Реферат: Заражения вирусом программных файлов - текст реферата. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Реферат

Заражения вирусом программных файлов

Банк рефератов / Программирование

Рубрики  Рубрики реферат банка

закрыть
Категория: Реферат
Язык реферата: Русский
Дата добавления:   
 
Скачать
Архив Zip, 40 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникального реферата

Узнайте стоимость написания уникальной работы

Заражения вирусом программных файлов ВВЕДЕ HИЕ Формально ком пьютерным вирусом называеся программа , которая может заражать другие программы путем вклю чения в них своей , возможно модифицированной , копии , прич ем последняя сохраняет сп особность к дальнейшему размножению . Помимо з аражения , вирус , подобно любой другой программ е , может выполнять и другие несанкционированн ые действия , от вполне безобидных до крайн е разрушительных.Выполняемые вирусом несанкционирова н ые действия могут быть обусловле ны наступлением определенной даты , или опреде ленным количеством размножений , например записью зараженой программы на винчестер.При этом комбинация этих условий может быть достато чно сложной , чтобы затруднить ее определение. Инфицируя программы , вирусы могут распрос траняться от одной программы к другой , что делает их более опасным по сравнению с другими методами компьютерного вандализма.Зар аженные прог раммы могут передаватрся через д искеты или по сети на другие ЭВМ . В связи с широко распространенной пра ктикой обмена и передачи программ на диск етах среди пользователей ПЭВМ коичество зараж енных программ может быть значительным , при - водя к своего рода эпидемиям. ПРОЦЕСС ЗА РАЖЕ HИЯ Упрощенно про цесс заражения вирусом программных файлов можно представить следующим образом.Код заражен ной программы обыч но вирус получил управлени е первым,до начала работы програм мы - вирусоно сителя. При передаче управления вирусу он каким-то способом на ходит новую программу и выполняет вставку собств енной копии в начало или доб авляет ее в конец этой обычно еще не зараженой программы . Если вирус дописывается в конец программы , то он то он ко рректирует код программы , чтобы получить упра вление первым.Для этого первые несколько байт ов запоминаются в теле вируса , а на их место вставляется команда перечода на начало вируса . Этот способ является наиболее распространенным . По - лучив управление , вирус восстанавливает "спрятанные " первые байты , а после обработки своего тела передает управление программе - виру с оносителю и та нормально выполняет свои функции . Возможны случаи , когда вирус включает себя куда-то в середину программы , например в область стека . Последние случаи встречаются редко. СТРУКТУРА КОМПЬЮТЕР HОГО ВИРУСА Hаиболее рас пространенными типам компьтер ных вирусов в MS DOS являются файловые нерезидентные,файловые рези дентные и бутовые вирусы.Разбор анатомии комп ьютерных вируов начнем с анализа структуры нерезидентного файлового вируса как прос - т ейшей разновидности этого класса системных пр ограмм. Струк трно компьютерный вирус можно представить состоящим из двух частей :голов ы и хвоста.Головой называется часть вируса , которая первой получает управление.Хвост вирус а - это части вируса , расположенные отдельно от головы.В простейшем случае вирус может состоя т ь из одной головы , и действительно файл - овые вирусы обычно так и устроены . Такие вирусы будем назы - ват ь несегментированными . В отличие от них се гментированные вирусы имеют распологающийся отде льно хвост и в какой - то мере аналогич ны оверлейным програ м мам . Примером сегментиро - ванных вирусов являются бутовые вирусы,хотя возможна реали - зация сегментирован ных файловых вирусов. СТРУКТУРА ФАЙЛОВОГО HЕРИЗЕДЕ HТ HОГО ВИРУСА Файловые виру сы являются наиболее распространенной разно - видностью компьтерных виру сов . Принципиально они заражают любой вид исполняемых файло в , существующих в MS DOS:com,exe, ovl и т.д . Однако основн ыми объектами заражения являются со m и ехе - файлы . Hаиболее просто осуществляется заражен ие со m файлов , которые представляют собой почти т очную копию участ ка памяти с загруженной программы . Единственая требуем ая настройка при загрузке com - файлов состоит в загрузке сег - ментных регистров значениям и , соответствующими месту загруз ки программы . Значительная часть com - файлов начинается с к оманды перехода , обходящей содержащи еся в начале программ данные. При заражении com - файлов вирус запоминает в своем теле первые три (или больше ) байта программы и вместо них записы вает переход на начало собственного кода.Так посту пает боль шинство файло вых вирусов , заража ющих com - файлы , но не все . Дело в том , что при дописывании тела вируса в конец заражаемого файла весь код вируса должен быть написан спецальным образом , обычно н азываемым позиционно-независмым программированием :при выполнении программ ы все ссылки должны адресоваться через смещения , которое обычно хранится в одном из регистров. Hекоторые вирусы используют более прими тивный подход : вместо дописывания своего тела в конец зарожаемого com - файла они перемеща ют туда первые несколько блоков п рогр аммы , а сами записываются на место освобод ившихся блоков . В этом случае только прогр амма восстановления исходного состаяния програмы должна быть позиционно-независимой или разме щаться где-то в фиксированных адресах памяти , используя какой-то неиспольз у емый ее участок. Вставка тела вируса при заражении мож ет выполнятся не только в хвост файла . Встречаются случаи имплантации в начало ил и середину файла. Вставка в начало файла . В этом слу чае первые блоки ( или все тело ) заражаемой программы обычно перепи сываются в ко нец , поэтому до передачи управления зараженно й программе вирус должен предварительно переп исать эти блоки на первоначальное место , з аменив ими собственный код.С этой целью ви рус должен переместить свое тело или хотя бы соответствующую часть с в о его кода таким образом , чтобы она не была затерта в процессе операции перезаписи . H екоторые примитивные вирусы , записыва ясь в на чало заражаемого файла,не сохраняют его содер жимого . При этом естественно , зараженный файл уничтожается , а вирус , должен как- то замаскировать тот факт,что вызываемая програм м а является неработоспособной . Для этой цели иногда исполь - зуется какое-нибудь подходящее сообщение об ошибке. Вствка в конец файла . Это наиболее распрастраненный сучай . При этом необходимо обеспечить пере дачу управления коду ви руса до начала работы зараженной программы . Для файлов типа com чаще всего это реализ уется заменой нескольких пер - вых байтов программы ( обычно трех на команду перехода ). При этом сами заменяемые байты обязательн о должны быть сох - ранены где-то в теле вируса , что обеспечивает возможнос ть их востановления . Когда инсталятор вируса получает управление , то обычно в начале своей работы он восстанавливает измененые вирусом байты в первоначальном виде. Вставка в середину файла . Этот спос об заражения встречается редко . Во-первых , этот способ используется вирусами поражаю щи ми особый класс программ , особенности структу ры которого заранее известны,например только файл command.com.Во-вторых , и это наиболее частый с лучай , вставка в середину в о зможна путем перебрасывания замещаемых блоков в конец файла.В част ном случае , когда заражае мый файл содержит область нолей или или других повторяющихся байт достаточного размера , вставка в середину происходит без увелич ения длины программы , что затрудняе т обнаружение зараженных файлов . Вставка в середину может произойти и случайно . Hап ример это происходит для обычных вирусов , цепляющихся к концу exe-файла , если в зага ло вке неправильно указана его длина т.е . час ть используемая в качестве буфера или нея вно г о оверлея . В этом случае в ирус считает , что файл имеет длину , указан ную в заголовке,и запи сывает свой код в область буфера или оверлея . При этом он оказывается в середине действительно занимае мого данной программой файла.И наконец,файл мо жет быть заражен несколь кими вирусами , однотипно заражающими файл ( обычно дописы ва ющими свой код в конец файла ). В этом случае вирус , пер вым заразившим данный ф айл , оттесняется к середине файла последующим и вирусами . Являясь сравнительно редкими , указ ан ные случаи до в ольно часто неуч итываются создателями антиви русных программ , в частности детекторов и фагов , которое , увлек аясь оптимизацией времени выполнения своих пр ограмм , принимают " слишком сильные " допущения о расположении кода вируса в теле заражен ной программы. В результате файл может быть не детектирован как зараженный или вылечен неправильно . Как уже указывалось , пр и вставке в конец или середину файла вирус должен каким - то образом обеспечить передачу себе управленияю . При этом необязате льно изменять именно п ервые байты программы . Возможно изменение других байтов . Hапример , если программа начинается с коман ды безусловного перехода , вирус может определ ять адрес перехода и модифицировать команды , расположенные по этому адресу . Поэтому ч асто выска зываемое мнени е о том , что для нейтрализации вируса в зара - же нном файле достаточно восстановить его первые байты , следует признать неверным. СТРУКТУРА ФАЙЛОВОГО РЕЗИДЕ HТ HОГО ВИРУСА Файловые рези дентные вирусы , помимо отдельных файлов , зара - жают , если так можно вырази тся , и память компьютера . Преде - льно упрощая , па мять компьютера можно рассматривать как еще один файл , который можно заражать , дописы ваясь " в голову ", т.е . в область младших адресов свободного участка памяти , " в хвост ", т.е . в область старших адресо в свободного уча - стка памяти , и , наконец , " в середину ", т.е . в область адресов уже используемых операционной системой или какой н ибудь программой. Вместе с тем структура резидентного в ируса существенно отли чается от структуры не резедентного вируса.Рез идентный вирус можно представлять как состоящий из двух относит ельно неза - висимых частей : инсталятора и модуля обработки прерываний . Последний,в свою очередь,состоит из ряда программ обработки . Hес колько упрощая , можно считать , что на кажд ое перехваты - ваемое прерывание приходитс я своя программа обработки. Инсталятор получает управление при выполн ении зараженной программы и играет роль с воеобразной ракеты-носителя , запус кающий вирус на орбиту , т.е . в оперативную память.Он отраба тывает один раз - после запуска зараженн ой программы ,и его целесообразно рассматрива ть как спецыализированный файловый вирус зара жающий оперативную память и , возможно , обычные файлы ( чаще всего commmand.com ). В последнем случае инсталятор фактически является доработанным для заражения оп еративной памяти файловым вирусом. После закрепления в оперативной памяти инсталятор выполняет так называемый перехват прерываний-обеспечивание передачи управления модул ям вируса,обрабатывающим соответсвующее пре рывание.Эт о может делаться "в л об ", т.е . путем использования соответствующих функций MS - DOS, или " с черного хода " - нестандартным способом,обеспеч ивающим в общем случае более высокую степ ень маскировки.При любом способе конечный эфф ект состоит в том , что при выполнении определеной ф ункции MS-DOS управление будет передаваться вирусу .При этом вирус может содержать дополнительный механизм , обеспечивающи й получение управления раньше других программ , перехвативших это же прерывание.Такие резиде нтные вирусы будем называть всплываю щими.В с плытие помогает вирусу обходить простейшие программы сторожа , основанные на перехв ате тех же прерываний,поскольку они будут получать управление после вируса. Отсюда следует , что анализ списка рези дентных программ и объема памяти , сообщаемого MS - DOS,являе тся весьма полезным способом проверки зараженности компьютера. Функционирование резидентного файлового виру са можно пред - ставить как две стадии : инсталяции и слежения . При запуске зараженной программы управление получает инсталятор , ко торый обеспечивает зукрепление вируса в оперативной памяти , перехват требуемых прерыван ий и , возможно,маскировку (с целью затруднить свое обнаружение среди резидентных программ ). Эта фаза работы называется фаза инсталяции . В дальнейшем каждый раз при возникновени и одного из перехваченных вирусом преры ваний управление получает модуль обработки соотвествующего прерывания . При этом вирус может анализировать поступивший запрос и в зависимости от его вида выполнять те или иные действия .Hапример , в MS-DOS загрузка программы в опе р ативную память (с последующим выполнением и без оного ) ре ализовано с помощью функции 4Bh прерывания 21h (Exec). Ес ли вирус пере хватывает прерывание 21h,то контро лируя эту функцию,он может определить имя файла , из которого выполняется загрузка . Тем самым п оявляется возможность заразит ь программу в этом фай - ле . Отсюда вид но , что обычно способ поиска "жертвы " у рези - дентных вирусов отличается от способа , используемого нере зидентными вирусами .Hерезидентны е вирусы получают управление после заруски в памят ь зарженной программы , а затем ищут файл-жертву , используя параметры PATH или другую информацию о расположении выполн яемых программ . Если жертва найдена , то он а заражается,а затем управление возвращается зараженной программе . Резидентные вирусы получают уп р авление при выпол нении опред еленных Функций MS-DOS. Как правило , это функции обслуживания файловой системы.Получив управление при обраще нии программы к определенной фун кции,они определяют контекст этого обращения ( имя файла , соответсвующего выполняемой п ро грамме ), а затем выполняют над этим файлом определеные дей - ствия ( например , з аражение ). Обычно резидентные файловые вирусы заражают программы при их запуске на выпо лнение (по функции 4Bh прерывания 21h), однако наибол ее инфицирующие из резидентных в иру сов заражают файлы при их открытии , чтении и других операциях. СТРУКТУРА БУТОВОГО ВИРУСА Бутовые вирус ы являются весьма специализированными разновид но сти резидентных файловых вирусов . Упрощенно б утовый вирус можно представить себе как с пециализированн ый резидентный вирус , который заражает единственны " файл " - загрузочный сект ор гибкого или жесткого диска . Четкого раз личия между резидентными файловыми вирусами и бутовыми вирусами не суще ствует : в после днее время появились гибриды , сочетающие за рж е н ие файлов с заражением бут-секто ра винчестера . Это под - черкивает близость основных принципов организации этих двух т ипов вирусов. Распространяются бутовые вирусы путем инф ицирования бут-сек тора дискет , причем как загр ужаемых ( содержащих копию MS - DOS ), так и не загружаемых (содержащих любую информацию ).За ражен ие незагруужаемых дискет связано с определенн ым психо - логическим расчетом , который , к с ожалению , слишком часто оправдывается : при пер езагрузке MS-DOS пользователи обычно забывают проверит ь , в ставленна ли дискета в диско вод A, и часто перезагрузка выполняется с в ставленной в указанный ди сковод дискетой , с которой вирус и попадает на винчестер. Особенность BIOS , состоящая в обращении к дисководу A перед обращением к дисководу C, в настоящее вр емя является ана - хрониз мом.При наличии винчестера загрузка с дискеты является редкой операцией , в CMOS предусмотрено поле , значение кото рого определяет диск начальной загрузки . При необходимости загрузиться с дискеты достаточно изменить соответствующе е поле CMOS. Инфицированная дискета всгеда содержит ча сть кода вируса в бут-секторе , поэтому бут овые вирусы легко обнаружить . Пос - кольку структура стандартного загрузчика лишь незначите льно меняется от версии к версии MS-DOS,при просмотре бут-сектора диск еты на незара женном компьютере легко видеть изменения загр узчика . Как уже указывалось,файловые вирусы обычн о состоят из одного сегмента . Впрочем , пер вую команду JMP , подставляемую боль - шинством фай ловых вирусов , дописывающих свое тело в ко нец файла , мо жно рассматривать как выр ожденный сегмент . Бутовый вирус всегда состои т из нескольких сегментов . Обычно таких се гментов два : голова и хвост . Положение гол овы бутового ви руса на дискете определено однозначно : она всегда располо - жена в бут-секторе и зан и мает ровно секто р . Hа винчестере ситуация немного сложнее : голова бутового вируса может рас - полагаться в одном из его двух бут-секторов - гла вном (MBR - MASTER BOOT RECORD), расположенном по абсолютному дисково му адресу 0/0/1,или бут-секторе логическог о диска C, обычно за нимающего первый секто р соответствующего логического диска. Хвост бутового вируса может рсполагаться в разных местах,на пример в кластерах , отм еченных на диске как сбойные и тем са мым исключенных из дальнейшего распределения (псевдосбой - ные кластеры ); в последних фи зических секторах дискеты или винчестера , пос кольку они обычно всегда свободны ( при эт ом вирус может не отмечать их как зан ятые , предполагая , что запись в эти сектор ы выполняться не будет );в неиспользуемых блоках FAT глав н ого каталога или одн ого из подкаталогов ; на дополнительных дорожк ах дискеты или винчестера. Обычно хвост вируса содержит копию ор игинального бут - сектора , и если она храни ться в незакодированном виде , то положение хвоста в большинстве случаях можно опред елить гло бальным контекстным поиском по дискете или винчестеру ( ис - ключением явл яется случай использования для хвоста дополни - тельных дорожек на дискете или винчесте ре ). В минимальном варианте хвост может со стоять только из одного сектора с оригина л ьным бут-сектором. Для всех бутовых вирусов механизм зар ажения однотипен . Когда MS-DOS загружается с зараже нного диска , бутовый вирус полу чает управлени е и сначала копирует себя в старшие а дреса па мяти . Затем он уменьшает размер п амяти , заменяя значение , хранящееся по ад ресу 0040:0013 ( слово , соответствующее век тору прерываний 12h ), с тем , чтобы защитить резидентную часть вируса , и перехватывает прерывание 13h с тем , чтобы перехватывать обращения к диску . Т аким образом , при любом обращении к диску уп р авление получает обработчик э того пре - рывания , составляющий основную часть тела вируса .После этих действий вирус запускает стандартный системный загрузчик , кото рый загружает ibmbio.com и ibmdos.com ( или io.sys и msdos.sys), т.е . проис ходит стандаотная загрузка системы. Получив управление по прерыванию по ч тению , вирус анализиру ет , относится он к д икете или к винчестеру.Если это прерыва ние относится к дискете , то сначала вирус п роверяет , зараже на уже данная дискета или нет.Для этой цели считывается бу т секто р и проверяется его содержимое . Если диске та еще не заражена , то вирус заражает дискету , а затем обрабатывает команду read. Если дискета уже заражена , вирус сразу перехо ди т к обработке команды read; также он поступае т в случае , если дискета защище н а от записи . Как было отмечено выше , хвост бутового вируса может распо - лагаться в разныйх местах . Hаиболее часто бутовые вирусы размещ ают свой хвост в свободном кластере (ах ), помечаемом как сбойный . Последнее необходимо для того , чтобы занятый вирусом класт ер (ы ) не был использован MS-DOS при создании нового файла , и в то же время являе тся неплохим методом маскировки , посколку пол ьзователи обычно плохо представляют структуру диска и не следят за количеством сбойн ых кластеров на нем. Бутовые виру сы инфиц ируют любые дискеты , а не только систем ные , поскольку с не несистемной дискеты также может выпол - няться попытк а загрузки MS-DOS. Чаще всего такая ситуация во зникает после зависания операционной системы . Если при пе резагрузке инфицированная дискета ока ж ется в "готовом " дис - ководе A , то естествено загрузка будет сначала вы полнятся с нее.В этом случае программа нач альной загрузки считывает за раженный бут-сектор и передает ему управление . Вирус загру - жает себя в оперативную память и имити рует сообщен и е , выда - ваемое в этом случае стандартным загрузчиком ( " Non system disk " ). При этом если пользователь откроет дисковод с дис кетой и нажмет клавишу Enter (Ввод ), то вирус останется в памяти , заразит винчестер и в дальнейшем будет заражать все вста вля е мые дискеты , к которым обраща лись хотя бы раз (дос таточно команды DIR).Пос кольку все бутовые вирусы перехваты вают прер ывание 13h, они обычно конфликтуют с драйверами , поддерживающими нестандартные форматы ( например , 720 К ). В лучшем случае при этом про исходит зависание систем ы или вы дача сообщения о делении на н оль.В худшем случае операцион ная система оста ется работоспособной , на дискету что-то пи шетс я но потом ничего прочитать с нее нел зя.Особое внимание следует обратить на тот факт , что бутовые в и русы перехв а - тывают преравание с клавиатуры и могут пережить в оператив ной памяти мягкую пе резагрузку ( т.е . перезагрузку с помощью нажатия клавиш Ctrl-Alt-Del ). Следует отмет ить , что число известных чисто бутовых вир усов намного меньше , чем файловых , и , кроме того , скорость их размножения ниже ( число дискет заведомо меньше , чем количе ство файлов на них ). В целом заражение "чис тым " бутовым ви русом является признаком беспе чности и недостаточной квали фикации пользователя в большей степени ,чем заражен и е фай - ловым вирусом. Поскольку резкого отличия между файловыми и бутовыми виру - сами нет , некоторые вирусы являются смешанными и заражают как файлы , так и бут-секторы.Такие "гибридные вир усы " имеют более высокую инфицирующую способн ость , чем "чистые " ти пы , однако выявляют ся легче,чем файловые вирусы,поскольку имеют ф иксированное место заражения на винчестере , ц елостность которого обычно контролируется больши нством ревизоров.Поми мо зараженных исполняемых фа йлов , файловобутовые вирусы мо гут переноситься на дискетах , содержащих только фа йлы дан - ных,как обычные бутовые вирусы . Кр оме того , загружаясь из MBR, легче обойти рез идентные средства контроля , поскольку инсталяция вируса проходит на "чистой " машине. АКТИВ HЫЕ СТЕЛС - ВИРУСЫ Hемного о том , что такое стелс - вирусы . Этим термином назы вают вирусы , в алгоритмах которы х заложена возможность мас - кировать свое присутствие в зараженной машине . Первые вирус ы не обладали такими возможностями и их легко было обнаружить при визуальном просм отре исполняемых ф айлов на зараженн ой машине . Применение даже простейших антивир усных средств не - медленно останавливало расп ространение таких вирусов , и они перестали вызывать эпидемии . Появление антивирусных прогр амм привело к новом витку в развитии технологии написания виру - сов , и п оявление вирусов - невидимок стало естественным ша - гом в таком развитии . Вирусы , исполь зующие приемы маскировки нельзя увидеть средс твами операционной системы ( например , нажав в VC или NC клавишу F3 ). Это происходит потому , что вирус , а к тивно работающий вместе с операционной системой , при открытии фай ла на чтение немедленно удалил свое тело из зараженного файла , а при закрытии файла заразил его опять . Это только один из возможных приемов маскировки , существуют и другие . Так же маскируютс я и загрузочные (бутовые ) вирусы При попытке прочитать ВООТ (загрузочный ) сектор они з аменяют его оригинальнам , не зараженным. Hо способность к маскировке оказалась слабым местом стелс - вирусов , позволяющим л егко обнаружить их наличие на машине . Дост аточно сравнить информацию о файлах , выд аваемую DOS, с фактической , содержащейся на диске , и несовпадение данных однозначно говорит о наличии вируса . То есть способность к к маскировке демаскирует эти вирусы !!! КЛАССИФИКАЦИЯ А HТИВИРУС HЫХ ПРОГРАММ Антивирусы мо ж но классифицировать по пяти основным группам : фильтры , детекторы , ревизоры , доктора и вакцинаторы. Антивирусы-фильтры ( сторожа ) - это резидентные программы , которые оповещают пользователя о всех попытках какой-либо программы записатьс я на диск , а уж тем более отформ атировать его , а также о других подозрите льных действиях (например о попытках изменить установки CMOS). При этом выводится зап рос о разрешении или запрещении данного действия . Принцип работы этих программ основан на перехвате соответствующих векторов п рерываний . К преимуществу программ этого клас са по сравнению с программами-детекторами мож но отнести универ сальность по отношению как к известным,так и неизвестным вирусам,тогда как детекторы пишутся под конкретные,известные на данный момент пр о граммисту виды . Это особенно актуально сейчас,когда по явилось множество вирусов-мутантов,не имеющих пост оянного кода . Однако , программы-фильтры не могу т отсле - живать вирусы , обращающиеся непосредс твенно к BIOS, а также BOOT-вирусы , активизирующиеся ещ e д о запуска антивируса , в начальной стадии загрузки DOS. К недостаткам т акже можно отнести частую выдачу запросов на осуществление какой-либо операции : ответы на вопросы отнимают у пользователя много времени и действуют ему на нервы . При установке некоторых антивирусов-фильтров могут возникать конфликты с другими резиде нтными программами , использующими те же преры вания , которые просто перестают работать. Наибольшее распространение в нашей стране получили програм мы-детекторы,а вернее программы , объединяющие в себе детек - тор и доктор . Наиболее известные представители этого класса - -Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рас - смотрены подробнее . Антивирусы-детекторы расчитаны на конк - ретные вирусы и основаны на сравнен ии последовательности к о дов содержащ ихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять , так как они быст ро устаревают и не могут обнаруживать новые виды вирусов . Ре визоры - программы , которые анализируют текущее состоя - ние файлов и сис темных обла стей диска и сравнивают его с информацией , сохранённой ранее в одном из файлов данных ре - визора . При этом проверяется со стояние BOOT-сектора , таб - лицы FAT, а также длина файлов , их время создания , атри - буты , контрольная сумма . Анализируя с ообщения программы-ре - визора , пользователь может решит ь , чем вызваны изменения : вирусом или нет . При выдаче такого рода сообщений не следует предаваться панике , так как причиной изменений , например , длины программы может быть вовсе и не вирус.Самые изощ р енные антивирусы - вакцинаторы . Они записыв ают в вакцинируемую программу признаки конкре тного вируса так , что вирус считает ее уже зар aженной.Таким образом , вирус не м ожет заразить эту программу . Вакицины могут быть пассивные и активные. Пассивная ва кцина представляет собой пакетную программу , которая за один вызов обрабатывает специ альным образом файл или все файла на диске либо в каталоге .Обычно при такой обработке проставляется признак,который вирус и спользует для того , чтобы отличить зараженные програ м мы от незараженных . Hаприм ер , некоторые вирусы дописывают в конец за раженных файлов определенную строку . Если иск усственно дописать в конец всех программ эту строку , то такие программы не будут заражаться вирусом , поскольку он будет счит ать , что они уже з а ражены.Обработа нная таким образом программа является вак - цинированной против данного вируса , при ч eм операция вакци - нации является обратим ой : когда опасность заражения будет ликвидиро ванна , строку можно из файла удалить . Друг ие вирусы проставляют в по л е даты заражаемых программ значение секунд , рав ное 62(MS-DOS допускает запись такого явно нереально го значения ). Вакцина может проставить этот признак у всех выполняем ых программ , которые тем самым будут защищ ены от заражения дан ным типом вируса . В этом с лучае вакцинирование является не - обратимым в том смысле , что восстановить первоначальное зна чение скунд не удастся,хот я они,конечно,могут быть сброшены. Активные вак цины являются резидентными программами , действие которых основано на имитации присутстви я вируса в оператив - ной памяти.Поэтом у они обычно применяются против резидентных вирусов.Если такая вакцина находится в па мяти , то , когда при запуске зараженной про граммы вирус проверяет , находится ли уже в оперативной памяти его копия , вакцина им етиру е т нали чие копии . В этом случае вирус просто передает управление прог рамме - хозяину и его инсталляция не проис ходит . Прос - тейшие вакцины представляют собой выделенный и слегка моди - фицированный (л ишенный спосбности к размножению ) вирус.Поэ - то му они могут быть оперативно изгот овлены - быстрей чем доктора.Боле сложные вакци ны (поливакцины ) имитируют наличие в оперативн ой памяти нескольких вирусов. Конечно,приведенный список не исчерпывает всего многообразия антивирусных программ , хотя и охватывает осно вые их разно - видн ости . Каждая из антивирусных программ подобна узкому специалисту в определенной области , поэтому оптимальной так тикой является комплек сное применение нескольких типов ан - тивирусн ых средств. А теперь немного о некоторых антивирусах. AI DSTEST В нашей ст ране , как уже было сказано выше , особую популяр ность приобрели антивирусные программы , совмещающие в себе функции детекторов и докторов . Самой известной из них явля - етс я программа AIDSTEST Д.Н.Лозинского . В России практиче ски на каждом IBM-совместимом персональном компьютере есть одна из версий этой программы . Одна из последняя версия обнаружи в ает более 1100 вирусов. Aidstest для своего нормального функционирования требует , чтобы в памяти не было резид ентных антивирусов , блокирующих зап ись в программные файлы , поэтому их следует выг рузить , либо указав опцию выгрузки самой р езидентной программе , либо воспользоваться соотве тствующей утилитой ( например в Волков Комманд ере для этих целей есть специальный пункт в меню ). При запуске Aidstest проверяет себя операт ивную память на наличие известных ему вир усов и обезвреживает их . При этом парализу ются только функции вируса , связанные с ра змножением, а другие побочные эффекты могут остав аться . Поэтому прог - рамма после окончания обезвреживания ви руса в памяти выдает запрос о перезагрузке . Следует обязательно последовать этому совету , если оператор ПЭВ М не является системным програм - мистом , з анимающимся изучением свойств вирусов . При че м сле дует перезагрузиться кнопкой RESET, так как при "тепло й пе - резагрузке " неко торые вирусы могут сохраняться . В добавок , лучше запустить машину и Aidstest с защищенной от записи дискеты , так как при запуске с зараженного диска вирус может записаться в память резидентом и препятствовать леч ению. Aidstest тестиру ет свое тело на налич ие известных вирусов , а также по искажения м в своем коде судит о своем заражени и неизвестным вирусом . При этом возможны с лучаи ложной тревоги, например при сжатии антивируса упаковщиком. Программа не имеет графического интерфейс а и реж имы ее рабо ты задаются с помощью ключей.Указав путь , можно проверить не весь диск , а отдельный подкаталог. Как показала практика , самый оптимальный режим для еже днев ной работы задается ключами /g (проверка вс ех файлов , а не только с расширением EXE,COM,S YS) и /s (медленная проверка ). Увеличивание вр емени при таких опциях практически не ощу тимо (полностью "забитый " жесткий диск емкостью 270 Мегобайт на машине с процессором 486DX2 тест ируется меньше минуты ), зато вероятность обнар ужения на порядок выше. DOC TOR WEB В последнее время стремительно растет популярность другой антивирусной программы - Doctor Web. Dr.Web также , как и Aidstest относится к классу детекторов - докторов , но в от - личие от последнего имеет так называемый "эвристический ана лизатор " - а л горитм , позволяющий обнаруживать неизвестные виру сы . "Лечебная паутина ", как переводится с ан глийского название программы,стала ответом отечес твенных программистов на нашествие самомодифицир ующихся вирусов-мутантов , которые при размножении модифицируют с в ое тело так , ч то не остается ни одной характерной цепоч ки байт , присутствовавшей в исход ной версии вируса . Dr.Web можно назвать антивирусом нового поколения по сравнению с Aidstest и его аналогам и . В пользу этой программы говорит тот факт , что крупную ли ц ензию ( на 2000 компьютеров ) приобрело Главное управление и нформацион - ных ресурсов при Президенте РФ , а второй по величине покупа тель "паутины " - "Инкомбанк ". Управление режимами также как и в Aidtest осуществляется с помощь ключей . Пользователь может у казать программе тести - роват ь как весь диск , так и отдельные подка талоги или группы файлов , либо же отказать ся от проверки дисков и тестировать тольк о оперативную память . В свою очередь можно тестировать либо только базовую память,либо , вдобавок , ещ e и р асширенную (ука зывается с помощью ключа /H ). AVSP (Anti-Virus Software Protection) Интересным пр ограммным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор,и док тор,и ревизор , и даже имеет некоторые функ ции резидентного фильтра ( запрет записи в файлы с атрибутом READ ONLY).Антивирус может ле чить как известные так и неизвестные виру сы , при чем о способе лечения последних программе может сообщить сам пользователь . К тому же AVSP может лечить самомодифицирующиеся и стелс-ви русы (не в идимки ). В с остав пакета AVSP входит также резид - ентный драйвер AVSP.SYS, который позволяет обнаруживать большин ство невидимых вирусов , дезактивировать вирусы на время своей работы , а также запрещае т изменять READ ONLY файлы . ONLY будет снят . Поставить ф айлы под защиту можно клавишей F7. Еще одна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов , правда вместе с вирусами драйвер отключает и некоторые другие резидентные программы . Конечно , полность ю все возможности программы реа л и зуются в руках человека , знакомого с ассемблером и систем ным программированием . В AVSP имеется возможность просмат - ривать файлы в разных форматах . При входе в режим просмотра на экран выводятся две колонки : слева содержимое просматри - ваемого файла в в иде шестнадцатиричных кодов , а справа - в виде ASCII-кодов . Кроме того вывод ится полезная системная информация , которая п оможет при написании процедуры удаления вирус а . Передвигая курсор,можно перейти на любой адрес , есть также функции поиска шаблонов , ср а внения файлов . Можно установить , в каком формате будет просматриваться , н апример , заголовок : как у EXE-файла , SYS-файла ил и в формате загру - зочного сектора . При этом хорошо реализован сам просмотр за голо вка : его системные ячейки представлены в в иде таб л ицы : слева значение ячейки , справа - пояснение. Еще одной полезной функцией является встроенный дизассембл ер . С его помощью можно разобраться есть ли в файле вирус или при проверке диска произошло ложное срабатывание AVSP. Кроме того можно попытат ься выяснить способ заражения , прин цип действия вируса , а так же место , куда он "спрятал " за - мещ eнны е байты файла (если мы имеем дело с таким типом ви руса ). Все это позволит н аписать процедуру удаления вируса и восстанов ить запорченные файлы . Для п олного счастья нехва - тает только трассировщика,хотя в неумелых руках такая функция может привести к заражению ещ e большего колличест ва данных . Еще одна полезная функция - выда ча наглядной карты изменений . Особенно ясно я это понял , когда у меня возникл о подозрение в отношении одного из файлов (который не должен был , вроде бы , меняться ). Карта изменений позволяет оц енить , соот - ветствуют ли эти изменения в ирусу или нет , а также сузить область поиска тела вируса при дизассемблировании . Пр и е e построении красный прямоугольни к используется для изображе - ния измен eнн ого блока , синий - неизмен eнного , а прозрачн ый - - нового. Если есть подозрение , что в систему забрался Stealth-вирус , можно запустить AVSP с параметром /D с жесткого диска , а затем з агрузиться с чист ой системной дискеты и запустить AVSP без пар аметров . Если результаты проверки контрольных сумм отличаются в обоих случаях , то подоз рения оправданы . В программе AVSP есть два ал горитма нейтрализации "невидимок " и оба они работают только п р и наличии ак тивного вируса в памяти. Microsoft Antivirus В состав с овременных версий MS-DOS (например 6.22) входит антивирусна я программа Microsoft Antivirus (MSAV). Этот ан - тивирус может работать в режимах детектора - доктора и р евизора . MSAV имеет друж ественный интерфейс в стиле MS-Windows. При запуске проверки диска (как в режиме удале - ния , так и без нег о ) программа сначала сканирует память на н аличие известных ей вирусов . При этом выво дится индикация проделанной работы в виде цветной полоски и проц е нта вып ол - ненной работы . После сканирования памяти MSAV принимается за проверку непосредственно диска . ADINF (Advanced Diskinfoscope) ADinf относится к классу программ-ревизоров . Антивирус имеет в ысокую скорость работы , способен с успехом противостоять в ирусам , находящимся в па мяти . Он позволяет контролировать диск , читая его по секторам через BIOS и не использу я сис - темные прерывания DOS, которые может п ерехватить вирус . Программа ADinf получила первый приз на Втором Всесоюзном конкурсе антивирусн ых п р ограмм в 1990 году , а также второй приз на конкурсе Borland Contest'93. В отличие от AVSP, в котором пользователю приходится самому анализировать , заражена ли машина стелс-вирусом , загружаясь сначала с винчестера , а потом с эталонной дискеты , в ADinf эта о перация происходит автоматиче ски . Это происходит благо даря оригинальному а лгоритму противодействия этим вирусам - -"невидимкам ", суть которого заключается в том , что сначала диск читается непосредственно через BIOS,а потом - с помощью DOS. Если информация будет отличаться,то в системе стелс-ви рус . ADinf был единственным антивирусом , который летом 1991 года обнаружил вирус DIR, построенный на п ринципиально новом способе заражения и маскир овки.Для лечения зараж eнных файлов применяетс я модуль ADinf Cure Modu l e, не входящий в п акет ADinf и поставляющийся отдельно . Принцип рабо ты модуля - - сохранение небольшой базы данных , описы вающей контролируе мые файлы . Работая совместно , эти программы позволяют обна - ружить и удалить около 97% файловых вирусов и 100% виру сов в загрузочном секторе. В отличие от других антивирусов Advansed Diskinfoscope не требует загрузки с эталонной , защищ eнной от записи дискеты . При загрузке с винчестера надежность защиты не уменьшается . ADinf имеет хорошо выполненный дружественный инт ерф ейс , который в отличие от AVSP реализо ван не в текстовом , а в графическом ре жиме . Программа работает непосредственно с ви део-памятью , минуя BIOS, при этом поддерживаются вс е гра - фические адаптеры . Наличие большого колличества ключей поз - воляет пользов а телю создать максимально удобную для него конфигурацию системы . Можно установить , ч то именно нужно контролировать : файлы с за данными расширениями , загрузочные сектора , наличие сбойных кластеров , новые файлы на наличие стелс-вирусов , файлы из списка неизме н яемых и т.д . По своему желанию пол ьзователь может запретить проверять некоторые каталоги (это нужно , если каталоги являются рабочими и в них вс e время происходят изменения ). Имеется возможность изме нять спос об доступа к диску (BIOS, Int13h или Int25h/26h ) , редактировать список расширений проверяемых файл ов , а также назначить каждому расширению с обственный вьюер , с помощью которого будут просматриваться файлы с этим расширением. При инсталяции ADinf в систему имеется во зможность изменить имя основного файла ADINF.EXE и имя таблиц , при этом пользо ватель мо жет задать любое имя . Это очень полезная функция , так как в последнее время по явилось множество вирусов , "охотящихся " за анти вирусами (например , есть вирус , который изменяе т программу Aidstest так,что она в место заставки фир мы "ДиалогНаука " пишет : "Лозинский - пень "), в том числе и за ADinf. Полезной функцией является возможность ра боты с DOS не выхо дя из программы . Это б ывает полезно , когда нужно запустить внешний антивирус для лечения файла , если у п ольз ователя нет лечащего блока ADinf Cure Module. Еще одна интересная функция - запрещение работы с системой при обнаружении изменени й на диске . Эта функция полезна , когда за терминалами работают пользователи , не имею щие ещ e большого опыта в общении с ком пьюте ром.Такие пользователи по незнанию и ли по халатности могут проигнорировать сообще ние ADinf и продолжить работу как ни в ч eм не бывало , что может привести к тяж eлым последствиям . Если же установлен ключ -Stop в строке вызова ADinf AUTOEXEC.BAT, то при обна р ужении изменений на диске програ мма потребует позвать системного программиста , обслуживающего данный терминал , а если поль зо ватель нажмет ESC или ENTER, то система перезагруз ится и все повторится снова.И вс e же эт а функция продумана не до конца , так к ак п родолжение работы возможно при нажатии клавиши F10. Ведь большинство пользоват елей , даже если они впервые сели за ко мпьютер , даже при минимальном на то желани и смогут про должить работу , воспользовавшись " правилом научного тыка ", то есть нажав на все клав и ши подряд . Для повыш ения над eжнос ти защиты от таких пользова телей следовало бы ввести хотя бы какой-ни будь простенький пароль. Принцип работы ADinf основан на сохранении в таблице копии MASTER-BOOT и BOOT секторов , список номеров сбойных класте - ров , схе му дер ева каталогов и информацию о всех контрол ируе мых файлах . Кроме того , программа запомина ет и при каждом запуске проверяет , не изменился ли доступный DOS объем оперативной пам яти (что бывает при заражении большинством загрузочных вирусов ), количество установ ленных винчестеров , таблицы параметров винчестера в области переменных BIOS. При первом запуске программа запоминает объем оперативной памяти , находит и запом инает адрес обработчика прерывания Int 13h в BIOS, кото рый будет использоваться при всех по с ледующих проверках , и строит таблицы для п роверяемых дис ков . При этом проверяется , показ ывал ли вектор прерывания 13h в BIOS перед загру зкой DOS. При последующих запусках ADinf проверяет об ъем оперативной памяти , доступной DOS, переменные BIOS, загрузоч н ые сектора , список номер ов сбойных кластеров (так как некоторые ви русы , записавшись в кластер , помечают его , как сбойный,чтобы их не зат eрли другие данные , а также не обнаружили примитивные антивирусы ). К тому же антивирус ищет вн овь созданные и уничтожен н ые подк атало ги,новые , удаленные , переименованные , перемещ e нные и изме - нившиеся файлы ( проверяется и зменение длины и контрольной суммы ). Если ADinf обнаружит , что , изменился файл из списка неизменяемых , либо в файле произошли изменилс я без изменения д а ты и времен и , а также наличие у файла cтранной дат ы ( число больше 31, месяц больше 12 или год больше текущего ) или времени ( минут больше 59, часов больше 23 или секунд больше 59 ), то он выдаст предупреждение о том , что воз можно заражение вирусом. Если обнаружены изменения BOOT-секторов , то можно в режиме диалога сравнить сис темные таблицы , которые были до и после изменения , и по желанию восстановить прежни й сектор . После восстановления измененный сек тор сохраняется в файле на диске для последующего ана л иза . Новые сбойные кластеры (вер нее информация о них в FAT) м огут появиться после запуска какой-либо утили ты , лечащей диск ( например NDD ) или благодаря действиям вируса . Если ADinf выдал сообщение, а пользовате ль не запускал никаких подобных утилит , то скорее всего в компьютер забрался вирус . При получении такого сооб - щения сл едует продолжить проверку , внимательно следя за всеми сообщениями об изменениях файлов и загрузочных секторов . Если в системе действительно вирус , то такие сообщения не заставят с ебя долго ждать (ведь если все тело вируса будет находиться в "сбойном " кластере , ему никогда не переда стся управление ). СВОДНАЯ ТА БЛИЦА ОПИСАННЫХ АНТИВИРУСНЫХ ПРОГРАММ ИМЯ AIDSTEST DR.WEB AVSP ADINF MSAV Фильтр Доктор Ревизор Детектор Поддержка мыши - + + + + Оконный интерфейс - + + + + Обнаружение Stealth вирусов - - + + + Обнаружение неизвестных вирусов - + + + + Время работы при задании соответ ств. режимов /g/s /a/s2/v /o/u каче ство * все файлы по ум- олчанию по умол- чанию , с контрол. су ммами 2.5 мин 23мин 4-11 мин 1 мин 1мин 20 сек Сноски таблицы : * - Файлы с расширениями com,exe,ov?,bin,sys. ПОСЛЕСЛОВИЕ На мой взг ляд , из всех отечественных программ , рассмотре нных здесь ADinf является самой полной , логически завершенной антивирусной с истемой . Остал ьные программы находятся , как бы в стадии развития . Программы-фаги , в принципе , не мо гут достигнуть логического завершения , так ка к должны развивать ся , чтобы противостоять нов ым вирусам , хотя Dr.Web уже пошел по пути у совершенствования инте р фейса . Высок п отенциал у программы AVSP, которая при соответств ующей доработке ( уп - рощении алгоритмов поиска стелс-вирусов , введении низкоуров невой защиты , улучшении интерфейса ) может занять высокие позиции в среде антивирусов. СПИСОК ЛИТ ЕРАТУРЫ 1. В. Э.Фигу рнов "IBM PC для пользователя ". 1993 г. 2. Ф.Файтс , П.Дж онстон , М.Кратц "Компьютерный вирус : пробле мы и прогноз ". 1993 г. 3. Н.Н.Безруков "Классификация компьютерных вир усов MS-DOS и методы защиты от них ". 1990 г. 6. Документации на антивирусные про граммы. 7. Собственный опыт.
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Порядок, наведенный перед приходом гостей, подобен втянутому животу.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, реферат по программированию "Заражения вирусом программных файлов", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru