Tietokonevirukset ja virustorjuntaohjelmistot. Tietokonevirukset ja virustentorjuntaohjelmat. Virustorjuntaohjelmien vaatimukset

muodostavat tietokoneviruksen käsitteen; perehdyttää opiskelijat virustyyppeihin ja -tyyppeihin, tapoihin tartuttaa tietokoneita viruksilla ja perusmenetelmiin virusten torjunnassa;

Kichkina Marina Petrovna, 10.09.2017

1210 167

Kehityssisältö

Ryhmä nro 1

Tietokonevirus

______

________________________________________________________________________________________

Virmaker - _______________________________________________________________________________________

________________________________________________________________________________________

Kolme tietokoneviruksen aksioomia:

Ensinnäkin virukset _____________________________________________________________________________________

______________________________________________________________________________________________

Toiseksi: virus ei ole _________________________________________________________________________________

Kolmanneksi: tietokonevirukset saastuttavat vain tietokoneen_________________________________________

Viruksissa 3 vaihetta Toiminnot:

1.____________________________(____________________________________________);

2._____________________________(______________________________________________________________________________________________________________________);

3.___________________________________ (kun on luotu riittävä määrä kopioita, ohjelmistovirus alkaa suorittaa tuhoa: ohjelmien ja käyttöjärjestelmän häiriöt, tietojen poistaminen kiintolevyltä, tuhoisimmat virukset aiheuttavat kiintolevyn alustuksen).

Jotkut virukset voivat__________________________________________________________________

Kehityssisältö

Ryhmä nro 2

Haittaohjelmien luokitukset(tietokonevirukset):

1.elinympäristönsä mukaan

2. tartuntamenetelmällä

1. Asukas -_____________________________________________________________________________________
________________________________________________________________________________________
________________________________________________________________________________________

2. Ei-asuva -___________________________________________________________________________________

3. vaikutuksen asteen mukaan:

Alkueläimet - __________________________________________________________________________

Replikaattorivirukset (madot) – ____________________________________________________________

Näkymättömät virukset (stealth virukset) –__________________________________________________________________

Mutanttivirukset –______________________________________________________________________

Quasi-virus ("troijalaiset" ohjelmat) - ___________________________________________________

Kehityssisältö

Ryhmä nro 3

__________________________________________________________________________________

Irrotettavat asemat,

_________________________________________________________________________________

ra.

irrota tietokone lähiverkosta ja Internetistä, jos hän oli yhteydessä heihin;

hätäkäynnistys Windows ;

__________________________________________________________________________

Kehityssisältö

Ryhmä nro 4

Virustentorjuntaohjelmat - _________________________________________________________

__________________________________________________________________________________________________________________________________________________________________________

vartijoita tai ilmaisimia –_______________________________________________
____________________________________________________________________________

_____________________ – on suunniteltu havaitsemaan ja poistamaan heidän tuntemansa virukset, poistamaan ne ohjelman rungosta ja palauttamaan sen alkuperäiseen tilaan. Tunnetuimmat edustajat ovat Dr.Web, Aids Test, Norton Anti Virus.

____________________________ – ne tarkkailevat tietokoneen haavoittuvia ja siksi eniten hyökättyjä osia, muistavat palvelualueiden ja tiedostojen tilan ja jos muutoksia havaitaan, ne ilmoittavat käyttäjälle.

– tallennetaan jatkuvasti tietokoneen muistiin, jotta ne havaitsevat luvattoman toiminnan yritykset. Jos epäilyttävä toiminta havaitaan, käyttäjää kehotetaan vahvistamaan tapahtumat.

rokotteet–__________________________________________________________________

Norton Antivirus (Symantec),

Vims Scan (McAfee),

Virustorjunta (IBM),

Kaspersky Lab.

Kuinka suojautua viruksilta

__________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________

___________________________________________________________________________

Kehityssisältö

Lopullinen yhteenveto

Tietokonevirus – Tämä on tarkoituksella luotu ohjelma, joka automaattisesti lukee itsensä muihin ohjelmistotuotteisiin ja muuttaa tai tuhoaa niitä.

Virmaker - henkilö, joka "kirjoittaa" viruksia .

Viruksen ensimmäinen hallitsematon leviäminen verkossa tapahtui - 2. marraskuuta 1988.

Kolme tietokoneviruksen aksioomia:

Ensinnäkin virukset eivät synny itsestään- Ne ovat huonojen ohjelmoijien-hakkereiden luomia ja lähetetty tietoverkon kautta tai istutettu ystävien tietokoneille.

Toiseksi: virus ei voi ilmestyä tietokoneellesi itsestään- joko se lipsahti levykkeille tai jopa CD:lle, tai latasit sen vahingossa tietokoneverkosta, tai virus asui tietokoneessasi alusta asti tai (pahinta) asuu talossasi hakkeriohjelmoija.

Kolmas: tietokonevirukset saastuttavat vain tietokoneeneikä mitään muuta, joten ei tarvitse pelätä - ne eivät välity näppäimistön ja hiiren kautta.

Sinun on tiedettävä, että yksikään virus ei pysty vahingoittamaan tietokoneen osia. Jotkin virukset voivat tehdä korkeintaan tuhota kiintolevyllä olevia tietoja, mikä vahingoittaa käyttöjärjestelmää ja sovelluksia. Vaikka tässäkin tapauksessa tilanne voi tulla kohtalokkaaksi, jos virus tuhoaa tärkeitä asiakirjoja.

Viruksissa 3 vaihetta Toiminnot:

1. Infektio (tietokoneen lyöminen);

2. Jäljentäminen (viruskoodi voi toistaa itsensä muiden ohjelmien rungossa);

3. Virushyökkäys (kun on luotu riittävä määrä kopioita, ohjelmistovirus alkaa suorittaa tuhoa: ohjelmien ja käyttöjärjestelmän häiriöt, tietojen poistaminen kiintolevyltä, tuhoisimmat virukset aiheuttavat kiintolevyn alustuksen).

Haittaohjelmien luokitus(tietokonevirukset):

1. elinympäristönsä mukaan

2. tartuntamenetelmällä

Asukas - syötä tietokoneen RAM-muisti, ja muistissa ollessaan se voi olla aktiivinen, kunnes tietokone sammutetaan tai käynnistetään uudelleen;

Ei asukas - eivät ole upotettuja muistiin ja ovat aktiivisia vain rajoitetun ajan, joka liittyy tiettyjen tehtävien suorittamiseen;

3. vaikutuksen asteen mukaan:

4. toiminta-algoritmin ominaisuuksien mukaan:

Replikaattorivirukset (madot)- levittää tietokoneverkkoihin, laskea verkkotietokoneiden osoitteet ja kirjoittaa niiden kopiot näihin osoitteisiin;

Näkymättömät virukset (varkain virukset) - se on erittäin vaikea havaita ja neutraloida, koska ne sieppaavat käyttöjärjestelmästä saastuneita tiedostoja ja levysektoreita koskevat kutsut ja korvaavat levyn saastumattomat alueet kehonsa tilalla;

Mutanttivirukset - sisältää salaus-salauksenpurkualgoritmeja, joiden ansiosta saman viruksen kopioissa ei ole yhtä toistuvaa tavuketjua;

Quasi-virus ("troijalaiset"-ohjelmat)- eivät pysty leviämään itsestään, mutta ovat erittäin vaarallisia, koska hyödylliseksi ohjelmaksi naamioituneet ne tuhoavat levyjen käynnistyssektorin ja tiedostojärjestelmän.

Epäsuorat merkit tietokoneinfektiosta:

odottamattomien viestien näyttäminen näytöllä;

odottamattomien äänimerkkien antaminen;

lokeron odottamaton avaaminen ja sulkeminen CD / DVD ;

mielivaltainen ohjelmien käynnistäminen tietokoneella;

toistuvat jäätymiset ja tietokoneen kaatumiset;

Tietokoneen hidas toiminta käynnistyksen yhteydessä;

tiedostojen ja kansioiden katoaminen tai muuttuminen;

Toistuva pääsy kiintolevylle.

ystävät ja tuttavat puhuvat sinulta saamistaan viesteistä, joita et ole lähettänyt;

Postilaatikossasi on suuri määrä viestejä ilman palautusosoitetta tai otsikkoa.

Virukset tunkeutuvat tietokoneeseen:

Maailmanlaajuinen verkosto Internet .

Sähköposti.

Paikallinen verkko.

Yleiskäyttöiset tietokoneet.

Piraattiohjelmisto.

Korjauspalvelut.

Irrotettavat asemat, jotka sisältävät viruksen saastuttamia tiedostoja.

Kiintolevy, joka on saanut viruksen.

Edellisen käyttäjän RAM-muistiin jättämä virus.

Toimenpiteet, jos tietokoneessa on infektion merkkejära.

irrota tietokone lähiverkosta ja Internetistä,
jos hän oli yhteydessä heihin;

jos infektion oire on, että se on mahdotonta mutta käynnistää tietokoneen kiintolevyltä (tietokone ter antaa virheilmoituksen, kun käynnistät sen), kokeile Salli käynnistyä kaatumissuojatilassa tai levyltä hätäkäynnistys Windows ;

suorita virustorjuntaohjelma.

Virustentorjuntaohjelmat tarkoitettu estää viruksia tartuttamasta tietokonettasi ja poistaa tartunnan seuraukset.

Tarkoituksen ja toimintaperiaatteen mukaan erotetaan seuraavat virustentorjuntaohjelmat:

vartijoita tai ilmaisimia – on suunniteltu havaitsemaan tunnetuilla viruksilla saastuneita tiedostoja tai tartunnan mahdollisuutta osoittavia merkkejä.

lääkärit – on suunniteltu havaitsemaan ja poistamaan tuntemansa virukset, poistamaan ne ohjelman rungosta ja palauttamaan sen alkuperäiseen tilaan. Tunnetuimmat edustajat ovat DR . Web , AidsTest , Norton Anti Virus .

tilintarkastajat– he tarkkailevat tietokoneen haavoittuvia ja siksi eniten hyökkäyksiä saaneita osia, muistavat palvelualueiden ja tiedostojen tilan ja ilmoittavat käyttäjälle, jos muutoksia havaitaan.

vakiomonitorit tai suodattimet – tallennetaan pysyvästi tietokoneen muistiin, jotta ne havaitsevat luvattoman toiminnan yritykset. Jos epäilyttävä toiminta havaitaan, käyttäjää kehotetaan vahvistamaan tapahtumat.

rokotteet– simuloida tiedostojen virustartuntaa. Virus havaitsee ne tartunnan saaneiksi eikä tunkeudu. Yleisimmin käytettyjä ovat Aidstest Lozinsky, Drweb, Dr.Solomon.

Vvoimme huomioida ensinnäkin seuraavat paketit:

Norton Antivirus (Symantec),

Vims Scan (McAfee),

Dr.Solomon AV Toolkit (S&S IntL),

Virustorjunta (IBM),

InocuLAN (Computer Associates)

Kaspersky Lab.

Kuinka suojautua viruksilta

Asenna tietokoneellesi nykyaikainen virustentorjuntaohjelma.

ennen kuin tarkastelet toisesta tietokoneesta flash-kortille (levykkeelle) tuotuja tietoja, tarkista tietoväline virustorjuntaohjelmalla;

arkistoitujen tiedostojen purkamisen jälkeen tarkista ne välittömästi virusten varalta (kaikki virustentorjuntaohjelmat eivät osaa etsiä haitallista koodia arkistoista tai eivät välttämättä tee sitä oikein);

tarkista säännöllisesti tietokoneesi virusten varalta (jos käytät Internetiä aktiivisesti, suorita se kerran viikossa tai jopa useammin);

Tee varmuuskopiot tärkeistä tiedoista niin usein kuin mahdollista;

käytä palomuuria yhdessä virustentorjuntaohjelman kanssa, jos tietokone on yhteydessä Internetiin;

määritä selaimesi (verkkoselain - IE, Opera jne.) estämään html-sivujen aktiivisen sisällön käynnistäminen.

Tietokonevirukset ja virustentorjuntaohjelmat

Opettaja:

Opiskelija:

Jekaterinburg

2013

Johdanto

1. Tietokonevirologian teoreettiset perusteet

1.1 "Tietokoneviruksen" käsite

1.2. Tietokonevirologian historia ja virusten syyt

1.3. Tietokonevirukset, niiden ominaisuudet ja luokittelu

1.3.1. Tietokonevirusten ominaisuudet

1.3.2. Virusten luokitus

1.4. Virusten päätyypit ja niiden toimintatavat

1.4.1. Käynnistysvirukset.

1.4.2. Tiedostovirukset

1.4.3. Käynnistystiedostovirukset

1.4.4. Verkkovirukset

1.4.5. Polymorfiset virukset

1.4.6. Makrovirukset

1.5. Virusten pääsy tietokoneeseen ja virusohjelmien levitysmekanismi

1.6. Virustentorjuntaohjelmat

2. Tietokonevirusten torjuntakäytännöstä

2.1. Kuinka tunnistamme tietokoneviruksen?

2.2. Kuinka käsittelemme tietokonetta virustartunnalta?

Johtopäätös

Johdanto

Elämme 21. vuosisadalla, tämä on tietotekniikan vuosisata.

On mahdotonta kuvitella nykypäivän ihmisten elämää ilman laajan tiedon nopeaa varastointia ja pääsyä siihen. Ihminen ei kestä nopeaa tiedonkulkua. Tietokone on kaiken tiedon tilavin arkisto. Mutta samaan aikaan tietokone aiheutti toisen ongelman - luotettavuuden, turvallisuuden ja tietojen pitkäaikaisen säilytyksen ongelman. Ja syyllinen oli tietokonevirus.

Tietotekniikassa laajalle levinneet virukset ovat kiehtoneet koko maailmaa. Monet tietokoneen käyttäjät ovat huolissaan huhuista, joiden mukaan kyberrikolliset käyttävät tietokoneviruksia hakkeroidakseen verkkoja, ryöstääkseen pankkeja, varastaakseen immateriaalioikeuksia...

Nykyään henkilökohtaisten tietokoneiden laaja käyttö on valitettavasti osoittautunut liittyvän itsekopioivien virusohjelmien syntymiseen, jotka häiritsevät tietokoneen normaalia toimintaa, tuhoavat levyjen tiedostorakenteen ja vahingoittavat tietokoneeseen tallennettuja tietoja. .

Mediassa uutisoidaan yhä useammin erilaisista tietokonehuligaanien merirosvotemppuista, yhä kehittyneempien, itseilmaisuohjelmien syntymisestä. Huolimatta monissa maissa annetuista tietokonerikosten torjuntaa koskevista laeista ja erityisten virustorjuntaohjelmistojen kehittämisestä uusien ohjelmistovirusten määrä kasvaa jatkuvasti. Minä ja kaikki tietokoneiden parissa työskentelevät ovat kohdanneet tämän ongelman. Nykyään tietokoneen kanssa työskennellessäsi on opittava hallitsemaan ja suojaamaan tietokonettasi tietokoneviruksilta. Tämä edellyttää henkilökohtaisen tietokoneen käyttäjältä tietoa virusten luonteesta, virustartunnan menetelmistä ja käytännön suojasta niitä vastaan. Kaiken edellä mainitun perusteella valitsin tietojenkäsittelytieteen kurssityöni aiheeksi ”Tietokonevirukset ja virustorjuntaohjelmistot”.

Hypoteesi. Tätä aihetta käsiteltäessä ehdotin, että henkilökohtaisten tietokoneiden suojausta tietokoneviruksilta on mahdollista vahvistaa, jos tietokonevirologian teoreettisten perusteiden syvälliseen tuntemukseen perustuen kehitetään johdonmukaisten käytännön toimien järjestelmä, jolla estetään virustartunta. virukselta tai tehokkaiden suojausmenetelmien käyttöä.

Tutkimuksen kohdeon tietokonevirusten havaitsemisen ja torjumisen käytäntö.

Tutkimuksen aihetietokonevirusten havaitseminen ja torjunta työskennellessäsi henkilökohtaisen tietokoneen kanssa.

Työn tavoite: kehittää järjestelmä johdonmukaisista käytännön toimista, jotka estävät virustartunnan tai sisältävät tehokkaita torjuntamenetelmiä ja kuvaavat teknistä prosessia henkilökohtaisten tietokoneiden suojaamiseksi viruksilta.

Tehtävät:

Opiskele tietokonevirologian teoreettisia perusteita (virusten olemus, ominaisuudet, luokittelu);
Tutustu tietokonevirologian historiaan;
Analysoi omaa käytäntöäsi havaita tietokonevirus ja torjua sitä;
Kehitä tutkimusta ja omaa tietokulttuuriasi.

Tutkimukseni koostuu kahdesta luvusta.

Ensimmäinen luku käsittelee teoreettisia kysymyksiä. Ja toisessa luvussa - tekninen prosessi henkilökohtaisten tietokoneiden suojaamiseksi viruksilta, joka koostuu kahdesta toisiinsa liittyvästä vaiheesta: tietokoneviruksen havaitseminen ja sen hoito.

1. Tietokonevirologian teoreettiset perusteet

1.1 "Tietokoneviruksen" käsite

Tietokonevirus on erityisesti kirjoitettu pieni ohjelma, joka voi "liittyä" muihin ohjelmiin (eli "tartuttaa" ne) sekä suorittaa erilaisia ei-toivottuja toimintoja tietokoneella. Viruksen sisältävää ohjelmaa kutsutaan "tartunnan saaneeksi". Kun tällainen ohjelma alkaa toimia, virus ottaa ensin hallintaansa. Virus löytää ja "tartuttaa" muita ohjelmia ja suorittaa myös joitain haitallisia toimia (esimerkiksi se turmelee tiedostoja tai levyllä olevaa tiedostojen varaustaulukkoa, "tukkee" RAM-muistia jne.). Viruksen naamioimiseksi toimenpiteitä muiden ohjelmien tartuttamiseksi ja vahingon aiheuttamiseksi ei välttämättä aina suoriteta, mutta esimerkiksi tiettyjen ehtojen täyttyessä. Kun virus suorittaa tarvitsemansa toiminnot, se siirtää hallinnan sille ohjelmalle, jossa se sijaitsee, ja se toimii samalla tavalla kuin tavallinen. Näin ollen ulkoisesti tartunnan saaneen ohjelman toiminta näyttää samalta kuin ei-tartunnan saaneen ohjelman toiminta.

Monen tyyppiset virukset on suunniteltu siten, että kun tartunnan saanut ohjelma käynnistetään, virus pysyy paikallaan eli uudelleenkäynnistykseen asti DOS , tietokoneen muistissa ja ajoittain saastuttaa ohjelmia ja suorittaa haitallisia toimia tietokoneessa.

On huomattava, että ohjelmien ja asiakirjojen tekstit, tietotiedostot ilman tietoja, taulukot, taulukkoprosessorit ja muut vastaavat tiedostot eivät voi olla viruksen saastuttamia.

1.2. Tietokonevirologian historia ja virusten syyt

Tietokonevirologian historia näyttää nykyään olevan jatkuvaa "kilpailua johtajasta", ja huolimatta nykyaikaisten virustorjuntaohjelmien voimasta virukset ovat johtajia.

Ensimmäisen tietokoneviruksen esiintymisestä on monia erilaisia mielipiteitä. Varmasti tiedetään vain, että ensimmäisen tietokoneen keksijänä pidetyllä Charles Babbagella ei ollut sitä koneessaan, mutta Univax 1108 ja IBM 360/370, ne olivat olemassa jo 1970-luvun puolivälissä. Mielenkiintoista on, että ajatus tietokoneviruksista ilmestyi paljon aikaisemmin kuin henkilökohtaiset tietokoneet itse. Lähtökohtana voidaan pitää kuuluisan tiedemiehen John von Neumannin teoksia itseään toistuvien matemaattisten automaattien tutkimuksesta, joka tuli tunnetuksi 1940-luvulla. Vuonna 1951 hän ehdotti menetelmää tällaisten koneiden luomiseksi. Ja vuonna 1959 lehti Tieteellinen amerikkalainen julkaisi L.S. Penrosen artikkelin itseään toistuvista mekaanisista rakenteista. Se kuvasi yksinkertaisimman kaksiulotteisen mallin itseään toistuvista mekaanisista rakenteista, jotka pystyvät aktivoimaan, lisääntymään, mutaatioon ja sieppaamaan. Myöhemmin toinen tiedemies F.J. Stahl toteutti tämän mallin käytännössä konekoodin avulla IBM 650.

Tuhansien virusten joukossa vain muutama kymmenkunta on alkuperäistä kehitystä, joka hyödyntää todella perustavanlaatuisia ideoita. Kaikki loput ovat "muunnelmia aiheesta". Mutta jokainen alkuperäinen kehitys pakottaa virustentorjuntakehittäjät mukautumaan uusiin olosuhteisiin ja tarttumaan virusteknologiaan. Mutta jälkimmäisestä voidaan kiistää. Esimerkiksi vuonna 1989 amerikkalainen opiskelija onnistui luomaan viruksen, joka sammutti noin 6 000 Yhdysvaltain puolustusministeriön tietokonetta. Tai esimerkki voi olla tunnetun viruksen epidemia Ohjaus II , joka puhkesi vuonna 1991. Virus käytti todella omaperäistä, pohjimmiltaan uutta teknologiaa ja onnistui aluksi leviämään laajalle perinteisten virustorjuntatyökalujen epätäydellisyyden vuoksi.

Tai tietokonevirusten nousu Isossa-Britanniassa: Christopher Pyne onnistui luomaan viruksia Patogeeni ja Queeq sekä Smeg-virus . Se oli viimeinen, joka oli vaarallisin, ja se voitiin levittää kahden ensimmäisen viruksen päälle, ja tämän vuoksi he muuttivat konfiguraatiota jokaisen ohjelman ajon jälkeen. Siksi niitä oli mahdotonta tuhota. Levittääkseen viruksia Pine kopioi tietokonepelejä ja ohjelmia, tartutti ne ja lähetti ne sitten takaisin verkkoon. Käyttäjät latasivat tartunnan saaneita ohjelmia tietokoneilleen ja tartuttivat levynsä. Tilannetta pahensi se, että Pine onnistui tuomaan viruksia niitä vastaan taistelevaan ohjelmaan. Käynnistettyään sen, virusten tuhoamisen sijaan käyttäjät tuhosivat monien yritysten tiedostot, tappiot olivat miljoonia puntia.

Amerikkalainen ohjelmoija Morris tuli laajalti tunnetuksi. Hänet tunnetaan viruksen luojana, joka tartutti marraskuussa 1988 noin 7 000 tietokoneeseen kytkettyä tietokonetta. Internet.

Syyt tietokonevirusten syntymiseen ja leviämiseen ovat toisaalta piilossa ihmispersoonallisuuden psykologiassa ja sen varjopuolissa (kateus, kosto, tuntemattomien tekijöiden turhamaisuus, kyvyttömyys käyttää rakentavasti omia kykyjään). toisaalta henkilökohtaisten tietokonejärjestelmien laitteistosuojauksen ja vastatoimien puuttumisen vuoksi.

1.3. Tietokonevirukset, niiden ominaisuudet ja luokittelu

1.3.1. Tietokonevirusten ominaisuudet

Nykyään käytetään henkilökohtaisia tietokoneita, joissa käyttäjällä on vapaa pääsy kaikkiin koneen resursseihin. Tämä avasi mahdollisuuden vaaraan, joka tunnettiin tietokoneviruksena.

Mikä on tietokonevirus? Tälle käsitteelle ei ole vielä keksitty muodollista määritelmää, ja on vakavia epäilyksiä, voidaanko sitä ollenkaan antaa. Lukuisat yritykset tarjota "moderni" määritelmä virukselle ovat epäonnistuneet. Ymmärtääksesi ongelman monimutkaisuuden, yritä esimerkiksi määritellä käsite "editori". Joko keksit jotain hyvin yleistä tai alat luetella kaikkia tunnettuja editorityyppejä. Molempia näitä tuskin voidaan pitää hyväksyttävinä. Siksi rajoitamme harkitsemaan joitain tietokonevirusten ominaisuuksia, joiden avulla voimme puhua niistä tietyn luokan ohjelmina.

Ensinnäkin virus on ohjelma. Tällainen yksinkertainen lausunto sinänsä voi hälventää monia legendoja tietokonevirusten poikkeuksellisista ominaisuuksista. Virus voi kääntää kuvan näytölläsi, mutta se ei voi kääntää itse näyttöä. Legendoja tappajaviruksista, jotka "tuhoavat operaattoreita näyttämällä tappavan värimaailman ruudulla 25. ruudussa" ei myöskään pidä ottaa vakavasti. Valitettavasti jotkin hyvämaineiset julkaisut julkaisevat silloin tällöin "uusimmat uutiset tietokonerintamalta", jotka lähemmin tarkasteltuna osoittautuvat aiheen epätäydellisen ymmärtämisen tulokseksi.

Virus on ohjelma, jolla on kyky lisääntyä. Tämä kyky on ainoa keino kaikentyyppisille viruksille. Mutta eivät vain virukset pystyvät replikoitumaan itsestään. Mikä tahansa käyttöjärjestelmä ja monet muut ohjelmat pystyvät luomaan omia kopioita. Viruksen kopioiden ei tarvitse olla täysin yhteneväiset alkuperäisen kanssa, mutta ne eivät välttämättä ole samat sen kanssa ollenkaan!!!

Virus ei voi olla olemassa "täydellisesti erillään": nykyään on mahdotonta kuvitella virusta, joka ei käytä muiden ohjelmien koodia, tietoja tiedostorakenteesta tai edes vain muiden ohjelmien nimiä. Syy on selvä: viruksen on jotenkin varmistettava, että hallinta siirtyy itselleen.

1.3.2. Virusten luokitus

Tällä hetkellä tunnetaan yli 5000 ohjelmistovirusta, jotka voidaan luokitella seuraavien kriteerien mukaan:

Elinympäristö;

Elinympäristön saastumismenetelmä;

Vaikutus;

Algoritmin ominaisuudet.

Virukset voidaan jakaa elinympäristöstään riippuen verkko-, tiedosto-, tiedosto-käynnistys-, polymorfisiin, makro- ja käynnistysviruksiin. Verkko Virukset leviävät eri tietokoneverkoissa. Tiedosto virukset upotetaan pääosin suoritettaviin moduuleihin eli tiedostoihin, joiden tunniste on COM ja EXE. Tiedoston käynnistysVirukset voidaan upottaa muun tyyppisiin tiedostoihin, mutta yleensä sellaisiin tiedostoihin kirjoitettuina ne eivät koskaan pääse hallintaan ja menettävät siksi kykynsä lisääntyä.Polymorfiset viruksetnämä ovat viruksia, jotka muokkaavat koodiaan tartunnan saaneissa ohjelmissa siten, että saman viruksen kaksi kopiota eivät välttämättä täsmää yhdessä bitissä. Makrovirukset ovat kielillä olevia ohjelmia, jotka on rakennettu joihinkin tietojenkäsittelyjärjestelmiin (tekstieditorit, laskentataulukot jne.).Käynnistysvirukseton upotettu levyn käynnistyssektoriin tai sektoriin, joka sisältää järjestelmän levyn käynnistysohjelman.

Tartuntatavan perusteella virukset jaetaan asukas ja ei asukas. Asukas virusKun tietokone saa tartunnan, se jättää sen pysyvän osan RAM-muistiin, joka sitten kaappaa käyttöjärjestelmän pääsyn tartuntaobjekteihin ja ruiskuttaa itsensä niihin. Paikalliset virukset sijaitsevat muistissa ja ovat aktiivisia, kunnes tietokone sammutetaan tai käynnistetään uudelleen.Ulkomaiset virukseteivät saastuta tietokoneen muistia ja ovat aktiivisia rajoitetun ajan.

Vaikutusasteen mukaan virus voidaan jakaa seuraaviin tyyppeihin:

Vaaraton , jotka eivät häiritse tietokoneen toimintaa, mutta vähentävät vapaan muistin ja levytilan määrää, tällaisten virusten toiminta ilmenee joissakin grafiikoissa tai äänitehosteissa;

Vaarallinen virukset, jotka voivat aiheuttaa erilaisia ongelmia tietokoneessasi;

Hyvin vaarallinen , jonka vaikutus voi johtaa ohjelmien katoamiseen, tietojen tuhoutumiseen ja tietojen poistamiseen levyn järjestelmäalueilla.

1.4. Virusten päätyypit ja niiden toimintatavat

1.4.1. Käynnistysvirukset.

Katsotaanpa hyvin yksinkertaisen käynnistysviruksen toimintaa, joka saastuttaa levykkeitä. Ohitamme tarkoituksella kaikki lukuisat hienoudet, jotka väistämättä kohdataan sen toiminnan tiukan algoritmin avulla.

Mitä tapahtuu, kun käynnistät tietokoneen? Ensinnäkin hallinta siirtyybootstrap ohjelma, joka on tallennettu vain lukumuistilaitteeseen (ROM), eli PNZ ROM.

Tämä ohjelma testaa laitteiston ja, jos testit onnistuvat, yrittää löytää levykkeen asemasta A.

Jokainen levyke on merkitty sektoreihin ja raidoihin. Sektorit yhdistetään luokkiin, mutta tällä ei ole meille merkitystä.

Sektoreiden joukossa on useita palveluita, joita käyttöjärjestelmä käyttää omiin tarpeisiinsa (nämä sektorit eivät voi sisältää tietojasi). Palvelualoista olemme tällä hetkellä kiinnostuneita yhdestäkäynnistyssektori.

Käynnistyssektorin kaupatlevykkeen tiedotpintojen lukumäärä, raitojen määrä, sektoreiden määrä jne. Mutta nyt emme ole kiinnostuneita tästä tiedosta, vaan pienestäbootstrap-ohjelma(PNZ), jonka on ladattava itse käyttöjärjestelmä ja siirrettävä ohjaus sille.

Joten normaali bootstrap-järjestelmä on seuraava:

Katsotaanpa nyt virusta. Käynnistysviruksilla on kaksi osaa, ns. pää jne. häntää. Häntä voi yleisesti ottaen olla tyhjä.

Oletetaan, että sinulla on tyhjä levyke ja virus, jolla tarkoitamme tietokonetta, jossa on aktiivinen pysyvä virus. Heti kun tämä virus havaitsee, että meidän tapauksessamme asemaan on ilmaantunut sopiva uhri, ei kirjoitussuojattu ja vielä saastumaton levyke, se alkaa tartuttaa. Kun virus tartuttaa levykkeen, se suorittaa seuraavat toimet.

Varaa tietyn alueen levyltä ja merkitsee sen käyttöjärjestelmän saavuttamattomaksi, tämä voidaan tehdä eri tavoin, yksinkertaisimmassa ja perinteisessä tapauksessa viruksen miehittämät sektorit merkitään huonoiksi;

Kopioi sen hännän ja alkuperäisen käynnistyssektorin valitulle levyn alueelle;

Korvaa käynnistyssektorin käynnistysohjelman päällään;

Järjestää ohjauksen siirtoketjun järjestelmän mukaisesti.

Siten viruksen pää saa nyt ensimmäisenä hallinnan, virus asennetaan muistiin ja siirtää hallinnan alkuperäiseen käynnistyssektoriin. Ketjussa:

PNZ (ROM) PNZ (levy) JÄRJESTELMÄ

Uusi linkki tulee näkyviin:

PNZ (ROM) VIRUS PNZ (levy) JÄRJESTELMÄ

Moraali on selvä: Älä koskaan jätä levykettä (vahingossa) asemaan A.Tutkimme yksinkertaisen käynnistysviruksen toimintamallia, joka elää levykkeiden käynnistyssektoreilla. Virukset voivat pääsääntöisesti saastuttaa levykkeiden käynnistyssektoreiden lisäksi myös kiintolevyjen käynnistyssektoreita. Lisäksi, toisin kuin levykkeillä, kiintolevyllä on kahden tyyppisiä käynnistyssektoreita, jotka sisältävät käynnistysohjelmia, jotka saavat ohjauksen. Kun tietokone käynnistyy kiintolevyltä, käynnistysohjelma ottaa ensin hallinnan. MBR (Master Boot Record) master boot record). Jos kiintolevysi on jaettu useisiin osioihin, vain yksi niistä on merkitty käynnistettäväksi. Bootstrap ohjelma sisään MBR etsii kiintolevyn käynnistysosion ja siirtää ohjauksen tämän osion käynnistysohjelmalle. Jälkimmäisen koodi on sama kuin tavallisilla levykkeillä olevan käynnistysohjelman koodi. Vastaavat käynnistyssektorit eroavat vain parametritaulukoista. Siten kiintolevyllä on kaksi käynnistysvirusten hyökkäyskohdetta: käynnistysohjelma sisään MBR ja bootstrap-ohjelmat käynnistyssektorillakäynnistyslevy.

1.4.2. Tiedostovirukset

Tarkastellaan nyt, kuinka yksinkertainen tiedostovirus toimii. Toisin kuin käynnistysvirukset, jotka ovat lähes aina paikallisia, tiedostovirukset voivat olla myös ei-residenttejä. Tarkastellaanpa ulkopuolisen tiedostoviruksen toimintamallia. Oletetaan, että meillä on saastunut suoritettava tiedosto. Kun tällainen tiedosto käynnistetään, virus saa hallinnan, suorittaa joitain toimintoja ja siirtää hallinnan "isännälle" (vaikka ei vielä tiedetä, kuka on isäntä tällaisessa tilanteessa).

Mitä toimia virus suorittaa? Se etsii uutta kohdetta tartuttaakseen - sopivan tyyppistä tiedostoa, joka ei ole vielä saanut tartunnan (jos virus on "kunnollinen", muuten on sellaisia, jotka tartuttavat välittömästi tarkistamatta mitään). Tartuntamalla tiedoston virus ruiskuttaa itsensä sen koodiin saadakseen hallintaansa tiedoston suorittamisen aikana. Päätehtävänsä lisääntymisen lisäksi virus voi hyvinkin tehdä jotain hankalaa (sanoa, kysyä, pelata), tämä riippuu jo viruksen tekijän mielikuvituksesta. Jos tiedostovirus on olemassa, se asentaa itsensä muistiin ja pystyy saastuttamaan tiedostoja ja näyttämään muita ominaisuuksia paitsi tartunnan saaneen tiedoston ollessa käynnissä. Kun virus saastuttaa suoritettavan tiedoston, se muuttaa aina koodiaan, joten suoritettavan tiedoston tartunta voidaan aina havaita. Mutta muuttamalla tiedostokoodia virus ei välttämättä tee muita muutoksia:

Tiedoston pituutta ei tarvitse muuttaa;

Ei velvollisuutta muuttaa käyttämättömiä koodin osia;

Tiedoston alkua ei tarvitse muuttaa.

Lopuksi tiedostovirukset sisältävät usein viruksia, jotka "on jonkin verran suhteessa tiedostoihin", mutta joita ei tarvitse upottaa niiden koodiin. Tarkastellaanpa esimerkkinä tunnetun perheen virusten toimintamallia Ohjaus II . On myönnettävä, että vuonna 1991 ilmestyneistä viruksista tuli Venäjällä todellisen ruttoepidemian syy. Katsotaanpa mallia, joka näyttää selkeästi viruksen perusidean. Tietoa tiedostoista tallennetaan hakemistoihin. Jokainen hakemistomerkintä sisältää tiedoston nimen, luomispäivämäärän ja -ajan, joitain lisätietoja,ensimmäinen klusterin numero tiedosto jne. varmuuskopiot.

Kun suoritettavat tiedostot käynnistetään, järjestelmä lukee niiden hakemistomerkinnät, tiedoston ensimmäisen klusterin ja sitten kaikki muut klusterit. Virusten perhe Ohjaus II suorita seuraava tiedostojärjestelmän "uudelleenjärjestely": virus itse kirjoitetaan joihinkin levyn vapaisiin sektoreihin, jotka se merkitsee huonoiksi. Lisäksi se tallentaa tiedot ensimmäisistä suoritettavien tiedostojen klustereista varattuihin bitteihin ja kirjoittaa näiden tietojen tilalle viittauksia itseensä.

Siten kun mikä tahansa tiedosto käynnistetään, virus saa hallinnan (käyttöjärjestelmä käynnistää sen itse), asentaa itsensä muistiin ja siirtää hallinnan kutsutulle tiedostolle.

1.4.3. Käynnistystiedostovirukset

Emme huomioi käynnistystiedoston virusmallia, koska et opi mitään muuta tietoa. Mutta tässä on tilaisuus keskustella lyhyesti viime aikoina erittäin "suositusta" käynnistystiedostoviruksesta. Puolikas , tartuttaa pääkäynnistyssektorin ( MBR ) ja suoritettavat tiedostot. Suurin tuhoisa vaikutus on kiintolevyn sektoreiden salaus. Joka kerta kun se käynnistetään, virus salaa suurimman osan sektoreista, ja salattuaan puolet kiintolevystä he raportoivat tästä iloisesti. Suurin ongelma tämän viruksen houkuttelemisessa on, että ei riitä pelkkä viruksen poistaminen MBR ja tiedostot, sinun on purettava niiden salaamat tiedot. Kaikkein "tappavin" toiminta on yksinkertaisesti kirjoittaa uusi terve MBR . Pääasia, älä panikoi. Punnitse kaikki rauhallisesti ja ota yhteyttä asiantuntijaan.

1.4.4. Verkkovirukset

Verkkovirukset sisältävät viruksia, jotka käyttävät aktiivisesti paikallisten ja globaalien verkkojen protokollia ja ominaisuuksia leviämiseen. Verkkoviruksen perusperiaate on kyky siirtää koodinsa itsenäisesti etäpalvelimelle tai työasemalle. "Täysiarvoisilla" verkkoviruksilla on myös kyky suorittaa koodinsa etätietokoneessa tai ainakin "työntää" käyttäjää suorittamaan tartunnan saaneen tiedoston.

1.4.5. Polymorfiset virukset

Useimmat kysymykset liittyvät termiin "polymorfiset virukset". Tämän tyyppinen tietokonevirus näyttää olevan vaarallisin nykyään. Selitetään, mikä se on.

Polymorfiset virukset ovat viruksia, jotka muokkaavat koodiaan tartunnan saaneissa ohjelmissa siten, että saman viruksen kaksi kopiota eivät välttämättä ole millään tavalla identtisiä.

Tällaiset virukset eivät vain salaa koodiaan käyttämällä erilaisia salauspolkuja, vaan sisältävät myös salauksen ja salauksen purkamiskoodin, mikä erottaa ne tavallisista salausviruksista, jotka voivat myös salata osia koodistaan, mutta joilla on samaan aikaan jatkuva salaus- ja salauksenpurkukoodi. .

Polymorfiset virukset ovat viruksia, joissa on itsemuovautuvat salauksenpurkut. Tällaisen salauksen tarkoitus: jos sinulla on tartunnan saanut ja alkuperäinen tiedosto, et silti pysty analysoimaan sen koodia purkamisen avulla. Tämä koodi on salattu ja se on merkityksetön joukko komentoja. Virus itse suorittaa salauksen purkamisen suorituksen aikana. Tässä tapauksessa vaihtoehdot ovat mahdollisia: hän voi purkaa itsensä kerralla tai hän voi suorittaa tällaisen salauksen "lennossa", hän voi salata uudelleen jo käytettyjä osia. Kaikki tämä tehdään, jotta viruksen on vaikea analysoida koodia.

1.4.6. Makrovirukset

Makrovirukset ) ovat ohjelmia kielillä (makrokielet), jotka on sisäänrakennettu joihinkin tietojenkäsittelyjärjestelmiin (tekstieditorit, laskentataulukot jne.). Virukset käyttävät lisääntymiseen makrokielten ominaisuuksia ja siirtävät itsensä niiden avulla tartunnan saaneesta tiedostosta muihin. Yleisimmät makrovirukset olivat Microsoft Word, Excel ja Office . On myös makroviruksia, jotka saastuttavat tietokantadokumentteja Microsoft Access.

1.5. Virusten pääsy tietokoneeseen ja virusohjelmien levitysmekanismi

Virusten pääasialliset menetelmät tunkeutua tietokoneeseen ovat siirrettävät levyt (laser ja levykkeet) sekä tietokoneverkot. Kiintolevy voi saada virustartunnan, kun ohjelma ladataan viruksen sisältävältä levykkeeltä. Tällainen tartunta voi olla myös vahingossa, esimerkiksi jos levykkeitä ei ole poistettu asemasta A ja tietokone käynnistettiin uudelleen, eikä levyke välttämättä ole järjestelmällinen. Levykkeen saattaminen on paljon helpompaa. Virus voi päästä siihen, vaikka levyke laitetaan tartunnan saaneeseen tietokoneeseen ja esimerkiksi sen sisällysluettelo luettaisiin.

Virus pääsääntöisesti tuodaan työohjelmaan siten, että kun se käynnistetään, hallinta siirtyy ensin siihen ja vasta sen komentojen suorittamisen jälkeen se palaa työohjelmaan. Päästyä hallintaan virus ensin kirjoittaa itsensä uudelleen toiseen työohjelmaan ja tartuttaa sen. Viruksen sisältävän ohjelman suorittamisen jälkeen on mahdollista tartuttaa muita tiedostoja. Levyn käynnistyssektori ja suoritettavat tiedostot tunnisteella ovat useimmiten viruksen saastuttamia. EXE, COM, SYS ja BAT . On erittäin harvinaista, että tekstitiedostot saavat tartunnan.

Ohjelman tartuttamisen jälkeen virus voi suorittaa jonkinlaisen sabotoinnin, ei liian vakavaa, jotta se ei herätä kiinnostusta. Ja lopuksi, älä unohda palauttaa ohjausta ohjelmaan, josta se käynnistettiin. Jokainen tartunnan saaneen ohjelman suoritus siirtää viruksen seuraavaan ohjelmaan. Näin kaikki ohjelmistot saavat tartunnan.

1.6. Virustentorjuntaohjelmat

Tietokonevirusten torjuntamenetelmät voidaan jakaa useisiin ryhmiin:

virusinfektion ehkäisy ja tällaisen infektion odotettavissa olevien vaurioiden vähentäminen;
virustorjuntaohjelmien käyttötavat, mukaan lukien tunnettujen virusten neutralointi ja poistaminen;
menetelmät tuntemattoman viruksen havaitsemiseksi ja poistamiseksi.

Muinaisista ajoista lähtien on tiedetty, että ennemmin tai myöhemmin jokaiselle myrkkylle voidaan löytää vastalääke. Tällainen vastalääke tietokonemaailmassa on tullut virustentorjuntaohjelmiksi kutsutuiksi ohjelmiksi. Nämä ohjelmat voidaan luokitella viiteen pääryhmään: suodattimet, ilmaisimet, tarkastajat, lääkärit ja rokottajat.

Virustorjuntasuodattimet ovat pysyviä ohjelmia, jotka ilmoittavat käyttäjälle kaikista ohjelmien yrityksistä kirjoittaa levylle, varsinkin alustaa sitä, sekä muista epäilyttäviä toimintoja (esimerkiksi yrityksistä muuttaa CMOS-asetuksia). Sinua pyydetään sallimaan tai hylkäämään tämä toiminto. Näiden ohjelmien toimintaperiaate perustuu vastaavien keskeytysvektorien sieppaamiseen. Tämän luokan ohjelmien etuna ilmaisinohjelmiin verrattuna on niiden monipuolisuus sekä tunnettujen että tuntemattomien virusten suhteen, kun taas ilmaisimet on kirjoitettu ohjelmoijan tällä hetkellä tuntemille tyypeille. Tämä pätee erityisesti nyt, kun on ilmaantunut monia mutanttiviruksia, joilla ei ole pysyvää koodia. Haittoja ovat toistuva pyyntöjen esittäminen minkä tahansa toimenpiteen suorittamiseksi: kysymyksiin vastaaminen vie käyttäjältä paljon aikaa ja käy hänen hermoilleen. Joitakin virustentorjuntasuodattimia asennettaessa voi syntyä ristiriitoja muiden samoja keskeytyksiä käyttävien ohjelmien kanssa, jotka yksinkertaisesti lakkaavat toimimasta.

Maassamme yleisimpiä ovat ilmaisinohjelmat, tai pikemminkin ohjelmat, jotka yhdistävät ilmaisimen ja lääkärin. Tämän luokan tunnetuimmat edustajat ovat Aidstest, Doctor Web, Microsoft Antivirus.

Viruksentorjuntatunnistimet on suunniteltu tietyille viruksille, ja ne perustuvat viruksen rungon sisältämien koodien sarjan vertaamiseen tarkistettavien ohjelmien koodeihin. Tällaiset ohjelmat on päivitettävä säännöllisesti, koska ne vanhentuvat nopeasti eivätkä pysty havaitsemaan uudentyyppisiä viruksia.

Auditorit ovat ohjelmia, jotka analysoivat levyn tiedostojen ja järjestelmäalueiden nykyisen tilan ja vertaavat sitä tietoihin, jotka on tallennettu aiemmin johonkin auditointitiedostoista. Tämä tarkistaa BOOT-sektorin tilan, FAT-taulukon sekä tiedostojen pituuden, luontiajan, attribuutit ja tarkistussumman. Tarkastusohjelman viestejä analysoimalla käyttäjä voi päättää, ovatko muutokset viruksen aiheuttamia vai ei. Viimeiseen ryhmään kuuluvat tehokkaimmat virustentorjuntarokotteet. He kirjoittavat tietyn viruksen merkit rokotusohjelmaan niin, että virus pitää sen jo tartunnan saaneena.

Esimerkkejä virustorjuntaohjelmista:

Lääkärin WEB

Viime aikoina Doctor Webin virustorjuntaohjelman suosio on kasvanut nopeasti. Dr.Web, kuten Aidstest, kuuluu lääkärinilmaisimien luokkaan, mutta toisin kuin jälkimmäisessä, siinä on ns. "heuristinen analysaattori" - algoritmi, jonka avulla voit havaita tuntemattomat virukset. "The Healing Web", kuten ohjelman nimi on käännetty englannista, tuli kotimaisten ohjelmoijien reaktio itsemuovautuvien mutanttivirusten hyökkäykseen. Dr.Webia voidaan kutsua uuden sukupolven virustorjuntaohjelmaksi verrattuna Aidstestiin ja sen analogeihin.

Kiintolevyn testaus Dr.Webillä kestää paljon kauemmin kuin Aidstestillä, joten kaikilla käyttäjillä ei ole varaa viettää niin paljon aikaa koko kiintolevyn tarkistamiseen päivittäin. Tällaisia käyttäjiä voidaan neuvoa tarkistamaan ulkopuolelta tuodut levykkeet huolellisemmin (/S2-vaihtoehdolla). Jos levykkeellä olevat tiedot ovat arkistossa (ja viime aikoina ohjelmat ja tiedot siirretään koneelta koneelle vain tässä muodossa; jopa ohjelmistovalmistajat, esimerkiksi Borland, pakkaavat tuotteitaan), sinun tulee purkaa ne erilliseen hakemistoon kiintolevylle ja käynnistä välittömästi, viipymättä Dr.Web, antamalla sille koko polku tähän alihakemistoon levyn nimen sijaan parametrina. Ja silti sinun on suoritettava kiintolevyn täydellinen virustarkistus vähintään kerran kahdessa viikossa ja asetettava heuristisen analyysin enimmäistaso.

Aivan kuten Aidstestin tapauksessa, ei alkutestauksen aikana saa antaa ohjelman desinfioida tiedostoja, joissa se havaitsee viruksen, koska ei voida sulkea pois mahdollisuutta, että viruksentorjuntaohjelmassa malliksi hyväksytty tavusarja voi esiintyä terveessä ohjelmoida.

Microsoft Antivirus

Nykyaikaisiin MS-DOS-versioihin kuuluu Microsoft Antivirus (MSAV). Tämä virustorjunta voi toimia ilmaisin-lääkäri- ja auditoija-tiloissa.

MSAV:ssa on käyttäjäystävällinen käyttöliittymä MS-Windows-tyyliin ja tietysti hiiren tuki. Kontekstiapu on toteutettu hyvin: siellä on vihje melkein jokaiseen valikon kohtaan, mihin tahansa tilanteeseen. Pääsy valikon kohtiin on toteutettu yleisesti: tähän voidaan käyttää kohdistinnäppäimiä, näppäinnäppäimiä (F1-F9), jotakin kohteen nimen kirjainta vastaavia näppäimiä sekä hiirtä. Asetukset-valikon Asetukset-liput voidaan asettaa joko VÄLINÄPPÄIN tai ENTER-näppäimellä. Vakava haitta ohjelmaa käytettäessä on, että se ei tallenna tiedostotietoja sisältäviä taulukoita yhteen tiedostoon, vaan hajauttaa ne kaikkiin hakemistoihin.

Ensimmäisen tarkistuksen aikana MSAV luo CHKLIST.MS-tiedostot jokaiseen suoritettavat tiedostot sisältävään hakemistoon, joihin se kirjoittaa tiedot valvottavien tiedostojen koosta, päivämäärästä, kellonajasta, attribuuteista sekä tarkistussummasta. Myöhemmissä tarkastuksissa ohjelma vertaa tiedostoja CHKLIST.MS-tiedostojen tietoihin. Jos koko ja päivämäärä ovat muuttuneet, ohjelma ilmoittaa tästä käyttäjälle ja pyytää lisätoimenpiteitä: päivitä tiedot (Päivitä), aseta päivämäärä ja kellonaika CHKLIST.MS:n (Korjaus) tietojen mukaan, jatka, ei kiinnitä huomiota tämän tiedoston muutoksiin (Jatka), keskeytä tarkistus (Stop). Jos tarkistussumma on muuttunut, MSAV näyttää saman ikkunan, vain Korjaa-kohdan sijaan tulee Poista kohde, koska ohjelma ei voi palauttaa tiedoston sisältöä. Jos virus havaitaan Detect&Clean-tilassa, ohjelma poistaa viruksen. Levyn skannaus molemmissa tiloissa voidaan keskeyttää tai keskeyttää kokonaan painamalla ESC (tai F3) ja vastaamalla sopivaan kysymykseen ohjelmasta. Levyn tarkistuksen aikana näytetään tiedot tehdystä työstä: käsiteltyjen hakemistojen prosenttiosuus ja käsiteltyjen tiedostojen prosenttiosuus nykyisessä hakemistossa. Nämä tiedot esitetään myös visuaalisesti, värillisen palkin muodossa, kuten muistitestissä. Tarkistuksen lopussa MSAV antaa taulukon muodossa raportin, joka raportoi tarkistettujen kiintolevy- ja levykeasemien lukumäärän, tarkistettujen, tartunnan saaneiden ja desinfioitujen tiedostojen määrän. Lisäksi näytetään skannausaika.

Asetukset-valikossa voit määrittää ohjelman haluamallasi tavalla. Täällä voit asettaa tilan etsimään näkymättömiä viruksia (Anti-Stealth), tarkistamaan kaikki (ei vain suoritettavat) tiedostot (Tarkista kaikki tiedostot) ja myös sallia tai estää CHKLIST.MS-taulukoiden luomisen (Create New Checksums). Lisäksi voit asettaa tilan tehdyn työn raportin tallentamiseksi tiedostoon. Jos asetat Luo varmuuskopio -asetuksen, ennen viruksen poistamista tartunnan saaneesta tiedostosta tallennetaan kopio tunnisteella *.VIR

Päävalikossa voit tarkastella MSAV-ohjelman tuntemien virusten luetteloa painamalla F9-näppäintä. Tämä avaa ikkunan, jossa on virusten nimet. Jos haluat nähdä tarkempia tietoja viruksesta, siirrä kohdistin sen nimeen ja paina ENTER. Voit nopeasti navigoida kiinnostavaan virukseen kirjoittamalla sen nimen ensimmäiset kirjaimet. Tietoja viruksesta voidaan tulostaa tulostimelle valitsemalla sopiva valikkokohta.

2. Tietokonevirusten torjuntakäytännöstä

2.1. Kuinka tunnistamme tietokoneviruksen?

Ensinnäkin olemme ymmärtäneet hyvin merkit, joiden perusteella virustartunnan ilmaantuminen on helppo tunnistaa. Näitä ovat seuraavat merkit:

Työn lopettaminen tai aiemmin toimineiden ohjelmien virheellinen toiminta;

Hidas tietokoneen suorituskyky;

Kyvyttömyys ladata käyttöjärjestelmää;

Tiedostojen ja hakemistojen katoaminen tai niiden sisällön vioittuminen;

Tiedoston muokkauksen päivämäärän ja kellonajan muuttaminen;

tiedostokoon muuttaminen;

Odottamaton merkittävä kasvu levyllä olevien tiedostojen määrässä;

Vapaan RAM-muistin koon merkittävä väheneminen;

tahattomien viestien tai kuvien näyttäminen näytöllä;

Odottamattomien äänisignaalien tarjoaminen;

Usein jäätyy ja kaatuu tietokoneessa.

Käsittelemme näitä tietokoneen ilmenemismuotoja tietyllä todennäköisyydellä, koska luetellut ilmiöt eivät välttämättä johdu viruksen läsnäolosta, vaan ne voivat johtua muista syistä. Yritämme määrittää diagnoosin mahdollisimman tarkasti, jotta emme tee virheitä päätösten tekemisessä ja yritämme sulkea pois muut henkilökohtaisen tietokoneen ongelmien syyt.

Käynnissä oleva virus saattaa villinä jonkin aikaa, mutta ennemmin tai myöhemmin "leipä" loppuu, sillä me tavalliset käyttäjät pystymme silti havaitsemaan tiettyjä poikkeavuuksia tietokoneen toiminnassa ja välttämään esteitä sen toiminnassa. Mutta silti emme pysty selviytymään virusinfektiosta omin voimin.

Ja pyrimme varmistamaan, että virus pääsee mahdollisimman pian osaavampien asiantuntijoiden käsiin. Ammattilaiset tutkivat häntä, selvittävät "mitä hän tekee", "miten hän tekee", "milloin hän tekee" ja niin edelleen. Tällaisen työn prosessissa tiedämme, että on tarpeen kerätä kaikki tarvittavat tiedot tietystä viruksesta, erityisesti tunnistaaksesi viruksen allekirjoitus - tavusarja, joka luonnehtii sitä aivan varmasti. Allekirjoituksen rakentamiseksi otamme viruskoodin tärkeimmät ja ominaisimmat osat. Tässä tapauksessa viruksen toimintamekanismit tulevat meille selväksi. Käynnistysviruksen tapauksessa pyrimme selvittämään, missä se piilottaa häntänsä, missä sijaitsee alkuperäinen käynnistyssektori ja tiedostoviruksen tapauksessa kuinka tiedosto on saanut tartunnan. Saatujen tietojen avulla voimme selvittää:

minä . Kuinka tunnistaa virus? Tätä tarkoitusta varten selvennetään menetelmiä allekirjoitusten etsimiseksi mahdollisista virushyökkäyksen kohteista - tiedostoista ja/tai käynnistyssektoreista?

II . Kuinka neutraloida virus? Jos tämä on mahdollista, kehitämme algoritmeja viruskoodin poistamiseksi tartunnan saaneista objekteista.

2.2. Kuinka käsittelemme tietokonetta virustartunnalta?

Tietokonevirusten havaitsemiseksi, poistamiseksi ja niiltä suojaamiseksi on kehitetty useita erikoisohjelmia, joiden avulla voit havaita ja tuhota viruksia. Tällaisia ohjelmia kutsutaan virustorjunta . On olemassa seuraavan tyyppisiä virustentorjuntaohjelmia, joita käytetään käytännössämme vaihtelevalla menestyksellä. Tämä:

Ohjelmat - ilmaisimet;

Lääkäriohjelmat tai faagit;

Ohjelman tarkastajat;

Ohjelmoi rokotteita tai immunisoijia;

Ohjelma ilmaisimiaHe etsivät RAM-muistista ja tiedostoista tietylle virukselle ominaista allekirjoitusta ja antavat vastaavan viestin, jos ne löytyvät. Tällaisten virustentorjuntaohjelmien haittana on, että ne voivat havaita vain viruksia, jotka näiden ohjelmien kehittäjät tuntevat.

Lääkärin ohjelmat tai faagit myös rokoteohjelmatei vain löydä viruksen saastuttamia tiedostoja, vaan myös "käsittele" niitä, eli poista virusohjelman runko tiedostosta palauttaen tiedostot alkuperäiseen tilaan. Työnsä alussa faagit etsivät viruksia RAM-muistista, tuhoavat ne ja jatkavat vasta sitten tiedostojen "puhdistukseen". Faagien joukossa on polyfaageja, toisin sanoen lääkäriohjelmia, jotka on suunniteltu etsimään ja tuhoamaan suuri määrä viruksia. Tunnetuin niistä: Aidstest, Scan, AntiVirus, Doctor Web . Käytännössämme suosimme näitä ohjelmia.

Ohjelman tarkastajatovat luotettavimpia suojakeinoja viruksia vastaan. Tarkastajat muistavat ohjelmien, hakemistojen ja levyn järjestelmäalueiden alkuperäisen tilan, kun tietokone ei ole viruksen saastuttama, ja vertaavat sitten säännöllisesti tai käyttäjän pyynnöstä nykyistä tilaa alkuperäiseen. Havaitut muutokset näkyvät monitorin näytöllä. Pääsääntöisesti tilojen vertailu suoritetaan heti käyttöjärjestelmän lataamisen jälkeen. Vertailussa tarkistetaan tiedoston pituus, syklinen ohjauskoodi (tiedoston tarkistussumma), muokkauspäivämäärä ja -aika sekä muut parametrit. Ohjelmien tarkastajat ovat melko kehittyneitä algoritmeja, havaitsevat salaperäisiä viruksia ja voivat jopa puhdistaa tarkistettavan ohjelmaversion muutokset viruksen tekemistä muutoksista. Tilintarkastajien ohjelmien joukossa on laajalle levinnyt ohjelma Venäjällä Adinf.

Ohjelman suodattimettai "vartijat" ovat pieniä ohjelmia, jotka on suunniteltu havaitsemaan viruksille ominaisia epäilyttäviä toimia tietokoneen käytön aikana. Tällaisia toimia voivat olla:

Yrittää korjata tiedostot, joiden tiedostotunniste on COM, EXE;

Tiedoston attribuuttien muuttaminen;

Suora kirjoitus levylle absoluuttiseen osoitteeseen;

Kun mikä tahansa ohjelma yrittää suorittaa määritettyjä toimintoja, "vartija" lähettää käyttäjälle viestin ja ehdottaa kieltää tai sallia vastaavan toiminnon. Ohjelmasuodattimet ovat erittäin hyödyllisiä, koska ne pystyvät havaitsemaan viruksen sen olemassaolon varhaisessa vaiheessa ennen replikointia. Ne eivät kuitenkaan "puhdista" tiedostoja ja levyjä. Virusten tuhoamiseksi sinun on käytettävä muita ohjelmia, ja muiden ohjelmistojen kanssa voi olla ristiriitoja. Esimerkki suodatinohjelmasta on ohjelma Vsafe , sisältyy apuohjelmapakettiin MS DOS.

Rokotteet tai immunisaattorit nämä ovat ohjelmia, jotka estävät tiedostojen tartunnan. Rokotteita käytetään, jos lääkäreillä ei ole ohjelmia, jotka "hoitaisivat" tätä virusta. Rokotus on mahdollista vain tunnettuja viruksia vastaan. Rokote muokkaa ohjelmaa tai levyä siten, että se ei vaikuta sen toimintaan ja virus havaitsee sen tartunnan saaneena eikä siksi juurtu. Rokoteohjelmia käytetään tällä hetkellä rajoitetusti.

Virusten saastuttamien tiedostojen ja levyjen oikea-aikainen havaitseminen ja havaittujen virusten täydellinen tuhoaminen jokaisessa tietokoneessa auttavat estämään virusepidemian leviämisen muihin tietokoneisiin.

Pyrimme noudattamaan seuraavia sääntöjä, jotta tietokoneesi ei altistu viruksille ja varmistaisi tietojen luotettavan tallentamisen levyille:

Varusta tietokoneesi nykyaikaisilla virustorjuntaohjelmilla, esimerkiksi: Aidstest , Doctor Web ja päivittävät jatkuvasti versioitaan;

Ennen kuin luet muihin tietokoneisiin tallennettuja tietoja levykkeiltä, tarkista aina nämä levykkeet virusten varalta ajamalla tietokoneesi virustorjuntaohjelmia.

Kun siirrät arkistoituja tiedostoja tietokoneellesi, skannaa ne välittömästi sen jälkeen, kun olet purkanut ne kiintolevyltäsi. Rajoita tarkistuksen laajuus vain uusiin tallennettuihin tiedostoihin.

Tarkista ajoittain tietokoneesi kiintolevyt virusten varalta suorittamalla virustorjuntaohjelmia tiedostojen, muistin ja levyjen järjestelmäalueiden testaamiseksi kirjoitussuojatulta levykkeeltä sen jälkeen, kun käyttöjärjestelmä on ladattu kirjoitussuojatulla järjestelmän levykkeellä.

Suojaa levykkeet aina kirjoitussuojalla, kun työskentelet muilla tietokoneilla, ellei niihin kirjoiteta tietoja;

Muista tehdä varmuuskopiot levykkeille sinulle arvokkaista tiedoista.

Älä jätä levykkeitä A-aseman taskuun, kun käynnistät käyttöjärjestelmän tai käynnistät sen uudelleen, jotta tietokone ei saa käynnistysvirustartuntaa.

Käytä virustentorjuntaohjelmia kaikkien tietokoneverkoista vastaanotettujen suoritettavien tiedostojen syöttämiseen;

Paremman käyttöturvallisuuden takaamiseksi Aidstest ja Doctor Web tulee yhdistää Disk Auditorin päivittäiseen käyttöön Adinf.

Kun tietokone on saanut viruksen (tai jos epäilemme tätä), noudatamme neljää sääntöä:

1). Ensinnäkin, ei tarvitse kiirehtiä ja tehdä hätiköityjä päätöksiä. Huonosti harkitut toimet voivat johtaa joidenkin tiedostojen katoamisen lisäksi myös tietokoneen uudelleentartunnan saamiseen;

2). Sinun on välittömästi sammutettava tietokoneesi, jotta virus ei jatka tuhoavaa toimintaansa;

3). Kaikki toimet infektiotyypin havaitsemiseksi ja tietokoneen hoitamiseksi tulee suorittaa, kun tietokone käynnistetään kirjoitussuojatulta levykkeeltä käyttöjärjestelmällä (pakollinen sääntö);

4). Jos sinulla ei ole riittävästi tietoa ja kokemusta tietokoneesi käsittelyyn, pyydä apua kokeneemmilta kollegoilta.

Johtopäätös

Voimme siis lainata monia tosiasioita, jotka osoittavat, että tietoresurssille kohdistuva uhka kasvaa päivä päivältä paniikkiin pankkien, yritysten ja yritysten päättäjät ympäri maailmaa. Ja tämä uhka tulee tietokoneviruksista, jotka vääristävät tai tuhoavat tärkeitä tietoja, mikä voi johtaa taloudellisiin tappioihin.

Tietokoneviruserityisesti kirjoitettu ohjelma, joka pystyy spontaanisti liittymään muihin ohjelmiin, luomaan kopioita itsestään ja tuomaan ne tiedostoihin, tietokoneen järjestelmäalueisiin ja tietokoneverkkoihin häiritsemään ohjelmien toimintaa, vahingoittamaan tiedostoja ja hakemistoja sekä aiheuttamaan mahdollisia häiriöitä tietokoneen toimintaa.

Tällä hetkellä tunnetaan yli 5000 ohjelmistovirusta, joiden määrä kasvaa jatkuvasti. Tiedämme tapauksia, joissa opetusohjelmia on luotu auttamaan virusten kirjoittamisessa.

Virusten päätyypit: käynnistys-, tiedosto-, käynnistystiedosto-, verkko-, polymorfiset, makrovirukset. Vaarallisimmat virukset ovat polymorfisia.

Tietokonevirologian historiasta olemme havainneet, että mikä tahansa alkuperäinen tietokonekehitys pakottaa virustorjuntaohjelmien luojat mukautumaan uusiin tekniikoihin ja jatkuvasti parantamaan virustentorjuntaohjelmia.

Virusten ilmaantumisen ja leviämisen syyt ovat piilossa toisaalta ihmisen psykologiassa ja toisaalta käyttöjärjestelmän suojatoimenpiteiden puutteessa.

Virukset tunkeutuvat pääasiallisesti siirrettävien levyjen ja tietokoneverkkojen kautta. Noudata suojatoimenpiteitä, jotta tämä ei tapahdu. Jos löydät edelleen viruksen tietokoneeltasi, on parempi soittaa ammattilaiselle käyttämällä perinteistä lähestymistapaa.

Mutta jotkut virusten ominaisuudet hämmentävät jopa asiantuntijoita. Juuri äskettäin oli vaikea kuvitella, että virus selviytyisi kylmästä käynnistyksestä tai leviäisi asiakirjatiedostojen kautta. Tällaisissa olosuhteissa on mahdotonta olla kiinnittämättä huomiota ainakin käyttäjien alkuperäiseen virustorjuntakoulutukseen. Ongelman vakavuudesta huolimatta mikään virus ei voi aiheuttaa niin paljon haittaa kuin valkeakasvoinen käyttäjä, jolla on tärisevät kädet.

Uskon selviytyneeni minulle osoitetuista tehtävistä. Saavutin tavoitteen, jonka halusin saavuttaa, ja suoritin kaikki tehtävät, jotka piti suorittaa. Pidän tekemäni työtä aikamme kannalta erittäin merkityksellisenä. Työtä tehdessäni jouduin turvautumaan tietolähteisiin Internet . Tätä työtä voivat käyttää kaikki henkilökohtaisten tietokoneiden käyttäjät, koska tietokonevirukset ovat yksi tietokoneeseen liittyvistä tärkeimmistä ongelmista.

Virukset ja virustentorjuntaohjelmat

Vuosisadallamme monet ihmisen toiminnan alueet liittyvät tietokoneiden käyttöön. Nämä koneet ovat juurtuneet syvälle elämäämme. Heillä on valtavia kykyjä, mikä vapauttaa ihmisen aivot tarpeellisempiin ja vastuullisempiin tehtäviin. Tietokone pystyy tallentamaan ja käsittelemään erittäin suuren määrän tietoa, mikä on tällä hetkellä yksi kalleimmista resursseista.

Kun tietokonejärjestelmät ja ohjelmistot kehittyvät ja modernisoituvat, niihin tallennetun tiedon määrä ja haavoittuvuus lisääntyvät. Yksi uusista tekijöistä, joka on dramaattisesti lisännyt tätä haavoittuvuutta, on ohjelmistojen kanssa yhteensopivien, tehokkaiden henkilökohtaisten laitteiden massatuotanto

Tietokone, joka oli yksi syy uuden ilkivaltaohjelmien - tietokonevirusten - syntymiseen. Suurin tietokonevirusten aiheuttamasta ohjelmistotartuntariskistä aiheutuva vaara on elintärkeän tiedon vääristyminen tai tuhoutuminen, mikä voi johtaa paitsi taloudellisiin ja tilapäisiin menetyksiin, myös aiheuttaa uhreja.

Tietokonevirukset ovat levinneet hyvin laajalle, ja niiden torjunta aiheuttaa keskivertokäyttäjälle suurta päänsärkyä. Siksi on tärkeää ymmärtää virusten leviämismenetelmät ja ilmaantumisen luonne sekä tapoja torjua niitä.

Parhaat tulokset ovat tällä hetkellä saavutettu virustorjuntaohjelmien ja -menetelmien luomisessa. Ohjelmistotuotteiden tasolle on tuotu useita kehityssuuntia, ja käyttäjät käyttävät niitä laajasti.

1. Tietokonevirusten olemus ja ilmentymä.

Tietokonevirus on erityisesti kirjoitettu ohjelma, joka pystyy spontaanisti kiinnittymään muihin ohjelmiin, luomaan itsestään kopioita ja viemään niitä tiedostoihin, tietokoneen järjestelmäalueisiin ja tietokoneverkkoihin häiritsemään ohjelmien toimintaa, vahingoittamaan tiedostoja ja hakemistoja, ja aiheuttaa kaikenlaisia häiriöitä tietokoneen työskentelyyn.

Tärkeimmät tavat, joilla virukset pääsevät tietokoneeseen, ovat siirrettävät levyt (levykkeet ja laser) sekä tietokoneverkot. Kiintolevyllesi voi tulla viruksia, kun käynnistät tietokoneen viruksen sisältävältä levykkeeltä. Tällainen tartunta voi olla myös vahingossa, esimerkiksi jos levykettä ei ole poistettu asemasta ja tietokone käynnistettiin uudelleen, eikä levyke välttämättä ole järjestelmällinen. Levykkeen saattaminen on paljon helpompaa. Virus voi päästä siihen, vaikka levyke vain laitetaan tartunnan saaneen tietokoneen levyasemaan ja esimerkiksi luetaan sen sisällysluettelo.

Tartunnan saanut levy on levy, jonka käynnistyssektorissa on virusohjelma.

Viruksen sisältävän ohjelman suorittamisen jälkeen on mahdollista tartuttaa muita tiedostoja. Useimmiten levyn käynnistyssektori ja suoritettavat tiedostot, joiden tunniste on EXE, COM, SYS tai BAT, ovat viruksen saastuttamia.

On erittäin harvinaista, että teksti- ja grafiikkatiedostot saavat tartunnan.

Tartunnan saanut ohjelma on ohjelma, joka sisältää siihen upotetun virusohjelman.

Kun tietokoneesi on saanut viruksen, on erittäin tärkeää havaita se nopeasti. Tätä varten sinun tulee tietää virusten tärkeimmät merkit. Näitä ovat seuraavat:

Työn lopettaminen tai aiemmin onnistuneesti toimineiden ohjelmien virheellinen toiminta;

Hidas tietokoneen suorituskyky;

Kyvyttömyys ladata käyttöjärjestelmää;

Tiedostojen ja hakemistojen katoaminen tai niiden sisällön vioittuminen;

Tiedoston muokkauksen päivämäärän ja kellonajan muuttaminen;

tiedostokoon muuttaminen;

Odottamaton merkittävä kasvu levyllä olevien tiedostojen määrässä;

Vapaan RAM-muistin koon merkittävä väheneminen;

Odottamattomien viestien tai kuvien näyttäminen näytöllä;

Odottamattomien äänisignaalien tarjoaminen;

Usein jäätyy ja kaatuu tietokoneessa.

Yllä olevat ilmiöt eivät välttämättä johdu viruksen läsnäolosta, vaan ne voivat johtua muista syistä. Siksi tietokoneen kunnon oikea diagnosointi on aina vaikeaa.

2. Virusten luokitus.

Nykyään olemassa olevat monet tietokonevirukset voidaan jakaa useisiin ryhmiin.

1. Elinympäristön mukaan.

Verkkovirukset leviävät eri verkoissa, esim. siirrettäessä tietoja yhdestä tietokoneesta toiselle, joka on yhdistetty verkon, kuten Internetin, kautta.

Tiedostovirukset saastuttaa executive-tiedostot ja ladataan sen jälkeen, kun ohjelma, jossa se sijaitsee, on käynnistetty. Tiedostovirukset voidaan upottaa muihin tiedostoihin, mutta kun ne on kirjoitettu tällaisiin tiedostoihin, ne eivät saa hallintaa ja menettävät kykynsä lisääntyä.

Käynnistysvirukset on upotettu käynnistysohjelman sisältävien levykkeiden tai loogisten asemien käynnistyssektoriin.

Tiedoston käynnistysvirukset saastuttavat sekä tiedostot että levyn käynnistyssektorit.

2. Elinympäristön tartuntamenetelmän mukaan.

Kun pysyvä virus saastuttaa tietokoneen, se jättää sen pysyvän osan RAM-muistiin, joka sitten kaappaa käyttöjärjestelmän pääsyn tartuntakohteisiin (tiedostot, levyn käynnistyssektorit jne.) ja ruiskuttaa itsensä niihin. Paikalliset virukset sijaitsevat muistissa ja ovat aktiivisia, kunnes tietokone sammutetaan tai käynnistetään uudelleen.

Ulkopuolinen virus ei saastuta tietokoneen muistia ja on aktiivinen rajoitetun ajan. Ne aktivoituvat tiettyinä hetkinä, esimerkiksi käsiteltäessä asiakirjoja tekstinkäsittelyohjelmalla.

3. Tuhoavilla (tuhoittavilla) kyvyillä.

Haitattomat virukset ilmenevät vain siinä, että ne vähentävät levyn muistia leviämisensä seurauksena.

Ei-vaaralliset, ne vähentävät myös muistin määrää, eivät häiritse tietokoneen toimintaa, tällaiset virukset luovat grafiikkaa, ääntä ja muita tehosteita.

Vaaralliset virukset, jotka voivat aiheuttaa erilaisia ongelmia tietokoneellesi, kuten jäädyttää tai asiakirja ei tulostu oikein.

Erittäin vaarallinen, jonka toiminta voi johtaa ohjelmien, tietojen katoamiseen, tietojen pyyhkimiseen järjestelmän muistialueilla ja jopa kiintolevyn liikkuvien osien vioittumiseen, kun ne tulevat resonanssiin.

4. Algoritmin ominaisuuksien mukaan.

Replikaattorivirukset (madot) leviävät tietokoneverkoissa, laskevat verkon tietokoneiden osoitteet ja kirjoittavat itsestään näihin osoitteisiin.

Näkymättömät virukset (stealth-virukset) ovat viruksia, joita on erittäin vaikea havaita ja neutraloida, koska ne sieppaavat käyttöjärjestelmästä tulevia kutsuja tartunnan saaneille tiedostoille ja levysektoreille ja korvaavat tartunnan saamattomia alueita levyllä.

Mutantit (haamut) sisältävät salaus-salauksenpurkualgoritmeja, joiden ansiosta saman viruksen kopioissa ei ole yhtä toistuvaa tavuketjua. Nämä virukset ovat vaikeimpia havaita.

Troijalaiset ohjelmat (quasi-virukset) eivät pysty leviämään itsestään, mutta ovat erittäin vaarallisia, koska hyödyllisiksi ohjelmiksi naamioituneet ne tuhoavat levyjen käynnistyssektorin ja tiedostojärjestelmän.

Satelliitit ovat virus, joka ei muuta tiedostoa, mutta suoritettaville ohjelmille (exe) ne luovat samannimiä com-tyyppisiä ohjelmia, jotka käynnistetään ensin alkuperäisen ohjelman suoritettaessa ja siirtävät sitten ohjauksen alkuperäiselle suoritettavalle ohjelmalle. .

Opiskelijavirukset ovat yksinkertaisimpia ja helpoimmin havaittavia viruksia.

Niiden välillä ei kuitenkaan ole selvää jakoa, ja ne kaikki voivat muodostaa vuorovaikutusvaihtoehtojen yhdistelmän - eräänlaisen viruksen "cocktailin".

3. Viruksentorjuntaohjelmat.

Tietokonevirusten havaitsemiseksi, poistamiseksi ja niiltä suojaamiseksi on kehitetty erityisiä ohjelmia, joiden avulla voit havaita ja tuhota viruksia.

Tällaisia ohjelmia kutsutaan virustorjuntaohjelmiksi. Nykyaikaiset virustentorjuntaohjelmat ovat monitoimituotteita, joissa yhdistyvät sekä ennaltaehkäisevät että ennaltaehkäisevät työkalut sekä työkalut virusten hoitoon ja tietojen palauttamiseen.

3.1 Viruksentorjuntaohjelmia koskevat vaatimukset.

Virusten määrä ja valikoima on suuri, ja jotta ne voidaan havaita nopeasti ja tehokkaasti, virustorjuntaohjelman on täytettävä tietyt parametrit.

Vakaus ja toimintavarmuus. Tämä parametri on epäilemättä ratkaiseva - jopa paras virustorjunta on täysin hyödytön, jos se ei voi toimia normaalisti tietokoneellasi, jos jonkin ohjelman toimintahäiriön seurauksena tietokoneen tarkistusprosessi ei valmistu. Silloin on aina mahdollista, että jotkut tartunnan saaneet tiedostot jäävät huomaamatta.

Ohjelman virustietokannan koko (ohjelman oikein havaitsemien virusten määrä). Kun otetaan huomioon uusien virusten jatkuva ilmaantuminen, tietokanta on päivitettävä säännöllisesti - mitä hyötyä on ohjelmasta, joka ei näe puolta uusista viruksista ja aiheuttaa sen seurauksena väärän tunteen tietokoneen "puhtaudesta" . Tämän tulisi sisältää myös ohjelman kyky havaita erityyppisiä viruksia ja kyky työskennellä erityyppisten tiedostojen (arkistot, asiakirjat) kanssa. On myös tärkeää, että käytössä on pysyvä monitori, joka tarkistaa kaikki uudet tiedostot "lennossa" (eli automaattisesti, kun ne kirjoitetaan levylle).

Ohjelman nopeus, lisäominaisuuksien, kuten algoritmien, olemassaolo jopa ohjelmalle tuntemattomien virusten havaitsemiseksi (heuristinen tarkistus). Tämän pitäisi sisältää myös mahdollisuus palauttaa tartunnan saaneet tiedostot poistamatta niitä kiintolevyltä, mutta vain poistamalla niistä virukset. Ohjelman väärien positiivisten tulosten prosenttiosuus (viruksen virheellinen havaitseminen "puhtaassa" tiedostossa) on myös tärkeä.

Multiplatform (ohjelmaversioiden saatavuus eri käyttöjärjestelmille). Tietenkin, jos virustorjuntaa käytetään vain kotona, yhdessä tietokoneessa, tällä parametrilla ei ole suurta merkitystä. Mutta suuren organisaation virustorjuntaohjelman on yksinkertaisesti tuettava kaikkia yleisiä käyttöjärjestelmiä. Lisäksi verkossa työskennellessä on tärkeää hallita työhön suunniteltuja palvelintoimintoja sekä kykyä työskennellä erilaisten palvelimien kanssa.

3.2 Viruksentorjuntaohjelmien ominaisuudet.

Virustorjuntaohjelmat jaetaan: ilmaisinohjelmat, lääkäriohjelmat, auditointiohjelmat, suodatinohjelmat, rokoteohjelmat.

Tunnistinohjelmat etsivät ja havaitsevat viruksia RAM-muistista ja ulkoisista tietovälineistä ja antavat havaittuaan vastaavan viestin. On olemassa yleismaailmallisia ja erikoistuneita ilmaisimia.

Yleisilmaisimet käyttävät työssään tiedostojen muuttumattomuuden tarkistamista laskemalla ja vertaamalla tarkistussummastandardiin. Yleisten ilmaisimien haittana on kyvyttömyys määrittää tiedostojen vioittumisen syitä.

Erikoistuneet ilmaisimet etsivät tunnettuja viruksia niiden allekirjoituksen perusteella (toistuva koodin osa). Tällaisten ilmaisimien haittana on, että ne eivät pysty havaitsemaan kaikkia tunnettuja viruksia.

Ilmaisinta, joka pystyy havaitsemaan useita viruksia, kutsutaan polydetektoriksi.

Tällaisten virustorjuntaohjelmien haittana on, että ne voivat löytää vain viruksia, jotka tällaisten ohjelmien kehittäjät tuntevat.

Lääkäriohjelmat (faagit) eivät vain löydä viruksilla saastuneita tiedostoja, vaan myös "käsittelevät" niitä, ts. poista virusohjelman runko tiedostosta ja palauttaa tiedostot alkuperäiseen tilaan. Työnsä alussa faagit etsivät viruksia RAM-muistista, tuhoavat ne ja jatkavat vasta sitten tiedostojen "puhdistukseen". Faagien joukosta erotetaan polyfaagit, so. Lääkäriohjelmat, jotka on suunniteltu etsimään ja tuhoamaan suuri määrä viruksia.

Koska uusia viruksia ilmaantuu jatkuvasti, ilmaisinohjelmat ja lääkäriohjelmat vanhenevat nopeasti ja niiden versiot on päivitettävä säännöllisesti.

Tarkastusohjelmat ovat luotettavimpia suojakeinoja viruksia vastaan. Tarkastajat muistavat ohjelmien, hakemistojen ja levyn järjestelmäalueiden alkuperäisen tilan, kun tietokone ei ole viruksen saastuttama, ja vertaavat sitten säännöllisesti tai käyttäjän pyynnöstä nykyistä tilaa alkuperäiseen. Havaitut muutokset näkyvät videomonitorin näytöllä. Pääsääntöisesti tilojen vertailu suoritetaan heti käyttöjärjestelmän lataamisen jälkeen. Vertailussa tarkistetaan tiedoston pituus, syklinen ohjauskoodi (tiedoston tarkistussumma), muokkauspäivämäärä ja -aika sekä muut parametrit.

Tarkastusohjelmissa on melko kehittyneet algoritmit, ne havaitsevat salaperäisiä viruksia ja voivat jopa erottaa tarkistettavan ohjelman versiossa tehdyt muutokset viruksen tekemistä muutoksista.

Suodatinohjelmat (watchmen) ovat pieniä ohjelmia, jotka on suunniteltu havaitsemaan viruksille ominaisia epäilyttäviä toimia tietokoneen käytön aikana. Tällaisia toimia voivat olla:

Yrittää korjata tiedostoja COM- ja EXE-laajennuksilla;

Tiedoston attribuuttien muuttaminen;

Suora kirjoitus levylle absoluuttiseen osoitteeseen;

Kirjoita levyn käynnistyssektoreihin.

Kun mikä tahansa ohjelma yrittää suorittaa määritettyjä toimintoja, "vartija" lähettää käyttäjälle viestin ja ehdottaa kieltää tai sallia vastaavan toiminnon. Suodatinohjelmat ovat erittäin hyödyllisiä, koska ne pystyvät havaitsemaan viruksen sen olemassaolon varhaisessa vaiheessa ennen replikointia. Ne eivät kuitenkaan "puhdista" tiedostoja ja levyjä. Virusten tuhoamiseksi sinun on käytettävä muita ohjelmia, kuten faageja. Watchdog-ohjelmien haittoja ovat niiden "tunkeilevuus" (esimerkiksi ne antavat jatkuvasti varoituksen kaikista yrityksistä kopioida suoritettavaa tiedostoa) sekä mahdolliset ristiriidat muiden ohjelmistojen kanssa.

Rokotteet (immunisaattorit) ovat pysyviä ohjelmia, jotka estävät tiedostojen tartunnan. Rokotteita käytetään, jos ei ole lääkäriohjelmia, jotka "hoitaisivat" tätä virusta. Rokotus on mahdollista vain tunnettuja viruksia vastaan.

Rokote muokkaa ohjelmaa tai levyä siten, että se ei vaikuta sen toimintaan ja virus havaitsee sen tartunnan saaneena eikä siksi juurtu. Tällä hetkellä rokoteohjelmia käytetään rajoitetusti.

Tällaisten ohjelmien merkittävä haitta on niiden rajallinen kyky estää useiden eri virusten aiheuttama infektio.

3.3 Lyhyt yleiskatsaus virustentorjuntaohjelmiin.

Viruksentorjuntaohjelmaa valittaessa on otettava huomioon virusten havaitsemisen prosenttiosuuden lisäksi myös kyky havaita uusia viruksia, virustentorjuntatietokannassa olevien virusten lukumäärä, sen päivitystiheys ja lisälaitteiden olemassaolo. toimintoja.

Tällä hetkellä vakavan virustorjuntaohjelman pitäisi pystyä tunnistamaan vähintään 25 000 virusta. Tämä ei tarkoita, että he kaikki olisivat "vapaita". Itse asiassa useimmat niistä ovat joko lakanneet olemasta tai ovat laboratorioissa eikä niitä ole levitetty. Todellisuudessa virusta löytyy 200-300, ja vain muutama kymmenkunta aiheuttaa vaaraa.

Viruksentorjuntaohjelmia on monia. Katsotaanpa niistä kuuluisimpia.

Norton AntiVirus (valmistaja: Symantec).

Yksi tunnetuimmista ja suosituimmista virustorjuntaohjelmista. Viruksen tunnistamisprosentti on erittäin korkea (lähes 100 %). Ohjelma käyttää mekanismia, jonka avulla voit tunnistaa uusia tuntemattomia viruksia.

Norton AntiVirusin käyttöliittymä sisältää LiveUpdate-ominaisuuden, jonka avulla voit päivittää sekä ohjelman että joukon virustunnisteita Webin kautta yhdellä napin painalluksella. Ohjattu virustentorjuntatoiminto tarjoaa yksityiskohtaisia tietoja havaitusta viruksesta ja antaa sinulle mahdollisuuden poistaa viruksen joko automaattisesti tai huolellisemmin vaiheittaisen toimenpiteen avulla, jonka avulla näet jokaisen poistoprosessin aikana suoritetun vaiheen.

Virustorjuntatietokantoja päivitetään hyvin usein (joskus päivityksiä tulee useita kertoja viikossa). Siellä on asukasvalvonta.

Tämän ohjelman haittana on, että sitä on vaikea konfiguroida (vaikka perusasetuksia ei käytännössä tarvitse muuttaa).

Tohtori Solomonin virustorjunta (valmistaja: Dr Solomon’s Software).

Sitä pidetään yhtenä parhaista virustorjuntaohjelmista (Eugene Kaspersky sanoi kerran, että tämä on hänen AVP:n ainoa kilpailija). Tunnistaa lähes 100 % tunnetuista ja uusista viruksista. Suuri määrä toimintoja, skanneri, näyttö, heuristiikka ja kaikki mitä tarvitset virusten vastustamiseen.

McAfee VirusScan (valmistaja: McAfee Associates).

Tämä on yksi tunnetuimmista virustorjuntapaketteista. Se poistaa virukset erittäin hyvin, mutta VirusScan on muita paketteja huonompi havaita uusia tiedostoviruslajeja. Se asennetaan nopeasti ja helposti käyttämällä oletusasetuksia, mutta se voidaan mukauttaa tarpeidesi mukaan. Voit skannata kaikki tiedostot tai vain ohjelmistotiedostot tai laajentaa tarkistuksen pakattuihin tiedostoihin tai et. Siinä on monia toimintoja Internetin kanssa työskentelemiseen.

Dr.Web (tuottaja: "Dialogue Science")

Suosittu kotimainen virustorjunta. Se tunnistaa virukset hyvin, mutta sen tietokanta sisältää paljon vähemmän viruksia kuin muut virustorjuntaohjelmat.

Kaspersky AntiVirus Personal Pro (valmistaja: Kaspersky Lab).

Tämä virustorjunta on tunnustettu kaikkialla maailmassa yhdeksi luotettavimmista.

Helppokäyttöisyydestään huolimatta siinä on kaikki tarvittava arsenaali virusten torjuntaan. Heuristinen mekanismi, redundantti tarkistus, arkistojen ja pakattujen tiedostojen tarkistus - tämä ei ole täydellinen luettelo sen ominaisuuksista.

Kaspersky Lab seuraa tarkasti uusien virusten ilmaantumista ja julkaisee viipymättä päivityksiä. Käytettävissä olevien tiedostojen valvontaa varten on pysyvä monitori.

Johtopäätös.

Huolimatta virustentorjuntaohjelmien laajasta käytöstä, virukset lisääntyvät edelleen. Niistä selviytymiseksi on tarpeen luoda yleisempiä ja laadukkaammin uusia virustorjuntaohjelmia, jotka sisältävät kaikki edeltäjiensä positiiviset ominaisuudet. Valitettavasti tällä hetkellä ei ole olemassa virustorjuntaohjelmaa, joka takaa 100 % suojan kaikentyyppisiä viruksia vastaan, mutta jotkut yritykset, esimerkiksi Kaspersky Lab, ovat saavuttaneet hyviä tuloksia tähän mennessä.

Virukset voidaan jakaa useisiin...

Essee

Virukset ja virustentorjuntaohjelmat

1. Virukset

a) Mikä on virus

b) Mitä tietokonevirus voi tehdä ja mitä ei?

c) Voit saada tietokoneviruksen tartunnan vain hyvin harvoissa tapauksissa

d) Virustyypit

e) Mitä tehdä, jos infektio on jo tapahtunut

2. Virusten havaitsemismenetelmät

a) Menetelmä sanakirjassa olevan virusten määritelmän täsmäyttämiseksi

b) Menetelmä ohjelman oudon käyttäytymisen havaitsemiseksi

c) Havaitsemismenetelmä emulointia käyttäen

d) ”Valkoisen listan” menetelmä

e) Muut menetelmät virusten havaitsemiseksi

3. Tärkeitä huomautuksia

4. Antivirusten luokittelu

5. Virustentorjunta SIM-korteilla, flash-korteilla ja USB-laitteilla

1. Virukset

a) Mikä on virus

Tietokonevirukset ovat haitallisia itseään leviäviä ohjelmia; Tietokoneviruksen pääominaisuus on sen kyky luoda omia kopioita (ei aina alkuperäisen kaltaisia) ja viedä ne suoritettaviin objekteihin (ohjelmiin, järjestelmäalueisiin...)

Haittaohjelmakoodi, joka on yleensä naamioitu houkuttelevaksi (kuten valokuvaksi suositusta urheilijasta) tai hyödylliseksi ja joka suorittaa tahattomia tai ei-toivottuja toimia, kuten tietojen korruptiota.

(Virus - lat.) - ohjelmatyyppi, jolle on ominaista kyky levittää itseään käyttäjältä piilossa vahingoittaakseen muita ohjelmia, tietokoneita tai verkkoja.

Yleensä tietokonevirus on pieni ohjelma, joka kiinnittyy suoritettavien tiedostojen loppuun, ohjaimiin tai "astuu" levyn käynnistyssektoriin (BOOT). Kun tartunnan saaneet ohjelmat ja ajurit käynnistetään, virus suoritetaan ensin ja vasta sitten hallinta siirtyy itse ohjelmalle. Jos virus "asettuu" käynnistyssektoriin, se aktivoituu, kun käyttöjärjestelmä ladataan tällaiselta levyltä. Sillä hetkellä, kun torjunta kuuluu virukselle, suoritetaan yleensä erilaisia käyttäjälle epämiellyttäviä, mutta viruksen jatkumisen kannalta välttämättömiä toimia. Tämä tarkoittaa muiden ohjelmien etsimistä ja tartuttamista, tietojen korruptoimista jne. Virus voi myös jäädä muistiin ja aiheuttaa vahinkoa, kunnes tietokone käynnistetään uudelleen. Kun virus on lopettanut toiminnan, hallinta siirtyy tartunnan saaneelle ohjelmalle, joka yleensä toimii "ikään kuin mitään ei olisi tapahtunut", mikä peittää viruksen läsnäolon järjestelmässä. Valitettavasti hyvin usein virus havaitaan liian myöhään, kun useimmat ohjelmat ovat jo saastuneet. Näissä tapauksissa viruksen haitallisista toimista johtuvat menetykset voivat olla erittäin suuria.

Viime aikoina on ilmaantunut niin kutsuttuja makroviruksia. Ne lähetetään yhdessä asiakirjojen kanssa, joissa makrokomentoja suoritetaan (esimerkiksi Word-tekstieditoriasiakirjat), mistä johtuu niiden nimi. Makrovirukset ovat makrokomentoja, jotka ohjaavat viruksen rungon siirtämään muihin asiakirjoihin ja, jos mahdollista, suorittamaan erilaisia haitallisia toimia. Makrovirukset, jotka tartuttavat asiakirjoja Word-tekstieditorissa ja Excel-taulukkoeditorissa, ovat tällä hetkellä yleisimpiä.

Miten virukset ilmenevät?

Virusten ilmenemismuodot ovat hyvin erilaisia. Tämä:

1 Tietokoneen voimakas hidastuminen.

2 Odottamaton vieraiden lauseiden ilmestyminen näytölle.

3 Erilaisten videotehosteiden ulkoasu (esimerkiksi näytön kääntäminen).

4 Tiedot katoavat näytöltä.

5 Erilaisten äänten luominen.

6 Jotkut ohjelmat lakkaavat toimimasta ja toiset käyttäytyvät hyvin oudosti.

7 Levyillä näkyy suuri määrä vioittuneita datatiedostoja ja tekstitiedostoja.

8 Yhden levyn koko tiedostojärjestelmä romahtaa kerralla.

9 Käyttöjärjestelmä lakkaa yhtäkkiä näkemästä kiintolevyä.

10 Yksittäisten tiedostojen pituus muuttuu satunnaisesti.

11 Odottamattomia ongelmia 32-bittisen levyn ja tiedostojen käytössä Windows 3.11:ssä tai Windows 95:ssä.

12 Poista kaikki käyttäjätiedostot ja järjestelmätiedostot, joita ei ole suojattu poistamiselta

13 Näytönohjaimen ja prosessorin spontaani rajoittamaton "ylikellotus", joka johtaa niiden ylikuumenemiseen ja hajoamiseen

14 Nykyisten ajurien korvaaminen ohjaimilla, jotka eivät sovellu tiettyyn järjestelmään, mikä johtaa suureen määrään virheitä, hidastaa järjestelmää ja keskeyttää tärkeiden palveluohjelmien toiminnan

15 Suuren määrän tarpeettomia, vaarallisia tietoja, roskia ja muita viruksia lataaminen ollessaan yhteydessä Internetiin

Eri virukset voivat käyttäytyä eri tavalla. Jotkut vain lisääntyvät ilman haitallisia toimia, kun taas toiset suorittavat välittömästi tartunnan jälkeen monia erittäin epämiellyttäviä toimia. Jotkut käyttäytyvät aluksi huomaamattomasti, mutta jonkin ajan kuluttua he yhtäkkiä turmelevat kaikki tiedot kerralla (esimerkiksi kiintolevyä alustetaan).

b) Mitä tietokonevirus voi tehdä ja mitä ei?

Tietokonevirus voi tartuttaa hyvin rajallisen määrän tiedostoja. Listataan nämä tiedostot. Ensinnäkin nämä ovat suoritettavia tiedostoja .com- ja .exe-tunnisteilla, sitten - laiteohjaimet .sys- ja samoilla .exe-tunnisteilla. dynaamiset kirjastot (dll-laajennus) jne. lopuksi suoritettavien tiedostojen peittomoduulit (yleensä .ovl-tunniste).

On viruksia, jotka saastuttavat erätiedostoja, mutta nämä virukset ovat erittäin alkeellisia ja toimivat hyvin yksinkertaisesti: ne lisäävät komentoja kutsuakseen niitä erätiedostoihin. Tällaisten virusten saaminen ei ole vaikeaa.

Myös asiakirjatiedostot ja editorimallit, jotka mahdollistavat makrokomentojen suorittamisen dokumenttia avattaessa, voivat saada tartunnan. Erityisesti nämä ovat Word-tekstieditorin .doc- ja .dot-tiedostot sekä Excel-taulukkoeditorin .xls- ja .xlt-tiedostot.

Teksti- (.txt) ja grafiikkatiedostoja (.tif, .gif, .bmp jne.), datatiedostoja ja tietotiedostoja ei saa missään tapauksessa saastuttaa.

c) Voit saada tietokoneviruksen tartunnan vain hyvin harvoissa tapauksissa

Suoritettavan ohjelman suorittaminen tietokoneessa, joka on viruksen saastuttama.

Tartunnan saaneen ohjaimen yhdistäminen järjestelmään.

Makroviruksen saastuttaman asiakirjan avaaminen.

Tartunnan saaneen käyttöjärjestelmän asennus tietokoneeseen.

Tietokone ei voi saada tartuntaa, jos:

Teksti- ja grafiikkatiedostot kopioitiin siihen (lukuun ottamatta tiedostoja, joissa suoritettiin makrokomentoja).

Sitä käytettiin kopioimaan levykkeeltä toiselle edellyttäen, että yhtäkään tiedostoa ei käynnistetty levykkeiltä.

Tietokone käsittelee ulkopuolelta tuotuja teksti- ja grafiikkatiedostoja, datatiedostoja ja tietotiedostoja (poikkeuksena makrokomentojen suorittamista edellyttävät tiedostot).

Viruksen saastuttaman tiedoston kopioiminen tietokoneelle ei tarkoita, että se olisi saanut viruksen. Jotta tartunta voi tapahtua, sinun on joko suoritettava tartunnan saanut ohjelma tai liitettävä tartunnan saanut ohjain tai avattava tartunnan saanut asiakirja (tai tietysti käynnistettävä tartunnan saaneelta levykkeeltä).

Toisin sanoen, voit saastuttaa tietokoneesi vain, jos käytät siinä vahvistamattomia ohjelmia ja (tai) ohjelmistotuotteita, asennat vahvistamattomia ohjaimia ja (tai) käyttöjärjestelmiä, käynnistät järjestelmän vahvistamattomalta levykkeeltä tai avaat vahvistamattomia asiakirjoja, jotka ovat alttiita makrovirusten aiheuttama infektio.

Kaikkia laitteiden tai ohjelmien toimintahäiriöitä ei pidä katsoa tietokoneviruksen aiheuttamaksi. Virus on tavallinen pienikokoinen ohjelma, joka ei voi suorittaa mitään yliluonnollisia toimia.

d) Virustyypit

Virukset ovat satelliitteja. Alkeellisin virustyyppi. Jokaiselle tiedostolle, jonka tunniste on .exe, luodaan tiedosto samalla nimellä, mutta .com-tunnisteella. sisältää viruksen kehon. Kun tiedostoa suoritetaan, käyttöjärjestelmä etsii ensin .com-tiedostoja ja sitten .exe-tiedostoja. Siksi virus ottaa ensin hallintaansa ja sitten se kutsuu itse tarvittavan EXE-tiedoston.

Tiedostovirukset. Ne vaikuttavat tiedostoihin, joiden tunniste on .com, .exe, harvemmin .sys, tai .exe-tiedostojen peittomoduuliin. Nämä virukset lisäävät kehonsa tiedoston alkuun, keskelle tai loppuun ja muuttavat sitä siten, että ne pääsevät ensimmäisenä hallintaansa. Jotkut näistä viruksista eivät välitä tartunnan saaneen tiedoston tallentamisesta, minkä seurauksena se ei toimi. ja mikä pahinta, tällaista tiedostoa ei voida palauttaa. Jotkut näistä viruksista pysyvät muistissa.

Käynnistysvirukset. Tämä vaikuttaa levyjen käynnistyssektoreihin. Uusien levyjen tartunta tapahtuu sillä hetkellä, kun uusi levyke asetetaan tartunnan saaneeseen tietokoneeseen ja se alkaa toimia sen kanssa. Usein virus ei näy kokonaan käynnistystietueessa, siihen kirjoitetaan vain alku, ja viruksen rungon jatko on tallennettu toiseen paikkaan levyllä. Laukaisun jälkeen ne pysyvät muistissa.

Virukset, jotka yhdistävät tiedosto- ja käynnistysvirusten ominaisuudet. Tällaiset virukset voivat saastuttaa sekä tiedostoja että käynnistyssektoreita.

Virukset DIR*. Mielenkiintoinen virusluokka, joka on ilmestynyt äskettäin. Nämä virukset muuttavat levyn tiedostojärjestelmää erittäin ovelalla tavalla. Kaikkien suoritettavien tiedostojen tiedostonjakotaulukossa (FAT) linkit alkuun korvataan linkeillä viruksen runkoon. Koodatussa muodossa olevien tiedostojen alun osoitteet sijoitetaan käyttämättömiin hakemistoelementteihin. Tämän seurauksena virus ottaa automaattisesti hallintaansa heti, kun käynnistät minkä tahansa ohjelman. Se pysyy muistissa, ja kun se suoritetaan, se palauttaa oikeat linkit tiedostojen alkuun. Jos DIR-viruksen saastuttama levy päätyy puhtaaseen tietokoneeseen, siitä on luonnollisesti mahdotonta lukea tietoja (vain yksi klusteri on luettavissa). Kun yrität testata tiedostorakennetta - esimerkiksi Norton Disk Doctor - näytössä näkyy viesti valtavasta määrästä virheitä, mutta heti kun suoritat vähintään yhden ohjelman tartunnan saaneelta levyltä, tiedostojärjestelmä "palautetaan" välittömästi. Itse asiassa toinen tietokone on saamassa tartunnan.

Makrovirukset. Erittäin omaperäinen virusluokka (vaikka niitä ei voi edes kutsua viruksiksi sanan täydessä merkityksessä), tartuttaa asiakirjoja, jotka mahdollistavat makrokomentojen suorittamisen. Kun tällaisia dokumentteja avataan, tämän asiakirjan sisältämät makrokomennot (erityiset korkean tason ohjelmat) suoritetaan ensin - makrovirus on juuri tällainen makrokomento. Siten heti, kun tartunnan saanut asiakirja avataan, virus ottaa hallintaansa ja suorittaa kaikki haitalliset toiminnot (erityisesti se löytää ja saastuttaa asiakirjat, jotka eivät ole vielä saaneet tartuntaa).

Mekanismit virusten suojaamiseksi havaitsemiselta

Virukset havaitaan yleensä helposti viruksen runkokoodin erityisten osien avulla. Totta, kaksi uutta virustyyppiä ovat viime aikoina yleistyneet - näkymätön virukset (tai stealth-virukset) ja itsemuovautuvat virukset (haamuvirukset).

Stealth-virukset (englanniksi stealth - Stealth virus - virus, joka tavalla tai toisella piilottaa läsnäolonsa järjestelmässä.) toteuttavat erittäin ovelan mekanismin, joka tekee niiden havaitsemisen vaikeaksi. Tartunnan saaneet virukset pysyvät muistissa, ja tartunnan saaneita tiedostoja ja levyn alueita käsitellessään ne korvaavat tiedot siten, että "asiakas" vastaanottaa ne tartuttamattomassa alkuperäisessä muodossa. Tämä saavutetaan sieppaamalla DOS-puhelut ja asettamalla omat keskeytysvektorit. Voit nähdä tällaisen viruksen joko saastumattomassa tietokoneessa (esimerkiksi käynnistämällä ilmeisen puhtaalta levykkeeltä) tai siinä tapauksessa, että ohjelma ei käytä DOS-työkaluja, vaan käyttää suoraan levyä.

Haamuvirukset naamioivat itsensä eri mekanismilla. Nämä virukset muokkaavat itseään jatkuvasti tällä tavalla. tavalla", jotka eivät sisällä identtisiä fragmentteja. Tällaiset virukset tallentavat kehonsa koodatussa muodossa ja muuttavat jatkuvasti tämän koodauksen parametreja. Aloitusosa, joka vastaa kehon itsensä dekoodaamisesta, voidaan luoda hyvin monimutkaisella tavalla. Siirrettäessä Tämän tyyppinen virus tietokoneesta toiseen. Viruksen koodi muuttuu niin, ettei sillä ole enää mitään yhteistä edellisen versionsa kanssa vaikeaa, vaikka jotkut virustorjuntaohjelmat yrittävät löytää ne koodin osien perusteella, jotka ovat tyypillisiä aloitusosalle.

* - DIR - Resurssinhallintasolun kenttä, joka osoittaa RM-solun suunnan suhteessa tietovirtaan, johon tämä solu liittyy. Tietolähde asettaa DIR=0, vastaanottaja asettaa DIR=1.

e) Mitä tehdä, jos infektio on jo tapahtunut

Vakiotoimenpiteet viruksen tartunnan saamisen yhteydessä

Sinun täytyy:

Katkaise virta välittömästi, jotta virus lopettaa leviämisen. Ainoa asia, jonka voit tehdä ennen virran katkaisemista, on tallentaa nykyisen työsi tulokset. Älä käytä kuumaa uudelleenkäynnistystä (Ctrl+Alt+Del), koska jotkut virukset pysyvät aktiivisina.

Avaa SETUP ja ota käyttöön käynnistys asemalta A:. Samalla on suositeltavaa tarkistaa kaikkien asetusten oikeellisuus, mukaan lukien kiintolevyparametrit. Jos muutoksia tapahtuu, vanhat arvot on palautettava.

Älä missään tapauksessa suorita kiintolevylläsi olevia ohjelmia.

Sinun on käynnistettävä levykkeeltä (sen on oltava kirjoitussuojattu) ja suoritettava levykkeellä olevat ilmaisinohjelmat yksitellen. Jos jokin ohjelmista havaitsee käynnistysviruksen, voit poistaa sen välittömästi, jos on DIR-virus. Huomaa, että viruksia voi olla monia.

Jos tunnistusohjelma havaitsee tiedostoviruksen, kaksi vaihtoehtoa ovat mahdollisia. Jos sinulla on

Jos tarkastusohjelma, jossa on parantava moduuli, on asennettu, on parempi palauttaa tiedostot sen avulla.

Jos sellaista ohjelmaa ei ole. sitten sinun on käytettävä yhtä ilmaisimista hoitoon. Vioittuneet tiedostot (elleivät ne tietenkään ole teksti- tai datatiedostoja) on poistettava.

Kun kaikki virukset on poistettu, sinun on siirrettävä käyttöjärjestelmä uudelleen kiintolevyllesi (käyttäen SYS-komentoa).

On tarpeen tarkistaa kiintolevyn tiedostojärjestelmän eheys (CHKDSK:n avulla) ja korjata mahdolliset vauriot. Jos tällaisia vaurioita on paljon, niin ennen tiedostorakenteen korjaamista kannattaa yrittää kopioida tärkeimmät tiedostot levykkeille.

Sinun on tarkistettava kiintolevysi virusten varalta, jos niitä ei ole, voit käynnistää uudelleen kiintolevyltä. Kiintolevyn uudelleenkäynnistyksen jälkeen on tarpeen arvioida viruksen aiheuttamat menetykset. Jos vaurioita on paljon, on helpompi alustaa kiintolevy uudelleen (tarvittaessa tärkeimpien tiedostojen tallentaminen).

Kaikki tarvittavat tiedostot ja ohjelmat on palautettava arkiston avulla - ja varmuuden vuoksi käynnistä uudelleen levykkeeltä ja testaa kiintolevy. Jos virus havaitaan uudelleen, olet epäonninen myös arkistossasi. Tässä tapauksessa sinun tulee testata koko arkistosi.

Jos kaikki on kunnossa, sinun on tarkistettava kaikki levykkeet, jotka voivat olla viruksen saastuttamia, ja tarvittaessa käsiteltävä ne. Muista vain poistaa käynnistys käytöstä asemalta A:.

Kun virus on poistettu, voit jatkaa työtäsi. On suositeltavaa kytkeä jokin suodatinohjelmista vain hetkeksi.

Epätyypilliset tilanteet

Virushyökkäyksen aikana voi syntyä useita epätavallisia tilanteita. Katsotaanpa niitä.

Jos sinulla on levynhallinta asennettuna, levykkeeltä käynnistettäessä kaikki levyt eivät välttämättä ole käytettävissä. Sitten sinun on ensin desinfioitava kaikki tällä hetkellä käytettävissä olevat levyt, käynnistettävä sitten kiintolevyasemalta ja desinfioitava kaikki jäljellä olevat loogiset asemat.

Jos levykkeeltä käynnistettäessä käy ilmi, että järjestelmä yksinkertaisesti "ei näe" kiintolevyäsi, virus on todennäköisesti vahingoittanut kiintolevyn osiotaulukkoa. Tässä tapauksessa sinun on tarkistettava SETUP-asetukset uudelleen ja yritettävä palauttaa osio käyttämällä Norton Disk Doctoria (tai jos tiedät mitä olet tekemässä, käyttämällä Norton Disk Edit -ohjelmaa). Jos tämä ei auta, valitettavasti kaikki kiintolevyn tiedot menetetään, jää vain käyttää FDISK-ohjelmaa.

Jos kohtaat tuntemattoman viruksen, tilanne on hieman monimutkaisempi. Ensinnäkin voit käyttää auditointiohjelmaa, jos sinulla on se asennettuna. On täysin mahdollista, että se auttaa neutraloimaan viruksen. Jos sitä ei ole tai se ei auttanut, jää vain siirtää käyttöjärjestelmä uudelleen, poistaa siitä kaikki suoritettavat ja erätiedostot, ohjaimet ja peittotiedostot ja palauttaa ne sitten arkistosta. Voit myös käyttää viruksentorjuntaambulanssin palveluita.

Ja lopuksi yksi huomio. Älä liitä kaikkia ongelmiasi viruksen toimiin. Tuntemattoman viruksen vaikutuksesta tulee puhua ja vielä enemmän turvautua radikaaleihin toimenpiteisiin vasta silloin, kun siitä ei ole epäilystäkään. Yritä ensin palauttaa tiedostot, ja vain jos tämä epäonnistuu, poista ne.

Nykyinen tilanne virusturvallisuuden alalla on erittäin vakaa. Eri organisaatiot (lukuun ottamatta tietysti instituutin koulutuskeskuksia, joissa nuoret virustentekijät kokeilevat kätensä) joutuvat hyvin harvoin virushyökkäysten kohteeksi, yksittäisistä käyttäjistä puhumattakaan.

V) Emuloinnin tunnistusmenetelmä

Jotkin virustentorjuntaohjelmat yrittävät simuloida jokaisen uuden suoritettavan ohjelman koodin suorittamisen alkamista ennen hallinnan siirtämistä siihen. Jos ohjelma käyttää itsemuovautuvaa koodia tai ilmenee viruksena (eli alkaa välittömästi etsiä esimerkiksi muita exe-tiedostoja), tällaista ohjelmaa pidetään haitallisena, joka voi tartuttaa muita tiedostoja. Tämä menetelmä sisältää kuitenkin myös suuren määrän vääriä varoituksia.

G) Valkoisen listan menetelmä

Yleisin haittaohjelmien torjuntatekniikka on sallittujen luettelo. Sen sijaan, että etsittäisiin vain tunnettuja haittaohjelmia, tämä tekniikka estää kaikkien tietokonekoodien suorittamisen paitsi niitä, jotka järjestelmänvalvoja on aiemmin määrittänyt turvallisiksi. Valitsemalla tämän oletusarvoisen kieltäytymisvaihtoehdon voit välttää virustunnistepäivityksiin liittyvät rajoitukset. Lisäksi niitä tietokoneen sovelluksia, joita järjestelmänvalvoja ei halua asentaa, ei suoriteta, koska ne eivät ole sallittujen luettelossa. Koska nykyisillä yrityksillä on monia luotettavia sovelluksia, vastuu tämän tekniikan käytön rajoittamisesta on järjestelmänvalvojilla ja heidän luotettujen sovellusten luetteloilla. Tämän tekniikan virustorjuntaohjelmien työ sisältää työkaluja luettelon automatisoimiseksi ja toimien suorittamiseksi "valkoisella listalla".

d) Muut virusten havaitsemismenetelmät

Useita muita menetelmiä on ehdotettu tutkimuksessa ja käytetty virustorjuntaohjelmissa (katso myös heuristinen skannaus).

3. Tärkeitä huomautuksia

· Virusten leviäminen sähköpostin välityksellä (mahdollisesti runsain ja haitallisin) voitaisiin estää edullisilla ja tehokkailla keinoilla ilman virustentorjuntaohjelmien asennusta, jos sähköpostiohjelmissa ilmenee vikoja, jotka johtavat kirjaimiin sisältyvän suoritettavan koodin suorittamiseen ilman käyttäjän tieto ja luvat poistettiin.

· Käyttäjäkoulutus voi olla tehokas lisä virustorjuntaohjelmistoon. Pelkkä käyttäjien kouluttaminen turvallisesta tietokoneen käytöstä (esimerkiksi tuntemattomien ohjelmien lataamatta jättäminen tai suorittaminen Internetistä) vähentäisi virusten leviämisen todennäköisyyttä ja poistaisi monien virustentorjuntaohjelmien tarpeen.

· Tietokoneen käyttäjien ei tulisi työskennellä jatkuvasti järjestelmänvalvojan oikeuksin. Jos he käyttäisivät tavallista käyttäjätilaa, tietyntyyppiset virukset eivät voisi levitä (tai ainakin virusten aiheuttamat vahingot olisivat pienemmät). Tämä on yksi syy siihen, miksi virukset ovat suhteellisen harvinaisia Unix-tyyppisissä järjestelmissä.

· Virusten havaitsemismenetelmä etsimällä sanakirjasta vastaavuutta ei aina ole riittävä uusien virusten jatkuvan luomisen vuoksi, koska epäilyttävän toiminnan menetelmä ei toimi riittävän hyvin, koska virheellisiä päätöksiä on paljon siitä, onko tartunnan saamattomia ohjelmia. viruksia. Siksi virustorjuntaohjelmisto nykyisessä muodossaan ei koskaan voita tietokoneviruksia.

· Erilaiset salaus- ja haittaohjelmien pakkaustekniikat tekevät jopa tunnetuista viruksista virustorjuntaohjelmiston havaitsemattomia. Näiden "naamioitujen" virusten havaitseminen vaatii tehokkaan purkukoneen, joka voi purkaa tiedostojen salauksen ennen niiden tarkistamista. Valitettavasti monissa virustorjuntaohjelmissa ei ole tätä ominaisuutta, ja sen seurauksena on usein mahdotonta havaita salattuja viruksia.

· Uusien virusten jatkuva ilmaantuminen antaa virustorjuntaohjelmistojen kehittäjille hyvät taloudelliset näkymät.

· Jotkut virustentorjuntaohjelmat voivat heikentää suorituskykyä merkittävästi. Käyttäjät voivat poistaa virussuojauksen käytöstä estääkseen suorituskyvyn heikkenemisen, mikä puolestaan lisää virustartuntojen riskiä. Parhaan turvallisuuden takaamiseksi virustorjuntaohjelmisto tulee aina olla kytkettynä suorituskyvyn heikkenemisestä huolimatta. Jotkin virustentorjuntaohjelmat (kuten AVG for Windows) eivät vaikuta merkittävästi suorituskykyyn.

· Joskus sinun on poistettava virustorjunta käytöstä, kun asennat ohjelmapäivityksiä, kuten Windows Service Pack -paketteja. Virustentorjuntaohjelma, joka on käynnissä päivitysten asennuksen aikana, voi aiheuttaa muutosten virheellisen asennuksen tai peruuttaa muutosten asennuksen kokonaan. Ennen kuin päivität Windows 98:sta, Windows 98 Second Editionista tai Windows ME:stä Windows XP:hen (Home tai Professional), on parempi poistaa virussuojaus käytöstä, muuten päivitysprosessi saattaa epäonnistua.

· Jotkut virustentorjuntaohjelmat itse asiassa naamioituvat sellaisiksi vakoiluohjelmiksi. On parasta tarkistaa, että lataamasi virustentorjuntaohjelma on todella yksi. Vielä parempi on käyttää tunnettujen valmistajien ohjelmistoja ja ladata jakelut vain kehittäjän verkkosivustolta.

· Jotkut tuotteet käyttävät useita ytimiä virusten ja vakoiluohjelmien etsimiseen ja poistamiseen. Esimerkiksi NuWave Softwaren kehittämisessä käytetään 4 ydintä (kaksi virustarkistusta ja kaksi virustarkistusta varten).

4. Antivirusten luokittelu

Kaspersky Evgeniy Valentinovich käytti seuraavaa virustentorjuntaluokitusta niiden toimintaperiaatteen mukaan (määrittävä toiminnallisuus):

Skannerit ("polyfagien" vanhentunut versio) Määritä viruksen esiintyminen tietokannan avulla, joka tallentaa virusten allekirjoitukset (tai niiden tarkistussummat). Niiden tehokkuus määräytyy virustietokannan merkityksen ja heuristisen analysaattorin olemassaolon perusteella

Tarkastajat muistavat tiedostojärjestelmän tilan, mikä mahdollistaa muutosten analysoinnin tulevaisuudessa. (luokka lähellä IDS:tä).

Vartijat (monitorit) Valvovat mahdollisesti vaarallisia toimintoja ja lähettävät käyttäjälle asianmukaisen pyynnön sallia/kiellä toiminta.

Rokotteet Muuta siirrettyä tiedostoa niin, että virus, jota vastaan rokote annetaan, pitää tiedostoa jo tartunnan saaneena. Nykyaikaisissa (2007) olosuhteissa, kun mahdollisten virusten lukumäärää mitataan kymmenissä tuhansissa, tämä lähestymistapa ei sovellu.

5. Virustentorjunta SIM-korteilla, flash-korteilla ja USB-laitteilla

Nykyään valmistetuissa matkapuhelimissa on laaja valikoima rajapintoja ja tiedonsiirtoominaisuuksia. Kuluttajien tulee tarkistaa suojausmenetelmät huolellisesti ennen pienten laitteiden kytkemistä Suojausmenetelmät, kuten laitteistopohjaiset, ehkä USB- tai SIM-pohjaiset virustorjuntamenetelmät, sopivat paremmin matkapuhelinkuluttajille. Virustorjuntaohjelman matkapuhelimeen asentamista koskevaa teknistä arviointia ja tarkastelua tulisi pitää tarkistusprosessina, joka voi vaikuttaa muihin laillisiin sovelluksiin kyseisessä puhelimessa.

Virustorjuntaohjelmat SIM-kortilla, joissa virustorjunta on sisäänrakennettu pieneen muistialueeseen, tarjoavat haittaohjelmien/virussuojauksen samalla kun ne suojaavat puhelimen käyttäjän PIN-koodia ja tietoja. Flash-korttien virustorjunta antaa käyttäjälle mahdollisuuden vaihtaa tietoja ja käyttää näitä tuotteita erilaisten laitteiden kanssa.