Реферат: Компьютерные вирусы

План работы:

Введение 3

Глава 1.Компьютерные вирусы, их свойства и классификация 6

1.1.Свойства компьютерных вирусов 6

1.2.Классификация вирусов 7

1.3Загрузочные вирусы 8

1.4Файловые вирусы 10

1.5.Загрузочно-файловые вирусы 11

1.6.Полиморфные вирусы 12

1.7Троянские кони, программные закладки и сетевые черви 13

Глава 2.Пути проникновения вирусов в компьютер и механизм

распределениявирусных программ 15

2.1.Проникновение вирусов 15

2.2. Методызащиты от компьютерных вирусов 16

2.3Антивирусные программы 20

Заключение 28

Списокиспользованной литературы 34

Приложения 31

Приложение1 31

Приложение2 32

Введение

Компьютерыстали настоящими помощниками человека и без них уже не может обойтись никоммерческая фирма, ни государственная организация. Однако в связи с этимособенно обострилась проблема защиты информации.

Вирусы,получившие широкое распространение в компьютерной технике, взбудоражили весьмир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощьюкомпьютерных вирусов злоумышленники взламывают сети, грабят банки, крадутинтеллектуальную собственность…

Сегоднямассовое применение персональных компьютеров, к сожалению, оказалось связаннымс появлением самовоспроизводящихся программ-вирусов, препятствующих нормальнойработе компьютера, разрушающих файловую структуру дисков и наносящих ущербхранимой в компьютере информации.

Всечаще в средствах массовой информации появляются сообщения о различного родапиратских проделках компьютерных хулиганов, о появлении все более совершенныхсаморазмножающихся программ. Совсем недавно заражение вирусом текстовых файловсчиталось абсурдом — сейчас этим уже никого не удивишь. Достаточно вспомнитьпоявление «первой ласточки», наделавшей много шума — вируса WinWord.Concept, поражающего документы в формате текстового процессора Microsoft Wordfor Windows 6.0 и 7.0. Несмотря на принятые во многих странах законы о борьбе скомпьютерными преступлениями и разработку специальных программных средствзащиты от вирусов, количество новых программных вирусов постоянно растет. Этотребует от пользователя персонального компьютера знаний о природе вирусов,способах заражения вирусами и защиты от них.

Ктоже пишет вирусы? Основную их массу создают студенты и школьники, которые толькочто изучили язык ассемблера, хотят попробовать свои силы, но не могут найти дляних более достойного применения. Отраден тот факт, что значительная часть такихвирусов их авторами часто не распространяется, и вирусы через некоторое время«умирают» вместе с дискетами, на которых хранятся. Такие вирусы пишутся скореевсего только для самоутверждения.

Вторуюгруппу составляют также молодые люди (чаще — студенты), которые еще неполностью овладели искусством программирования, но уже решили посвятить себянаписанию и распространению вирусов. Единственная причина, толкающая подобныхлюдей на написание вирусов, это комплекс неполноценности, который проявляетсебя в компьютерном хулиганстве.

Из-подпера подобных «умельцев» часто выходят либо многочисленные модификации«классических» вирусов, либо вирусы крайне примитивные и с большим числомошибок. Значительно облегчилась жизнь подобных вирусописателей после выходаконструкторов вирусов, при помощи которых можно создавать новые вирусы даже приминимальных знаниях об операционной системе и ассемблере, или даже вообще неимея об этом никакого представления. Их жизнь стала еще легче после появлениямакро-вирусов, поскольку вместо сложного языка Ассемблер для написаниямакро-вирусов достаточно изучить довольно простой Бейсик.

Ставстарше и опытнее, но так и не повзрослев, многие из подобных вирусописателейпопадают в третью, наиболее опасную группу, которая создает и запускает в мир«профессиональные» вирусы. Эти очень тщательно продуманные и отлаженныепрограммы создаются профессиональными, часто очень талантливыми программистами.Такие вирусы нередко используют достаточно оригинальные алгоритмы,недокументированные и мало кому известные способы проникновения в системныеобласти данных. «Профессиональные» вирусы часто выполнены по технологии «стелс»и(или) являются полиморфик-вирусами, заражают не только файлы, но и загрузочныесектора дисков, а иногда и выполняемые файлы Windows и OS/2.

