Курсовая: Антивирусы и вирусы - текст курсовой. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Курсовая

Антивирусы и вирусы

Банк рефератов / Информатика, информационные технологии

Рубрики  Рубрики реферат банка

закрыть
Категория: Курсовая работа
Язык курсовой: Русский
Дата добавления:   
 
Скачать
Архив Zip, 33 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникальной курсовой работы

Узнайте стоимость написания уникальной работы

ВВЕДЕНИЕ Формально компьютерным вирусом н азывается программа, которая может заражать другие программы путем вкл ючения в них своей, возможно модифицированной, копии, причем последняя с охраняет способность к дальнейшему размножению. Помимо заражения, виру с, подобно любой другой программе, может выполнять и другие несанкционир ованные действия, от вполне безобидных до крайне разрушительных. Выполн яемые вирусом несанкционированные действия могут быть обусловлены нас туплением определенной даты, или определенным количеством размножений , например записью зараженной программы на винчестер. При этом комбинаци я этих условий может быть достаточно сложной, чтобы затруднить ее опреде ление. Инфицируя программы, вирусы могут ра спространяться от одной программы к другой, что делает их более опасным по сравнению с другими методами компьютерного вандализма. Зараженные п рог раммы могут передаваться через дискеты или по сети на другие ЭВМ. В св язи с широко распространенной практикой обмена и передачи программ на д искетах среди пользователей ПЭВМ количество зараженных программ может быть значительным, приводя к своего рода эпидемиям. ПРОЦЕСС ЗАРАЖЕHИЯ Упрощенно процесс заражения виру сом программных файлов можно представить следующим образом. Код зараже нной программы обыч но вирус получил управление первым до начала работы програм мы - вирусоносителя. При передаче управления вирусу он каким-то способом находит новую программу и выполняет вставку собствен ной копии в начало или добавляет ее в конец этой обычно еще не зараженной программы. Если вирус дописывается в конец программы, то он то он коррект ирует код программы, чтобы получить управление первым. Для этого первые несколько байтов запоминаются в теле вируса, а на их место вставляется к оманда перевода на начало вируса. Этот способ является наиболее распрос траненным. Получив управление, вирус восстанавливает "спрятанные" первы е байты, а после обработки своего тела передает управление программе - ви русоносителю и та нормально выполняет свои функции. Возможны случаи, ког да вирус включает себя куда-то в середину программы, например в область с тека. Последние случаи встречаются редко. СТРУКТУРА КОМПЬЮТЕРНОГО ВИР УСА Наиболее распространенными типам компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые ре зидентные и бутовые вирусы. Разбор анатомии компьютерных вирусов начне м с анализа структуры нерезидентного файлового вируса как простейшей р азновидности этого класса системных программ. Структурно компьютерный вирус можн о представить состоящим из двух частей: головы и хвоста. Головой называе тся часть вируса, которая первой получает управление. Хвост вируса - это ч асти вируса, расположенные отдельно от головы. В простейшем случае вирус может состоять из одной головы, и действительно файловые вирусы обычно так и устроены. Такие вирусы будем называть несегментированными. В отлич ие от них сегментированные вирусы имеют располагающийся отдельно хвос т и в какой-то мере аналогичны оверлейным программам. Примером сегментир ованных вирусов являются бутовые вирусы, хотя возможна реализация сегментированных фа йловых вирусов. СТРУКТУРА ФАЙЛОВОГО НЕРИЗЕДЕ НТHОГО ВИРУСА Файловые вирусы являются наиболе е распространенной разновидностью компьютерных вирусов. Принципиальн о они заражают любой вид исполняемых файлов, существующих в MS DOS:com,exe, ovl и т.д. Од нако основными объектами заражения являются соm и ехе - файлы. Наиболее пр осто осуществляется заражение соm файлов, которые представляют собой по чти точную копию участ ка памяти с загруженной программы. Единственная требуемая настройка при загрузке com - файлов состоит в загрузке сегментны х регистров значениями, соответствующими месту загруз ки программы. Зна чительная часть com - файлов начинается с команды перехода, обходящей содер жащиеся в начале программ данные. При заражении com - файлов вирус запомин ает в своем теле первые три (или больше) байта программы и вместо них запис ы вает переход на начало собственного кода. Так поступает боль шинство ф айловых вирусов, заражающих com - файлы, но не все. Дело в том, что при дописыва нии тела вируса в конец заражаемого файла весь код вируса должен быть на писан специальным образом, обычно называемым позиционно-независимым п рограммированием: при выполнении программы все ссылки должны адресова ться через смещения, которое обычно хранится в одном из регистров. Некоторые вирусы используют более примитивный подход: вм есто дописывания своего тела, в конец заражаемого com - файла они перемещаю т туда первые несколько блоков программы, а сами записываются на место о свободившихся блоков. В этом случае только программа восстановления ис ходного состояния программы должна быть позиционно-независимой или ра змещаться где-то в фиксированных адресах памяти, используя какой-то неис пользу емый ее участок. Вставка тела вируса при заражении может выполняться не т олько в хвост файла. Встречаются случаи