Курсовая работа: Компьютерные вирусы и антивирусные программы 3. Реферат по информатике на тему вирусы и антивирусы


Реферат - Компьютерные вирусы и антивирусы

Министерство образования и по делам молодежи Республики Карелия

Профессиональный лицей № 12

Компьютерныевирусы иантивирусыРеферат по информатике

учащейся группы № 18

Малышевой Н.В.

Преподаватель:

Оценка:

г. Петрозаводск

2001 г.

Содержание

Введение

Кто и почему пишет вирусы?

Компьютерные вирусы, их свойства и классификация

Свойства компьютерных вирусов

Классификация вирусов

Загрузочные вирусы

Файловые вирусы

Загрузочно-файловые вирусы

Полиморфные вирусы

Стелс-вирусы

Троянские кони, программные закладки исетевые черви

Пути проникновения вирусовв компьютер и механизм распределения вирусных программ

Признаки появления вирусов

Методы защиты от компьютерных вирусов

Антивирусные программы

Заключение

Список литературы

Введение

Врядли стоит напоминать, что компьютеры стали настоящими помощниками человека и безних уже не может обойтись ни коммерческая фирма, ни государственная организация.Однако в связи с этим особенно обострилась проблема защиты информации.

Вирусы,получившие широкое распространение в компьютерной технике, взбудоражили весьмир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощьюкомпьютерных вирусов злоумышленники взламывают сети, грабят банки, крадутинтеллектуальную собственность…

Сегодня массовое применениеперсональных компьютеров, к сожалению, оказалось связанным с появлениемсамовоспроизводящихся программ-вирусов, препятствующих нормальной работекомпьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой вкомпьютере информации.

Все чаще в средствахмассовой информации появляются сообщения о различного рода пиратских проделкахкомпьютерных хулиганов, о появлении все более совершенных саморазмножающихсяпрограмм. Совсем недавно заражение вирусом текстовых файлов считалось абсурдом- сейчас этим уже никого не удивишь. Достаточно вспомнить появление «первойласточки», наделавшей много шума — вируса WinWord.Concept, поражающего документы в формате текстовогопроцессора Microsoft Word for Windows 6.0 и 7.0. Несмотряна принятые во многих странах законы о борьбе с компьютерными преступлениями иразработку специальных программных средств защиты от вирусов, количество новыхпрограммных вирусов постоянно растет. Это требует от пользователя персональногокомпьютера знаний о природе вирусов, способах заражения вирусами и защиты отних.

Хочетсясразу заметить, что слишком уж бояться вирусов не стоит, особенно есликомпьютер приобретен совсем недавно, и много информации на жестком диске еще ненакопилось. Вирус компьютер не взорвет. Ныне известен только один вирус (Win95.CIH),который способен испортить «железо» компьютера. Другие же могут лишьуничтожить информацию, не более того.

Влитературе весьма настойчиво пропагандируется, что избавиться от вирусов можнолишь при помощи сложных (и дорогостоящих) антивирусных программ, и якобы толькопод их защитой вы можете чувствовать себя в полной безопасности. Это не совсемтак — знакомство с особенностями строения и способами внедрения компьютерныхвирусов поможет вовремя их обнаружить и локализовать, даже если под рукой неокажется подходящей антивирусной программы.

Кто и почему пишет вирусы?

Ктоже пишет вирусы? На мой взгляд, основную их массу создают студенты и школьники,которые только что изучили язык ассемблера, хотят попробовать свои силы, но немогут найти для них более достойного применения. Отраден тот факт, чтозначительная часть таких вирусов их авторами часто не распространяется, ивирусы через некоторое время «умирают» вместе с дискетами, на которых хранятся.Такие вирусы пишутся скорее всего только для самоутверждения.

Вторуюгруппу составляют также молодые люди (чаще — студенты), которые еще неполностью овладели искусством программирования, но уже решили посвятить себянаписанию и распространению вирусов. Единственная причина, толкающая подобныхлюдей на написание вирусов, это комплекс неполноценности, который проявляетсебя в компьютерном хулиганстве.

Из-подпера подобных «умельцев» часто выходят либо многочисленные модификации«классических» вирусов, либо вирусы крайне примитивные и с большим числомошибок (такие вирусы я называю «студенческими»). Значительно облегчилась жизньподобных вирусописателей после выхода конструктороввирусов, при помощи которых можно создавать новые вирусы даже при минимальныхзнаниях об операционной системе и ассемблере, или даже вообще не имея об этомникакого представления. Их жизнь стала еще легче после появления макро-вирусов,поскольку вместо сложного языка Ассемблер для написания макро-вирусовдостаточно изучить довольно простой Бейсик.

Ставстарше и опытнее, но так и не повзрослев, многие из подобных вирусописателей попадают в третью, наиболее опасную группу,которая создает и запускает в мир «профессиональные» вирусы. Эти оченьтщательно продуманные и отлаженные программы создаются профессиональными, частоочень талантливыми программистами. Такие вирусы нередко используют достаточнооригинальные алгоритмы, недокументированные и мало кому известные способыпроникновения в системные области данных. «Профессиональные» вирусы частовыполнены по технологии «стелс» и(или) являются полиморфик-вирусами, заражают не только файлы, но изагрузочные сектора дисков, а иногда и выполняемые файлы Windowsи OS/2.

Довольнозначительную часть в моей коллекции занимают «семейства» — группы из нескольких(иногда более десятка) вирусов. Представителей каждой их таких групп можновыделить по одной отличительной черте, которая называется «почерком»: внескольких различных вирусах встречаются одни и те же алгоритмы и приемыпрограммирования. Часто все или почти все представители семейства принадлежатодному автору, и иногда довольно забавно следить за «становлением пера»подобного художника — от почти «студенческих» попыток создать хоть что-нибудь,похожее на вирус, до вполне работоспособной реализации «профессионального»вируса.

Помоему мнению, причина, заставляющая таких людей направлять свои способности натакую бессмысленную работу все та же — комплекс неполноценности, иногда сочетающийсяс неуравновешенной психикой. Показателен тот факт, что подобное вирусописательство часто сочетается с другими пагубнымипристрастиями. Так, весной 1997 года один из наиболее известных в мире автороввирусов по кличке Talon (Австралия) скончался ввозрасте 21 года от летальной дозы героина.

Несколькоотдельно стоит четвертая группа авторов вирусов — «исследователи». Эта группасостоит из довольно сообразительных программистов, которые занимаютсяизобретением принципиально новых методов заражения, скрытия, противодействияантивирусам и т.д. Они же придумывают способы внедрения в новые операционныесистемы, конструкторы вирусов и полиморфик-генераторы.Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради «исследования»потенциалов «компьютерной фауны».

Частоавторы подобных вирусов не запускают свои творения в жизнь, однако оченьактивно пропагандируют свои идеи через многочисленные электронные издания,посвященные созданию вирусов. При этом опасность от таких «исследовательских» вирусовне падает — попав в руки «профессионалов» из третьей группы, новые идеи оченьбыстро реализуются в новых вирусах.

Отношениек авторам вирусов у меня тройственное. Во-первых, все, кто пишет вирусы илиспособствует их распространению, являются «кормильцами» антивирусной индустрии,годовой оборот которой я оцениваю как минимум две сотни миллионов долларов илидаже более того (при этом не стоит забывать, что убытки от вирусов составляютнесколько сотен миллионов долларов ежегодно и в разы превышают расходы наантивирусные программы). Если общее количество вирусов к концу 1997 года скореевсего достигнет 20.000, то нетрудно подсчитать, что доход антивирусных фирм откаждого вируса ежегодно составляет минимум 10 тысяч долларов. Конечно же,авторам вирусов не следует надеяться на материальное вознаграждение: какпоказывает практика, их труд был и остается бесплатным. К тому же насегодняшний день предложение (новые вирусы) вполне удовлетворяет спрос(возможности антивирусных фирм по обработке новых вирусов).

Во-вторых,мне несколько жаль авторов вирусов, особенно «профессионалов». Ведь для того,чтобы написать подобный вирус, необходимо: a)затратить довольно много сил и времени, причем гораздо больше, чем требуетсядля того, чтобы разобраться в вирусе занести его в базу данных или даженаписать специальный антивирус; и б) не иметь другого, более привлекательного,занятия. Следовательно, вирусописатели-»профессионалы» довольно работоспособны и одновременно с этим маются отбезделья — ситуация, как мне кажется, весьма печальная.

Ив третьих, к моему отношению к авторам вирусов довольно сильно подмешанычувства нелюбви и презрения как к людям, заведомо и бесцельно тратящим себя вовред всем остальным.

Компьютерныевирусы, их свойства и классификация Свойства компьютерныхвирусов

Сейчас применяются персональные компьютеры, в которых пользовательимеет свободный доступ ко всем ресурсам машины. Именно это открыло возможностьдля опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус?Формальное определение этого понятия до сих пор не придумано, и есть серьезныесомнения, что оно вообще может быть дано. Многочисленные попытки дать«современное» определение вируса не привели к успеху. Чтобы почувствовать всюсложность проблемы, попробуйте, к примеру, дать определение понятия «редактор».Вы либо придумаете нечто очень общее, либо начнете перечислять все известныетипы редакторов. И то и другое вряд ли можно считать приемлемым. Поэтому мыограничимся рассмотрением некоторых свойств компьютерных вирусов, которыепозволяют говорить о них как о некотором определенном классе программ.

Прежде всего, вирус — этопрограмма. Такое простое утверждение само по себе способно развеять множестволегенд о необыкновенных возможностях компьютерных вирусов. Вирус можетперевернуть изображение на вашем мониторе, но не может перевернуть сам монитор.К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода наэкран смертельной цветовой  гаммы 25-мкадром» также не стоит относиться серьезно. К сожалению, некоторые авторитетныеиздания время от времени публикуют «самые свежие новости с компьютерныхфронтов», которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус — программа,обладающая способностью к самовоспроизведению. Такая способность являетсяединственным средством, присущим всем типам вирусов. Но не только вирусыспособны к самовоспроизведению. Любая операционная система и еще множествопрограмм способны создавать собственные копии. Копии же вируса не только необязаны полностью совпадать с оригиналом, но, и могут вообще с ним несовпадать!

Вирус не может существовать в «полной изоляции»:сегодня нельзя представить себе вирус, который не использует код другихпрограмм, информацию о файловой структуре или даже просто имена другихпрограмм. Причина понятна: вирус должен каким-нибудь способом обеспечитьпередачу себе управления.

Классификациявирусов

В настоящее время известноболее 5000 программных вирусов, их можно классифицировать по  следующим признакам:

·<span Times New Roman"">       

среде обитания

·<span Times New Roman"">       

способу заражения среды обитания

·<span Times New Roman"">       

воздействию

·<span Times New Roman"">       

особенностям алгоритма

В зависимости от средыобитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевыевирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образомв исполняемые модули, т. е. В файлы, имеющие расширения  COM и  EXE. Файловые вирусы могутвнедряться и в другие типы файлов, но, как правило, записанные в таких файлах,они никогда не получают управление и, следовательно, теряют способность кразмножению. Загрузочные вирусывнедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащийпрограмму загрузки системного диска (Master Boot Re-cord). Файлово-загрузочныевирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусыделятся на резидентные и нерезидентные. Резидентныйвирус при заражении (инфицировании) компьютера оставляет в оперативнойпамяти свою резидентную часть, которая потом перехватывает обращениеоперационной системы к объектам заражения (файлам, загрузочным секторам дискови т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являютсяактивными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают памятькомпьютера и являются активными ограниченное время.

По степени воздействиявирусы можно разделить на следующие виды:

·<span Times New Roman"">       

неопасные, не мешающие работекомпьютера, но уменьшающие объем свободной оперативной памяти и памяти надисках, действия таких вирусов проявляются в каких-либо графических  или звуковых эффектах

·<span Times New Roman"">       

опасныевирусы, которые могутпривести к различным нарушениям в работе компьютера

·<span Times New Roman"">       

очень опасные, воздействие которых можетпривести к потере программ, уничтожению данных, стиранию информации в системныхобластях диска.

По особенностям алгоритмавирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы — паразитические, ониизменяют содержимое файлов и секторов диска и могут быть достаточно легкообнаружены и уничтожены. Можно отметить вирусы-репликаторы,называемые червями, которыераспространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров изаписывают по этим адресам свои копии.

Известны вирусы-невидимки, называемые стелс-вирусами, которые оченьтрудно обнаружить и обезвредить, так как они перехватывают обращения операционнойсистемы к пораженным файлам и секторам дисков и подставляют вместо своего теланезараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки,благодаря которым копии одного и того же вируса не имеют ни одной повторяющейсяцепочки байтов. Имеются и так называемые квазивирусныеили «троянские» программы, которые  хотя и не способны к самораспространению, ноочень опасны, так как, маскируясь под полезную программу, разрушают загрузочныйсектор и файловую систему дисков.

Теперь поподробнее онекоторых из этих групп.

 

Загрузочныевирусы

Рассмотрим схемуфункционирования очень простого загрузочного вируса, заражающего дискеты.

Что  происходит, когда вы включаете компьютер?Первым делом управление передается программеначальной загрузки, которая хранится в постоянно запоминающем устройстве(ПЗУ) т.е. ПНЗ ПЗУ.

Эта программа тестируетоборудование и при успешном завершении проверок пытается найти дискету вдисководе А:

Всякая дискета размечена нат.н. секторы и дорожки. Секторы объединяются в кластеры, но это для наснесущественно.

Среди секторов естьнесколько служебных, используемых операционной системой для собственных нужд (вэтих секторах  не могут размещаться вашиданные). Среди служебных секторов нас интересует  сектор начальнойзагрузки (boot-sector).

В секторе начальной загрузкихранится информация о дискете — количество поверхностей, количество дорожек,количество секторов и пр. Но нас сейчас интересует не эта информация, анебольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционнуюсистему и передать ей управление.

Таким образом, нормальнаясхема начальной загрузки следующая:

ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА

Теперь рассмотрим вирус. Взагрузочных вирусах выделяют две части:      голову и т.н. хвост. Хвост может быть пустым.

Пусть у вас имеются чистаядискета и зараженный компьютер, под которым мы понимаем компьютер с активнымрезидентным вирусом. Как только этот вирус обнаружит, что в дисководе появиласьподходящая жертва — в нашем случае не защищенная от записи и еще не зараженнаядискета, он приступает к заражению. Заражая дискету, вирус производит следующиедействия:

·<span Times New Roman"">       

выделяет некоторую область диска и помечает ее как недоступную операционнойсистеме, это можно сделать по-разному, в простейшем и традиционном случаезанятые вирусом секторы помечаются как сбойные (bad)

·<span Times New Roman"">       

копирует в выделенную область диска свой хвост и оригинальный(здоровый) загрузочный сектор

·<span Times New Roman"">       

замещает программу начальной загрузки в загрузочном секторе (настоящем)своей головой

·<span Times New Roman"">       

организует цепочку передачи управления согласно схеме.

Таким образом, голова вирусатеперь первой получает управление, вирус устанавливается в память и передаетуправление оригинальному загрузочному сектору. В цепочке

ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА

появляется новое звено:

ПНЗ (ПЗУ) — ВИРУС — ПНЗ(диск) — СИСТЕМА

Мы рассмотрели схему функционирования простого бутового вируса, живущегов загрузочных секторах дискет. Как правило, вирусы способны заражать не толькозагрузочные секторы  дискет, но изагрузочные секторы винчестеров. При этом в отличие от дискет на винчестереимеются два типа загрузочных секторов, содержащих программы начальной загрузки,которые получают управление. При загрузке компьютера с винчестера первой беретна себя управление программа начальной загрузки в MBR (MasterBoot Record — главнаязагрузочная запись). Если ваш жесткий диск разбит на несколько разделов, толишь один из них помечен как загрузочный (boot).Программа начальной загрузки в MBR находит загрузочный раздел винчестера ипередает управление на программу начальной загрузки этого раздела. Кодпоследней совпадает с кодом программы начальной загрузки, содержащейся наобычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Такимобразом, на винчестере имеются два объекта атаки загрузочных вирусов — программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.

Файловые вирусы

Рассмотрим теперь схемуработы простого файлового вируса. В отличие от загрузочных вирусов, которыепрактически всегда резидентны, файловые вирусы совсемне обязательно резидентны. Рассмотрим схемуфункционирования нерезидентного файлового вируса. Пусть у нас имеетсяинфицированный исполняемый файл. При запуске такого файла вирус получаетуправление, производит некоторые действия и передает управление «хозяину»

Какие же действия выполняетвирус? Он ищет новый объект для заражения — подходящий по типу файл, которыйеще не заражен. Заражая файл, вирус внедряется в его код, чтобы получитьуправление при запуске этого файла. Кроме своей основной функции — размножения,вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть)- это уже зависит  от фантазии автора вируса.Если файловый вирус резидентный, то он установится в память и получитвозможность заражать файлы и проявлять прочие способности не только во времяработы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет егокод — следовательно, заражение исполняемого файла всегда можно обнаружить. Но,изменяя код файла, вирус не обязательно вносит другие изменения:

·<span Times New Roman"">       

он не обязан менять длину файла

·<span Times New Roman"">       

неиспользуемые участки кода

·<span Times New Roman"">       

не обязан менять начало файла

Наконец, к файловым вирусамчасто относят вирусы, которые «имеют некоторое отношение к файлам», но необязаны внедряться в их код.

Таким образом, при запускелюбого файла вирус получает управление (операционная система запускает егосама), резидентно устанавливается в память и передает управление вызванномуфайлу.

 

Загрузочно-файловыевирусы

Мы не станем рассматриватьмодель загрузочно-файлового вируса, ибо никакой новой информации вы при этом неузнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный»в последнее время загрузочно-файловый вирус OneHalf,заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основноеразрушительное действие — шифрование секторов винчестера. При каждом запускевирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска,радостно сообщает об этом. Основная проблема при лечении данного вируса состоитв том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифроватьзашифрованную им информацию.

Полиморфные вирусы

Большинство вопросов связанос термином «полиморфный вирус». Этот вид компьютерных вирусов представляется насегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы — вирусы,модифицирующие свой код в зараженных программах таким образом, что дваэкземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не толькошифруют свой код, используя различные пути шифрования, но и содержат кодгенерации шифровщика и расшифровщика, что отличает их от обычных шифровальныхвирусов, которые также могут шифровать участки своего кода, но имеют при этомпостоянный код шифровальщика и расшифровщика.

Полиморфные вирусы — этовирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имеязараженный и оригинальный файлы, вы все равно не сможете проанализировать егокод с помощью обычного дизассемблирования. Этот код зашифрован  и представляет собой бессмысленный наборкоманд. Расшифровка производится самим вирусом уже непосредственно во времявыполнения. При этом возможны варианты: он может расшифровать себя всего сразу,а может выполнить такую расшифровку «по ходу дела», может вновь шифровать ужеотработавшие участки. Все это делается ради затруднения анализа кода вируса.

Стелс-вирусы

В ходе проверки компьютераантивирусные программы считывают данные — файлы и системные области с жесткихдисков и дискет, пользуясь средствами операционной системы и базовой системыввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памятикомпьютера специальные модули, перехватывающие обращение программ к дисковойподсистеме компьютера. Если такой модуль обнаруживает, что программа пытаетсяпрочитать зараженный файл или системную область диска, он на ходу подменяетчитаемые данные, как будто вируса на диске нет.

Стелс-вирусыобманывают антивирусныепрограммы и в результате остаются незамеченными. Тем не менее, существуетпростой способ отключить механизм маскировки стелс-вирусов.Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, незапуская других программ с диска компьютера (которые также могут оказатьсязараженными), проверить компьютер антивирусной программой.

При загрузке с системнойдискеты вирус не может получить управление и установить в оперативной памятирезидентный модуль, реализующий стелс-механизм.Антивирусная программа сможет прочитать информацию, действительно записанную надиске, и легко обнаружит вирус.

 Троянскиекони, программные закладки и сетевые черви

Троянский конь– это программа, содержащая в себе некоторую  разрушающую функцию, которая активизируетсяпри наступлении некоторого  условиясрабатывания. Обычно такие программы маскируются под какие-нибудь  полезные утилиты. Вирусы могут нести в себетроянских коней или  "троянизировать" другие программы – вносить в нихразрушающие функции.

«Троянские кони»представляют собой программы, реализующие помимо  функций, описанных в документации, инекоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмеченыслучаи  создания таких программ с цельюоблегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они  маскируются под игровые или развлекательныепрограммы и наносят вред под  красивыекартинки или музыку.

Программные закладкитакже содержат некоторую функцию, наносящую  ущербВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к.  чем дольше программа не будет вызыватьподозрений, тем дольше закладка  сможетработать.

Если вирусы и «троянскиекони» наносят ущерб посредством лавинообразного саморазмножения или явногоразрушения, то основная функция вирусов типа «червь»,  действующих в компьютерных сетях, – взломатакуемой системы, т.е.  преодолениезащиты с целью нарушения безопасности и целостности.

В более 80% компьютерныхпреступлений, расследуемых ФБР, «взломщики» проникают в атакуемую систему через глобальнуюсеть Internet.  Когда такая попыткаудается, будущее компании, на создание которой ушли  годы, может быть поставлено под угрозу закакие-то секунды.

Этот процесс может бытьавтоматизирован с помощью вируса, называемого сетевой червь.

Червяминазывают вирусы, которые распространяются по глобальным  сетям, поражая целые системы, а не отдельныепрограммы. Это самый опасный  видвирусов, так как объектами нападения в этом случае становятся  информационные системы государственногомасштаба. С появлением  глобальной сетиInternet этот вид нарушения безопасности представляет  наибольшую угрозу, т. к. ему в любой моментможет подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети.

Пути проникновения вирусов в компьютер

 и механизм распределениявирусных программ

Основными путями проникновения вирусов в компьютерявляются съемные диски (гибкие и лазерные), а также компьютерные сети.Заражение жесткого диска вирусами может произойти при загрузке программы сдискеты, содержащей вирус. Такое заражение может быть и случайным, например,если дискету не вынули из дисковода А и перезагрузили компьютер, при этомдискета может быть и не системной. Заразить дискету гораздо проще. На нее вирусможет попасть, даже если дискету просто вставили в дисковод зараженногокомпьютера и, например, прочитали ее оглавление.

Вирус, как правило,внедряется в рабочую программу таким образом, чтобы при ее запуске управлениесначала передалось ему и только после выполнения всех его команд сновавернулось к рабочей программе. Получив доступ к управлению, вирус, преждевсего, переписывает сам себя в другую рабочую программу и заражает ее. Послезапуска программы, содержащей вирус, становится возможным заражение другихфайлов.

Наиболее часто вирусомзаражаются загрузочный сектор диска и исполняемые файлы, имеющие расширенияEXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.

После заражения программывирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы непривлечь внимания. И, наконец, не забывает возвратить управление той программе,из которой был запущен. Каждое выполнение зараженной программы переносит вирусв следующую. Таким образом, заразится все программное обеспечение.

Признакипоявления вирусов

При заражении компьютеравирусом важно его обнаружить. Для этого следует знать об основных признакахпроявления вирусов. К ним можно отнести следующие:

·<span Times New Roman"">       

прекращение работы или неправильная работа ранее успешно функционировавшихпрограмм

·<span Times New Roman"">       

медленная работа компьютера

·<span Times New Roman"">       

невозможность загрузки операционной системы

·<span Times New Roman"">       

исчезновение файлов и каталогов или искажение их содержимого

·<span Times New Roman"">       

изменение даты и времени модификации файлов

·<span Times New Roman"">       

изменение размеров файлов

·<span Times New Roman"">       

неожиданное значительное увеличение количества файлов на диске

·<span Times New Roman"">       

существенное уменьшение размера свободной оперативной памяти

·<span Times New Roman"">       

вывод на экран непредусмотренных сообщений или изображений

·<span Times New Roman"">       

подача непредусмотренных звуковых сигналов

·<span Times New Roman"">       

частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленныеявления необязательно вызываются присутствием вируса, а могут быть следствиемдругих причин. Поэтому всегда затруднена правильная диагностика состояниякомпьютера.

Методы защиты от компьютерных вирусов

Каким бы не был вирус,пользователю необходимо знать основные  методы защиты откомпьютерных вирусов.

Для защиты от вирусов можноиспользовать:

·<span Times New Roman"">       

общие средства защиты информации, которые полезны также и как страховкаот физической порчи дисков, неправильно работающих программ или ошибочных действийпользователя;

·<span Times New Roman"">       

профилактические меры, позволяющие уменьшить вероятность  заражения вирусом;

·<span Times New Roman"">       

специализированные программы для защиты от вирусов.

Общие средства защитыинформации полезны не только для защиты от вирусов. Имеются две основныеразновидности этих средств:

·<span Times New Roman"">       

копирование информации — создание копий файлов  и  системных областей дисков;

·<span Times New Roman"">       

разграничение  доступа  предотвращает несанкционированноеиспользование информации, в частности, защиту от изменений программ иданных  вирусами, неправильно работающимипрограммами и ошибочными действиями пользователей.

Несмотря на то, что общиесредства защиты информации  оченьважны  для защиты от вирусов, все же ихнедостаточно.  Необходимо и применение  специализированных программ для защиты отвирусов. Эти программы можно разделить на несколько  видов:  детекторы, доктора (фаги), ревизоры,доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫпозволяют обнаруживать файлы, зараженные одним из  нескольких известных вирусов. Эти программыпроверяют, имеется ли в файлах на указанном пользователем диске специфическаядля данного вируса комбинация байтов. При ее обнаружении в каком-либо файле наэкран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженныхфайлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать толькоте вирусы, которые ей «известны». Программа Scanфирмы McAfee Associates  и  Aidstest Д.Н.Лозинского позволяютобнаруживать около 9000 вирусов, но всего их более двадцати тысяч! Некоторыепрограммы-детекторы, например Norton AntiVirus или AVSP  фирмы «Диалог-МГУ»,могут настраивать на новые типы вирусов, им необходимо лишь указать комбинациибайтов, присущие этим вирусам. Тем не мнение невозможно  разработать такую программу, которая могла быобнаруживать  любой  заранее неизвестный вирус.

Таким образом, из того, чтопрограмма не опознается детекторами как зараженная, не следует, что она здорова — в ней могут сидетькакой-нибудь  новый  вирус или слегка модифицированная версиястарого вируса, неизвестные программам-детекторам.

Многие программы-детекторы(в том числе и Aidstest) не умеют обнаруживатьзаражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера.Дело в том, что для чтения диска они используют функции DOS, а ониперехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest  и  другие детекторы пытаются выявить вирус путемпросмотра оперативной памяти, но против  некоторых«хитрых» вирусов это не помогает. Так что надежный  диагноз программы-детекторы дают только при загрузке DOS с «чистой»,защищенной от записи дискеты, при  этомкопия программы-детектора т

www.ronl.ru

Курсовая работа - Компьютерные вирусы и антивирусные программы 3

Реферат на тему:

«Компьютерные вирусы и

антивирусные программы»

Компьютерные вирусы не зря так названы – их сходство с «живыми» вирусами поражает. Они так же распространяются, живут, действуют, так же умирают. Разница лишь в том, что в качестве мишени выступают не люди и не животные, а компьютеры. Контактируя между собой посредством дискет, компакт дисков, локальных сетей, Интернет и других средств «общения», они, как и человек, заражают друг друга.

Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название «Троянские кони».

Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.

Зарождение компьютерных вирусов

О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.

Процесс заражения

Упрощенно процесс заражения вирусом программных файлов можно представить следующим образом.Код зараженной программы обычно вирус получил управление первым, до начала работы программы — вирусоносителя. При передаче управления вирусу он каким-то способом находит новую программу и выполняет вставку собственной копии в начало или добавляет ее в конец этой обычно еще не зараженой программы. Если вирус дописывается в конец программы, то он то он корректирует код программы, чтобы получить управление первым.Для этого первые несколько байтов запоминаются в теле вируса, а на их место вставляется команда перечода на начало вируса. Этот способ является наиболее распространенным. По - лучив управление, вирус восстанавливает «спрятанные» первые байты, а после обработки своего тела передает управление программе – вирусоносителю.

Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно

можно найти противоядие. Таким противоядием в компьютерном мире

стали программы, называемые антивирусными. Данные программы мож-

но классифицировать по пяти основным группам: фильтры, детекторы,

ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры — это резидентные программы, которые опо-

вещают пользователя о всех попытках какой-либо программы запи-

саться на диск, а уж тем более отформатировать его, а также о

других подозрительных действиях (например о попытках изменить ус-

тановки CMOS). При этом выводится запрос о разрешении или запре-

щении данного действия. Принцип работы этих программ основан на

перехвате соответствующих векторов прерываний. К преимуществу

программ этого класса по сравнению с программами-детекторами мож-

но отнести универсальность по отношению как к известным, так и

неизвестным вирусам, тогда как детекторы пишутся под конкрет-

ные, известные на данный момент программисту виды. Это особенно

актуально сейчас, когда появилось множество вирусов-мутантов, не

имеющих постоянного кода. Однако, программы-фильтры не могут от-

слеживать вирусы, обращающиеся непосредственно к BIOS, а также

BOOT-вирусы, активизирующиеся ещс до запуска антивируса, в на-

чальной стадии загрузки DOS, К недостаткам также можно отнести

частую выдачу запросов на осуществление какой-либо операции: от-

веты на вопросы отнимают у пользователя много времени и дей-

ствуют ему на нервы. При установке некоторых антивиру-

сов-фильтров могут возникать конфликты с другими резидентными

программами, использующими те же прерывания, которые просто пе-

рестают работать.

Наибольшее распространение в нашей стране получили програм-

мы-детекторы, а вернее программы, объединяющие в себе детектор и

доктор. Наиболее известные представители этого класса — Aidstest,

Doctor Web,MicroSoft AntiVirus.

Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на

сравнении последовательности кодов содержащихся в теле вируса с

кодами проверяемых программ.Такие программы нужно регулярно об-

новлять, так как они быстро устаревают и не могут обнаруживать

новые виды вирусов.

Ревизоры — программы, которые анализируют текущее состояние

файлов и системных областей диска и сравнивают его с информацией,

сохраненной ранее в одном из файлов данных ревизора. При этом

проверяется состояние BOOT-сектора, таблицы FAT, а также длина

файлов, их время создания, атрибуты, контрольная сумма. Анализи-

руя сообщения программы-ревизора, пользователь может решить, чем

вызваны изменения: вирусом или нет. При выдаче такого рода сооб-

щений не следует предаваться панике, так как причиной изменений,

например, длины программы может быть вовсе и не вирус

К последней группе относятся самые неэффективные антивирусы -

вакцинаторы. Они записывают в вакцинируемую программу признаки

конкретного вируса так, что вирус считает ее уже зараженной.

www.ronl.ru

Реферат - Реферат на тему: «Компьютерные вирусы и антивирусные программы»

Реферат на тему:

«Компьютерные вирусы и

антивирусные программы»

Выполнил:

Ученик 9 М класса

Мещеряков Дмитрий

Компьютерные вирусы не зря так названы – их сходство с «живыми» вирусами поражает. Они так же распространяются, живут, действуют, так же умирают. Разница лишь в том, что в качестве мишени выступают не люди и не животные, а компьютеры. Контактируя между собой посредством дискет, компакт дисков, локальных сетей, Интернет и других средств «общения», они, как и человек, заражают друг друга.

^ Компьютерным вирусом называется программа, способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. На сегодняшний день известно 6 основных типов вирусов: файловые, загрузочные, призраки (полиморфные), невидимки, скрипт-вирусы и макро-вирусы. Следует отличать вирусы от вредоносных кодов. К ним относятся Интернет-черви и программы, получившие название «Троянские кони».

Основные симптомы вирусного поражения: замедление работы некоторых программ, увеличение размеров файлов (особенно выполняемых), появление не существовавших ранее подозрительных файлов, уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы), внезапно возникающие разнообразные видео и звуковые эффекты. При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) следует немедленно произвести проверку системы на наличие вирусов.

^ Зарождение компьютерных вирусов

О появлении первого компьютерного вируса много разных мнений. Доподлинно только известно, что на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, его не было, а на Univax 1108 и IBM 360/370, в середине 1970-х годов они уже были. Интересно, что идея компьютерных вирусов появилась намного раньше самих персональных компьютеров. Точкой отсчета можно считать труды известного ученого Джона фон Неймана по изучению самовоспроизводящихся математических автоматов, о которых стало известно в 1940-х годах. В 1951 году он предложил способ создания таких автоматов. А в 1959 году журнал Scientific American опубликовал статью Л.С. Пенроуза, посвященную самовоспроизводящимся механическим структурам. В ней была описана простейшая двумерная модель самовоспроизводящихся механических структур, способных к активации, размножению, мутациям, захвату. Позднее другой ученый Ф.Ж. Шталь реализовал данную модель на практике с помощью машинного кода на IBM 650.^ Процесс заражения Упрощенно процесс заражения вирусом программных файлов можнопредставить следующим образом.Код зараженной программы обычно вирус получил управление первым,до начала работы программы - вирусоносителя.При передаче управления вирусу он каким-то способом находитновую программу и выполняет вставку собственной копии вначало или добавляет ее в конец этой обычно еще не зараженойпрограммы. Если вирус дописывается в конец программы, то онто он корректирует код программы, чтобы получить управлениепервым.Для этого первые несколько байтов запоминаются в телевируса, а на их место вставляется команда перечода на началовируса. Этот способ является наиболее распространенным. По -лучив управление, вирус восстанавливает "спрятанные" первыебайты, а после обработки своего тела передает управлениепрограмме – вирусоносителю.

^ Антивирусные программы

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

С давних времен известно, что к любому яду рано или поздно

можно найти противоядие. Таким противоядием в компьютерном мире

стали программы, называемые антивирусными. Данные программы мож-

но классифицировать по пяти основным группам: фильтры, детекторы,

ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры - это резидентные программы, которые опо-

вещают пользователя о всех попытках какой-либо программы запи-

саться на диск, а уж тем более отформатировать его , а также о

других подозрительных действиях (например о попытках изменить ус-

тановки CMOS). При этом выводится запрос о разрешении или запре-

щении данного действия. Принцип работы этих программ основан на

перехвате соответствующих векторов прерываний. К преимуществу

программ этого класса по сравнению с программами-детекторами мож-

но отнести универсальность по отношению как к известным,так и

неизвестным вирусам, тогда как детекторы пишутся под конкрет-

ные,известные на данный момент программисту виды. Это особенно

актуально сейчас, когда появилось множество вирусов-мутантов,не

имеющих постоянного кода. Однако, программы-фильтры не могут от-

слеживать вирусы, обращающиеся непосредственно к BIOS, а также

BOOT-вирусы, активизирующиеся ещс до запуска антивируса, в на-

чальной стадии загрузки DOS, К недостаткам также можно отнести

частую выдачу запросов на осуществление какой-либо операции: от-

веты на вопросы отнимают у пользователя много времени и дей-

ствуют ему на нервы. При установке некоторых антивиру-

сов-фильтров могут возникать конфликты с другими резидентными

программами, использующими те же прерывания, которые просто пе-

рестают работать.

Наибольшее распространение в нашей стране получили програм-

мы-детекторы,а вернее программы, объединяющие в себе детектор и

доктор. Наиболее известные представители этого класса - Aidstest,

Doctor Web,MicroSoft AntiVirus.

Антивирусы-детекторы расчитаны на конкретные вирусы и основаны на

сравнении последовательности кодов содержащихся в теле вируса с

кодами проверяемых программ.Такие программы нужно регулярно об-

новлять, так как они быстро устаревают и не могут обнаруживать

новые виды вирусов.

Ревизоры - программы, которые анализируют текущее состояние

файлов и системных областей диска и сравнивают его с информацией,

сохраненной ранее в одном из файлов данных ревизора. При этом

проверяется состояние BOOT-сектора, таблицы FAT, а также длина

файлов, их время создания, атрибуты, контрольная сумма. Анализи-

руя сообщения программы-ревизора, пользователь может решить, чем

вызваны изменения: вирусом или нет. При выдаче такого рода сооб-

щений не следует предаваться панике, так как причиной изменений,

например, длины программы может быть вовсе и не вирус

К последней группе относятся самые неэффективные антивирусы -

вакцинаторы. Они записывают в вакцинируемую программу признаки

конкретного вируса так, что вирус считает ее уже зараженной.

www.ronl.ru


Смотрите также