Несколькоотдельно стоит четвертая группа авторов вирусов — «исследователи». Эта группасостоит из довольно сообразительных программистов, которые занимаются изобретениемпринципиально новых методов заражения, скрытия, противодействия антивирусам ит.д. Они же придумывают способы внедрения в новые операционные системы,конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы неради собственно вирусов, а скорее ради «исследования» потенциалов «компьютернойфауны».

Частоавторы подобных вирусов не запускают свои творения в жизнь, однако оченьактивно пропагандируют свои идеи через многочисленные электронные издания,посвященные созданию вирусов. При этом опасность от таких «исследовательских»вирусов не падает — попав в руки «профессионалов» из третьей группы, новые идеиочень быстро реализуются в новых вирусах.

Отношениек авторам вирусов тройственное. Во-первых, все, кто пишет вирусы илиспособствует их распространению, являются «кормильцами» антивирусной индустрии,годовой оборот которой оценивается как минимум две сотни миллионов долларов илидаже более того (при этом не стоит забывать, что убытки от вирусов составляютнесколько сотен миллионов долларов ежегодно и в разы превышают расходы наантивирусные программы). Если общее количество вирусов к концу 1997 года скореевсего достигнет 20.000, то нетрудно подсчитать, что доход антивирусных фирм откаждого вируса ежегодно составляет минимум 10 тысяч долларов. Конечно же,авторам вирусов не следует надеяться на материальное вознаграждение: какпоказывает практика, их труд был и остается бесплатным. К тому же насегодняшний день предложение (новые вирусы) вполне удовлетворяет спрос(возможности антивирусных фирм по обработке новых вирусов).

Во-вторых,несколько жаль авторов вирусов, особенно «профессионалов». Ведь для того, чтобынаписать подобный вирус, необходимо: a) затратить довольно много сил и времени,причем гораздо больше, чем требуется для того, чтобы разобраться в вирусезанести его в базу данных или даже написать специальный антивирус; и б) неиметь другого, более привлекательного, занятия. Следовательно, вирусописатели –«профессионалы» довольно работоспособны и одновременно с этим маются отбезделья – ситуация весьма печальная.

Глава 1.Компьютерные вирусы, их свойства и классификация

1.1. Свойства компьютерных вирусов

Сейчасприменяются персональные компьютеры, в которых пользователь имеет свободныйдоступ ко всем ресурсам машины. Именно это открыло возможность для опасности,которая получила название компьютерного вируса.

Чтотакое компьютерный вирус? Формальное определение этого понятия до сих пор непридумано, и есть серьезные сомнения, что оно вообще может быть дано. Многочисленныепопытки дать «современное» определение вируса не привели к успеху. Поэтому мыограничимся рассмотрением некоторых свойств компьютерных вирусов, которыепозволяют говорить о них как о некотором определенном классе программ.

Преждевсего, вирус — это программа. Такое простое утверждение само по себе способноразвеять множество легенд о необыкновенных возможностях компьютерных вирусов.Вирус может перевернуть изображение на вашем мониторе, но не может перевернутьсам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредствомвывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно. К сожалению,некоторые авторитетные издания время от времени публикуют «самые свежие новостис компьютерных фронтов», которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус- программа, обладающая способностью к самовоспроизведению. Такая способностьявляется единственным средством, присущим всем типам вирусов. Но не тольковирусы способны к самовоспроизведению. Любая операционная система и ещемножество программ способны создавать собственные копии. Копии же вируса нетолько не обязаны полностью совпадать с оригиналом, но, и могут вообще с ним несовпадать!

Вирусне может существовать в «полной изоляции»: сегодня нельзя представить себевирус, который не использует код других программ, информацию о файловойструктуре или даже просто имена других программ. Причина понятна: вирус долженкаким-нибудь способом обеспечить передачу себе управления.

1.2. Классификация вирусов

Внастоящее время известно более 5000 программных вирусов, их можно классифицироватьпо следующим признакам:

·

среде обитания

·

способу заражения среды обитания

·

воздействию

·

особенностям алгоритма

Взависимости от среды обитания вирусы можно разделить на сетевые, файловые,загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различнымкомпьютерным сетям. Файловые вирусы внедряются главным образом в исполняемыемодули, т. е. в файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и вдругие типы файлов, но, как правило, записанные в таких файлах, они никогда неполучают управление и, следовательно, теряют способность к размножению.Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или всектор, содержащий программу загрузки системного диска (Master Boot Re-cord).Файлово-загрузочные вирусы заражают как файлы, так и загрузочные секторадисков.

Поспособу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти своюрезидентную часть, которая потом перехватывает обращение операционной системы кобъектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется вних. Резидентные вирусы находятся в памяти и являются активными вплоть довыключения или перезагрузки компьютера. Нерезидентные вирусы не заражают памятькомпьютера и являются активными ограниченное время.

Постепени воздействия вирусы можно разделить на следующие виды:

неопасные,не мешающие работе компьютера, но уменьшающие объем свободной оперативнойпамяти и памяти на дисках, действия таких вирусов проявляются в каких-либографических или звуковых эффектах

опасныевирусы, которые могут привести к различным нарушениям в работе компьютера

оченьопасные, воздействие которых может привести к потере программ, уничтожениюданных, стиранию информации в системных областях диска.

Поособенностям алгоритма вирусы трудно классифицировать из-за большогоразнообразия. Простейшие вирусы — паразитические, они изменяют содержимоефайлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.Можно отметить вирусы-репликаторы, называемые червями, которые распространяютсяпо компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают поэтим адресам свои копии.

Известнывирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить иобезвредить, так как они перехватывают обращения операционной системы к пораженнымфайлам и секторам дисков и подставляют вместо своего тела незараженные участкидиска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки,благодаря которым копии одного и того же вируса не имеют ни одной повторяющейсяцепочки байтов. Имеются и так называемые квазивирусные или «троянские»программы, которые хотя и не способны ксамораспространению, но очень опасны, так как, маскируясь под полезнуюпрограмму, разрушают загрузочный сектор и файловую систему дисков.

Теперьпоподробнее о некоторых из этих групп.

1.3 Загрузочные вирусы

Рассмотримсхему функционирования очень простого загрузочного вируса, заражающего дискеты.

Что происходит, когда вы включаете компьютер?Первым делом управление передается программе начальной загрузки, котораяхранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

Этапрограмма тестирует оборудование и при успешном завершении проверок пытаетсянайти дискету в дисководе А:

Всякаядискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры,но это для нас несущественно.

Средисекторов есть несколько служебных, используемых операционной системой длясобственных нужд (в этих секторах немогут размещаться ваши данные). Среди служебных секторов нас интересует сектор начальной загрузки (boot-sector).

Всекторе начальной загрузки хранится информация о дискете — количествоповерхностей, количество дорожек, количество секторов и пр. Но нас сейчасинтересует не эта информация, а небольшая программа начальной загрузки (ПНЗ),которая должна загрузить саму операционную систему и передать ей управление.

Такимобразом, нормальная схема начальной загрузки следующая:

ПНЗ(ПЗУ) — ПНЗ (диск) — СИСТЕМА

Теперьрассмотрим вирус. В загрузочных вирусах выделяют две части: голову и т.н. хвост. Хвост может бытьпустым.

Пустьу вас имеются чистая дискета и зараженный компьютер, под которым мы понимаемкомпьютер с активным резидентным вирусом. Как только этот вирус обнаружит, чтов дисководе появилась подходящая жертва — в нашем случае не защищенная от записии еще не зараженная дискета, он приступает к заражению. Заражая дискету, вируспроизводит следующие действия:

выделяетнекоторую область диска и помечает ее как недоступную операционной системе, этоможно сделать по-разному, в простейшем и традиционном случае занятые вирусомсекторы помечаются как сбойные (bad)

копируетв выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор

замещаетпрограмму начальной загрузки в загрузочном секторе (настоящем) своей головой

организуетцепочку передачи управления согласно схеме.

Такимобразом, голова вируса теперь первой получает управление, вирус устанавливаетсяв память и передает управление оригинальному загрузочному сектору. В цепочке

ПНЗ(ПЗУ) — ПНЗ (диск) — СИСТЕМА

появляетсяновое звено:

ПНЗ(ПЗУ) — ВИРУС — ПНЗ (диск) — СИСТЕМА

Мырассмотрели схему функционирования простого бутового вируса, живущего взагрузочных секторах дискет. Как правило, вирусы способны заражать не толькозагрузочные секторы дискет, но изагрузочные секторы винчестеров. При этом в отличие от дискет на винчестереимеются два типа загрузочных секторов, содержащих программы начальной загрузки,которые получают управление. При загрузке компьютера с винчестера первой беретна себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная запись). Если ваш жесткий диск разбит на несколькоразделов, то лишь один из них помечен как загрузочный (boot). Программаначальной загрузки в MBR находит загрузочный раздел винчестера и передаетуправление на программу начальной загрузки этого раздела. Код последнейсовпадает с кодом программы начальной загрузки, содержащейся на обычныхдискетах, а соответствующие загрузочныесекторы отличаются только таблицами параметров. Таким образом, на винчестереимеются два объекта атаки загрузочных вирусов — программа начальной загрузки вMBR и программа начальной загрузки в бут-секторе загрузочного диска.

1.4Файловые вирусы

Рассмотримтеперь схему работы простого файлового вируса. В отличие от загрузочныхвирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательнорезидентны. Рассмотрим схему функционирования нерезидентного файлового вируса.Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файлавирус получает управление, производит некоторые действия и передает управление«хозяину»

Какиеже действия выполняет вирус? Он ищет новый объект для заражения — подходящий потипу файл, который еще не заражен. Заражая файл, вирус внедряется в его код,чтобы получить управление при запуске этого файла. Кроме своей основной функции- размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить,сыграть) — это уже зависит от фантазииавтора вируса. Если файловый вирус резидентный, то он установится в память иполучит возможность заражать файлы и проявлять прочие способности не только вовремя работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяетего код — следовательно, заражение исполняемого файла всегда можно обнаружить.Но, изменяя код файла, вирус не обязательно вносит другие изменения:

·

он не обязан менять длину файла

·

неиспользуемые участки кода

·

не обязан менять начало файла

Наконец,к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение кфайлам», но не обязаны внедряться в их код.

Такимобразом, при запуске любого файла вирус получает управление (операционнаясистема запускает его сама), резидентно устанавливается в память и передаетуправление вызванному файлу.

1.5. Загрузочно-файловые вирусы

Мыне станем рассматривать модель загрузочно-файлового вируса, ибо никакой новойинформации вы при этом не узнаете. Но здесь представляется удобный случайкратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирусOneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы.Основное разрушительное действие — шифрование секторов винчестера. При каждомзапуске вирус шифрует очередную порцию секторов, а, зашифровав половинужесткого диска, радостно сообщает об этом. Основная проблема при леченииданного вируса состоит в том, что недостаточно просто удалить вирус из MBR ифайлов, надо расшифровать зашифрованную им информацию.

1.6. Полиморфные вирусы

Большинствовопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусовпредставляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфныевирусы — вирусы, модифицирующие свой код в зараженных программах таким образом,что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такиевирусы не только шифруют свой код, используя различные пути шифрования, но и содержаткод генерации шифровщика и расшифровщика, что отличает их от обычныхшифровальных вирусов, которые также могут шифровать участки своего кода, но имеютпри этом постоянный код шифровальщика и расшифровщика.

Полиморфныевирусы — это вирусы с самомодифицирующимися расшифровщиками. Цель такогошифрования: имея зараженный и оригинальный файлы, вы все равно не сможетепроанализировать его код с помощью обычного дизассемблирования. Этот кодзашифрован и представляет собойбессмысленный набор команд. Расшифровка производится самим вирусом уженепосредственно во время выполнения. При этом возможны варианты: он может расшифроватьсебя всего сразу, а может выполнить такую расшифровку «по ходу дела», можетвновь шифровать уже отработавшие участки. Все это делается ради затрудненияанализа кода вируса.

Входе проверки компьютера антивирусные программы считывают данные — файлы исистемные области с жестких дисков и дискет, пользуясь средствами операционнойсистемы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запускаоставляют в оперативной памяти компьютера специальные модули, перехватывающиеобращение программ к дисковой подсистеме компьютера. Если такой модульобнаруживает, что программа пытается прочитать зараженный файл или системнуюобласть диска, он на ходу подменяет читаемые данные, как будто вируса на дискенет.

Стелс-вирусыобманывают антивирусные программы и в результате остаются незамеченными. Тем неменее, существует простой способ отключить механизм маскировки стелс-вирусов.Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, незапуская других программ с диска компьютера (которые также могут оказатьсязараженными), проверить компьютер антивирусной программой.

Призагрузке с системной дискеты вирус не может получить управление и установить воперативной памяти резидентный модуль, реализующий стелс-механизм. Антивируснаяпрограмма сможет прочитать информацию, действительно записанную на диске, илегко обнаружит вирус.

1.7 Троянские кони, программные закладки и сетевые черви

Троянскийконь – это программа, содержащая в себе некоторую разрушающую функцию, котораяактивизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются подкакие-нибудь полезные утилиты. Вирусымогут нести в себе троянских коней или «троянизировать» другие программы – вносить в них разрушающиефункции.

«Троянскиекони» представляют собой программы, реализующие помимо функций, описанных в документации, инекоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмеченыслучаи создания таких программ с цельюоблегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательныепрограммы и наносят вред под красивыекартинки или музыку.

Программныезакладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, стараетсябыть как можно незаметнее, т.к. чемдольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.

Есливирусы и «троянские кони» наносят ущерб посредством лавинообразногосаморазмножения или явного разрушения, то основная функция вирусов типа«червь», действующих в компьютерныхсетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.

Вболее 80% компьютерных преступлений, расследуемых ФБР, «взломщики» проникают в атакуемуюсистему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которойушли годы, может быть поставлено подугрозу за какие-то секунды.

Этотпроцесс может быть автоматизирован с помощью вируса, называемого сетевой червь.

Червяминазывают вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельныепрограммы. Это самый опасный видвирусов, так как объектами нападения в этом случае становятся информационные системы государственногомасштаба. С появлением глобальной сетиInternet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой моментможет подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети.

Глава 2.Пути проникновения вирусов в компьютер и механизм распределения вирусныхпрограмм

2.1. Проникновение вирусов

Основнымипутями проникновения вирусов в компьютер являются съемные диски (гибкие илазерные), а также компьютерные сети. Заражение жесткого диска вирусами можетпроизойти при загрузке программы с дискеты, содержащей вирус. Такое заражениеможет быть и случайным, например, если дискету не вынули из дисковода А и перезагрузиликомпьютер, при этом дискета может быть и не системной. Заразить дискету гораздопроще. На нее вирус может попасть, даже если дискету просто вставили в дисководзараженного компьютера и, например, прочитали ее оглавление.

Вирус,как правило, внедряется в рабочую программу таким образом, чтобы при ее запускеуправление сначала передалось ему и только после выполнения всех его командснова вернулось к рабочей программе. Получив доступ к управлению, вирус, преждевсего, переписывает сам себя в другую рабочую программу и заражает ее. Послезапуска программы, содержащей вирус, становится возможным заражение другихфайлов.

Наиболеечасто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющиерасширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.

Послезаражения программы вирус может выполнить какую-нибудь диверсию, не слишкомсерьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратитьуправление той программе, из которой был запущен. Каждое выполнение зараженнойпрограммы переносит вирус в следующую. Таким образом, заразится все программноеобеспечение.

Призаражении компьютера вирусом важно его обнаружить. Для этого следует знать обосновных признаках проявления вирусов. К ним можно отнести следующие:

прекращениеработы или неправильная работа ранее успешно функционировавших программ:

·

медленная работа компьютера

·

невозможность загрузки операционной системы

·

исчезновение файлов и каталогов или искажение ихсодержимого

·

изменение даты и времени модификации файлов

·

изменение размеров файлов

·

неожиданное значительное увеличение количества файловна диске

·

существенное уменьшение размера свободной оперативнойпамяти

·

вывод на экран непредусмотренных сообщений илиизображений

·

подача непредусмотренных звуковых сигналов

·

частые зависания и сбои в работе компьютера

Следуетотметить, что вышеперечисленные явления необязательно вызываются присутствиемвируса, а могут быть следствием других причин. Поэтому всегда затрудненаправильная диагностика состояния компьютера.

2.2. Методы защиты от компьютерных вирусов

Какимбы не был вирус, пользователю необходимо знать основные методы защиты от компьютерныхвирусов.

Длязащиты от вирусов можно использовать:

·

общие средства защиты информации, которые полезнытакже и как страховка от физической порчи дисков, неправильно работающихпрограмм или ошибочных действий пользователя;

·

профилактические меры, позволяющие уменьшитьвероятность заражения вирусом;

·

специализированные программы для защиты от вирусов.

Общиесредства защиты информации полезны не только для защиты от вирусов. Имеются двеосновные разновидности этих средств:

1.

копирование информации — создание копий файлов и системных областей дисков;

2.

разграничение доступа предотвращаетнесанкционированное использование информации, в частности, защиту от измененийпрограмм и данных вирусами, неправильноработающими программами и ошибочными действиями пользователей.

Несмотряна то, что общие средства защиты информации очень важны для защиты отвирусов, все же их недостаточно. Необходимо и применение специализированныхпрограмм для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги),ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫпозволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программыпроверяют, имеется ли в файлах на указанном пользователем диске специфическаядля данного вируса комбинация байтов. При ее обнаружении в каком-либо файле наэкран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожениязараженных файлов. Следует подчеркнуть, что программы-детекторы могутобнаруживать только те вирусы, которые ей «известны». Некоторыепрограммы-детекторы могут настраивать на новые типы вирусов, им необходимо лишьуказать комбинации байтов, присущие этим вирусам. Тем не мение невозможно разработать такую программу, которая могла быобнаруживать любой заранее неизвестный вирус.

Такимобразом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова — вней могут сидеть какой-нибудь новый вирус или слегка модифицированная версиястарого вируса, неизвестные программам-детекторам.

Многиепрограммы-детекторы не умеют обнаруживать заражение «невидимыми»вирусами, если такой вирус активен в памяти компьютера. Дело в том, что длячтения диска они используют функции DOS, а они перехватываются вирусом, которыйговорит, что все хорошо. Правда детекторы пытаются выявить вирус путем просмотраоперативной памяти, но против некоторых «хитрых» вирусов это непомогает. Так что надежный диагноз программы-детекторы дают только при загрузкеDOS с «чистой», защищенной от записи дискеты, при этом копия программы-детектора также должнабыть запущена с этой дискеты.

Некоторыедетекторы умеют ловить «невидимые» вирусы, даже когда они активны.Для этого они читают диск, не используя вызовы DOS. Правда, этот методработает не на всех дисководах.

Большинствопрограмм-детекторов имеют функцию «доктора», т.е. они пытаютсявернуть зараженные файлы или области диска в их исходное состояние. Те файлы,которые не удалось восстановить, как правило, делаются неработоспособными илиудаляются.

Большинствопрограмм-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому онибыстро устаревают. Но некоторые программы могут обучаться не только способамобнаружения, но и способам лечения новых вирусов.

ПРОГРАММЫ-РЕВИЗОРЫимеют две стадии работы. Сначала они запоминают сведения о состоянии программ исистемных областей дисков (загрузочного сектора и сектора с таблицей разбиенияжесткого диска). Предполагается, что вэтот момент программы и системные области дисков не заражены. После этого спомощью программы-ревизора можно в любой момент сравнить состояние программ исистемных областей дисков с исходным. О выявленных несоответствияхсообщается пользователю.

Чтобыпроверка состояния программ и дисков проходила при каждой загрузке операционнойсистемы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружитьзаражение компьютерным вирусом, когда он еще не успел нанести большого вреда.Более того, та же программа-ревизорсможет найти поврежденные вирусом файлы.

Многиепрограммы-ревизоры являются довольно «интеллектуальными» - они могут отличать изменения в файлах, вызванные, например, переходом кновой версии программы, от изменений,вносимых вирусом, и не поднимаютложной тревоги. Дело в том, что вирусы обычно изменяют файлывесьма специфическим образом ипроизводят одинаковые изменения в разных программных файлах. Понятно, что внормальной ситуации такие изменения практически никогда не встречаются, поэтомупрограмма-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Другиепрограммы часто используют различные полумеры – пытаются обнаружить вирус воперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на «чистом» компьютере, ит.д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

Дляпроверки того, не изменился ли файл,некоторые программы-ревизоры проверяют длину файла. Но эта проверканедостаточна — некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка — проч

еще рефераты

Еще работы по компьютерным сетям

Реферат по компьютерным сетям

Разработка локальной вычислительной сети

29 Августа 2013

Реферат по компьютерным сетям

Дистанционное образование с помощью Internet

29 Августа 2013

Реферат по компьютерным сетям

Анализ системы безопасности Microsoft Windows 2000 Advanced Server и стратегий ее использования

29 Августа 2013

Реферат по компьютерным сетям

Компьютерные сети Информационных технологий

29 Августа 2013