имплантации в начало или середин у файла. Вставка в начало файла. В этом случае первые блоки (или все тело ) заражаемой программы обычно переписываются в конец, поэтому до пе редачи управления зараженной программе вирус должен предварительно пе реписать эти блоки на первоначальное место, заменив ими собственный код . С этой целью вирус должен переместить свое тело или хотя бы соответству ющую часть сво его кода таким образом, чтобы она не была затерта в процесс е операции перезаписи. Некоторые примитивные вирусы, записыва ясь в нач ало заражаемого файла, не сохраняют его содержимого. При этом естественн о, зараженный файл уничтожается, а вирус, должен как-то замаскировать тот факт, что вызываемая програм ма является неработоспособной. Для этой це ли иногда используется какое-нибудь подходящее сообщение об ошибке. Вставка в конец файла. Это наиболее распространенный слу чай. При этом необходимо обеспечить передачу управления коду вируса до н ачала работы зараженной программы. Для файлов типа com чаще всего это реали зуется заменой нескольких первых байтов программы (обычно трех на коман ду перехода ). При этом сами заменяемые байты обязательно должны быть сохранены где-то в теле вируса, что обеспечивает возможно сть их восстановления. Когда инсталлятор вируса получает управление, то обычно в начале своей работы он восстанавливает, измененные вирусом бай ты в первоначальном виде. Вставка в середину файла. Этот способ заражения встречае тся редко. Во-первых, этот способ используется вирусами поражаю щими осо бый класс программ, особенности, структуры которого заранее известны, на пример, только файл command.com. Во-вторых, и это наиболее частый случай, вставка в середину возможна путем перебрасывания замещаемых блоков в конец файл а. В част ном случае, когда заражаемый файл содержит область нолей или дру гих повторяющихся байт достаточного размера, вставка в середину происх одит без увеличения длины программы, что затрудняет обнаружение зараже нных файлов. Вставка в середину может произойти и случайно. Например, это происходит для обычных вирусов, цепляющихся к концу exe-файла, если в заго л овке неправильно указана его длина т.е. часть используемая в качестве бу фера или неявного оверлея. В этом случае вирус считает, что файл имеет дли ну, указанную в заголовке, и запи сывает свой код в область буфера или ове рлея. При этом он оказывается в середине действительно занимаемого данн ой программой файла. И наконец, файл может быть заражен несколь кими виру сами, однотипно заражающими файл ( обычно дописы вающими свой код в конец файла ). В этом случае вирус, пер вым заразившим данный файл, оттесняется к середине файла последующими вирусами. Являясь сравнительно редкими, ук азан ные случаи довольно часто не учитываются создателями антиви русны х программ, в частности детекторов и фагов, которое, увлекаясь оптимизац ией времени выполнения своих программ, принимают " слишком сильные " допу щения о расположении кода вируса в теле зараженной программы. В результа те файл может быть не детектирован как зараженный или вылечен неправиль но. Как уже указывалось, при вставке в конец или середину файла вирус долж ен каким-то образом обеспечить передачу себе управлению. При этом необяз ательно изменять именно первые байты программы. Возможно изменение дру гих байтов. Например, если программа начинается с команды безусловного п ерехода, вирус может определять адрес перехода и модифицировать команд ы, расположенные по этому адресу. Поэтому часто выска зываемое мнение о т ом, что для нейтрализации вируса в зараженном файле достаточно восстано вить его первые байты, следует признать неверным. СТРУКТУРА ФАЙЛОВОГО РЕЗИДЕНТ НОГО ВИРУСА Файловые резидентные вирусы, поми мо отдельных файлов, заражают, если так можно выразится, и память компьют ера. Предельно упрощая, память компьютера можно рассматривать как еще од ин файл, который можно заражать, дописываясь " в голову ", т.е. в область млад ших адресов свободного участка памяти, " в хвост ", т.е. в область старших адр есов свободного участка памяти, и, наконец, " в середину ", т.е. в область адре сов уже используемых операционной системой или какой - нибудь программ ой. Вместе с тем структура резидентного вируса существенно отли чается от структуры нерезидентного вируса. Рез идентный вирус можно представлять как состоящий из двух относительно н езависимых частей: инсталлятора и модуля обработки прерываний. Последн ий, в свою очередь, состоит из ряда программ обработки. Несколько упрощая, можно считать, что на каждое перехватываемое прерывание приходится сво я программа обработки. Инсталлятор получает управление при выполнении заражен ной программы и играет роль своеобразной ракеты-носителя, запус кающий вирус на орбиту, т.е. в оперативную память. Он отраба тывает один раз - после запуска зараженной программы, и его целесообразно рассматривать как сп ециализированный файловый вирус заражающий оперативную память и, возможно, обычные файлы (чаще всего commmand.com ). В последнем случ ае инсталлятор фактически является доработанным для заражения операти вной памяти файловым вирусом. После закрепления в оперативной памяти инсталлятор выпо лняет так называемый перехват прерываний - обеспечивание передачи упра вления модулям вируса, обрабатывающим соответствующее пре рывание. Это может делаться "в лоб", т.е. путем использования соответствующих функций MS - DOS, или " с черного хода " - нестандартным способом, обеспечивающим в общем с лучае более высокую степень маскировки. При любом способе конечный эффе кт состоит в том, что при выполнении определенной функции MS-DOS управление б удет передаваться вирусу .При этом вирус может содержать дополнительны й механизм, обеспечивающий получение управления раньше других програм м, перехвативших это же прерывание. Такие резидентные вирусы будем назыв ать всплываю щими. Всплытие помогает вирусу обходить простейшие програ ммы сторожа, основанные на перехвате тех же прерываний, поскольку они бу дут получать управление после вируса. Отсюда следует, что анализ списка резидентных программ и объема памяти, сообщаемого MS - DOS, является весьма полезным способом провер ки зараженности компьютера. Функционирование резидентного файлового вируса можно п редставить как две стадии: инсталляции и слежения. При запуске зараженно й программы управление получает инсталлятор, ко торый обеспечивает укр епление вируса в оперативной памяти, перехват требуемых прерываний и, во зможно, маскировку(с целью затруднить свое обнаружение среди резидентн ых программ). Эта фаза работы называется фаза инсталляции. В дальнейшем к аждый раз при возникновении одного из перехваченных вирусом преры вани й управление получает модуль обработки соответствующего прерывания. П ри этом вирус может анализировать поступивший запрос и в зависимости от его вида выполнять те или иные действия. Например, в MS-DOS загрузка программы в оперативную память (с последующим выполнением и без оного) реализован о с помощью функции 4Bh прерывания 21h (Exec). Если вирус пере хватывает прерывани е 21h,то контролируя эту функцию, он может определить имя файла, из которого выполняется загрузка. Тем самым появляется возможность заразить прогр амму в этом файле. Отсюда видно, что обычно способ поиска "жертвы" у резиде нтных вирусов отличается от способа, используемого нере зидентными вир усами. Нерезидентные вирусы получают управление после загрузки в памят ь зараженной программы, а затем ищут файл-жертву, используя параметры PATH и ли другую информацию о расположении выполняемых программ. Если жертва н айдена, то она заражается, а затем управление возвращается зараженной пр ограмме. Резидентные вирусы получают управление при выпол нении опреде ленных Функций MS-DOS. Как правило, это функции обслуживания файловой систем ы. Получив управление при обраще нии программы к определенной функции, о ни определяют контекст этого обращения (имя файла, соответствующего вып олняемой про грамме), а затем выполняют над этим файлом определенные дей ствия (например, заражение ). Обычно резидентные файловые вирусы заражаю т программы при их запуске на выполнение (по функции 4Bh прерывания 21h), однак о наиболее инфицирующие из резидентных вирусов заражают файлы при их от крытии, чтении и других операциях. СТРУКТУРА БУТОВОГО ВИРУСА Бутовые вирусы являются весьма сп ециализированными разновид ности резидентных файловых вирусов . Упрощ енно бутовый вирус можно представить себе как специализированный рези дентный вирус, который заражает единственны " файл " - загрузочный сектор г ибкого или жесткого диска. Четкого различия между резидентными файловы ми вирусами и бутовыми вирусами не суще ствует: в последнее время появил ись гибриды , сочетающие за ражение файлов с заражением бут-сектора винч естера. Это подчеркивает близость основных принципов организации этих двух типов вирусов. Распространяются бутовые вирусы пу тем инфицирования бут-сек тора дискет, причем как загружаемых (содержащ их копию MS - DOS ), так и не загружаемых (содержащих любую информацию). За ражени е не загружаемых дискет связано с определенным психологическим расчет ом, который, к сожалению, слишком часто оправдывается : при перезагрузке MS-DOS пользователи обычно забывают проверить , вставлена ли дискета в диско вод A, и часто перезагрузка выполняется с вставленной в указанный ди сков од дискетой, с которой вирус и попадает на винчестер. Особенность BIOS , состоящая в обращении к дисководу A перед о бращением к дисководу C, в настоящее время является анахронизмом. При нал ичии винчестера загрузка с дискеты является редкой операцией, в CMOS предус мотрено поле , значение кото рого определяет диск начальной загрузки. Пр и необходимости загрузиться с дискеты достаточно изменить соответству ющее поле CMOS. Инфицированная дискета всегда содержит часть кода вирус а в бут-секторе, поэтому бутовые вирусы легко обнаружить. Поскольку стру ктура стандартного загрузчика лишь незначительно меняется от версии к версии MS-DOS, при просмотре бут-сектора дискеты на незараженном компьютере легко видеть изменения загрузчика. Как уже указывалось, файловые вирусы обычно состоят из од ного сегмента. Впрочем, первую команду JMP , подставляемую большинством фай ловых вирусов, дописывающих свое тело в конец файла, можно рассматривать как вырожденный сегмент. Бутовый вирус всегда состоит из нескольких сег ментов. Обычно таких сегментов два: голова и хвост. Положение головы буто вого ви руса на дискете определено однозначно: она всегда расположена в бут-секторе и занимает ровно сектор. Hа винчестере ситуация немного слож нее: голова бутового вируса может рас - полагаться в одном из его двух бут- секторов - главном (MBR - MASTER BOOT RECORD), расположенном по абсолютному дисковому адре су 0/0/1,или бут-секторе логического диска C, обычно за нимающего первый сект ор соответствующего логического диска. Хвост бутового вируса может располагаться в разных места х, на пример в кластерах, отмеченных на диске как сбойные и тем самым искл юченных из дальнейшего распределения (псевдо сбойные кластеры); в послед них физических секторах дискеты или винчестера, поскольку они обычно вс егда свободны ( при этом вирус может не отмечать их как занятые, предполаг ая, что запись в эти секторы выполняться не будет );в неиспользуемых блока х FAT главного каталога или одного из подкаталогов ; на дополнительных доро жках дискеты или винчестера. Обычно хвост вируса содержит коп ию оригинального бут - сектора, и если она храниться в незакодированном в иде, то положение хвоста в большинстве случаях можно определить гло бал ьным контекстным поиском по дискете или винчестеру (исключением являет ся случай использования для хвоста дополни - тельных дорожек на дискете или винчестере ). В минимальном варианте хвост может состоять только из о дного сектора с оригинальным бут-сектором. Для всех бутовых вирусов механизм заражения однотипен. К огда MS-DOS загружается с зараженного диска , бутовый вирус полу чает управле ние и сначала копирует себя в старшие адреса па мяти. Затем он уменьшает р азмер памяти, заменяя значение, хранящееся по адресу 0040:0013 (слово, соответст вующее век тору прерываний 12h), с тем, чтобы защитить резидентную часть вир уса, и перехватывает прерывание 13h с тем, чтобы перехватывать обращения к диску. Таким образом, при любом обращении к диску управление получает об работчик этого прерывания, составляющий основную часть тела вируса. Пос ле этих действий вирус запускает стандартный системный загрузчик, кото рый загружает ibmbio.com и ibmdos.com ( или io.sys и msdos.sys), т.е. происходит стандартная загрузка си стемы. Получив управление по прерыванию по чтению, вирус анализиру ет, относится он к дискете или к винчестеру. Если это прерыва ние относится к дискете, то сначала вирус проверяет, зараже н а уже данная дискета или нет. Для этой цели считывается бут -сектор и пров еряется его содержимое. Если дискета еще не заражена, то вирус заражает д искету, а затем обрабатывает команду read. Если дискета уже заражена, вирус с разу перехо дит к обработке команды read; также он поступает в случае, если д искета защищена от записи. Как было отмечено выше, хвост бутового вируса может распо лагаться в разных местах. Наиболее часто бутовые вирусы размещают свой х вост в свободном кластере (ах), помечаемом как сбойный. Последнее необход имо для того, чтобы занятый вирусом кластер (ы) не был использован MS-DOS при со здании нового файла, и в то же время является неплохим методом маскировк и, поскольку пользователи обычно плохо представляют структуру диска и н е следят за количеством сбойных кластеров на нем. Бутовые вирусы инфицируют любые дискеты, а не только систем ные, поскольку с не несистемной дискеты также может выполняться попытка загрузки MS-DOS. Чаще всего такая ситуация возник ает после зависания операционной системы. Если при пе резагрузке инфици рованная дискета окажется в "готовом" дисководе A , то естественно загрузк а будет сначала выполнятся с нее. В этом случае программа начальной загр узки считывает за раженный бут-сектор и передает ему управление. Вирус з агружает себя в оперативную память и имитирует сообщение, выдаваемое в э том случае стандартным загрузчиком ( " Non system disk " ). При этом если пользователь о ткроет дисковод с дис кетой и нажмет клавишу Enter (Ввод), то вирус останется в памяти, заразит винчестер и в дальнейшем будет заражать все вставляемые дискеты, к которым обращались хотя бы раз (дос таточно команды DIR).Поскольк у все бутовые вирусы перехваты вают прерывание 13h, они обычно конфликтуют с драйверами, поддерживающими нестандартные форматы (например, 720 К). В лучшем случае при этом происходит зависание системы или вы дача сообщения о делении на ноль. В худшем случа е операцион ная система остается работоспособной, на дискету что-то пиш ется, но потом ничего прочитать с нее нельзя. Особое внимание следует обр атить на тот факт, что бутовые вирусы перехватывают прерывание с клавиат уры и могут пережить в оператив ной памяти мягкую перезагрузку( т.е. перез агрузку с помощью нажатия клавиш Ctrl-Alt-Del ). Следует отметить, что число извест ных чисто бутовых вирусов намного меньше , чем файловых, и, кроме того, ско рость их размножения ниже (число дискет заведомо меньше, чем количе ство файлов на них). В целом заражение "чистым" бутовым ви русом является призн аком беспечности и недостаточной квали фикации пользователя в большей степени, чем заражение файловым вирусом. Поскольку резкого отличия между фай ловыми и бутовыми виру - сами нет, некоторые вирусы являются смешанными и заражают как файлы, так и бут-секторы. Такие "гибридные вирусы" имеют более высокую инфицирующую способность, чем "чистые" типы, однако выявляются л егче, чем файловые вирусы, поскольку имеют фиксированное место заражени я на винчестере, целостность которого обычно контролируется большинст вом ревизоров. Поми мо зараженных исполняемых файлов, файловобутовые ви русы мо гут переноситься на дискетах, содержащих только файлы данных, ка к обычные бутовые вирусы . Кроме того, загружаясь из MBR, легче обойти резиде нтные средства контроля, поскольку инсталляция вируса проходит на "чист ой" машине. АКТИВНЫЕ СТЕЛС - ВИРУСЫ Немного о том, что такое стелс - виру сы. Этим термином назы вают вирусы, в алгоритмах которых заложена возмож ность маскировать свое присутствие в зараженной машине. Первые вирусы н е обладали такими возможностями и их легко было обнаружить при визуальн ом просмотре исполняемых файлов на зараженной машине. Применение даже п ростейших антивирусных средств не - медленно останавливало распростра нение таких вирусов, и они перестали вызывать эпидемии. Появление антиви русных программ привело к новом витку в развитии технологии написания в иру - сов, и появление вирусов - невидимок стало естественным шагом в таком развитии. Вирусы, использующие приемы маскировки нельзя увидеть средст вами операционной системы ( например, нажав в VC или NC клавишу F3 ). Это происхо дит потому, что вирус, активно работающий вместе с операционной системой , при открытии файла на чтение немедленно удалил свое тело из зараженног о файла, а при закрытии файла заразил его опять. Это только один из возможн ых приемов маскировки, существуют и другие. Так же маскируются и загрузо чные (бутовые) вирусы При попытке прочитать ВООТ (загрузочный) сектор они заменяют его оригинальным, не зараженным. Hо способность к маскировке оказалась слабым местом сте лс - вирусов, позволяющим легко обнаружить их наличие на машине. Достаточ но сравнить информацию о файлах, выдаваемую DOS, с фактической, содержащейс я на диске, и несовпадение данных однозначно говорит о наличии вируса. То есть способность к маскировке демаскирует эти вирусы !!! КЛАССИФИКАЦИЯ АHТИВИРУСHЫХ ПРОГРАММ Антивирусы можно классифициров ать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакц инаторы. Антивирусы-фильтры ( сторожа ) - это резидентные программы, которые оповещают пользователя о всех попытках какой-либо программы за писаться на диск, а уж тем более отформатировать его , а также о других под озрительных действиях (например о попытках изменить установки CMOS). При эт ом выводится зап рос о разрешении или запрещении данного действия. Прин цип работы этих программ основан на перехвате соответствующих векторо в прерываний. К преимуществу программ этого класса по сравнению с програ ммами-детекторами можно отнести универ сальность по отношению как к изв естным, так и неизвестным вирусам, тогда как детекторы пишутся под конкр етные, известные на данный момент программисту виды. Это особенно актуал ьно сейчас, когда появилось множество вирусов-мутантов, не имеющих посто янного кода. Однако, программы-фильтры не могут отслеживать вирусы, обра щающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся ещe до за пуска антивируса, в начальной стадии загрузки DOS. К недостаткам также можн о отнести частую выдачу запросов на осуществление какой-либо операции: о тветы на вопросы отнимают у пользователя много времени и действуют ему н а нервы. При установке некоторых антивирусов-фильтров могут возникать к онфликты с другими резидентными программами, использующими те же преры вания, которые просто перестают работать. Наибольшее распространение в нашей стране получили програм мы-детекторы, а вернее программы, объединяющие в себе детектор и доктор. Наиболее известные представители этого класса - -Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рас - смотрены подробнее. Антивирусы-детекторы р ассчитаны на конкретные вирусы и основаны на сравнении последовательн ости ко дов содержащихся в теле вируса с кодами проверяемых программ. Такие программы нужно регулярно обновлять, так как они бы ст ро устаревают и не могут обнаруживать новые виды вирусов. Ревизоры - пр ограммы, которые анализируют текущее состояние файлов и системных обла стей диска и сравнивают его с информацией, сохранённой ранее в одном из ф айлов данных ревизора. При этом проверяется состояние BOOT-сектора, таб - лиц ы FAT, а также длина файлов, их время создания, атри-буты, контрольная сумма. А нализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не с ледует предаваться панике, так как причиной изменений, например, длины п рограммы может быть вовсе и не вирус. Самые изощренные антивирусы - вакци наторы. Они записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной. Таким образом, вирус не мо жет заразить эту программу. Вакцины могут быть пассивные и активные. Пассивная вакцина представляет собой пакетную программу, которая за один вызов обрабатывает специальн ым образом файл или все файла на диске либо в каталоге .Обычно при такой об работке проставляется признак, который вирус использует для того, чтобы отличить зараженные программы от незараженных. Например, некоторые вир усы дописывают в конец зараженных файлов определенную строку. Если иску сственно дописать в конец всех программ эту строку, то такие программы н е будут заражаться вирусом, поскольку он будет считать, что они уже зараж ены.Обработанная таким образом программа является вакцинированной про тив данного вируса, при чем операция вакцинации является обратимой: когд а опасность заражения будет ликвидирована, строку можно из файла удалит ь. Другие вирусы проставляют в поле даты заражаемых программ значение се кунд, равное 62(MS-DOS допускает запись такого явно нереального значения). Вакцина может проставить этот при знак у всех выполняемых программ, которые тем самым будут защищены от за ражения дан ным типом вируса. В этом случае вакцинирование является не - о братимым в том смысле, что восстановить первоначальное зна чение секунд не удастся, хотя они, конечно, могут быть сброшены. Активные вакцины являются резид ентными программами, действие которых основано на имитации присутстви я вируса в оперативной памяти. Поэтому они обычно применяются против рез идентных вирусов. Если такая вакцина находится в памяти, то, когда при зап уске зараженной программы вирус проверяет, находится ли уже в оперативн ой памяти его копия , вакцина имитирует нали чие копии. В этом случае виру с просто передает управление программе - хозяину и его инсталляция не пр оисходит. Простейшие вакцины представляют собой выделенный и слегка мо дифицированный (лишенный способности к размножению) вирус. Поэтому они м огут быть оперативно изготовлены - быстрей, чем доктора. Боле сложные вак цины (поливакцины) имитируют наличие в оперативной памяти нескольких ви русов. Конечно, приведенный список не исчер пывает всего многообразия антивирусных программ, хотя и охватывает осн овные их разновидности. Каждая из антивирусных программ подобна узкому специалисту в определенной области, поэтому оптимальной так тикой явля ется комплексное применение нескольких типов антивирусных средств. А теперь немного о некоторых антивирусах. AIDSTEST В нашей стране, как уже было сказа но выше, особую популяр ность приобрели антивирусные программы, совмеща ющие в себе функции детекторов и докторов. Самой известной из них являет ся программа AIDSTEST Д.Н.Лозинского. В России практически на каждом IBM-совмести мом персональном компьютере есть одна из версий этой программы. Одна пос ледняя версия обнаружи вает более 1100 вирусов. Aidstest для своего нормального функциони рования требует, чтобы в памяти не было резидентных антивирусов, блокиру ющих запись в программные файлы, поэтому их следует выгрузить, либо указ ав опцию выгрузки самой резидентной программе, либо воспользоваться со ответствующей утилитой ( например в Волков Коммандере для этих целей ест ь специальный пункт в меню). При запуске Aidstest проверяет себя оперативную память на нали чие известных ему вирусов и обезвреживает их. При этом парализуются толь ко функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому прог рамма после окончания обезвреживания вируса в памяти выдает запрос о пе резагрузке. Следует обязательно последовать этому совету, если операто р ПЭВМ не является системным программистом, занимающимся изучением сво йств вирусов. При чем сле дует перезагрузиться кнопкой RESET, так как при "теп лой перезагрузке" некоторые вирусы могут сохраняться. Вдобавок, лучше за пустить машину и Aidstest с защищенной от записи дискеты, так как при запуске с з араженного диска вирус может записаться в память резидентом и препятст вовать лечению. Aidstest тестирует свое тело на наличие известных вирусов, а так же по искажениям в своем коде судит о своем заражении неизвестным вирусо м. При этом возможны случаи ложной тревоги, например, при сжатии антивируса уп аковщиком. Программа не имеет графического инт ерфейса, и режимы ее рабо ты задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Как показала практика, самый опт имальный режим для ежеднев ной работы задается ключами /g (проверка всех ф айлов, а не только с расширением EXE,COM,SYS) и /s (медленная проверка). Увеличивание времени при таких опциях практически не ощутимо (полностью "забитый" жес ткий диск емкостью 270 Мегобайт на машине с процессором 486DX2 тестируется мен ьше минуты), зато вероятность обнаружения на порядок выше. DOCTOR WEB В последнее время стремительно ра стет популярность другой антивирусной программы - Doctor Web. Dr.Web также, как и Aidstest от носится к классу детекторов - докторов, но в отличие от последнего имеет т ак называемый "эвристический ана лизатор" - алгоритм, позволяющий обнару живать неизвестные вирусы. "Лечебная паутина", как переводится с английс кого название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов, которые при размноже нии модифицируют свое тело так, что не остается ни одной характерной цеп очки байт, присутствовавшей в исход ной версии вируса. Dr.Web можно назвать а нтивирусом нового поколения по сравнению с Aidstest и его аналогами. В пользу э той программы говорит тот факт, что крупную лицензию ( на 2000 компьютеров) пр иобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупа тель "паутины" - "Инкомбанк". Управление режимами также как и в Aidtest о существляется с помощь ключей. Пользователь может указать программе те стировать как весь диск, так и отдельные подкаталоги или группы файлов, л ибо же отказаться от проверки дисков и тестировать только оперативную п амять. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещe и расширенную (указывается с помощью ключа /H ). AVSP (Anti-Virus Software Protection) Интересным программным продуктом является антивирус AVSP. Эта программа сочетает в себе и детектор,и доктор,и ревизор, и даже имеет некоторые функции резидентного фильтра( запрет зап иси в файлы с атрибутом READ ONLY).Антивирус может лечить как известные, так и не известные вирусы, при чем о способе лечения последних программе может со общить сам пользователь. К тому же AVSP может лечить самомодифицирующиеся и стелс-ви русы (невидимки). В состав пакета AVSP входит также резидентный дра йвер AVSP.SYS, который позволяет обнаруживать большинство невидимых вирусов, дезактивировать вирусы на время своей работы, а также запрещает изменят ь READ ONLY файлы. ONLY будет снят. Поставить файлы под защиту можно клавишей F7. Еще о дна функция AVSP.SYS - отключение на время работы AVSP.EXE резидентных вирусов, правд а вместе с вирусами драйвер отключает и некоторые другие резидентные пр ограммы. Конечно, полностью все возможности программы реа лизуются в ру ках человека, знакомого с ассемблером и систем ным программированием. В AVSP имеется возможность просматривать файлы в разных форматах. При входе в режим просмотра на экран выводятся две колонки: слева содержимое просматриваемого файла в виде шестн адцатеричных кодов, а справа - в виде ASCII-кодов. Кроме того, выводится полезн ая системная информация, которая поможет при написании процедуры удале ния вируса. Передвигая курсор, можно перейти на любой адрес, есть также фу нкции поиска шаблонов, сравнения файлов. Можно установить, в каком форма те будет просматриваться, например, заголовок: как у EXE-файла, SYS-файла или в ф ормате загрузочного сектора. При этом хорошо реализован сам просмотр за головка: его системные ячейки представлены в виде таблицы: слева значен ие ячейки, справа - пояснение. Еще одной полезной функцией являе тся встроенный дизассемблер. С его помощью можно разобраться есть ли в ф айле вирус или при проверке диска произошло ложное срабатывание AVSP. Кро ме того, можно попытаться выяснить способ заражения, прин цип действия в ируса, а также место, куда он "спрятал" замещенные байты файла (если мы име ем дело с таким типом ви руса). Все это позволит написать процедуру удален ия вируса и восстановить запорченные файлы. Для полного счастья не хват ает только трассировщика, хотя в неумелых руках такая функция может прив ести к заражению еще большего количества данных. Еще одна полезная функц ия - выдача наглядной карты изменений. Особенно ясно я это понял, когда у м еня возникло подозрение в отношении одного из файлов (который не должен был, вроде бы, меняться). Карта изменений позволяет оценить, соответству ют ли эти изменения вирусу или нет, а также сузить область поиска тела в ируса при дизассемблировании. При ее построении красный прямоугольник используется для изображения измененного блока, синий - неизмененного, а прозрачный - нового. Если есть подозрение, что в систе му забрался Stealth-вирус, можно запустить AVSP с параметром /D с жесткого диска, а з атем загрузиться с чистой системной дискеты и запустить AVSP без параметро в. Если результаты проверки контрольных сумм отличаются в обоих случаях , то подозрения оправданы. В программе AVSP есть два алгоритма нейтрализаци и "невидимок" и оба они работают только при наличии активного вируса в пам яти. Microsoft Antivirus В состав современных версий MS-DOS (нап ример, 6.22) входит антивирусная программа Microsoft Antivirus (MSAV). Этот антивирус может раб отать в режимах детектора - доктора и ревизора. MSAV имеет дружественный инт ерфейс в стиле MS-Windows. При запуске проверки диска (как в режиме удаления, так и без него) программа сначала сканирует память на наличие известных ей вир усов. При этом выводится индикация проделанной работы в виде цветной пол оски и процента выполненной работы. После сканирования памяти MSAV принима ется за проверку непосредственно диска. ADINF (Advanced Diskinfoscope) ADinf относится к классу программ-ре визоров. Антивирус имеет высокую скорость работы, способен с успехом про тивостоять вирусам, находящимся в памяти. Он позволяет контролировать д иск, читая его по секторам через BIOS и не используя системные прерывания DOS, к оторые может перехватить вирус. Программа ADinf получила первый приз на Вто ром Всесоюзном конкурсе антивирусных программ в 1990 году, а также второй п риз на конкурсе Borland Contest'93. В отличие от AVSP, в котором пользователю приходится самому а нализировать, заражена ли машина стелс-вирусом, загружаясь сначала с вин честера, а потом с эталонной дискеты, в ADinf эта операция происходит автомат ически. Это происходит благо даря оригинальному алгоритму противодейс твия этим вирусам- -"невидимкам", суть которого заключается в том, что снач ала диск читается непосредственно через BIOS, а потом - с помощью DOS. Если инфор мация будет отличаться, то в системе стелс-вирус. ADinf был единственным анти вирусом, который летом 1991 года обнаружил вирус DIR, построенный на принципиа льно новом способе заражения и маскировки. Для лечения зараженных файло в применяется модуль ADinf Cure Module, не входящий в пакет ADinf и поставляющийся отдель но. Принцип работы модуля - - сохранение небольшой базы данных, описывающей контрол ируе мые файлы. Работая совместно, эти программы позволяют обнаружить и удалить около 97% файловых вирусов и 100% вирусов в загрузочном секторе. В отличие от других антивирусов Advansed Diskinfoscope не требует загрузк и с эталонной, защищенной от записи дискеты. При загрузке с винчестера на дежность защиты не уменьшается. ADinf имеет хорошо выполненный дружественн ый интерфейс, который в отличие от AVSP реализован не в текстовом, а в графиче ском режиме. Программа работает непосредственно с видеопамятью, минуя BIOS, при этом поддерживаются все графические адаптеры. Наличие большого к оличества ключей позволяет пользователю создать мак симально удобную для него конфигурацию системы. Можно установить, что им енно нужно контролировать: файлы с заданными расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы на наличие стелс-вирусов , файлы из списка неизменяемых и т.д. По своему желанию пользователь может запретить проверять некоторые каталоги (это нужно, если каталоги являют ся рабочими и в них все время происходят изменения). Имеется возможность изме нять способ доступа к диску (BIOS, Int13h или Int25h/26h), редактировать список расши рений проверяемых файлов, а также назначить каждому расширению собстве нный вьюер, с помощью которого будут просматриваться файлы с этим расшир ением. При инсталляции ADinf в систему имеется возможность изменит ь имя основного файла ADINF.EXE и имя таблиц, при этом пользо ватель может задат ь любое имя. Это очень полезная функция, так как в последнее время появило сь множество вирусов, "охотящихся" за антивирусами (например, есть вирус, к оторый изменяет программу Aidstest так,что она вместо заставки фир мы "Диалог Н аука" пишет: "Лозинский - пень"), в том числе и за ADinf. Полезной функцией является возм ожность работы с DOS не выхо дя из программы. Это бывает полезно, когда нужно запустить внешний антивирус для лечения файла, если у пользователя нет лечащего блока ADinf Cure Module. Еще одна интересная функция - запрещение работы с системо й при обнаружении изменений на диске. Эта функция полезна, когда за терми налами работают пользователи, не имеющие еще большого опыта в общении с компьютером. Такие пользователи по незнанию или по халатности могут про игнорировать сообщение ADinf и продолжить работу как ни в чем не бывало, что м ожет привести к тяжелым последствиям. Если же установлен ключ -Stop в строке вызова ADinf AUTOEXEC.BAT, то при обнаружении изменений на диске программа потребует позвать системного программиста, обслуживающего данный терминал, а есл и пользо ватель нажмет ESC или ENTER, то система перезагрузится и все повторитс я снова. И все же эта функция продумана не до конца, так как продолжение ра боты возможно при нажатии клавиши F10. Ведь большинство пользователей, даж е если они впервые сели за компьютер, даже при минимальном на то желании с могут про должить работу, воспользовавшись "правилом научного тыка", то е сть, нажав на все клавиши подряд. Для повышения надeжнос ти защиты от таки х пользователей следовало бы ввести хотя бы какой-нибудь простенький па роль. Принцип работы ADinf основан на сохранен ии в таблице копии MASTER-BOOT и BOOT секторов, список номеров сбойных кластеров, схе му дерева каталогов и информацию о всех контролируе мых файлах. Кроме то го, программа запоминает и при каждом запуске проверяет, не изменился ли доступный DOS объем оперативной памяти), о бывает при заражении большинств ом загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера в области переменных BIOS. При первом запуске программа запоминает объем оперативн ой памяти, находит и запоминает адрес обработчика прерывания Int 13h в BIOS, кото рый будет использоваться при всех последующих проверках, и строит табли цы для проверяемых дис ков. При этом проверяется, показывал ли вектор пре рывания 13h в BIOS перед загрузкой DOS. При последующих запусках ADinf проверяет объ ем оперативной памяти, доступной DOS, переменные BIOS, загрузочные сектора, сп исок номеров сбойных кластеров (так как некоторые вирусы, записавшись в кластер, помечают его, как сбойный, чтобы их не затерли другие данные, а та кже не обнаружили примитивные антивирусы). К тому же антивирус ищет внов ь созданные и уничтоженные подкатало ги, новые, удаленные, переименован ные, перемещенные и изменившиеся файлы ( проверяется изменение длины и к онтрольной суммы ). Если ADinf обнаружит, что, изменился файл из списка неизме няемых, либо в файле произошли, изменился без изменения даты и времени, а т акже наличие у файла странной даты ( число больше 31, месяц больше 12 или год б ольше текущего ) или времени ( минут больше 59, часов больше 23 или секунд боль ше 59 ), то он выдаст предупреждение о том, что возможно заражение вирусом. Если обнаружены изменения BOOT-сект оров, то можно в режиме диалога сравнить системные таблицы, которые были до и после изменения, и по желанию восстановить прежний сектор. После вос становления измененный сектор сохраняется в файле на диске для последу ющего анализа. Новые сбойные кластеры (вер нее информация о них в FAT) могут появиться после запуска какой-либо утилиты, лечащей диск (например NDD ) или благодаря действиям вируса. Если ADinf выдал сообщение, а пользователь не запускал никак их подобных утилит, то, скорее всего в компьютер забрался вирус. При получ ении такого сообщения следует продолжить проверку, внимательно следя з а всеми сообщениями об изменениях файлов и загрузочных секторов. Если в системе действительно вирус, то такие сообщения не заставят себя долго ж дать(ведь если все тело вируса будет находиться в "сбойном" кластере, ему н икогда не передастся управление). СПИСОК ЛИТЕРАТУРЫ 1. В.Э.Фигурнов "IBM PC для пользователя ". 2000 г. 2. Ф.Файтс, П.Джонстон, М.Кратц "Компь ютерный вирус: пробле мы и прогноз". 1999 г. 3. Н.Н.Безруков "Классификация компьют ерных вирусов MS-DOS и методы защиты от них". 2004 г. 6. Документации на антивирусные прог раммы. 2005 г. 7. Собственный опыт.
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Я легко заставил своего ребёнка выучить число пи до 15-го знака.
Установил его в качестве пароля на онлайн-игрушке.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, курсовая по информатике и информационным технологиям "Антивирусы и вирусы", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru