Забыли пароль?
Регистрация
О компании
Доставка
Каталог товаров  
Контакты
Задать вопрос
Как сделать заказ
Рекомендации
Партнёрам
Получить консультацию

Программы обнаружения и защиты от вирусов. Каков принцип действия программ ревизоров программ фильтров программ вакцин


7) Классификация антивирусных программ. Программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры. Профилактика заражения вирусом

Антивирус- это программа, выявляющая и обезвреживающая компьютерные вирусы.

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пяти тысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможно

разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится AVSP фирмы "Диалог-МГУ".

Программы – доктора(фаги) не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них Aidstest, DoctorWeb, NortonAntiVirus.

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю. К распространенным программам-ревизорам относятся: Adinf32, AVPInspector и ревизор, встроенный в антивирус Касперского.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции. К распространенным программам-фильтрам относится AVPMonitor

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

Лучшей стратегией профилактики защиты от вирусов является многоуровневая, "эшелонированная" оборона:

  • Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

  • На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

  • Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

  • Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

7

studfiles.net

Laboratornaya_rabota_7

Лабораторная работа №7

Основы защиты информации. Работа с антивирусными пакетами.

Цель работы: ознакомиться с теоретические аспекты защиты информации от вредоносных программ: разновидности вирусов, способы заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов. Получить навыки работы с антивирусным пакетомАнтивирус Касперского.

Теоретические сведения

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняеткакие-нибудьвредные действия (например, портит файлы илиFAT-таблицу,"засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либосообщений, поэтому пользователю очень трудно заметить, что в компьютере происходитчто-тонеобычное. Некоторые признаки заражения:

•некоторые программы перестают работать или начинают работать неправильно;

•на экран выводятся посторонние сообщения, символы и т.д.;

•работа на компьютере существенно замедляется;

•некоторые файлы оказываются испорченными и т.д.

•операционная система не загружается;

•изменение даты и времени модификации файлов;

•изменение размеров файлов;

•значительное увеличение количества файлов на диска;

1

•существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

•файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;

•загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;

•макровирусы, которые заражают файлы-документыи шаблоны документов Word и Excel.;

•сетевые, распространяются по компьютерной сети;

По способу воздействия (особенностям алгоритма) вирусы отличаются большим разнообразием. Известны вирусы-паразиты,вирусы-черви,вирусы-невидимки(стелс-вирусы),вирусы-призраки(вирусы-мутанты),компаньон-вирусы,троянские кони и др.

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы. Многиерезидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни

2

одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

•общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

•профилактические меры, позволяющие уменьшить вероятность заражения вирусом;

•специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

•копирование информации - создание копий файлов и системных областей дисков;

•разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры,фильтры и вакцины (иммунизаторы).

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называетсясигнатурой. При ее обнаружении вкаком-либофайле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, чтопрограммы-детекторымогут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудьновый вирус или слегка модифицированная версия старого вируса, неизвестныепрограммам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощьюпрограммы-ревизораможно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

3

Многие программы-ревизорыявляются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтомупрограмма-ревизор,зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры,которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использованияпрограмм-фильтроввесьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины,или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы,позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры.Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры,программы-доктораи доктораревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

1.Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).

2.Использование только лицензионных дистрибутивных копий программных продуктов.

4

3.Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.

4.Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.

5.При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.

6.При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.

7.При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.

В состав антивируса Касперского для защиты файловых серверов входят:

• антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;

• антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;

• ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.

Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.

Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.

Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-

5

объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.

Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов.

Задание

Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [Название антивирусной программы]» (Название антивирусной

программы выбрать согласно своему варианту из раздела «Варианты заданий к работе»). Изучить антивирусный пакет Антивирус Касперского. Подготовить отчет по лабораторной работе.

Порядок выполнения

1)Сканирование папок на наличие вирусов:

–Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы;

–Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера;

–В своей личной папке создать папку Подозрительные файлы и создать там 2 файла:Текстовый файл иДокумент Microsoft Word. Имена файлов ввести согласно своему варианту поВариантам задания к работе;

–Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папкуПодозрительные файлы.

–Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…», сохранить отчет с результатами проверки в папке

Подозрительные файлы. Имя файла-отчета – Scan_Log.

–Закройте окно Поиск вирусов.

2)Обновление антивирусной базы:

–В главном меню программы выберете пункт Сервис.

–Нажмите на пункт Обновление и, используя кнопкуОбновить, осуществите обновление базы известных вирусов.

–По завершению обновления, используя кнопку «Сохранить как…», сохранить отчет об обновлении в папкеПодозрительные файлы. Имя файла-отчета–

Upd_Log.

6

–Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур.

–Закройте окно Антивируса Касперского.

Содержание отчета

1)Титульный лист, оформленный согласно приведенному ранее шаблону;

2)Название и цель лабораторной работы;

3)ДОКЛАД на выбранную по варианту тему;

4)Содержимое файла Scan_Log.txtпо пункту 1 Порядка выполнения работы

5)Содержание файла Upd_Log.txtпо П.2 Порядка выполнения работы.

6)Выводы.

Контрольные вопросы

1)Что называется компьютерным вирусом?

2)Какая программа называется "зараженной"?

3)Что происходит, когда зараженная программа начинает работу?

4)Как может маскироваться вирус?

5)Каковы признаки заражения вирусом?

6)Каковы последствия заражения компьютерным вирусом?

7)По каким признакам классифицируются компьютерные вирусы?

8)Как классифицируются вирусы по среде обитания?

9)Какие типы компьютерных вирусов выделяются по способу воздействия?

10)Что могут заразить вирусы?

11)Как маскируются "невидимые" вирусы?

12)Каковы особенности самомодифицирующихся вирусов?

13)Какие методы защиты от компьютерных вирусов можно использовать?

14)В каких случаях применяют специализированные программы защиты от компьютерных вирусов?

15)На какие виды можно подразделить программы защиты от компьютерных вирусов?

16)Как действуют программы-детекторы?

17)Что называется сигнатурой?

18)Всегда ли детектор распознает зараженную программу?

19)Каков принцип действия программ-ревизоров,программ-фильтров,программ-вакцин?

20)Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?

21)Перечислите меры защиты информации от компьютерных вирусов.

7

22)Каковы современные технологии антивирусной защиты?

23)Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?

24)Какие модули входят в состав антивируса Касперского для защиты файловых систем?

25)Каково назначение этих модулей?

26)Какие элементы электронного письма подвергаются проверке на наличие вирусов?

27)Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или

инфицированные объекты?

28)Как обновляется база вирусных сигнатур?

8

 

Варианты заданий к работе

 

 

 

 

Вариант

Название антивирусной программы

Название файла

1

Avira AntiVir

 

Test_01_01.txt

 

Test_02_01.doc

 

 

 

2

BitDefender

 

Test_01_02.txt

 

Test_02_02.doc

 

 

 

3

AVZ

 

Test_01_03.txt

 

Test_02_03.doc

 

 

 

4

Dr.Web

 

Test_01_04.txt

 

Test_02_04.doc

 

 

 

5

F-SecureAnti-Virus

 

Test_01_05.txt

 

Test_02_05.doc

 

 

 

6

Антивирус Касперского

 

Test_01_06.txt

 

Test_02_06.doc

 

 

 

7

McAfee VirusScan

 

Test_01_07.txt

 

Test_02_07.doc

 

 

 

8

Microsoft Security Essentials

 

Test_01_08.txt

 

Test_02_08.doc

 

 

 

9

NOD32

 

Test_01_09.txt

 

Test_02_09.doc

 

 

 

10

Norton AntiVirus

 

Test_01_10.txt

 

Test_02_10.doc

 

 

 

11

AVG

 

Test_01_11.txt

 

Test_02_11.doc

 

 

 

12

Avast!

 

Test_01_12.txt

 

Test_02_12.doc

 

 

 

13

Panda Cloud Antivirus

 

Test_01_13.txt

 

Test_02_13.doc

 

 

 

14

G-DATAAntivirus

 

Test_01_14.txt

 

Test_02_14.doc

 

 

 

15

ВирусБлокАда

 

Test_01_15.txt

 

Test_02_15.doc

 

 

 

16

Outpost Antivirus

 

Test_01_16.txt

 

Test_02_16.doc

 

 

 

17

Sophos Anti-Virus

 

Test_01_17.txt

 

Test_02_17.doc

 

 

 

18

PC Tools Antivirus

 

Test_01_18.txt

 

Test_02_18.doc

 

 

 

19

Comodo Antivirus

 

Test_01_19.txt

 

Test_02_19.doc

 

 

 

20

Clam Antivirus

 

Test_01_20.txt

 

Test_02_20.doc

 

 

 

21

CA Antivirus

 

Test_01_21.txt

 

Test_02_21.doc

 

 

 

9

studfiles.net

Компьютерные вирусы - Обучающее пособие по информатике

Компьютерные вирусы

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

Проявление наличия вируса в работе на ПЭВМ

Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Некоторые признаки заражения:

  • некоторые программы перестают работать или начинают работать неправильно;
  •  на экран выводятся посторонние сообщения, символы и т.д.;
  • работа на компьютере существенно замедляется;
  • некоторые файлы оказываются испорченными и т.д.
  • операционная система не загружается;
  • изменение даты и времени модификации файлов;
  • изменение размеров файлов;
  • значительное увеличение количества файлов на диска;
  • существенное уменьшение размера свободной оперативной памяти и т.п.

Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.

Разновидности компьютерных вирусов

Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды:

  • файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов;
  • загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
  • макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.;
  • сетевые, распространяются по компьютерной сети;

По способу воздействия (особенностям алгоритма) вирусы отличаются большим разнообразием. Известны вирусы-паразиты, вирусы-черви, вирусы-невидимки (стелс-вирусы), вирусы-призраки (вирусы-мутанты), компаньон-вирусы, троянские кони и др.

Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Рассмотрим "невидимые" и самомодифицирующиеся вирусы.

"Невидимые" вирусы. Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Самомодифицирующиеся вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

  • общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
  • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
  • специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

  • копирование информации - создание копий файлов и системных областей дисков;
  • разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы). 

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны".

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Рассмотрим структуру этой обороны.

Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В "стратегическом резерве" находятся архивные копии информации. Это позволяет восстановить информацию при её повреждении.

Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят:

  1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера).
  2. Использование только лицензионных дистрибутивных копий программных продуктов.
  3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ.
  4. Осуществление входного контроля нового программного обеспечения, поступивших дискет. При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять.
  5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
  6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
  7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям.

Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений. Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая "троянские" программы, Java и ActiveX – апплеты.В состав антивируса Касперского для защиты файловых серверов входят:

  • антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя. Проверяются в том числе архивированные и сжатые файлы;
  • антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени;
  • ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов.

Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям.Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную "карантинную" директорию для последующего анализа.Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris.Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE-объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов. 

Контрольные вопросы
  1. Что называется компьютерным вирусом?
  2. Какая программа называется "зараженной"?
  3. Что происходит, когда зараженная программа начинает работу?
  4. Как может маскироваться вирус?
  5. Каковы признаки заражения вирусом?
  6. Каковы последствия заражения компьютерным вирусом?
  7. По каким признакам классифицируются компьютерные вирусы?
  8. Как классифицируются вирусы по среде обитания?
  9. Какие типы компьютерных вирусов выделяются по способу воздействия?
  10. Что могут заразить вирусы?
  11. Как маскируются "невидимые" вирусы?
  12. Каковы особенности самомодифицирующихся вирусов?
  13. Какие методы защиты от компьютерных вирусов можно использовать? 
  14. В каких случаях применяют специализированные программы защиты от компьютерных вирусов?
  15. На какие виды можно подразделить программы защиты от компьютерных вирусов?
  16. Как действуют программы-детекторы?
  17. Что называется сигнатурой?
  18. Всегда ли детектор распознает зараженную программу?
  19. Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин?
  20. Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ?
  21. Перечислите меры защиты информации от компьютерных вирусов.
  22. Каковы современные технологии антивирусной защиты?
  23. Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов?
  24. Какие модули входят в состав антивируса Касперского для защиты файловых систем?
  25. Каково назначение этих модулей?
  26. Какие элементы электронного письма подвергаются проверке на наличие вирусов?
  27. Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты?
  28. Как обновляется база вирусных сигнатур?

sites.google.com

Программы обнаружения и защиты от вирусов

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ (рис. 2):

  1. программы-детекторы;

  2. программы-доктора или фаги;

  3. программы-ревизоры;

  4. программы-фильтры;

  5. программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Рис. 2. Виды антивирусных программ

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к "лечению" файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных облас­тей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf фирмы "Диалог-Наука".

Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

  1. попытки коррекции файлов с расширениями СОМ и ЕХЕ;

  2. изменение атрибутов файлов;

  3. прямая запись на диск по абсолютному адресу;

  4. запись в загрузочные сектора диска;

  5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее дей­ствие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не "лечат" файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS .

Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Основные меры по защите от вирусов

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:

  1. оснастить компьютер современными антивирусными программами, например Aidstest или Doctor Web, и постоянно обновлять их версии;

  2. перед считыванием с дискет информации, записанной на других компьютерах, всегда проверять эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера;

  3. при переносе на свой компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

  4. периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную сис­тему также с защищенной от записи системной дискеты;

  5. всегда защищать свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации;

  6. раздельно хранить вновь полученные программы и эксплуатировавшиеся ранее;

  7. хранить программы на жестком диске в архивированном виде.

  8. обязательно делать архивные копии на дискетах ценной информации;

  9. не оставлять в кармане дисковода А: дискеты при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

  10. использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

  11. для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска ADinf.

studfiles.net

5.5 Антивирусные программы

Качество антивирусной программы определяется по следующим позициям [9]:

1. Надежность и удобство работы – отсутствие зависаний антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.

2. Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов документов/таблиц (MSWord, Ехсе1, Office 2003), упакованных и архивированных файлов. Отсутствие «ложных срабатываний». Возможность лечения зараженных объектов. Для сканеров важной является также периодичность появления новых версий.

3. Существование версий антивируса под все популярные платформы (DOS, Windows, Windows NT, WindowsXP, NovellNetWare, OS/2, A1pha, Linux и т. д.), присутствие не только режима «сканирование по запросу», но и «сканирование на лету», существование серверных версий c возможностью администрирования сети.

4. Скорость работы и прочие полезные особенности, функции.

Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных. Антивирусные программы делятся на: антивирусы-полифаги, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины.

Антивирусы-полифаги— наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появились первыми и до сих пор удерживают несомненное лидерство в этой области [10].

В основе работы полифагов стоит простой принцип — поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура—это такая запись о вирусе, которая позволяет однозначно идентифицировать присутствие вирусного кода в программе или документе.

Чаще всего сигнатура — это непосредственно участок вирусного кода или его контрольная сумма (дайджест).

Первоначально антивирусы-полифаги работали по очень простому принципу — осуществляли последовательный просмотр файлов на предмет нахождения в них вирусных программ. Если сигнатура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа. Прежде чем начать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то происходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запускаются или открываются в тот момент, когда вирус находится в активной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых файлов приведет к тотальному заражению системы [1].

В настоящее время вирусные программы значительно усложнились. Например, появились так называемые «stealth-вирусы». В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний.

В такой системе изначально скрыта уязвимость: управляя обработчиком прерываний, можно управлять потоком информации от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при возникновении прерывания. Заменяя оригинальный обработчик прерывания своим кодом, stealth-вирусы контролируют чтение данных с диска.

В случае, если с диска читается зараженная программа, вирус «выкусывает» собственный код (обычно код не буквально «выкусывается», а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения «чистый» код. Таким образом, до тех пор; пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнаружить его простым чтением диска средствами операционной системы невозможно.

В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку системы и только после этого проводить поиск и удаление вирусных программ. Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разработчикам.

Только в этом случае вирус со 100%-ной точностью будет обнаружен и удален из памяти компьютера, а потом — и из всех проверяемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. Поэтому главное при пользовании любым полифагом — как можно чаще обновлять версии программы и вирусные базы.

Особняком тут стоят так называемые эвристические анализаторы. Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов.

Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими «копиями» и были придуманы эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него завелся вирус.

Естественно, надежность эвристического анализатора не 100 %, но все же его коэффициент полезного действия больше 50 %. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.

Эвристическим анализатором коданазывается набор подпрограмм, анализирующих код исполняемых файлов, памяти или загрузочных секторов для обнаружения в нем разных типов компьютерных вирусов [9].

Основной частью эвристического анализатора является эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача — не выполнять код, а выявлять в нем всевозможные события, т. е. совокупность кода или вызов определенной функции операционной системы, направленные на преобразование системных данных, работу с файлами, или обнаруживать часто используемые вирусные конструкции. Эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность как пропуска, так и ложного срабатывания весьма высока. Однако правильно используя механизм эвристики, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на вирус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнаруживал), то можно говорить о заражении системы вирусом с вероятностью, близкой к 100 %.

Наиболее мощным эвристическим анализатором в настоящее время обладает антивирус Dr.Web.

Использование эвристического анализатора, помимо всего вышеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами.

Классический метод определения вирусов по сигнатуре в этом случае вообще оказывается неэффективен.

Вирус-генераторы—это специализированный набор библиотек, который позволяет пользователю легко сконструировать свой собственный вирус, даже имея слабые познания в программировании. К написанной программе, подключаются библиотеки генератора, вставляются в нужных местах вызовы внешних процедур — и вот элементарный вирус превратился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур — а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, как будто он одевает очередной маскарадный костюм, при этом сохраняя свое функциональное наполнение.

Программы-ревизорыотносятся к самым надежным средствам защиты от вирусов [9].

Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным.

Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые не были заражены на момент создания базы данных программы. Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств — скорее всего, на компьютер попал новый, неизвестный разработчикам вирус.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной.

Контроль оперативной памяти включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, выдается соответствующее предупреждение. Обычно сначала программа ищет уже знакомые вирусы. Далее программа проверяет, изменился ли обработчик Intl3h. Если он изменился, то с вероятностью 90 % можно сказать, что компьютер инфицирован загрузочным вирусом (загрузочные вирусы вынуждены перехватывать это прерывание с тем, чтобы после своей активизации передать управление «нормальному» загрузочному сектору и система загрузилась без сбоев).

Ревизор выдает предупреждение об этом и сообщает адрес в памяти, по которому находится новый обработчик Intl3h. В принципе информация о местонахождении обработчика необходима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение.

Некоторые вирусы блокируют трассировку прерываний: при попытке трассировать их коды они приводят систему к «зависанию», перезагружают компьютер и т. д. Поэтому, если при трассировке прерываний компьютер начинает вести себя «странно», то следует быть очень осторожным — не исключено, что оперативная память поражена вирусом.

Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо программ. Если же размер оперативной памяти уменьшился — это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего, программа эта — вирус.

Контроль системных областейпредназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой. Для жесткого диска первой производится загрузка главной загрузочной записи (Master-BootRecord или MBR).

В случае если система поражена загрузочным вирусом, то именно ему передается управление при попытке загрузиться с пораженного диска. В этом опасность вируса — если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении компьютера.

Однако способ захвата управления оказался столь удобен, что в настоящее время очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на «чистый» компьютер, такие вирусы первым делом поражают главную загрузочную запись. Однако методы обнаружения именно загрузочных вирусов в настоящее время крайне эффективны и приближаются к 100 % надежности.

Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно просто: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново.

Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов. Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса.Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла.

Очень важно определить, какие именно файлы являются неизменяемыми. При настройке программы ревизора данные об неизменяемых файлах заносятся в таблицы, содержащие список имен файлов и каталогов, подлежащих контролю ревизором. Каждая строка таблицы содержит одно имя или маску.

В принципе, рекомендуется внести в разряд «неизменяемых» те исполняемые файлы, путь к которым указан в переменной PATH. Они чаще всего становятся жертвой файловых вирусов.

После того как все файлы проверены, ревизоры часто сохраняют копии дополнительных областей памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменений могут быть подозрительны.

Программы-фильтры, или «сторожа»,представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться [7]:

• попытки коррекции файлов с расширениями СОМ, ЕХЕ;

• изменение атрибутов файла;

• прямая запись на диск по абсолютному адресу;

• запись в загрузочные сектора диска;

• загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски.

Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Программы-вакцины, илииммунизаторы, —это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» от вируса. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

При выборе антивирусной программы необходимо учитывать не только процент обнаружения вирусов, но и способность обнаруживать новые вирусы, количество вирусов в антивирусной базе, частоту ее обновления, наличие дополнительных функций.

Сегодня на отечественном рынке представлено достаточное количество различных антивирусных программ. Некоторые из антивирусных программ распространяются бесплатно, другие – на платной основе. Следует отметить, что эффективность платных антивирусных программ существенно выше, чем бесплатных, поэтому для надежной защиты компьютера (особенно при частом использовании Интернета, а также при работе в локальной сети) рекомендуется установить платную антивирусную программу.

studfiles.net

11. Виды антивирусных программ

Когда вирус заражает компьютер, он обязательно делает изменения на жестком диске:

  • дописывает свой код в выполнимый файл,

  • добавляет вызов программы-вируса в файл AUTOEXEC.BAT,

  • изменяет загрузочный сектор,

  • создает файл-спутник.

В соответствии с этими проявлениями вирусов, антивирусные программы можно классифицировать по пяти основным группам:, детекторы, доктора, ревизоры, фильтры, вакцинаторы.

11.1. Антивирусные программы: детекторы, доктора

Программы-детекторы (сканеры) – рассчитаны на обнаружение конкретных вирусов.

Наибольшее распространение в России получили программы-детекторы.

Они основаны на сравнении характерной (специфической) последовательности байтов ( сигнатур или масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ.

Эти программы нужно регулярно обновлять, т.к. они быстро устаревают и не могут выявлять новые виды вирусов. Если программа не опознается детектором как зараженная, это еще не значит, что она «здорова». В ней может быть вирус, который не занесен в базу данных детектора.

Программы-доктора (фаги, дезинфекторы) –не только находят файлы, зараженные вирусом, но и лечат их, удаляя из файла тело программы-вируса.

Полифаги – позволяют лечить большое число вирусов.

Широко распространены программы-детекторы, одновременно выполняющие и функции программ-докторов.

Примеры: AVP (автор Е. Касперский), Aidstest (Д. Лозинский), Doctor Web (И. Данилов).

11.2. Программы-ревизоры. Обнаружение изменений ( Защита от неизвестных вирусов )

Выявление и ликвидация неизвестных вирусов необходимы для защиты от вирусов, пропущенных на первом уровне антивирусной защиты. Наиболее эффективным методом является контроль целостности системы (обнаружение изменений).

Данный метод заключается в проверке и сравнении текущих параметров вычислительной системы с эталонными параметрами, соответствующими ее незараженному состоянию.

Контроль целостности обеспечивает защищенность информационного ресурса от:

  • несанкционированных модификации и удаления в результате различного рода нелегитимных воздействий,

  • сбоев и отказов системы и среды.

Для реализации указанных функций используются программы, называемые ревизорами.

Программы-ревизоры – анализируют текущее состояние файлов и системных областей дисков и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора.

Антивирусные программы-ревизоры работают по следующей схеме:

1) предварительно запоминают эталонные характеристики вычислительной системы, которые подвергаются нападению вируса, (в основном всех областей диска)

2) а затем периодически сравнивают эталонные характеристики с текущими характеристиками вычислительной системы (отсюда происходит их название программы-ревизоры).

3) при обнаружении изменений, делается заключение о возможном нападении на компьютер вируса.

При этом проверяется состояние Boot-сектора, таблицы FAT, а также длина файлов, их время создания, атрибуты, контрольные суммы (суммирование по модулю 2 всех байтов файла).

Обычно контролируемыми характеристиками являются:

  • контрольная сумма,

  • длина, время,

  • атрибут «только для чтения» файлов,

  • дерево каталогов,

  • сбойные кластеры,

  • загрузочные сектора дисков.

В сетевых системах могут накапливаться среднестатистические параметры функционирования подсистем (в частности исторический профиль сетевого трафика), которые сравниваются с текущими параметрами.

Обычно программы-ревизоры запоминают в специальных файлах образы:

  • главной загрузочной записи,

  • загрузочных секторов логических дисков,

  • параметры всех контролируемых файлов,

  • также информацию о структуре каталогов

  • номера плохих кластеров диска.

Могут проверяться и другие характеристики компьютера:

  • объем установленной оперативной памяти,

  • количество подключенных к компьютеру дисков и их параметры.

Программы-ревизоры могут обнаружить большинство вирусов, даже тех, которые ранее не были известны.

Ревизоры, как и сканеры, делятся на: транзитные и резидентные.

К недостаткам ревизоров, в первую очередь резидентных, относят создаваемые ими различные неудобства и трудности в работе пользователя. Например, многие изменения параметров системы вызваны не вирусами, а работой системных программ или действиями пользователя-программиста. По этой же причине ревизоры не используют для контроля зараженности текстовых файлов, которые постоянно меняются. Таким образом, необходимо соблюдение некоторого баланса между удобством работы и контролем целостности системы.

Ревизоры обеспечивают высокий уровень выявления неизвестных компьютерных вирусов, однако они не всегда обеспечивают корректное лечение зараженных файлов.

Для лечения файлов, зараженных неизвестными вирусами, обычно используются эталонные характеристики файлов и предполагаемые способы их заражения.

Анализируя сообщения программы-ревизора, пользователь может решить, чем вызваны изменения: вирусом или нет. При выдаче такого рода сообщений не следует предаваться панике, так как причиной изменений, например, длины программы может быть вовсе и не вирус.

Вирусы, заражающие файлы программ только при их копировании, ревизоры как правило обнаружить не могут, так как они не знают параметров файла, которые были до копирования.

Однако следует учитывать, что не все изменения вызваны вторжением вирусов.

Так, загрузочная запись может изменится при обновлении версии операционной системы, а некоторые программы записывают внутри своего выполнимого файла данные.

Командные файлы изменяются еще чаще, например, файл AUTOEXEC.BAT обычно изменяется во время установки нового программного обеспечения.

Программы-ревизоры не помогут и в том случае, когда записывается в компьютер новый файл, зараженный вирусом. Правда, если вирус заразит другие программы, уже учтенные ревизором, он будет обнаружен.

Простейшая программа-ревизор Microsoft Anti-Virus (MSAV) входит в состав операционной системы MS-DOS. Основным, и возможно единственным ее достоинством является то, что на нее не нужно дополнительно тратить деньги.

Значительно более развитые средства контроля предоставляет программа-ревизор Advanced Diskinfoscope (ADinf), входящая в состав антивирусного комплекта АО “ДиалогНаука”.

studfiles.net

20.3 Средства антивирусной защиты

  1. Резервное копирование наиболее ценных данных.

Резервные копии должны храниться отдельно от компьютера, например на удалённых серверах в Internet или на внешних носителях, которые хранятся в сейфах.

Отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам Internet. Есть службы, бесплатно предоставляющие пространство до нескольких Мбайт для хранения данных пользователя.

  1. Использование антивирусных программ, которые позволяют обнаружить и уничтожить вирусы.

Программные средства антивирусной защиты позволяют:

  • Восстанавливать большую часть данных. В системных областях жесткого диска сохранённый образ диска может позволить восстановить большую часть данных (или все данные)

  • Регулярно сканировать жесткие диски в поисках компьютерных вирусов. Сканирование происходит автоматически при каждом включении компьютера. Для надёжной работы необходимо регулярно обновлять антивирусную программу (1 раз в две недели)

  • Контролировать изменение размеров и других атрибутов файлов. Вирусы на этапе размножения изменяют параметры зараженных файлов.

  • Контролировать за обращением к жесткому диску. Предупреждать пользователя о подозрительной активности.

20.4 Меры по защите от вирусов:

  • Наличие современной антивирусной программы;

  • Проверка дискет на наличие вирусов;

  • Проверка принесенных файлов после разархивации;

  • Периодическая проверка жестких дисков;

  • Защита дискет от записи при работе на других ПК;

  • Создание архивных копий ценных данных на дискетах;

  • Не оставлять в дисководах дискеты при включении или перезагрузке ОС.

20.5 Виды антивирусных программ:

  • Программы детекторы;

  • Программы-доктора или фаги;

  • Программы-ревизоры;

  • Программы-фильтры;

  • Программы-вакцины или иммунизаторы.

Программы детекторы осуществляют поиск характерной для конкретного вируса последовательности байт (сигнатуры вируса) в ОП и в файлах и при обнаружении выдают соответствующее сообщение.

Недостаток таких антивирусных программ – возможность нахождения только тех вирусов, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины находят зараженные вирусами файлы и лечат их, удаляя из файла тело программы вируса.

Фаги ищут тело, удаляют его, а затем "лечат" файл.

Среди фагов выделяются полифаги, т.е. программы - доктора, предназначенные для поиска и уничтожения большого количества вирусов. Поскольку постоянно появляются новые вирусы, программы-доктора устаревают и их надо регулярно обновлять.

К ним относятся: Aidstest, Scan, Norton AntiVirus, Doctor Web, AVP.

Программы-ревизоры самые надежные средства защиты.

Они запоминают исходное состояние программ, папок и системных областей, когда компьютер не заряжен вирусом, а затем сравнивают текущее состояние с исходным.

Изменения выводятся на экран монитора.

Сравнение состояний производят сразу после загрузки ОС. При сравнении проверяются длина файла, контрольная сумма файла, дата и время модификации и др.

К ним относятся: ADinf фирмы "Диалог-Наука".

Программы-фильтры или "сторожа" – резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вируса, таких как:

  • коррекция файлов с расширениями .com, .exe.

  • изменение атрибутов файлов;

  • запись в загрузочные сектора диска;

  • загрузка резидентной программы.

Эти программы позволяют обнаружить вирус на ранней стадии его существования до размножения.

Для уничтожения вируса применяются фаги.

При попытке какой-либо программы произвести указанные действия "сторож" посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, "лечащие" этот вирус.

Вакцина возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится.

К антивирусным программам относятся:

  • AVP - Anti Viral Toolkit Pro – профессиональный антивирусный набор (Россия),

  • Avast antivirus - профессиональный антивирусный набор (Чехословакия),

  • Doctor Web (Россия),

  • VirusScan (США) и другие.

Все они сходны по основным методам своей работы.

Принцип работы: Вирусы содержат характерные последовательности команд. Эти последовательности для известных вирусов занесены в специальные базы данных. Антивирусная программа сканирует диски, программы, файлы с целью выявления этих последовательностей. Для дальнейшего лечения зараженных объектов.

ЗАО “Лаборатория Касперского” - крупнейшая российская компания, производящая антивирусное программное обеспечение.

Лаборатория Касперского - это группа высококвалифицированных разработчиков, инженеров и менеджеров под руководством Евгения Касперского, известного специалиста по борьбе с компьютерными вирусами. AVP неоднократно, в течение нескольких лет, занимает первые места в независимых тестах антивирусных программ во всем мире.

Программа AVP может работать в режимах

  • сканера и

  • монитора.

Сканеры просматривают содержимое дисков в поисках характерных последовательностей. Чтобы обнаружить новый вирус, сканеры ищут последовательности команд, могущие совершать вредные действия.

Чтобы обнаружить новый, еще неизвестный вирус, сканеры ищут последовательности команд, в принципе могущие совершать вредные действия (эвристический анализ).

Мониторы проверяют действия, которые могут выполняться вирусами, например запись в служебную область жесткого диска, перезапись файлов, проверку содержимого гибкого диска, с целью заблаговременного обнаружения вирусов.

Интерфейс AVP

Для начала поиска AVP вирусов:

  1. Указать область поиска щелчком мыши по выбранному значку диска. Кнопкой «Добавить папку» можно задать поиск в конкретной папке на диске.

  2. С помощью вкладки Объекты можно указать, в каких файлах должен выполняться поиск вирусов (в программах, в файлах).

  3. Вкладка Действие позволяет задать действия, которые должен выполнить антивирус, обнаружив заражённые файлы. Этими действиями могут быть задание отчёта, лечение, полное удаление файла с диска.

  4. Вкладка Параметры позволяет задать параметры программы.

  5. Вкладка Статистика даёт представление о ходе поиска вирусов. На вкладке показывается, сколько файлов и папок уже проверено, сколько вирусов было найдено, вылечено, удалено.

Программа Doctor Web

В

1 2 3 4 5 6 7

ыполняет поиск и удаление известных ему вирусов из памяти и с дисков компьютера. Программа осуществляет эврестический анализ файлов и системных областей дисков компьютера.

Эврестический анализ позволяет обнаружить новые, ранее неизвестные вирусы.

Кнопки панели инструментов:

  1. Список отчета

  2. Дерево дисков

  3. Статистика

  4. Очистить список отчета

  5. Обновить DrWeb через Internet

  6. Установки

  7. Выход

После запуска антивирусной программы, прежде всего, производят ее настройку.

Проверяемая папка выбирается на дереве папок в главном окне программы. Для отображения на дереве папок файлов, необходимо установить флаг Файлы в дереве.

Программа avast

Интерфейс avast

резидентный хранилище выбор области запуск

сканер локал./ съемных

обновление дисков сканирования

studfiles.net


Смотрите также




г.Самара, ул. Димитрова 131
[email protected]