этом пользователю и запросит о дальнейших действиях : обновить информацию (Update), установить дату и время в соответствие с данными в CHKLIST.MS (Repair), продолжить , не обращая внимания на изменения в данно м файл е (Continue), прервать проверку (Stop). Если изменилась контрольная сумма , то MSAV выведет такое же окно , только вместо пункта Repair б удет пункт Delete (удалить ), так как программа н е может восстановить содержимое файла . При обнаружении вируса в режиме D e tect&Clean программа удалит этот вирус . Проверку диск а в обоих режимах можно приостановить , либ о полностью прервать , нажав ESC (или F3) и отве тив на соответствующий вопрос программы . Во время сканирования диска выводится информац ия о проделанно й работе : процент обработанных каталогов и процент обработанных файлов в текущем каталоге . Эта информаци я выдается также наглядно , в виде цветной полоски , как и при проверке памяти . В конце проверки MSAV выдает отчет в виде таблицы , в которой сообща е тся о количестве проверенных жестких дисков и ги бких дисков , о количестве проверенных , инфицир ованных и вылеченных файлов . Кроме того , в ыводится время сканирования. В меню Options можно сконфигурировать программу по собственному желанию . Здесь можно уста н овить режим поиска вирусов-невидимок (Anti-Stealth), проверки всех (а не только исполнимых ) файлов (Check All Files), а также разрешить или запретит ь создавать таблицы CHKLIST.MS (Create New Checksums). К тому же м ожно задать режим сохранения отче т а о проделанной работе в файле . Е сли установить опцию Create Backup, то перед удалением вируса из зараженного файла его копия будет сохранена с расширением *.VIR Находясь в основном меню , можно просм отреть список вирусов , известных программе MSAV, на жав клавишу F9. При этом выведется ок но с названиями вирусов . Чтобы посмотреть более подробную информацию о вирусе , нужно подвести курсор к его имени и нажать ENTER. Можно быстро перейти к интересующему в ирусу , набрав первые буквы его имени . Ин ф ормацию о вирусе можно вывести на принтер , выбрав соответствующий пункт м еню. ADINF (Advanced Diskinfoscope) ADinf относится к классу программ-ревизоров . Антивирус имеет высокую скорость работы , способен с успехом противостоять вирусам , находящимся в п амяти . Он позволяет контролировать диск , читая его по секторам через BIOS и не использу я системные прерывания DOS, которые может перехв атить вирус . Программа ADinf получила первый приз на В тором Всесоюзном конкурсе антивирусных программ в 1990 го ду , а также второй приз на конкурсе Borland Contest'93. ADinf был единственным антивирус ом , который летом 1991 года обнаружил вирус DIR, построенный на принципиально новом способе заражения и маскировки. Для лечения заражённых файлов применяетс я модуль ADinf Cure Module, не входящий в пакет ADinf и поставляющийся отдельно . Принцип работы модуля - сохранение небольшой базы данных , о писывающей контролируемые файлы . Работая совместн о , эти программы позволяют обнаружить и у далить около 97% файловых вирусов и 100% вирусов в загрузочном секторе . К примеру , нашумевший вирус SatanBug был легко обнаружен , и заражённые им файлы автоматически восстано влены . Причем , даже те пользователи , которые приобрели ADinf и ADinf Cure Module за н есколько м есяцев до появления этого вируса , смогли без труда от него избавиться . В отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной , защищё нной от записи дискеты . При загрузке с винчестера надежность защиты не умень ш ается. ADinf имеет хорошо выполненный дружественный интерфейс , который реализован в графическом режиме . Программа работает непосредственно с видеопамятью , минуя BIOS, при этом поддерживаются все графические адаптеры . Наличие большого количества ключей позволяет пользователю создать максимально удобную для него конфи гурацию системы . Можно установить , что именно нужно контролировать : файлы с заданными р асширениями , загрузочные сектора , наличие сбойных кластеров , новые файлы на наличие Stealth-вирус о в , файлы из списка неизменяемых и т.д . По своему желанию пользователь мо жет запретить проверять некоторые каталоги (э то нужно , если каталоги являются рабочими и в них всё время происходят изменения ). Имеется возможность изменять способ доступа к диску ( BIOS, Int13h или Int25h/26h), редактировать список расширений проверяемых файлов , а т акже назначить каждому расширению собственный вьюер , с помощью которого будут просматрив аться файлы с этим расширением . В традици ях современного программного обеспеч е ния реализована работа с мышью . Как и вся продукция фирмы "ДиалогНаука ", ADinf поддерживает программно-аппаратный комплекс Sheriff. При инсталляции ADinf в систему имеется в озможность изменить имя основного файла ADINF.EXE и имя таблиц , при этом пользователь может задать любое имя . Это очень полезная функция , так как в последнее время по явилось множество вирусов , "охотящихся " за ант ивирусами (например , есть вирус , который изменя ет программу Aidstest так , что она вместо застав ки фирмы "ДиалогН а ука " пишет : "Лозин ский - пень "), в том числе и за ADinf. Полезной функцией является возможность ра боты с DOS, не выходя из программы . Это бы вает полезно , когда нужно запустить внешний антивирус для лечения файла , если у пол ьзователя нет лечащего блок а ADinf Cure Module. Ещё одна интересная функция - запрещение работы с системой при обнаружении изменени й на диске . Эта функция полезна , когда за терминалами работают пользователи , не им еющие ещё большого опыта в общении с компьютером . Такие пользоват ели , по незнан ию или по халатности , могут проигнорировать сообщение ADinf и продолжить работу , как ни в чём не бывало , что может привести к тяжёлым последствиям . Если же установлен ключ -Stop в строке вызова Adinf AUTOEXEC.BAT, то при обнаружении измене ний на диске программа потребует позвать системного программиста , обслуживающего данный терминал , а если пользователь нажмет ESC или ENTER, то система перезагрузится и все повторится снова . Принцип работы ADinf основан на сохранении в табл ице копии MASTER-BOOT и BOOT секторов , сп исок номеров сбойных кластеров , схему дерева каталогов и информацию обо всех контроли руемых файлах . Кроме того , программа запоминае т и при каждом запуске проверяет , не и зменился ли доступный DOS объем оператив н ой памяти (что бывает при заражении большинством загрузочных вирусов ), количество у становленных винчестеров , таблицы параметров винч естера в области переменных BIOS. При первом запуске программа запоминает объем оперативной памяти , находит и запом инает а дрес обработчика прерывания Int 13h в BIOS, который будет использоваться при всех по следующих проверках , и строит таблицы для проверяемых дисков . При этом проверяется , пока зывал ли вектор прерывания 13h в BIOS перед загр узкой DOS. При последующих запуска х ADinf проверяет объем оперативной памяти , доступной DOS, перемен ные BIOS, загрузочные сектора , список номеров сбо йных кластеров (так как некоторые вирусы , записавшись в кластер , помечают его , как с бойный , чтобы их не затёрли другие данные , а также не обнаружили примитивны е антивирусы ). К тому же антивирус ищет вновь созданные и уничтоженные подкаталоги , новые , удаленные , переименованные , перемещённые и изменившиеся файлы (проверяется изменение д лины и контрольной суммы ). Если ADinf обнаружит , ч то , изменился файл из списка неизменяемых , либо в файле произошли изменени я без изменения даты и времени , а такж е наличие у файла странной даты (число больше 31, месяц больше 12 или год больше т екущего ) или времени (минут больше 59, часов больше 2 3 или секунд больше 59), то он выдаст предупреждение о том , что воз можно заражение вирусом. Если обнаружены изменения BOOT-сек торов , то можно в режиме диалога сравнить системные таблицы , которые были до и после изменения , и по желанию восстановить преж ний сектор . После восстановления из мененный сектор сохраняется в файле на ди ске для последующего анализа . Новые сбойные кластеры (вернее информация о них в FAT) мо гут появиться после запуска какой-либо утилит ы , лечащей диск (например , NDD) или благода р я действиям вируса . Если Adinf выдал соо бщение , а пользователь не запускал никаких подобных утилит , то , скорее всего в комп ьютер забрался вирус . При получении такого сообщения следует продолжить проверку , внимате льно следя за всеми сообщениями об и зменениях файлов и загрузочных секторов . Если в системе действительно вирус , то такие сообщения не заставят себя долго ждать (ведь если все тело вируса будет находиться в "сбойном " кластере , ему никог да не передастся управление ). После проверки ADinf выда ёт сводную таблицу , сообщающую об изменениях на диске . По таблице можно перемещаться с трелками и просматривать подробную информацию , нажав ENTER на интересующем пункте . Существует возможность перехода к любому пункту с п омощью "быстрых " клавиш . И зменившиеся файлы можно просмотреть в классическом режим е (шестнадцатеричный дамп / ASCII-коды ) с помощью встроенного вьюера , который читает диск чер ез BIOS. Можно также воспользоваться внешним вьюе ром , предварительно указав к нему путь . По дключив в нешний редактор , можно отре дактировать изменившийся файл. Не совсем привычно выглядит форма , в которой ADinf сообщает об обнаруженных подозрите льных изменениях : вместо выдачи сообщения о конкретных изменениях он выводит красное о кно со списком всех возможных и пом ечает галочкой пункты , соответствующие изменениям , произошедшим в настоящий момент . Если по сле получения такого сообщения нажать ESC, то программа запросит о дальнейших действиях : обновить информацию о диске , не обновлять её , лечить ( при наличии лечащег о модуля ADinf Cure Module) или записать протокол . Для л ечения можно воспользоваться внешним антивирусом , загрузив его из окна работы с DOS, кото рое вызывается комбинацией клавиш ALT+V. Если изменения не относятся к разряду подозри тельных , то после выдачи табли цы изменений можно нажать ESC. При этом прог рамма спросит , нужно ли обновлять данные о диске в таблицах или не нужно , а также нужно ли создавать файл в отчете о проделанной работе . После выбора одного из пунктов программа в ы полняет затребованное действие и завершает свою ра боту. Заключение Ни один тип антивирусных п рограмм по отдельности не дает полной за щиты от вирусов . Лучшей стратегией защиты от вирусов является многоуровневая , "эшелонированн ая " оборона . Средствам ра зведки в "обор оне " от вирусов соответствуют программы-детекторы , позволяющие проверять вновь полученное про граммное обеспечение на наличие вирусов . На переднем крае обороны находятся программы-фи льтры . Эти программы могут первыми сообщить о раб о те вируса и предотвратит ь заражение программ и дисков . Второй эшел он обороны составляют программы-ревизоры , программ ы-доктора и доктора-ревизоры . Самый глубокий э шелон обороны - это средства разграничения дос тупа . Они не позволяют вирусам и неверно ра б отающим программам , даже если они проникли в компьютер , испортить важны е данные . Что буде т завтра ? Чего ожидать от компьютерного андеграунда в последующие годы ? Скорее вс его основными проблемами останутся : 1) полиморфик -DOS-вирус ы , к которым добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и OS/2; 2) макро-вирусы , которые будут находить все новые и новые приемы заражения и скрытия своего кода в системе ; 3) сетевые вирусы , использующие для своего распространен и я протоколы и команды компьютерн ых сетей. Пункт 3) находится пока только на самой ранней стадии - вирусы делают первые робк ие попытки самостоятельно распространять свой код по MS Mail и пользуясь ftp, однако все еще впереди. Не исключено , что появятся и др угие проблемы , которые принесут немало неприятностей пользователям и достаточное коли чество неурочной работы разработчикам антивирусн ых программ . Однако я смотрю на будущее с оптимизмом : все проблемы , когда-либо встав авшие в истории развития вирусов , были довольно успешно решены . Скорее всего так же успешно будут решаться и будущие проблемы , пока еще только витающие идеями в воспаленном разуме вирусописателей. Что буде т послезавтра ? Что будет послезавтра и ка к долго вообще будут су ществовать вир усы ? Для того чтобы ответить на этот в опрос следует определить , где и при каких условиях водятся вирусы. Основная питательная среда для массового распространения вируса в ЭВМ , на мой взгляд , обязана содержать следующие необходимые компоненты : · незащищенность опер ационной системы (ОС ); · наличие разнообразн ой и довольно полной документации по OC и «железу» ; · широкое распростран ение этой ОС и этого «железа» . Следует отм етить , что понятие операционной системы доста точно растяжимое . Напри мер , для макро-вирус ов операционной системой являются редакторы Word и Excel, поскольку именно редакторы , а не Windows п редоставляют макро-вирусам (т.е . программам на Б ейсике ) необходимые ресурсы и функции. Если в операционной системе присутствуют элементы защиты информации , как это сделано практически во всех ОС , вирусу будет крайне трудно поразить объекты своего нападения , так как для этого потребуется (как минимум ) взломать систему паролей и привилегий . В результате работа , необходимая для написания вир у са , окажется по силам только профессионалам высокого ур овня (вирус Морриса для VAX - пример этому ). А у профессионалов , на мой взгляд , уровень порядочности все-таки намного выше , чем в среде потребителей их продукции , и , следо вательно , число созданных и з а пуще нных в большую жизнь вирусов еще более сократится. Для массового производства вирусов также необходимо и достаточное количество информац ии о среде их обитания . Какой процент от числа системных программистов , работающих на мини-ЭВМ в операционках UNIX, VMS и т.д . знает систему управления процессами в опер ативной памяти , полные форматы выполняемых фа йлов и загрузочных записей на диске ? (т.е . информацию , необходимую для создания вируса ). И следовательно , какой процент от их чи сла в состоянии вырастить нас т оящ его полноценного зверя ? Другой пример - операци онная система Novell NetWare, достаточно популярная , но к райне слабо документированная . В результате м не пока не известно ни одного вируса , поразившего выполняемые файлы Novell NetWare, несмотря на многочи с ленные обещания вирусописателе й выпустить такой вирус в ближайшее время. Ну а по поводу широкого распространен ия ОС как необходимого условия для вирусн ого нашествия и говорить надоело : на 1000 про граммистов только 100 способны написать вирус , н а эту сотню приходится один , который эту идею доведет до завершения . Теперь полученную пропорцию умножаем на число тысяч программистов - и получаем результат : с од ной стороны 15.000 или даже 20.000 полностью IBM-совместим ых вирусов , с другой - несколько сот вирусо в д л я Apple-Macintosh. Такое же несоответствие пропорций наблюдается и в сравнении обще го количества вирусов для Windows (несколько десятк ов ) и для OS/2 (несколько штук ). Приведенным выше трем условиям «расцвета» компьютерных вирусов удовлетворяют сразу нес кол ько OS (включая редакторы ), производимых ф ирмой Microsoft (DOS, Windows, Win95/NT и Word, Excel, Office97), что дает благодатную п очву для существования самых разнообразных фа йловых и макро-вирусов . Удовлетворяют приведенным условиям также и стандарты раз б иения жестких дисков . Результат - разнообра зные варианты загрузочных вирусов , поражающих систему в момент ее загрузки. Для того , чтобы прикинуть продолжительнос ть нашествия компьютерных вирусов в какой-либ о OC, надо оценить время сосуществования приведе нны х выше необходимых условий. Довольно очевидно , что в обозримом буд ущем фирмы IBM и Apple не собираются уступать ма ссовый рынок своим конкурентам (на радость Apple- и IBM-программистам ), даже если для этого этим фирмам придется объединить усилия . Не предста вляется возможным и усечение потока информации по наиболее распространенным системам , так как это ударит по числу приложений для них , а следовательно , и п о их «продаваемости» . Остается только одно - защита ОС . Однако , защищенность ОС требует исполнения не к оторых правил (паро лей и т.п .), что приводит к ряду неудобс тв . Поэтому мне кажется маловероятным , что такие ОС станут популярными в среде обычн ых пользователей - секретарш , бухгалтеров , на до машних компьютерах , и т.д ., и т.п ., либо ф ункции защиты будут от к лючаться п ользователем еще при установке ОС. Исходя из вышесказанного можно сделать единственный вывод : вирусы успешно внедрились в повседневную компьютерную жизнь и поки дать ее в обозримом будущем не собираются. Литература 1. Ф.Файтс , П.Джонстон , М.Кра тц "Компьютерный вирус : п роблемы и прогноз ", Москва , "Мир ", 1993 г. 2. Н.Н.Безрук ов "Классификация компьютерных вирусов MS-DOS и мет оды защиты от них ", Москва , СП "ICE", 1990 г. 3. Безруков Н.Н . "Компьютерные вирусы ", Москва , Наука , 1991. 4. Мостовой Д. Ю . "Современные технологии борьбы с вирусами " // Мир ПК . - № 8. - 1993. 5. Денисов Т.В . "Антивирусная защита "//Мой Компьютер-№ 4-1999г. 6. http://www.symantec.ru/region/ru/product/navbrochure/index.htm 7. http://www.symantec.ru 8. http://www.dials.ru/ 9. http://www.a vp .ru/ 10. http://www2.dialognauka.ru / 11. http://www.apl.ru/isvwsolaris.htm 12. http://www.act.ru/av/Solomon/DrSolom_report.asp
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Эрекция - самый честный комплимент мужчины...
Тут мужчина уж никак не соврёт.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, реферат по программированию "Компьютерные вирусы и антивирусы", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru