|
||||||||||||||||||||||||||||||||||||||
|
Курсовая работа: Вирусы и антивирусное программное обеспечение. Антивирусное программное обеспечение рефератРеферат - Вирусы и антивирусное программное обеспечениеВведениеДля моейкурсовой работы по информатике я выбрала тему ”вирусы и антивирусноепрограммное обеспечение ”. Потому что, будучи «чайником» мне пришлось ни разбороться с вирусами на своем ПК. Эта тема до боли близка мне- ей я и хочупосвятить свою работу. Компьютерные вирусы.Что это такое и как с этим бороться? На эту тему уже написаны десятки книг исотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни(или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалосьбы, тема эта не настолько сложна и актуальна, чтобы быть объектом такогопристального внимания. Однако это не так. Компьютерные вирусы были и остаютсяодной из наиболее распространенных причин потери информации. Известны случаи,когда вирусы блокировали работу организаций и предприятий. Более того,несколько лет назад был зафиксирован случай, когда компьютерный вирус сталпричиной гибели человека — в одном из госпиталей Нидерландов пациент получиллетальную дозу морфия по той причине, что компьютер был заражен вирусом ивыдавал неверную информацию. Как и в случаеобычной простуды, компьютер, атакованный вирусом, начинает проявлятьболезненные симптомы. Заражение человека вирусом приводит к замедлению реакции,изменению веса, общей слабости, болевым ощущениям, частичной или полной амнезиии даже смерти. При инфицировании вирусом компьютеры проявляют аналогичныесимптомы: замедленное выполнение программ по сравнению с обычным, необъяснимыеизменения в размере файлов, необычные и частые сообщения об ошибках, потеря илиизменения данных и полный крах системы. Некоторые относительно безвредныекомпьютерные вирусы тиражируются, но не делают ничего ужасного. Эти вирусымогут, выдавать на экран ошибочное сообщение. Однако в некоторых случаях вирус,атаковавший, скажем, больничную систему жизнеобеспечения и выдавшийнекорректное сообщение, может иметь фатальные последствия. Кроме того, вирусыспособны нанести серьезный ущерб системе, например стереть всю информацию сжесткого диска. <span Times New Roman",«serif»;mso-text-animation:none"> Что такое вирус?Один из известных ”докторов” Д.НЛозинский дал определение вируса на примере клерка. Представим себеаккуратного клерка, который приходит на работу к себе в контору и каждый деньобнаруживает у себя на столе стопку листов бумаги со списком заданий, которыеон должен выполнить за рабочий день. Клерк берет верхний лист, читает указанияначальства, пунктуально их выполняет, выбрасывает «отработанный» лист вмусорное ведро и переходит к следующему листу. Предположим, что некийзлоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаглист, на котором написано следующее:«Переписать этот лист два раза и положитькопии в стопку заданий соседей» Что сделает клерк? Дважды перепишет лист,положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второголиста из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделаютсоседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же,что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, вконторе бродят уже четыре копии первоначального документа, которые и дальшебудут копироваться и раздаваться на другие столы. Примерно так жеработает и компьютерный вирус, только стопками бумаг-указаний являютсяпрограммы, а клерком — компьютер. Так же как и клерк, компьютер аккуратновыполняет все команды программы (листы заданий), начиная с первой. Если жепервая команда звучит как «скопируй меня в две другие программы», то компьютертак и сделает, и команда-вирус попадает в две другие программы. Когда компьютерперейдет к выполнению других «зараженных» программ, вирус тем же способом будетрасходиться все дальше и дальше по всему компьютеру. В приведенном вышепримере про клерка и его контору лист-вирус не проверяет, заражена очереднаяпапка заданий или нет. В этом случае к концу рабочего дня контора будетзавалена такими копиями, а клерки только и будут что переписывать один и тот жетекст и раздавать его соседям — ведь первый клерк сделает две копии, очередныежертвы вируса — уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копийкаждый раз будет увеличиваться в два раза. Если клерк напереписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий,то через час по конторе будет «бродить» более 1.000.000.000.000.000.000 копийвируса! Скорее всего, конечно же, не хватит бумаги, и распространение вирусабудет остановлено по столь банальной причине. Как это ни смешно(хотя участникам этого инцидента было совсем не смешно), именно такой случайпроизошел в 1988 году в Америке — несколько глобальных сетей передачиинформации оказались переполненными копиями сетевого вируса (вирус Морриса),который рассылал себя от компьютера к компьютеру. Поэтому «правильные» вирусыделают так: Переписать этот лист два раза и положить копии в стопку заданийсоседей, если у них еще нет этого листа». Проблема решена — «перенаселения» нет,но каждая стопка содержит по копии вируса, при этом клерки еще успеваютсправляться и с обычной работой. «А как жеуничтожение данных?» — спросите Вы. Все очень просто — достаточно дописать налист примерно следующее: «1. Переписать этот лист два раза иположить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь — если сегодня пятница, попавшая на 13-е число,выкинуть все документы в мусорную корзину» Примерно это и выполняет хорошоизвестный вирус «Jerusalem»(другое название — «Time»). Кстати, на примереклерка очень хорошо видно, почему в большинстве случаев нельзя точноопределить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (сточностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давнов корзине. Компьютерные вирусы – этопрограммы, которые умеют воспроизводить себя в нескольких экземплярах,возможно, приписываясь к другим программам, и, возможно, совершать некоторыепобочные действия. Это определение дается, скорее, на интуитивном уровне,поскольку строгого определения компьютерного вируса пока не существует. Первой из причин, непозволяющих дать точное определение вирусу, является невозможность однозначновыделить отличительные признаки, которые соответствовали бы только вирусам. Второй жетрудностью, возникающей при формулировке определения компьютерного вируса,является то, что данное определение должно быть привязано к конкретнойоперационной системе, в которой этот вирус распространяется. Например,теоретически могут существовать операционные системы, в которых наличие вирусапросто невозможно. Таким примером может служить система, где запрещеносоздавать и изменять области выполняемого кода, т.е. запрещено изменятьобъекты, которые либо уже выполняются, либо могут выполняться системой прикаких-либо условиях. Поэтому представляется возможнымсформулировать только обязательное условие для того, чтобы некотораяпоследовательность выполняемого кода являлась вирусом. Обязательнымсвойством компьютерного вируса является возможность создавать свои дубликаты(не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сетии/или файлы, системные области компьютера и прочие выполняемые объекты. Приэтом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить,что это условие не является достаточным (т.е. окончательным), поскольку например, операционная система MS-DOS удовлетворяет данному свойству, но вирусомне является. Вот почему точногоопределения вируса до сих пор нет, ивряд ли оно появится в обозримом будущем. Следовательно, нет точноопределенного закона, по которому «хорошие» файлы можно отличить от «вирусов».Более того, иногда даже для конкретного файла довольно сложно определить,является он вирусом или нет.
Откуда же берутся компьютерные вирусы? Напоминаю, что вотличие от биологических вирусов компьютерные вирусы создаются человеком.Авторы вирусов своими «произведениями» приносят массу вреда пользователямкомпьютеров. Они могут вызвать сбои в работе компьютеров или даже полную потерюданных на жестком диске. <img src="/cache/referats/4747/image002.jpg" v:shapes="_x0000_s1026"> Вирус может проникнуть в систему одним из нескольких возможных путей: дискета,CD-ROM производителя ПО, сетевой интерфейс или модемное соединение, глобальнаясеть Internet при получении электронной почты (рисунок 1). PRIVATE «TYPE=PICT;ALT=Picture1» Рисунок 1. Вирусы проникают в компьютер сдискет, через модемы и по сетевым соединениям. Историческидискета — это наиболее распространенный носитель вирусов, главным образом из-затого, что они использовались для переноса информации с одного компьютера надругой. Заразитьдискету гораздо проще. На нее вирус может попасть, если вы просто вставилидискету в дисковод зараженного компьютера и, например, прочитали ее оглавление. Ситуация здесьта же, что и с вирусом СПИДа — чем больше число партнеров, с которыми выобмениваетесь программами (дискетами), тем выше вероятность заражения. Однако этимпути проникновения вирусов в систему далеко не исчерпываются. У тойпростоты, с которой Интернет позволяет обмениваться информацией, есть иобратная сторона: из-за нее Интернет стал благоприятной средой дляраспространения компьютерных вирусов и других вредоносных программ. Конечно,далеко не каждая программа или документ, скаченные из Интернета или присланныеВам по электронной почте, содержат в себе вирусы. Дорожащие репутациейоператоры досок объявлений и системные операторы интерактивных служб производятсканирование новых файлов на наличие вирусов, прежде чем сделать их доступнымипублике, однако никогда нельзя быть уверенным, что полученные файлыпроверены. Каждому, кто работает вИнтернете, совершенно необходима хорошая антивирусная защита. Но в первую очередь,это касается тенденции приобретения вирусами функции распространения поэлектронной почте. Согласно статистике службы технической поддержки«Лаборатории Касперского», около 85% всех зарегистрированных случаевзаражения были вызваны проникновением вирусов именно при помощи этогоисточника. Таким образом, по сравнению с 1999 г., рост числа подобныхинцидентов составил около 70%. В этой связи«Лаборатория Касперского» еще раз отмечает важность установкинадежной системы антивирусной защиты для электронной почты. Переключениевнимания создателей вирусов на электронную почту вполне закономерно. Какпоказывает практика, больше всего вредоносных программ создается для техоперационных систем, приложений, технологий передачи данных, которые имеютнаибольшую популярность. Сегодня электронная почта является де-факто стандартомкак делового, так и неформального общения. Сотни миллионов людей по всему мируне представляют нормального бизнеса без этого способа коммуникации спартнерами. Это и предопределило ориентацию создателей вирусов на электроннуюпочту. Признаки появлениявирусов.При заражении компьютера вирусом важно его обнаружить. Дляэтого следует знать об основных признаках проявления вирусов. К ним можноотнести следующие: ·<span Times New Roman""> прекращение работы илинеправильная работа ранее успешно функционировавших программ;·<span Times New Roman""> медленная работакомпьютера;·<span Times New Roman""> невозможность загрузкиоперационной системы;·<span Times New Roman""> исчезновение файлов икаталогов или искажение их содержимого;·<span Times New Roman""> изменение даты ивремени модификации файлов;·<span Times New Roman""> изменение размеровфайлов;·<span Times New Roman""> неожиданноезначительное увеличение количества файлов на диске;·<span Times New Roman""> существенноеуменьшение размера свободной оперативной памяти;·<span Times New Roman""> вывод на экраннепредусмотренных сообщений или изображений;·<span Times New Roman""> подачанепредусмотренных звуковых сигналов;·<span Times New Roman""> частые зависания исбои в работе компьютера.Следует отметить, что вышеперечисленные явлениянеобязательно вызываются присутствием вируса, а могут быть следствием другихпричин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Немного истории<span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Поговорим о новейшейистории: «Brain», «Vienna», «Cascade» и далее. Те, кто начал работать на IBM-PCаж в середине 80-х, еще не забыли повальную эпидемию этих вирусов в 1987-89годах. Буквы сыпались на экранах, а толпы пользователей неслись к специалистампо ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валятна неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн«Yankee Doodle», но чинить динамики уже никто не бросился — очень быстро разобрались,что это — вирус, да не один, а целый десяток. Так вирусы начализаражать файлы. Вирус «Brain» и скачущий по экрану шарик вируса «Pingpong»ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилосьпользователям IBM-PC, и — появились противоядия. Одним из первых антивирусов был отечественный ANTI-KOT: этолегендарный Олег Котик выпустил в свет первые версии своей программы, котораяуничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в страненесколько позднее). К сожалению, ANTI-KOT определяет вирус «Time» («Иерусалимский») по комбинации«MsDos» в конце файла, а некоторые другие антивирусы эти самые буквы аккуратноприцепляют ко всем файлам с расширением COM или EXE. Следует обратитьвнимание на то, что истории завоевания вирусами России и Запада различаютсямежду собой. Первым вирусом, стремительно распространившимся на Западе былзагрузочный вирус «Brain», и только потом появились файловые вирусы «Vienna» и «Cascade». В России же наоборот, сначалапоявились файловые вирусы, а годом позже — загрузочные. Время шло, вирусыплодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялиськ файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним изпервых «откровений» стал вирус «Frodo.4096»- один из первых из известных файловых вирусов-невидимок (стелс). Этот вирус перехватывал INT 21h и, приобращении через DOS к зараженным файлам, изменял информацию таким образом, чтофайл появлялся перед пользователем в незараженном виде. Но это была тольконадстройка вируса над MS-DOS. Не прошло и года, как электронные тараканыполезли внутрь ядра DOS (вирус-невидимка «Beast.512»). Идея невидимости продолжала приносить свой плоды идалее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус «Dir_П». Но бороться с невидимками было довольно просто: почистил RAM — и будьспокоен, ищи гада и лечи его на здоровье. Но больше хлопот доставлялисамошифрующиеся вирусы, которые иногда встречались в очередных поступлениях вколлекции. Ведь для их идентификации и удаления приходилось писать специальныеподпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока…Пока не появились вирусы нового поколения, те, которые носят названиеполиморфик-вирусы. Эти вирусы используют другой подход к невидимости: онишифруются (в большинстве случаев), а в расшифровщике используют команды,которые могут не повторяться при заражении различных файлов. Классификация вирусов<span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none">В настоящее время известно более 5000 программныхвирусов, их можно классифицировать по следующим признакам: ·<span Times New Roman""> средеобитания·<span Times New Roman""> способузаражения среды обитания·<span Times New Roman""> воздействию·<span Times New Roman""> особенностямалгоритма<span Times New Roman",«serif»;mso-text-animation: none"> <span Times New Roman",«serif»; mso-text-animation:none">В зависимости от средыобитания вирусы можно разделить на сетевые, файловые,загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различнымкомпьютерным сетям. Файловые вирусы внедряются главным образом висполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типыфайлов, но, как правило, записанные в таких файлах, они никогда не получаютуправление и, следовательно, теряют способность к размножению. Загрузочныевирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузкисистемного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы,так и загрузочные сектора дисков.<span Times New Roman",«serif»; color:blue;mso-text-animation:none">По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентнуючасть, которая потом перехватывает обращение операционной системы к объектамзаражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них.Резидентные вирусы находятся в памяти и являются активными вплоть до выключенияили перезагрузки компьютера. Нерезидентные вирусы не заражают памятькомпьютера и являются активными ограниченное время.<span Times New Roman",«serif»;color:blue;mso-text-animation: none">По степени воздействия вирусы можно разделить на следующие виды:неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах опасные вирусы, которые могут привести к различным нарушениям в работе компьютера очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.Поособенностям алгоритмов выделяют следующие группы вирусов:«Компаньоны — спутники» — вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE файлов файлы спутники, имеющие то же самое имя, но с расширением .Com или Bat. Вирус записывается в Com или Bat-файл и никак не изменяет EXE-файл. При активации такого файла операционная система первым обнаружит и выполнит Bat-файл или COM-файл, т.е. вирус, который затем уже запустит и EXE-файл. «Черви — репликаторы» — вирусы, которые распространяются в компьютерной сети и, так же как и компаньон вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают файлы, но могут вообще не обращаться к ресурсам компьютеров (кроме оперативной памяти). «Паразитические» — все вирусы, которые при распространении своих копий изменяют содержимое дисковых секторов или файлов. В эту группу относятся вирусы, которые не являются «червями» и «спутниками». «Студенческие» — крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок, именно по этой причине они могут быть любой степени опасности, если их быстро не удалить из компьютера. «Стелс невидимки» вирусы, представляющие собой совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Такие вирусы используют оригинальные алгоритмы, позволяющие «обманывать» резидентные АВП. «Полиморфик — призраки - мутанты» вирусы (само шифрующиеся) достаточно трудно обнаруживаемые вирусы, не имеющие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик вируса не имеют ни одного совпадения. «Троянские кони» - вирусы, которые могут маскироваться под полезную программу и выполнять разрушительные действия при каждой активации. Они могут размножаться без внедрения в другие файлы, а более совершенные из них, активируются при определенных ситуациях или событиях в ЭВМ или сети. «Макро» вирусы этого семейства используют возможности макроязыков в системах обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро вирусы заражающие документы редакторов Microsoft Word, Excel, Access.<span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Антивирусные программы.<span Times New Roman",«serif»"> <span Times New Roman",«serif»;mso-text-animation:none"> Для обнаружения, удаления и защиты от компьютерных вирусовразработано несколько видов специальных программ, которые позволяютобнаруживать и уничтожать вирусы. Такие программы называются антивирусными.Различают следующие виды антивирусных программ: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> Программы-детекторы осуществляют поиск характернойдля конкретного вируса сигнатуры в оперативной памяти и в файлах и приобнаружении выдают соответствующее сообщение. Недостатком таких антивирусныхпрограмм является то, что они могут находить только те вирусы, которые известныразработчикам таких программ. Программы-доктора или фаги, а такжепрограммы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их,т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходноесостояние. В начале своей работы фаги ищут вирусы в оперативной памяти,уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяютполифаги, т.е. программы-доктора, предназначенные для поиска и уничтожениябольшого количества вирусов. Наиболееизвестныеизних: AVP, Aidstest,Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы,программы-детекторы и программы-доктора быстро устаревают, и требуетсярегулярное обновление версий. Программы-ревизоры относятся к самым надежнымсредствам защиты от вирусов. Ревизоры запоминают исходное состояние программ,каталогов и системных областей диска тогда, когда компьютер не заражен вирусом,а затем периодически или по желанию пользователя сравнивают текущее состояние сисходным. Обнаруженные изменения выводятся на экран монитора. Как правило,сравнение состояний производят сразу после загрузки операционной системы. Присравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и времямодификации, другие параметры. Программы-ревизоры имеют достаточно развитыеалгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемойпрограммы от изменений, внесенных вирусом. К числу программ-ревизоров относитсяшироко распространенная в России программа Adinf. Программы-фильтры или «сторожа» представляют собойнебольшие резидентные программы, предназначенные для обнаружения подозрительныхдействий при работе компьютера, характерных для вирусов. Такими действиямимогут являться: 1.<span Times New Roman""> 2.<span Times New Roman""> 3.<span Times New Roman""> 4.<span Times New Roman""> 5.<span Times New Roman""> При попытке какой-либо программы произвести указанные действия«сторож» посылает пользователю сообщение и предлагает запретить или разрешитьсоответствующее действие. Программы-фильтры весьма полезны, так как способныобнаружить вирус на самой ранней стадии его существования до размножения.Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуетсяприменить другие программы, например фаги. Вакцины или иммунизаторы — это резидентныепрограммы, предотвращающие заражение файлов. Вакцины применяют, еслиотсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна толькоот известных вирусов. Вакцина модифицирует программу или диск таким образом,чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженнымии поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченноеприменение. Своевременное обнаружение зараженных вирусами файлов и дисков,полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежатьраспространения вирусной эпидемии на другие компьютеры. Главным оружием в борьбе с вирусами являются антивирусныепрограммы. Они позволяют не только обнаружить вирусы, в том числе вирусы,использующие различные методы маскировки, но и удалить их из компьютера.Последняя операция может быть достаточно сложной и занять некоторое время. Существует несколько основополагающих методов поиска вирусов,которые применяются антивирусными программами. Наиболее традиционным методомпоиска вирусов является сканирование. Оно заключается в поиске сигнатур, выделенных из ранееобнаруженных вирусов. Антивирусные программы-сканеры, способные удалитьобнаруженные вирусы, обычно называются полифагами. Недостатком простых сканеров является их неспособностьобнаружить полиморфные вирусы, полностью меняющие свой код. Для этогонеобходимо использовать более сложные алгоритмы поиска, включающиеэвристический анализ проверяемых программ. Кроме того, сканеры могут обнаружить только ужеизвестные и предварительно изученные вирусы, для которых была определена сигнатура.Поэтому программы-сканеры не защитят ваш компьютер от проникновения новыхвирусов, которых, кстати, появляется по несколько штук в день. Как результат,сканеры устаревают уже в момент выхода новой версии. <span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Антивирусная программа AntiViralToolkitProAVP имеет удобный пользовательскийинтерфейс, большое количество настроек, выбираемых пользователем, а также однуиз самых больших в мире антивирусных баз, что гарантирует надежную защиту отогромного числа самых разнообразных вирусов. В ходе работы AVP сканирует следующие области: Оперативную память. Файлы, включая архивные и упакованные. Системные сектора, содержащие Master Boot Record, загрузочныйсектор (Boot-сектор) и таблицу разбиения диска (Partition Table). AntiViral Toolkit Pro имеет ряд особенностей, характеризующихего работу: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> “AVP Monitor” – резидентный модуль,находящийся постоянно в оперативной памяти компьютера и отслеживающий всефайловые операции в системе. Позволяет обнаружить и удалить вирус до моментареального заражения системы в целом; ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> AVP Центр Управления –программа-оболочка, позволяющая организовать эффективную антивирусную защиту наПК. Опишем некоторые из них. AVP Monitor.AVP Monitor представляет собой резидентную антивируснуюпрограмму, которая постоянно находится в оперативной памяти и контролируетоперации обращения к файлам и секторам. Прежде чем разрешить доступ к объекту,AVP Monitor проверяет его на наличие вируса. Таким образом, он позволяетобнаружить и удалить вирус до момента реального заражения системы. Главное окно AVP Monitor содержит 5 вкладок: «Общие»,«Объекты», «Действия», «Настройки»,«Статистика». Перемещаясь по вкладкам и выбирая нужные опции, Вы можетеизменять настройки программы. Чтобы все произведенные Вами действия по выбору опций вступилив силу, нужно нажать кнопку «Применить»(в этом случае окно AVPMonitor останется открытым) или кнопку «OK»(в этом случае окносвернется в иконку) которые находятся в нижней части окна. Вкладка «Общие».В верхней части вкладки«Общие» содержится различная информация о программе (номер версии,дата последнего обновления и количество известных программе вирусов, регистрационнаяинформация, информация о разработчиках). Нажав кнопку «Техническаяподдержка», Вы получите информацию о каналах, по которым осуществляетсятехническая поддержка для легальных пользователей программы. В нижней части вкладки находится флажок «Включить», спомощью которого можно включать или выключать монитор. Кнопка «Выгрузить AVP Monitor» позволяет завершитьработу программы. <img src="/cache/referats/4747/image004.jpg" v:shapes="_x0000_i1025"> Вкладка «Объекты».Эта вкладка позволяет выбирать типыфайлов, которые будут проверяться. Вы можете выбрать один из типов файлов: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> *.EXE, *.COM, *.DOC.<img src="/cache/referats/4747/image006.jpg" v:shapes="_x0000_i1026"> Вкладка «Действия».Вкладка «Действия»позволяет задавать действия AVP Monitor при обнаружении зараженного объекта. Выможете выбрать одно из следующих действий: §<span Times New Roman""> при каждой попытке обращения кзараженному объекту будет появляться синий экран, содержащий информацию об этомзараженном объекте, имя вируса и запрос на лечение объекта: «Попытатьсяудалить вирус?» Нажмите клавишу если Вы хотите вылечить объект,или клавишу в противном случае; при каждой попытке обращения кподозрительному объекту (если включена опция «Предупреждения» вовкладке «Настройки») или объекту, содержащему измененный илиповрежденный вирус (если включена опция «Анализатор кода» во вкладке«Настройки») будет появляться синий экран, содержащий информацию обэтом объекте, имя вируса (или тип вируса) и запрос: «Запретить доступ кобъекту?» Нажмите клавишу если Вы хотите запретить доступ, иликлавишу в противном случае; §<span Times New Roman""> §<span Times New Roman""> §<span Times New Roman""> <img src="/cache/referats/4747/image008.jpg" v:shapes="_x0000_i1027"> Вкладка «Настройки».Эта вкладка предоставляет возможностьподключения дополнительных механизмов поиска вирусов, а также возможностьсоздания файла отчета. Вы можете поставить следующие флажки: ·<span Times New Roman""> Предупреждения- включить добавочный механизм проверки. При этом будет выводитьсяпредупреждающее сообщение, если сканируемый файл или сектор содержит измененныйили поврежденный вирус, а также, если в памяти компьютера обнаруженаподозрительная последовательность машинных инструкций;<sp www.ronl.ru Курсовая работа - Вирусы и антивирусное программное обеспечениеВведениеДля моейкурсовой работы по информатике я выбрала тему ”вирусы и антивирусноепрограммное обеспечение ”. Потому что, будучи «чайником» мне пришлось ни разбороться с вирусами на своем ПК. Эта тема до боли близка мне- ей я и хочупосвятить свою работу. Компьютерные вирусы.Что это такое и как с этим бороться? На эту тему уже написаны десятки книг исотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни(или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалосьбы, тема эта не настолько сложна и актуальна, чтобы быть объектом такогопристального внимания. Однако это не так. Компьютерные вирусы были и остаютсяодной из наиболее распространенных причин потери информации. Известны случаи,когда вирусы блокировали работу организаций и предприятий. Более того,несколько лет назад был зафиксирован случай, когда компьютерный вирус сталпричиной гибели человека — в одном из госпиталей Нидерландов пациент получиллетальную дозу морфия по той причине, что компьютер был заражен вирусом ивыдавал неверную информацию. Как и в случаеобычной простуды, компьютер, атакованный вирусом, начинает проявлятьболезненные симптомы. Заражение человека вирусом приводит к замедлению реакции,изменению веса, общей слабости, болевым ощущениям, частичной или полной амнезиии даже смерти. При инфицировании вирусом компьютеры проявляют аналогичныесимптомы: замедленное выполнение программ по сравнению с обычным, необъяснимыеизменения в размере файлов, необычные и частые сообщения об ошибках, потеря илиизменения данных и полный крах системы. Некоторые относительно безвредныекомпьютерные вирусы тиражируются, но не делают ничего ужасного. Эти вирусымогут, выдавать на экран ошибочное сообщение. Однако в некоторых случаях вирус,атаковавший, скажем, больничную систему жизнеобеспечения и выдавшийнекорректное сообщение, может иметь фатальные последствия. Кроме того, вирусыспособны нанести серьезный ущерб системе, например стереть всю информацию сжесткого диска. <span Times New Roman",«serif»;mso-text-animation:none"> Что такое вирус?Один из известных ”докторов” Д.НЛозинский дал определение вируса на примере клерка. Представим себеаккуратного клерка, который приходит на работу к себе в контору и каждый деньобнаруживает у себя на столе стопку листов бумаги со списком заданий, которыеон должен выполнить за рабочий день. Клерк берет верхний лист, читает указанияначальства, пунктуально их выполняет, выбрасывает «отработанный» лист вмусорное ведро и переходит к следующему листу. Предположим, что некийзлоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаглист, на котором написано следующее:«Переписать этот лист два раза и положитькопии в стопку заданий соседей» Что сделает клерк? Дважды перепишет лист,положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второголиста из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделаютсоседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же,что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, вконторе бродят уже четыре копии первоначального документа, которые и дальшебудут копироваться и раздаваться на другие столы. Примерно так жеработает и компьютерный вирус, только стопками бумаг-указаний являютсяпрограммы, а клерком — компьютер. Так же как и клерк, компьютер аккуратновыполняет все команды программы (листы заданий), начиная с первой. Если жепервая команда звучит как «скопируй меня в две другие программы», то компьютертак и сделает, и команда-вирус попадает в две другие программы. Когда компьютерперейдет к выполнению других «зараженных» программ, вирус тем же способом будетрасходиться все дальше и дальше по всему компьютеру. В приведенном вышепримере про клерка и его контору лист-вирус не проверяет, заражена очереднаяпапка заданий или нет. В этом случае к концу рабочего дня контора будетзавалена такими копиями, а клерки только и будут что переписывать один и тот жетекст и раздавать его соседям — ведь первый клерк сделает две копии, очередныежертвы вируса — уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копийкаждый раз будет увеличиваться в два раза. Если клерк напереписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий,то через час по конторе будет «бродить» более 1.000.000.000.000.000.000 копийвируса! Скорее всего, конечно же, не хватит бумаги, и распространение вирусабудет остановлено по столь банальной причине. Как это ни смешно(хотя участникам этого инцидента было совсем не смешно), именно такой случайпроизошел в 1988 году в Америке — несколько глобальных сетей передачиинформации оказались переполненными копиями сетевого вируса (вирус Морриса),который рассылал себя от компьютера к компьютеру. Поэтому «правильные» вирусыделают так: Переписать этот лист два раза и положить копии в стопку заданийсоседей, если у них еще нет этого листа». Проблема решена — «перенаселения» нет,но каждая стопка содержит по копии вируса, при этом клерки еще успеваютсправляться и с обычной работой. «А как жеуничтожение данных?» — спросите Вы. Все очень просто — достаточно дописать налист примерно следующее: «1. Переписать этот лист два раза иположить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь — если сегодня пятница, попавшая на 13-е число,выкинуть все документы в мусорную корзину» Примерно это и выполняет хорошоизвестный вирус «Jerusalem»(другое название — «Time»). Кстати, на примереклерка очень хорошо видно, почему в большинстве случаев нельзя точноопределить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (сточностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давнов корзине. Компьютерные вирусы – этопрограммы, которые умеют воспроизводить себя в нескольких экземплярах,возможно, приписываясь к другим программам, и, возможно, совершать некоторыепобочные действия. Это определение дается, скорее, на интуитивном уровне,поскольку строгого определения компьютерного вируса пока не существует. Первой из причин, непозволяющих дать точное определение вирусу, является невозможность однозначновыделить отличительные признаки, которые соответствовали бы только вирусам. Второй жетрудностью, возникающей при формулировке определения компьютерного вируса,является то, что данное определение должно быть привязано к конкретнойоперационной системе, в которой этот вирус распространяется. Например,теоретически могут существовать операционные системы, в которых наличие вирусапросто невозможно. Таким примером может служить система, где запрещеносоздавать и изменять области выполняемого кода, т.е. запрещено изменятьобъекты, которые либо уже выполняются, либо могут выполняться системой прикаких-либо условиях. Поэтому представляется возможнымсформулировать только обязательное условие для того, чтобы некотораяпоследовательность выполняемого кода являлась вирусом. Обязательнымсвойством компьютерного вируса является возможность создавать свои дубликаты(не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сетии/или файлы, системные области компьютера и прочие выполняемые объекты. Приэтом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить,что это условие не является достаточным (т.е. окончательным), поскольку например, операционная система MS-DOS удовлетворяет данному свойству, но вирусомне является. Вот почему точногоопределения вируса до сих пор нет, ивряд ли оно появится в обозримом будущем. Следовательно, нет точноопределенного закона, по которому «хорошие» файлы можно отличить от «вирусов».Более того, иногда даже для конкретного файла довольно сложно определить,является он вирусом или нет.
Откуда же берутся компьютерные вирусы? Напоминаю, что вотличие от биологических вирусов компьютерные вирусы создаются человеком.Авторы вирусов своими «произведениями» приносят массу вреда пользователямкомпьютеров. Они могут вызвать сбои в работе компьютеров или даже полную потерюданных на жестком диске. <img src="/cache/referats/4747/image002.jpg" v:shapes="_x0000_s1026"> Вирус может проникнуть в систему одним из нескольких возможных путей: дискета,CD-ROM производителя ПО, сетевой интерфейс или модемное соединение, глобальнаясеть Internet при получении электронной почты (рисунок 1). PRIVATE «TYPE=PICT;ALT=Picture1» Рисунок 1. Вирусы проникают в компьютер сдискет, через модемы и по сетевым соединениям. Историческидискета — это наиболее распространенный носитель вирусов, главным образом из-затого, что они использовались для переноса информации с одного компьютера надругой. Заразитьдискету гораздо проще. На нее вирус может попасть, если вы просто вставилидискету в дисковод зараженного компьютера и, например, прочитали ее оглавление. Ситуация здесьта же, что и с вирусом СПИДа — чем больше число партнеров, с которыми выобмениваетесь программами (дискетами), тем выше вероятность заражения. Однако этимпути проникновения вирусов в систему далеко не исчерпываются. У тойпростоты, с которой Интернет позволяет обмениваться информацией, есть иобратная сторона: из-за нее Интернет стал благоприятной средой дляраспространения компьютерных вирусов и других вредоносных программ. Конечно,далеко не каждая программа или документ, скаченные из Интернета или присланныеВам по электронной почте, содержат в себе вирусы. Дорожащие репутациейоператоры досок объявлений и системные операторы интерактивных служб производятсканирование новых файлов на наличие вирусов, прежде чем сделать их доступнымипублике, однако никогда нельзя быть уверенным, что полученные файлыпроверены. Каждому, кто работает вИнтернете, совершенно необходима хорошая антивирусная защита. Но в первую очередь,это касается тенденции приобретения вирусами функции распространения поэлектронной почте. Согласно статистике службы технической поддержки«Лаборатории Касперского», около 85% всех зарегистрированных случаевзаражения были вызваны проникновением вирусов именно при помощи этогоисточника. Таким образом, по сравнению с 1999 г., рост числа подобныхинцидентов составил около 70%. В этой связи«Лаборатория Касперского» еще раз отмечает важность установкинадежной системы антивирусной защиты для электронной почты. Переключениевнимания создателей вирусов на электронную почту вполне закономерно. Какпоказывает практика, больше всего вредоносных программ создается для техоперационных систем, приложений, технологий передачи данных, которые имеютнаибольшую популярность. Сегодня электронная почта является де-факто стандартомкак делового, так и неформального общения. Сотни миллионов людей по всему мируне представляют нормального бизнеса без этого способа коммуникации спартнерами. Это и предопределило ориентацию создателей вирусов на электроннуюпочту. Признаки появлениявирусов.При заражении компьютера вирусом важно его обнаружить. Дляэтого следует знать об основных признаках проявления вирусов. К ним можноотнести следующие: ·<span Times New Roman""> прекращение работы илинеправильная работа ранее успешно функционировавших программ;·<span Times New Roman""> медленная работакомпьютера;·<span Times New Roman""> невозможность загрузкиоперационной системы;·<span Times New Roman""> исчезновение файлов икаталогов или искажение их содержимого;·<span Times New Roman""> изменение даты ивремени модификации файлов;·<span Times New Roman""> изменение размеровфайлов;·<span Times New Roman""> неожиданноезначительное увеличение количества файлов на диске;·<span Times New Roman""> существенноеуменьшение размера свободной оперативной памяти;·<span Times New Roman""> вывод на экраннепредусмотренных сообщений или изображений;·<span Times New Roman""> подачанепредусмотренных звуковых сигналов;·<span Times New Roman""> частые зависания исбои в работе компьютера.Следует отметить, что вышеперечисленные явлениянеобязательно вызываются присутствием вируса, а могут быть следствием другихпричин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Немного истории<span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Поговорим о новейшейистории: «Brain», «Vienna», «Cascade» и далее. Те, кто начал работать на IBM-PCаж в середине 80-х, еще не забыли повальную эпидемию этих вирусов в 1987-89годах. Буквы сыпались на экранах, а толпы пользователей неслись к специалистампо ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валятна неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн«Yankee Doodle», но чинить динамики уже никто не бросился — очень быстро разобрались,что это — вирус, да не один, а целый десяток. Так вирусы начализаражать файлы. Вирус «Brain» и скачущий по экрану шарик вируса «Pingpong»ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилосьпользователям IBM-PC, и — появились противоядия. Одним из первых антивирусов был отечественный ANTI-KOT: этолегендарный Олег Котик выпустил в свет первые версии своей программы, котораяуничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в страненесколько позднее). К сожалению, ANTI-KOT определяет вирус «Time» («Иерусалимский») по комбинации«MsDos» в конце файла, а некоторые другие антивирусы эти самые буквы аккуратноприцепляют ко всем файлам с расширением COM или EXE. Следует обратитьвнимание на то, что истории завоевания вирусами России и Запада различаютсямежду собой. Первым вирусом, стремительно распространившимся на Западе былзагрузочный вирус «Brain», и только потом появились файловые вирусы «Vienna» и «Cascade». В России же наоборот, сначалапоявились файловые вирусы, а годом позже — загрузочные. Время шло, вирусыплодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялиськ файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним изпервых «откровений» стал вирус «Frodo.4096»- один из первых из известных файловых вирусов-невидимок (стелс). Этот вирус перехватывал INT 21h и, приобращении через DOS к зараженным файлам, изменял информацию таким образом, чтофайл появлялся перед пользователем в незараженном виде. Но это была тольконадстройка вируса над MS-DOS. Не прошло и года, как электронные тараканыполезли внутрь ядра DOS (вирус-невидимка «Beast.512»). Идея невидимости продолжала приносить свой плоды идалее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус «Dir_П». Но бороться с невидимками было довольно просто: почистил RAM — и будьспокоен, ищи гада и лечи его на здоровье. Но больше хлопот доставлялисамошифрующиеся вирусы, которые иногда встречались в очередных поступлениях вколлекции. Ведь для их идентификации и удаления приходилось писать специальныеподпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока…Пока не появились вирусы нового поколения, те, которые носят названиеполиморфик-вирусы. Эти вирусы используют другой подход к невидимости: онишифруются (в большинстве случаев), а в расшифровщике используют команды,которые могут не повторяться при заражении различных файлов. Классификация вирусов<span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none">В настоящее время известно более 5000 программныхвирусов, их можно классифицировать по следующим признакам: ·<span Times New Roman""> средеобитания·<span Times New Roman""> способузаражения среды обитания·<span Times New Roman""> воздействию·<span Times New Roman""> особенностямалгоритма<span Times New Roman",«serif»;mso-text-animation: none"> <span Times New Roman",«serif»; mso-text-animation:none">В зависимости от средыобитания вирусы можно разделить на сетевые, файловые,загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различнымкомпьютерным сетям. Файловые вирусы внедряются главным образом висполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типыфайлов, но, как правило, записанные в таких файлах, они никогда не получаютуправление и, следовательно, теряют способность к размножению. Загрузочныевирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузкисистемного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы,так и загрузочные сектора дисков.<span Times New Roman",«serif»; color:blue;mso-text-animation:none">По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентнуючасть, которая потом перехватывает обращение операционной системы к объектамзаражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них.Резидентные вирусы находятся в памяти и являются активными вплоть до выключенияили перезагрузки компьютера. Нерезидентные вирусы не заражают памятькомпьютера и являются активными ограниченное время.<span Times New Roman",«serif»;color:blue;mso-text-animation: none">По степени воздействия вирусы можно разделить на следующие виды:неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах опасные вирусы, которые могут привести к различным нарушениям в работе компьютера очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.Поособенностям алгоритмов выделяют следующие группы вирусов:«Компаньоны — спутники» — вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE файлов файлы спутники, имеющие то же самое имя, но с расширением .Com или Bat. Вирус записывается в Com или Bat-файл и никак не изменяет EXE-файл. При активации такого файла операционная система первым обнаружит и выполнит Bat-файл или COM-файл, т.е. вирус, который затем уже запустит и EXE-файл. «Черви — репликаторы» — вирусы, которые распространяются в компьютерной сети и, так же как и компаньон вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают файлы, но могут вообще не обращаться к ресурсам компьютеров (кроме оперативной памяти). «Паразитические» — все вирусы, которые при распространении своих копий изменяют содержимое дисковых секторов или файлов. В эту группу относятся вирусы, которые не являются «червями» и «спутниками». «Студенческие» — крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок, именно по этой причине они могут быть любой степени опасности, если их быстро не удалить из компьютера. «Стелс невидимки» вирусы, представляющие собой совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Такие вирусы используют оригинальные алгоритмы, позволяющие «обманывать» резидентные АВП. «Полиморфик — призраки - мутанты» вирусы (само шифрующиеся) достаточно трудно обнаруживаемые вирусы, не имеющие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик вируса не имеют ни одного совпадения. «Троянские кони» - вирусы, которые могут маскироваться под полезную программу и выполнять разрушительные действия при каждой активации. Они могут размножаться без внедрения в другие файлы, а более совершенные из них, активируются при определенных ситуациях или событиях в ЭВМ или сети. «Макро» вирусы этого семейства используют возможности макроязыков в системах обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро вирусы заражающие документы редакторов Microsoft Word, Excel, Access.<span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Антивирусные программы.<span Times New Roman",«serif»"> <span Times New Roman",«serif»;mso-text-animation:none"> Для обнаружения, удаления и защиты от компьютерных вирусовразработано несколько видов специальных программ, которые позволяютобнаруживать и уничтожать вирусы. Такие программы называются антивирусными.Различают следующие виды антивирусных программ: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> Программы-детекторы осуществляют поиск характернойдля конкретного вируса сигнатуры в оперативной памяти и в файлах и приобнаружении выдают соответствующее сообщение. Недостатком таких антивирусныхпрограмм является то, что они могут находить только те вирусы, которые известныразработчикам таких программ. Программы-доктора или фаги, а такжепрограммы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их,т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходноесостояние. В начале своей работы фаги ищут вирусы в оперативной памяти,уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяютполифаги, т.е. программы-доктора, предназначенные для поиска и уничтожениябольшого количества вирусов. Наиболееизвестныеизних: AVP, Aidstest,Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы,программы-детекторы и программы-доктора быстро устаревают, и требуетсярегулярное обновление версий. Программы-ревизоры относятся к самым надежнымсредствам защиты от вирусов. Ревизоры запоминают исходное состояние программ,каталогов и системных областей диска тогда, когда компьютер не заражен вирусом,а затем периодически или по желанию пользователя сравнивают текущее состояние сисходным. Обнаруженные изменения выводятся на экран монитора. Как правило,сравнение состояний производят сразу после загрузки операционной системы. Присравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и времямодификации, другие параметры. Программы-ревизоры имеют достаточно развитыеалгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемойпрограммы от изменений, внесенных вирусом. К числу программ-ревизоров относитсяшироко распространенная в России программа Adinf. Программы-фильтры или «сторожа» представляют собойнебольшие резидентные программы, предназначенные для обнаружения подозрительныхдействий при работе компьютера, характерных для вирусов. Такими действиямимогут являться: 1.<span Times New Roman""> 2.<span Times New Roman""> 3.<span Times New Roman""> 4.<span Times New Roman""> 5.<span Times New Roman""> При попытке какой-либо программы произвести указанные действия«сторож» посылает пользователю сообщение и предлагает запретить или разрешитьсоответствующее действие. Программы-фильтры весьма полезны, так как способныобнаружить вирус на самой ранней стадии его существования до размножения.Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуетсяприменить другие программы, например фаги. Вакцины или иммунизаторы — это резидентныепрограммы, предотвращающие заражение файлов. Вакцины применяют, еслиотсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна толькоот известных вирусов. Вакцина модифицирует программу или диск таким образом,чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженнымии поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченноеприменение. Своевременное обнаружение зараженных вирусами файлов и дисков,полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежатьраспространения вирусной эпидемии на другие компьютеры. Главным оружием в борьбе с вирусами являются антивирусныепрограммы. Они позволяют не только обнаружить вирусы, в том числе вирусы,использующие различные методы маскировки, но и удалить их из компьютера.Последняя операция может быть достаточно сложной и занять некоторое время. Существует несколько основополагающих методов поиска вирусов,которые применяются антивирусными программами. Наиболее традиционным методомпоиска вирусов является сканирование. Оно заключается в поиске сигнатур, выделенных из ранееобнаруженных вирусов. Антивирусные программы-сканеры, способные удалитьобнаруженные вирусы, обычно называются полифагами. Недостатком простых сканеров является их неспособностьобнаружить полиморфные вирусы, полностью меняющие свой код. Для этогонеобходимо использовать более сложные алгоритмы поиска, включающиеэвристический анализ проверяемых программ. Кроме того, сканеры могут обнаружить только ужеизвестные и предварительно изученные вирусы, для которых была определена сигнатура.Поэтому программы-сканеры не защитят ваш компьютер от проникновения новыхвирусов, которых, кстати, появляется по несколько штук в день. Как результат,сканеры устаревают уже в момент выхода новой версии. <span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Антивирусная программа AntiViralToolkitProAVP имеет удобный пользовательскийинтерфейс, большое количество настроек, выбираемых пользователем, а также однуиз самых больших в мире антивирусных баз, что гарантирует надежную защиту отогромного числа самых разнообразных вирусов. В ходе работы AVP сканирует следующие области: Оперативную память. Файлы, включая архивные и упакованные. Системные сектора, содержащие Master Boot Record, загрузочныйсектор (Boot-сектор) и таблицу разбиения диска (Partition Table). AntiViral Toolkit Pro имеет ряд особенностей, характеризующихего работу: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> “AVP Monitor” – резидентный модуль,находящийся постоянно в оперативной памяти компьютера и отслеживающий всефайловые операции в системе. Позволяет обнаружить и удалить вирус до моментареального заражения системы в целом; ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> AVP Центр Управления –программа-оболочка, позволяющая организовать эффективную антивирусную защиту наПК. Опишем некоторые из них. AVP Monitor.AVP Monitor представляет собой резидентную антивируснуюпрограмму, которая постоянно находится в оперативной памяти и контролируетоперации обращения к файлам и секторам. Прежде чем разрешить доступ к объекту,AVP Monitor проверяет его на наличие вируса. Таким образом, он позволяетобнаружить и удалить вирус до момента реального заражения системы. Главное окно AVP Monitor содержит 5 вкладок: «Общие»,«Объекты», «Действия», «Настройки»,«Статистика». Перемещаясь по вкладкам и выбирая нужные опции, Вы можетеизменять настройки программы. Чтобы все произведенные Вами действия по выбору опций вступилив силу, нужно нажать кнопку «Применить»(в этом случае окно AVPMonitor останется открытым) или кнопку «OK»(в этом случае окносвернется в иконку) которые находятся в нижней части окна. Вкладка «Общие».В верхней части вкладки«Общие» содержится различная информация о программе (номер версии,дата последнего обновления и количество известных программе вирусов, регистрационнаяинформация, информация о разработчиках). Нажав кнопку «Техническаяподдержка», Вы получите информацию о каналах, по которым осуществляетсятехническая поддержка для легальных пользователей программы. В нижней части вкладки находится флажок «Включить», спомощью которого можно включать или выключать монитор. Кнопка «Выгрузить AVP Monitor» позволяет завершитьработу программы. <img src="/cache/referats/4747/image004.jpg" v:shapes="_x0000_i1025"> Вкладка «Объекты».Эта вкладка позволяет выбирать типыфайлов, которые будут проверяться. Вы можете выбрать один из типов файлов: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> *.EXE, *.COM, *.DOC.<img src="/cache/referats/4747/image006.jpg" v:shapes="_x0000_i1026"> Вкладка «Действия».Вкладка «Действия»позволяет задавать действия AVP Monitor при обнаружении зараженного объекта. Выможете выбрать одно из следующих действий: §<span Times New Roman""> при каждой попытке обращения кзараженному объекту будет появляться синий экран, содержащий информацию об этомзараженном объекте, имя вируса и запрос на лечение объекта: «Попытатьсяудалить вирус?» Нажмите клавишу если Вы хотите вылечить объект,или клавишу в противном случае; при каждой попытке обращения кподозрительному объекту (если включена опция «Предупреждения» вовкладке «Настройки») или объекту, содержащему измененный илиповрежденный вирус (если включена опция «Анализатор кода» во вкладке«Настройки») будет появляться синий экран, содержащий информацию обэтом объекте, имя вируса (или тип вируса) и запрос: «Запретить доступ кобъекту?» Нажмите клавишу если Вы хотите запретить доступ, иликлавишу в противном случае; §<span Times New Roman""> §<span Times New Roman""> §<span Times New Roman""> <img src="/cache/referats/4747/image008.jpg" v:shapes="_x0000_i1027"> Вкладка «Настройки».Эта вкладка предоставляет возможностьподключения дополнительных механизмов поиска вирусов, а также возможностьсоздания файла отчета. Вы можете поставить следующие флажки: ·<span Times New Roman""> Предупреждения- включить добавочный механизм проверки. При этом будет выводитьсяпредупреждающее сообщение, если сканируемый файл или сектор содержит измененныйили поврежденный вирус, а также, если в памяти компьютера обнаруженаподозрительная последовательность машинных инструкций;<sp www.ronl.ru Дипломная работа - Вирусы и антивирусное программное обеспечениеВведениеДля моейкурсовой работы по информатике я выбрала тему ”вирусы и антивирусноепрограммное обеспечение ”. Потому что, будучи «чайником» мне пришлось ни разбороться с вирусами на своем ПК. Эта тема до боли близка мне- ей я и хочупосвятить свою работу. Компьютерные вирусы.Что это такое и как с этим бороться? На эту тему уже написаны десятки книг исотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни(или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалосьбы, тема эта не настолько сложна и актуальна, чтобы быть объектом такогопристального внимания. Однако это не так. Компьютерные вирусы были и остаютсяодной из наиболее распространенных причин потери информации. Известны случаи,когда вирусы блокировали работу организаций и предприятий. Более того,несколько лет назад был зафиксирован случай, когда компьютерный вирус сталпричиной гибели человека — в одном из госпиталей Нидерландов пациент получиллетальную дозу морфия по той причине, что компьютер был заражен вирусом ивыдавал неверную информацию. Как и в случаеобычной простуды, компьютер, атакованный вирусом, начинает проявлятьболезненные симптомы. Заражение человека вирусом приводит к замедлению реакции,изменению веса, общей слабости, болевым ощущениям, частичной или полной амнезиии даже смерти. При инфицировании вирусом компьютеры проявляют аналогичныесимптомы: замедленное выполнение программ по сравнению с обычным, необъяснимыеизменения в размере файлов, необычные и частые сообщения об ошибках, потеря илиизменения данных и полный крах системы. Некоторые относительно безвредныекомпьютерные вирусы тиражируются, но не делают ничего ужасного. Эти вирусымогут, выдавать на экран ошибочное сообщение. Однако в некоторых случаях вирус,атаковавший, скажем, больничную систему жизнеобеспечения и выдавшийнекорректное сообщение, может иметь фатальные последствия. Кроме того, вирусыспособны нанести серьезный ущерб системе, например стереть всю информацию сжесткого диска. <span Times New Roman",«serif»;mso-text-animation:none"> Что такое вирус?Один из известных ”докторов” Д.НЛозинский дал определение вируса на примере клерка. Представим себеаккуратного клерка, который приходит на работу к себе в контору и каждый деньобнаруживает у себя на столе стопку листов бумаги со списком заданий, которыеон должен выполнить за рабочий день. Клерк берет верхний лист, читает указанияначальства, пунктуально их выполняет, выбрасывает «отработанный» лист вмусорное ведро и переходит к следующему листу. Предположим, что некийзлоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаглист, на котором написано следующее:«Переписать этот лист два раза и положитькопии в стопку заданий соседей» Что сделает клерк? Дважды перепишет лист,положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второголиста из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделаютсоседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же,что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, вконторе бродят уже четыре копии первоначального документа, которые и дальшебудут копироваться и раздаваться на другие столы. Примерно так жеработает и компьютерный вирус, только стопками бумаг-указаний являютсяпрограммы, а клерком — компьютер. Так же как и клерк, компьютер аккуратновыполняет все команды программы (листы заданий), начиная с первой. Если жепервая команда звучит как «скопируй меня в две другие программы», то компьютертак и сделает, и команда-вирус попадает в две другие программы. Когда компьютерперейдет к выполнению других «зараженных» программ, вирус тем же способом будетрасходиться все дальше и дальше по всему компьютеру. В приведенном вышепримере про клерка и его контору лист-вирус не проверяет, заражена очереднаяпапка заданий или нет. В этом случае к концу рабочего дня контора будетзавалена такими копиями, а клерки только и будут что переписывать один и тот жетекст и раздавать его соседям — ведь первый клерк сделает две копии, очередныежертвы вируса — уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копийкаждый раз будет увеличиваться в два раза. Если клерк напереписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий,то через час по конторе будет «бродить» более 1.000.000.000.000.000.000 копийвируса! Скорее всего, конечно же, не хватит бумаги, и распространение вирусабудет остановлено по столь банальной причине. Как это ни смешно(хотя участникам этого инцидента было совсем не смешно), именно такой случайпроизошел в 1988 году в Америке — несколько глобальных сетей передачиинформации оказались переполненными копиями сетевого вируса (вирус Морриса),который рассылал себя от компьютера к компьютеру. Поэтому «правильные» вирусыделают так: Переписать этот лист два раза и положить копии в стопку заданийсоседей, если у них еще нет этого листа». Проблема решена — «перенаселения» нет,но каждая стопка содержит по копии вируса, при этом клерки еще успеваютсправляться и с обычной работой. «А как жеуничтожение данных?» — спросите Вы. Все очень просто — достаточно дописать налист примерно следующее: «1. Переписать этот лист два раза иположить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь — если сегодня пятница, попавшая на 13-е число,выкинуть все документы в мусорную корзину» Примерно это и выполняет хорошоизвестный вирус «Jerusalem»(другое название — «Time»). Кстати, на примереклерка очень хорошо видно, почему в большинстве случаев нельзя точноопределить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (сточностью до почерка) КОПИИ, но оригинал-то с почерком злоумышленника уже давнов корзине. Компьютерные вирусы – этопрограммы, которые умеют воспроизводить себя в нескольких экземплярах,возможно, приписываясь к другим программам, и, возможно, совершать некоторыепобочные действия. Это определение дается, скорее, на интуитивном уровне,поскольку строгого определения компьютерного вируса пока не существует. Первой из причин, непозволяющих дать точное определение вирусу, является невозможность однозначновыделить отличительные признаки, которые соответствовали бы только вирусам. Второй жетрудностью, возникающей при формулировке определения компьютерного вируса,является то, что данное определение должно быть привязано к конкретнойоперационной системе, в которой этот вирус распространяется. Например,теоретически могут существовать операционные системы, в которых наличие вирусапросто невозможно. Таким примером может служить система, где запрещеносоздавать и изменять области выполняемого кода, т.е. запрещено изменятьобъекты, которые либо уже выполняются, либо могут выполняться системой прикаких-либо условиях. Поэтому представляется возможнымсформулировать только обязательное условие для того, чтобы некотораяпоследовательность выполняемого кода являлась вирусом. Обязательнымсвойством компьютерного вируса является возможность создавать свои дубликаты(не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сетии/или файлы, системные области компьютера и прочие выполняемые объекты. Приэтом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить,что это условие не является достаточным (т.е. окончательным), поскольку например, операционная система MS-DOS удовлетворяет данному свойству, но вирусомне является. Вот почему точногоопределения вируса до сих пор нет, ивряд ли оно появится в обозримом будущем. Следовательно, нет точноопределенного закона, по которому «хорошие» файлы можно отличить от «вирусов».Более того, иногда даже для конкретного файла довольно сложно определить,является он вирусом или нет.
Откуда же берутся компьютерные вирусы? Напоминаю, что вотличие от биологических вирусов компьютерные вирусы создаются человеком.Авторы вирусов своими «произведениями» приносят массу вреда пользователямкомпьютеров. Они могут вызвать сбои в работе компьютеров или даже полную потерюданных на жестком диске. <img src="/cache/referats/4747/image002.jpg" v:shapes="_x0000_s1026"> Вирус может проникнуть в систему одним из нескольких возможных путей: дискета,CD-ROM производителя ПО, сетевой интерфейс или модемное соединение, глобальнаясеть Internet при получении электронной почты (рисунок 1). PRIVATE «TYPE=PICT;ALT=Picture1» Рисунок 1. Вирусы проникают в компьютер сдискет, через модемы и по сетевым соединениям. Историческидискета — это наиболее распространенный носитель вирусов, главным образом из-затого, что они использовались для переноса информации с одного компьютера надругой. Заразитьдискету гораздо проще. На нее вирус может попасть, если вы просто вставилидискету в дисковод зараженного компьютера и, например, прочитали ее оглавление. Ситуация здесьта же, что и с вирусом СПИДа — чем больше число партнеров, с которыми выобмениваетесь программами (дискетами), тем выше вероятность заражения. Однако этимпути проникновения вирусов в систему далеко не исчерпываются. У тойпростоты, с которой Интернет позволяет обмениваться информацией, есть иобратная сторона: из-за нее Интернет стал благоприятной средой дляраспространения компьютерных вирусов и других вредоносных программ. Конечно,далеко не каждая программа или документ, скаченные из Интернета или присланныеВам по электронной почте, содержат в себе вирусы. Дорожащие репутациейоператоры досок объявлений и системные операторы интерактивных служб производятсканирование новых файлов на наличие вирусов, прежде чем сделать их доступнымипублике, однако никогда нельзя быть уверенным, что полученные файлыпроверены. Каждому, кто работает вИнтернете, совершенно необходима хорошая антивирусная защита. Но в первую очередь,это касается тенденции приобретения вирусами функции распространения поэлектронной почте. Согласно статистике службы технической поддержки«Лаборатории Касперского», около 85% всех зарегистрированных случаевзаражения были вызваны проникновением вирусов именно при помощи этогоисточника. Таким образом, по сравнению с 1999 г., рост числа подобныхинцидентов составил около 70%. В этой связи«Лаборатория Касперского» еще раз отмечает важность установкинадежной системы антивирусной защиты для электронной почты. Переключениевнимания создателей вирусов на электронную почту вполне закономерно. Какпоказывает практика, больше всего вредоносных программ создается для техоперационных систем, приложений, технологий передачи данных, которые имеютнаибольшую популярность. Сегодня электронная почта является де-факто стандартомкак делового, так и неформального общения. Сотни миллионов людей по всему мируне представляют нормального бизнеса без этого способа коммуникации спартнерами. Это и предопределило ориентацию создателей вирусов на электроннуюпочту. Признаки появлениявирусов.При заражении компьютера вирусом важно его обнаружить. Дляэтого следует знать об основных признаках проявления вирусов. К ним можноотнести следующие: ·<span Times New Roman""> прекращение работы илинеправильная работа ранее успешно функционировавших программ;·<span Times New Roman""> медленная работакомпьютера;·<span Times New Roman""> невозможность загрузкиоперационной системы;·<span Times New Roman""> исчезновение файлов икаталогов или искажение их содержимого;·<span Times New Roman""> изменение даты ивремени модификации файлов;·<span Times New Roman""> изменение размеровфайлов;·<span Times New Roman""> неожиданноезначительное увеличение количества файлов на диске;·<span Times New Roman""> существенноеуменьшение размера свободной оперативной памяти;·<span Times New Roman""> вывод на экраннепредусмотренных сообщений или изображений;·<span Times New Roman""> подачанепредусмотренных звуковых сигналов;·<span Times New Roman""> частые зависания исбои в работе компьютера.Следует отметить, что вышеперечисленные явлениянеобязательно вызываются присутствием вируса, а могут быть следствием другихпричин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Немного истории<span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Поговорим о новейшейистории: «Brain», «Vienna», «Cascade» и далее. Те, кто начал работать на IBM-PCаж в середине 80-х, еще не забыли повальную эпидемию этих вирусов в 1987-89годах. Буквы сыпались на экранах, а толпы пользователей неслись к специалистампо ремонту дисплеев (сейчас все наоборот: винчестер сдох от старости, а валятна неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн«Yankee Doodle», но чинить динамики уже никто не бросился — очень быстро разобрались,что это — вирус, да не один, а целый десяток. Так вирусы начализаражать файлы. Вирус «Brain» и скачущий по экрану шарик вируса «Pingpong»ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилосьпользователям IBM-PC, и — появились противоядия. Одним из первых антивирусов был отечественный ANTI-KOT: этолегендарный Олег Котик выпустил в свет первые версии своей программы, котораяуничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в страненесколько позднее). К сожалению, ANTI-KOT определяет вирус «Time» («Иерусалимский») по комбинации«MsDos» в конце файла, а некоторые другие антивирусы эти самые буквы аккуратноприцепляют ко всем файлам с расширением COM или EXE. Следует обратитьвнимание на то, что истории завоевания вирусами России и Запада различаютсямежду собой. Первым вирусом, стремительно распространившимся на Западе былзагрузочный вирус «Brain», и только потом появились файловые вирусы «Vienna» и «Cascade». В России же наоборот, сначалапоявились файловые вирусы, а годом позже — загрузочные. Время шло, вирусыплодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялиськ файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним изпервых «откровений» стал вирус «Frodo.4096»- один из первых из известных файловых вирусов-невидимок (стелс). Этот вирус перехватывал INT 21h и, приобращении через DOS к зараженным файлам, изменял информацию таким образом, чтофайл появлялся перед пользователем в незараженном виде. Но это была тольконадстройка вируса над MS-DOS. Не прошло и года, как электронные тараканыполезли внутрь ядра DOS (вирус-невидимка «Beast.512»). Идея невидимости продолжала приносить свой плоды идалее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус «Dir_П». Но бороться с невидимками было довольно просто: почистил RAM — и будьспокоен, ищи гада и лечи его на здоровье. Но больше хлопот доставлялисамошифрующиеся вирусы, которые иногда встречались в очередных поступлениях вколлекции. Ведь для их идентификации и удаления приходилось писать специальныеподпрограммы, отлаживать их. Но на это никто тогда не обращал внимания, пока…Пока не появились вирусы нового поколения, те, которые носят названиеполиморфик-вирусы. Эти вирусы используют другой подход к невидимости: онишифруются (в большинстве случаев), а в расшифровщике используют команды,которые могут не повторяться при заражении различных файлов. Классификация вирусов<span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none">В настоящее время известно более 5000 программныхвирусов, их можно классифицировать по следующим признакам: ·<span Times New Roman""> средеобитания·<span Times New Roman""> способузаражения среды обитания·<span Times New Roman""> воздействию·<span Times New Roman""> особенностямалгоритма<span Times New Roman",«serif»;mso-text-animation: none"> <span Times New Roman",«serif»; mso-text-animation:none">В зависимости от средыобитания вирусы можно разделить на сетевые, файловые,загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различнымкомпьютерным сетям. Файловые вирусы внедряются главным образом висполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типыфайлов, но, как правило, записанные в таких файлах, они никогда не получаютуправление и, следовательно, теряют способность к размножению. Загрузочныевирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузкисистемного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы,так и загрузочные сектора дисков.<span Times New Roman",«serif»; color:blue;mso-text-animation:none">По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентнуючасть, которая потом перехватывает обращение операционной системы к объектамзаражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них.Резидентные вирусы находятся в памяти и являются активными вплоть до выключенияили перезагрузки компьютера. Нерезидентные вирусы не заражают памятькомпьютера и являются активными ограниченное время.<span Times New Roman",«serif»;color:blue;mso-text-animation: none">По степени воздействия вирусы можно разделить на следующие виды:неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах опасные вирусы, которые могут привести к различным нарушениям в работе компьютера очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.Поособенностям алгоритмов выделяют следующие группы вирусов:«Компаньоны — спутники» — вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE файлов файлы спутники, имеющие то же самое имя, но с расширением .Com или Bat. Вирус записывается в Com или Bat-файл и никак не изменяет EXE-файл. При активации такого файла операционная система первым обнаружит и выполнит Bat-файл или COM-файл, т.е. вирус, который затем уже запустит и EXE-файл. «Черви — репликаторы» — вирусы, которые распространяются в компьютерной сети и, так же как и компаньон вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают файлы, но могут вообще не обращаться к ресурсам компьютеров (кроме оперативной памяти). «Паразитические» — все вирусы, которые при распространении своих копий изменяют содержимое дисковых секторов или файлов. В эту группу относятся вирусы, которые не являются «червями» и «спутниками». «Студенческие» — крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок, именно по этой причине они могут быть любой степени опасности, если их быстро не удалить из компьютера. «Стелс невидимки» вирусы, представляющие собой совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Такие вирусы используют оригинальные алгоритмы, позволяющие «обманывать» резидентные АВП. «Полиморфик — призраки - мутанты» вирусы (само шифрующиеся) достаточно трудно обнаруживаемые вирусы, не имеющие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик вируса не имеют ни одного совпадения. «Троянские кони» - вирусы, которые могут маскироваться под полезную программу и выполнять разрушительные действия при каждой активации. Они могут размножаться без внедрения в другие файлы, а более совершенные из них, активируются при определенных ситуациях или событиях в ЭВМ или сети. «Макро» вирусы этого семейства используют возможности макроязыков в системах обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро вирусы заражающие документы редакторов Microsoft Word, Excel, Access.<span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Антивирусные программы.<span Times New Roman",«serif»"> <span Times New Roman",«serif»;mso-text-animation:none"> Для обнаружения, удаления и защиты от компьютерных вирусовразработано несколько видов специальных программ, которые позволяютобнаруживать и уничтожать вирусы. Такие программы называются антивирусными.Различают следующие виды антивирусных программ: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> Программы-детекторы осуществляют поиск характернойдля конкретного вируса сигнатуры в оперативной памяти и в файлах и приобнаружении выдают соответствующее сообщение. Недостатком таких антивирусныхпрограмм является то, что они могут находить только те вирусы, которые известныразработчикам таких программ. Программы-доктора или фаги, а такжепрограммы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их,т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходноесостояние. В начале своей работы фаги ищут вирусы в оперативной памяти,уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяютполифаги, т.е. программы-доктора, предназначенные для поиска и уничтожениябольшого количества вирусов. Наиболееизвестныеизних: AVP, Aidstest,Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы,программы-детекторы и программы-доктора быстро устаревают, и требуетсярегулярное обновление версий. Программы-ревизоры относятся к самым надежнымсредствам защиты от вирусов. Ревизоры запоминают исходное состояние программ,каталогов и системных областей диска тогда, когда компьютер не заражен вирусом,а затем периодически или по желанию пользователя сравнивают текущее состояние сисходным. Обнаруженные изменения выводятся на экран монитора. Как правило,сравнение состояний производят сразу после загрузки операционной системы. Присравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и времямодификации, другие параметры. Программы-ревизоры имеют достаточно развитыеалгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемойпрограммы от изменений, внесенных вирусом. К числу программ-ревизоров относитсяшироко распространенная в России программа Adinf. Программы-фильтры или «сторожа» представляют собойнебольшие резидентные программы, предназначенные для обнаружения подозрительныхдействий при работе компьютера, характерных для вирусов. Такими действиямимогут являться: 1.<span Times New Roman""> 2.<span Times New Roman""> 3.<span Times New Roman""> 4.<span Times New Roman""> 5.<span Times New Roman""> При попытке какой-либо программы произвести указанные действия«сторож» посылает пользователю сообщение и предлагает запретить или разрешитьсоответствующее действие. Программы-фильтры весьма полезны, так как способныобнаружить вирус на самой ранней стадии его существования до размножения.Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуетсяприменить другие программы, например фаги. Вакцины или иммунизаторы — это резидентныепрограммы, предотвращающие заражение файлов. Вакцины применяют, еслиотсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна толькоот известных вирусов. Вакцина модифицирует программу или диск таким образом,чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженнымии поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченноеприменение. Своевременное обнаружение зараженных вирусами файлов и дисков,полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежатьраспространения вирусной эпидемии на другие компьютеры. Главным оружием в борьбе с вирусами являются антивирусныепрограммы. Они позволяют не только обнаружить вирусы, в том числе вирусы,использующие различные методы маскировки, но и удалить их из компьютера.Последняя операция может быть достаточно сложной и занять некоторое время. Существует несколько основополагающих методов поиска вирусов,которые применяются антивирусными программами. Наиболее традиционным методомпоиска вирусов является сканирование. Оно заключается в поиске сигнатур, выделенных из ранееобнаруженных вирусов. Антивирусные программы-сканеры, способные удалитьобнаруженные вирусы, обычно называются полифагами. Недостатком простых сканеров является их неспособностьобнаружить полиморфные вирусы, полностью меняющие свой код. Для этогонеобходимо использовать более сложные алгоритмы поиска, включающиеэвристический анализ проверяемых программ. Кроме того, сканеры могут обнаружить только ужеизвестные и предварительно изученные вирусы, для которых была определена сигнатура.Поэтому программы-сканеры не защитят ваш компьютер от проникновения новыхвирусов, которых, кстати, появляется по несколько штук в день. Как результат,сканеры устаревают уже в момент выхода новой версии. <span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»;mso-text-animation:none"> <span Times New Roman",«serif»; mso-text-animation:none"> Антивирусная программа AntiViralToolkitProAVP имеет удобный пользовательскийинтерфейс, большое количество настроек, выбираемых пользователем, а также однуиз самых больших в мире антивирусных баз, что гарантирует надежную защиту отогромного числа самых разнообразных вирусов. В ходе работы AVP сканирует следующие области: Оперативную память. Файлы, включая архивные и упакованные. Системные сектора, содержащие Master Boot Record, загрузочныйсектор (Boot-сектор) и таблицу разбиения диска (Partition Table). AntiViral Toolkit Pro имеет ряд особенностей, характеризующихего работу: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> “AVP Monitor” – резидентный модуль,находящийся постоянно в оперативной памяти компьютера и отслеживающий всефайловые операции в системе. Позволяет обнаружить и удалить вирус до моментареального заражения системы в целом; ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> AVP Центр Управления –программа-оболочка, позволяющая организовать эффективную антивирусную защиту наПК. Опишем некоторые из них. AVP Monitor.AVP Monitor представляет собой резидентную антивируснуюпрограмму, которая постоянно находится в оперативной памяти и контролируетоперации обращения к файлам и секторам. Прежде чем разрешить доступ к объекту,AVP Monitor проверяет его на наличие вируса. Таким образом, он позволяетобнаружить и удалить вирус до момента реального заражения системы. Главное окно AVP Monitor содержит 5 вкладок: «Общие»,«Объекты», «Действия», «Настройки»,«Статистика». Перемещаясь по вкладкам и выбирая нужные опции, Вы можетеизменять настройки программы. Чтобы все произведенные Вами действия по выбору опций вступилив силу, нужно нажать кнопку «Применить»(в этом случае окно AVPMonitor останется открытым) или кнопку «OK»(в этом случае окносвернется в иконку) которые находятся в нижней части окна. Вкладка «Общие».В верхней части вкладки«Общие» содержится различная информация о программе (номер версии,дата последнего обновления и количество известных программе вирусов, регистрационнаяинформация, информация о разработчиках). Нажав кнопку «Техническаяподдержка», Вы получите информацию о каналах, по которым осуществляетсятехническая поддержка для легальных пользователей программы. В нижней части вкладки находится флажок «Включить», спомощью которого можно включать или выключать монитор. Кнопка «Выгрузить AVP Monitor» позволяет завершитьработу программы. <img src="/cache/referats/4747/image004.jpg" v:shapes="_x0000_i1025"> Вкладка «Объекты».Эта вкладка позволяет выбирать типыфайлов, которые будут проверяться. Вы можете выбрать один из типов файлов: ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> ·<span Times New Roman""> *.EXE, *.COM, *.DOC.<img src="/cache/referats/4747/image006.jpg" v:shapes="_x0000_i1026"> Вкладка «Действия».Вкладка «Действия»позволяет задавать действия AVP Monitor при обнаружении зараженного объекта. Выможете выбрать одно из следующих действий: §<span Times New Roman""> при каждой попытке обращения кзараженному объекту будет появляться синий экран, содержащий информацию об этомзараженном объекте, имя вируса и запрос на лечение объекта: «Попытатьсяудалить вирус?» Нажмите клавишу если Вы хотите вылечить объект,или клавишу в противном случае; при каждой попытке обращения кподозрительному объекту (если включена опция «Предупреждения» вовкладке «Настройки») или объекту, содержащему измененный илиповрежденный вирус (если включена опция «Анализатор кода» во вкладке«Настройки») будет появляться синий экран, содержащий информацию обэтом объекте, имя вируса (или тип вируса) и запрос: «Запретить доступ кобъекту?» Нажмите клавишу если Вы хотите запретить доступ, иликлавишу в противном случае; §<span Times New Roman""> §<span Times New Roman""> §<span Times New Roman""> <img src="/cache/referats/4747/image008.jpg" v:shapes="_x0000_i1027"> Вкладка «Настройки».Эта вкладка предоставляет возможностьподключения дополнительных механизмов поиска вирусов, а также возможностьсоздания файла отчета. Вы можете поставить следующие флажки: ·<span Times New Roman""> Предупреждения- включить добавочный механизм проверки. При этом будет выводитьсяпредупреждающее сообщение, если сканируемый файл или сектор содержит измененныйили поврежденный вирус, а также, если в памяти компьютера обнаруженаподозрительная последовательность машинных инструкций;<sp www.ronl.ru |
|
||||||||||||||||||||||||||||||||||||
|
|