a fő / Problémák/ Antivirus osztályozás. Számítógépes vírusok és víruskereső programok osztályozása

Víruskereső szoftverek osztályozása. Számítógépes vírusok és víruskereső programok osztályozása

BEVEZETÉS

Két évezred fordulóján élünk, amikor az emberiség egy új tudományos és technológiai forradalom korszakába lépett.

A XX. Század végére az emberek elsajátították az anyag és az energia átalakulásának számos titkát, és ezt a tudást felhasználhatták életük javítására. De az anyag és az energia mellett az emberi életben egy másik komponens is óriási szerepet játszik - az információ. Ez sokféle információ, üzenet, hír, ismeret, készség.

Századunk közepén különleges eszközök jelentek meg - számítógépek, amelyek az információk tárolására és átalakítására összpontosítottak, és megtörtént a számítógépes forradalom.

Ma a személyi számítógépek tömeges használata sajnos kiderült, hogy olyan önreplikáló vírusok megjelenésével jár, amelyek zavarják a számítógép normál működését, tönkreteszik a lemezek fájlszerkezetét és károsítják a számítógépben tárolt információkat.

A számítógépes bűncselekmények elleni küzdelemről számos országban elfogadott törvény és a vírusok elleni védelemre szolgáló speciális szoftverek kidolgozása ellenére az új szoftveres vírusok száma folyamatosan növekszik. Ehhez a személyi számítógép felhasználójának meg kell ismernie a vírusok természetét, a fertőzés módját és az ellenük való védelmet. Ez ösztönzőként hatott a munkám témájának megválasztására.

Erről beszélek esszémben. Bemutatom a vírusok fő típusait, áttekintem működésük sémáit, megjelenésük okait és a számítógépbe való behatolásuk módját, valamint javaslatot teszek a védekezésre és a megelőzésre.

A munka célja, hogy megismertesse a felhasználót a számítógépes virológia alapjaival, megtanítsa a vírusok felderítését és az azok elleni küzdelmet. A munka módszere az adott témával kapcsolatos nyomtatott kiadványok elemzése. Nehéz feladat előtt álltam - mesélni arról, amit nagyon keveset tanulmányoztak, és hogyan alakult - rajtad áll, hogy megítéld.

1. SZÁMÍTÓGÉPVÍRUSOK, TULAJDONSÁGAIK ÉS OSZTÁLYOZÁS

1.1. A számítógépes vírusok tulajdonságai

Manapság olyan személyi számítógépeket használnak, amelyekben a felhasználó szabadon hozzáférhet a gép összes erőforrásához. Ez nyitotta meg a veszély lehetőségét, amelyet számítógépes vírusnak neveznek.

Mi az a számítógépes vírus? Ennek a fogalomnak a formális meghatározását még nem találták fel, és komoly kétségek merülnek fel abban, hogy egyáltalán meg lehet-e adni. Számos kísérlet a vírus "modern" definíciójának megadására nem járt sikerrel. Hogy megérezhesse a probléma összetettségét, próbáljon meg például meghatározni egy szerkesztőt. Vagy kitalál valami nagyon általános dolgot, vagy elkezdi felsorolni az összes ismert szerkesztőtípust. Mindkettő aligha tekinthető elfogadhatónak. Ezért csak a számítógépes vírusok néhány tulajdonságának figyelembe vételére szorítkozunk, amelyek lehetővé teszik számunkra, hogy a programok bizonyos osztályaként beszéljünk róluk.

Először is, a vírus egy program. Egy ilyen egyszerű állítás önmagában sok legendát eloszlathat a számítógépes vírusok rendkívüli képességeiről. A vírus képes megfordítani a képet a monitoron, de magát a monitort nem tudja megfordítani. A gyilkos vírusok legendáit, amelyek „megölik az operátorokat azáltal, hogy halálos színskálát mutatnak be a 25. keretben”, szintén nem szabad komolyan venni. Sajnos egyes neves kiadványok időről időre közzéteszik "a legfrissebb híreket a számítógép frontjairól", amelyek alaposabb vizsgálata során kiderül, hogy a téma nem teljesen világos megértésének eredménye.

A vírus olyan program, amely képes reprodukálni önmagát. Ez a képesség az egyetlen közös minden típusú vírusban. De nemcsak a vírusok képesek az önreplikációra. Bármely operációs rendszer és még sok más program képes saját példányokat létrehozni. A vírus másolatainak nem csak teljesen egybe kell esniük az eredetivel, de egyáltalán nem is eshetnek egybe!

A vírus nem létezhet "teljes elkülönítésben": ma lehetetlen elképzelni egy olyan vírust, amely nem használja más programok kódját, a fájlszerkezettel kapcsolatos információkat vagy akár csak más programok nevét. Az ok egyértelmű: a vírusnak valamilyen módon biztosítania kell a kontroll átadását önmagában.

1.2. Vírusosztályozás

Jelenleg több mint 5000 szoftvervírus ismert, ezeket a következő kritériumok szerint osztályozhatjuk:

¨ élőhely

¨ az élőhely szennyezésének módja

kitettség

¨ az algoritmus jellemzői

Az élőhelytől függően a vírusok feloszthatók hálózati, fájl, indító és fájl indító vírusokra. Hálózati vírusok elterjedt a különböző számítógépes hálózatokon. A fájlvírusokat főleg a futtatható modulokba vezetik be, vagyis a COM és az EXE kiterjesztésű fájlokba. Fájl vírusok beágyazható más típusú fájlokba, de általában ilyen fájlokba rögzítve soha nem kapják meg az irányítást, és ezért elveszítik a reprodukció képességét. Boot vírusok be vannak ágyazva a lemez indító szektorába (Boot szektor) vagy a rendszer lemez indító programját tartalmazó szektorba (Master Boot Re

zsinór). Fájl indítása a vírusok megfertőzik a fájlokat és a lemezek indító szektorait egyaránt.

A fertőzés módszerével a vírusokat rezidensekre és nem rezidensekre osztják. Memória rezidens vírus Amikor a számítógép megfertőződött (megfertőződött), akkor a lakóhelyét a RAM-ban hagyja, amely aztán elfogja az operációs rendszer hozzáférését a fertőzött objektumokhoz (fájlok, lemezek indítószektorai stb.), És beágyazódik azokba. A rezidens vírusok a memóriában maradnak, és addig maradnak aktívak, amíg a számítógépet le nem állítják vagy újra nem indítják. Nem memóriában rezidens vírusok ne fertőzze meg a számítógép memóriáját, és korlátozott ideig aktívak.

Az expozíció mértéke szerint a vírusok a következő típusokra oszthatók:

¨ nem veszélyes amelyek nem zavarják a számítógép működését, de csökkentik a szabad RAM és a lemezek memóriájának mennyiségét, az ilyen vírusok műveletei bármilyen grafikus vagy hanghatásban megnyilvánulnak

¨ veszélyes vírusok, amelyek a számítógép működésének különféle zavaraihoz vezethetnek

¨ nagyon veszélyes, amelynek hatása programok elvesztéséhez, adatok megsemmisüléséhez, információk törléséhez vezethet a lemez rendszerterületein.

2. A VÍRUSOK FŐ TÍPUSAI ÉS MŰKÖDÉSÉNEK RENDSZEREI

A vírusok teljes változatossága közül a következő fő csoportokat lehet megkülönböztetni:

¨ indítható

¨ fájl

¨ file-boot

Most részletesebben ezekről a csoportokról.

2.1. Boot vírusok

Vegyük fontolóra egy nagyon egyszerű indítóvírus működését, amely megfertőzi a hajlékonylemezeket. Szándékosan megkerüljük mindazt a számos finomságot, amelyekkel elkerülhetetlenül találkozni fogunk működésének algoritmusának szigorú elemzése során.

Mi történik, amikor bekapcsolja a számítógépet? Először is, az irányítás átkerül indító program amelyet csak olvasható memóriában (ROM) tárolnak, azaz PNZ ROM.

Ez a program teszteli a hardvert, és ha az ellenőrzések sikeresek, megpróbálja megtalálni a hajlékonylemezt az A meghajtóban:

Minden hajlékonylemezt egy ún. szektorok és pályák. Az ágazatokat klaszterekké egyesítik, de ez számunkra lényegtelen.

A szektorok között számos olyan szolgáltatási szektor található, amelyet az operációs rendszer a saját szükségleteire használ (ezek az ágazatok nem képesek befogadni az Ön adatait). A szolgáltató szektorok között még mindig érdekel bennünket egy - az ún. csomagtartó szektor(boot-szektor).

A csomagtartó szektor tárolja floppy disk információk- a felületek száma, a vágányok száma, az ágazatok száma stb. De most nem ez az információ, hanem kicsi bootstrap program(PNZ), amelynek be kell töltenie magát az operációs rendszert és át kell adnia az irányítást.

Tehát a normál bootstrap séma a következő:

PNZ (ROM) - PNZ (lemez) - RENDSZER

Most nézzük meg a vírust. A boot vírusoknál két részt különböztetünk meg - az ún. fej stb. farok... A farok általában véve üres lehet.

Tegyük fel, hogy van egy üres hajlékonylemez és egy fertőzött számítógép, amely alatt egy aktív rezidens vírussal rendelkező számítógépet értünk. Amint ez a vírus észleli, hogy a meghajtóban megfelelő áldozat jelent meg - esetünkben íratlan és még nem fertőzött hajlékonylemez, tovább fertőz. Hajlékonylemez megfertőzésével a vírus a következő műveleteket hajtja végre:

Kiosztja a lemez egy bizonyos területét, és megjelöli azt, hogy az operációs rendszer számára hozzáférhetetlen, ezt különböző módon lehet megtenni, a legegyszerűbb és hagyományos esetben a vírus által elfoglalt szektorokat rosszként jelöljük meg

Másolja a farok és az eredeti (egészséges) rendszerindítási szektort a kiválasztott lemezterületre

malware víruskereső

Sikeres működésük érdekében a vírusoknak ellenőrizniük kell, hogy egy fájlt már megfertőzött-e (ugyanaz a vírus). Így kerülik az önpusztítást. Ehhez a vírusok aláírást használnak. A leggyakoribb vírusok (beleértve a makrovírusokat is) szimbolikus aláírásokat használnak. A bonyolultabb (polimorf) vírusok algoritmusok aláírását használják. Függetlenül a vírusaláírás típusától, a víruskereső programok használják őket a "számítógépes fertőzések" felderítésére. Ezt követően az antivírus program megpróbálja megsemmisíteni az észlelt vírust. Ez a folyamat azonban a vírus összetettségétől és az antivírus program minőségétől függ. Mint említettük, a trójai falovakat és a polimorf vírusokat lehet a legnehezebben felismerni. Közülük az első nem testét veszi fel a programba, hanem beágyazza azt. Másrészt az anti-vírus programoknak hosszú időbe telik meghatározni a polimorf vírusok aláírását. Az a tény, hogy az aláírásuk minden új példánynál változik.

A számítógépes vírusok észleléséhez, eltávolításához és az ellenük való védelemhez vannak speciális programok, úgynevezett víruskereső programok. A modern víruskereső programok olyan multifunkcionális termékek, amelyek a profilaxist és a víruskezelést, valamint az adat-helyreállítási eszközöket egyaránt ötvözik.

A vírusok száma és változatossága nagy, és gyors és hatékony felderítésük érdekében egy víruskereső programnak több paraméternek kell megfelelnie:

1. A munka stabilitása és megbízhatósága.

2. A program vírusadatbázisának mérete (a program által helyesen észlelt vírusok száma): figyelembe véve az új vírusok állandó megjelenését, az adatbázist rendszeresen frissíteni kell.

3. A program képessége a különféle típusú vírusok felderítésére, valamint a különféle típusú fájlokkal (archívumok, dokumentumok) való együttműködés képessége.

4. A rezidens monitor jelenléte, amely az összes új fájlt "menet közben" ellenőrzi (vagyis automatikusan, ahogy a lemezre írják).

5. A program sebessége, további funkciók jelenléte, például algoritmusok még ismeretlen vírusok detektálására (heurisztikus vizsgálat).

6. Képesség a fertőzött fájlok helyreállítására a merevlemezről való törlés nélkül, csak a vírusok eltávolításával.

7. A hamis pozitív eredmények százaléka (a vírus hibás észlelése egy "tiszta" fájlban).

8. Cross-platform (a program verzióinak elérhetősége különböző operációs rendszerek számára).

Az antivírus programok osztályozása:

1. A detektáló programok lehetővé teszik a vírusok keresését és detektálását a RAM-ban és a külső adathordozókon, és az észlelés után megfelelő üzenetet adnak ki. Vannak érzékelők:

Univerzális - használja a munkájuk során a fájlok megváltoztathatatlanságának ellenőrzését a szokásos ellenőrző összeggel való számolással és összehasonlítással;

Szakosodott - az ismert vírusokat az aláírásuk (ismételt kóddarab) alapján kutatja.

2. Az orvos programok (fágok) nemcsak vírusokkal fertőzött fájlokat találnak meg, hanem "meg is gyógyítják" őket, azaz. törölje a vírusprogram törzsét a fájlból, visszaállítva a fájlokat az eredeti állapotukba. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítve őket, és csak ezután folytatják a fájlok "gyógyítását". A fágok közül megkülönböztetik a polifágokat, azaz Orvos programok, amelyek nagyszámú vírus keresésére és megsemmisítésére készültek.

3. A programok-auditorok a vírusok elleni védelem legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógépet nem fertőzte meg vírus, majd rendszeresen, vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredetivel. Az észlelt változások megjelennek a monitor képernyőn.

4. A szűrők (watchdogs) kicsi rezidens programok, amelyek a vírusokra jellemző gyanús cselekmények észlelésére szolgálnak a számítógép működése során. Ilyen műveletek lehetnek:

Megpróbálja javítani a fájlokat COM és ЕХЕ kiterjesztéssel;

A fájlattribútumok módosítása;

Közvetlen írás lemezre abszolút címen;

Írás a lemez szektorainak indítására;

5. Az oltóprogramok (immunizálók) olyan rezidens programok, amelyek megakadályozzák a fájlok fertőzését. Vakcinákat használnak, ha nincsenek olyan orvos programok, amelyek "kezelik" ezt a vírust. Oltás csak ismert vírusok ellen lehetséges. N. Bezrukov Computer Virology: tankönyv [elektronikus forrás]: http://vx.netlux.org/lib/anb00.html ..

Valójában az antivírus programok architektúrája sokkal összetettebb, és az adott fejlesztőtől függ. Egy tény azonban vitathatatlan: mindazok a technológiák, amelyekről beszéltem, olyan szorosan összefonódnak egymásban, hogy néha lehetetlen megérteni, mikor indulnak el mások, mások pedig. Az antivírus-technológiák ezen interakciója lehetővé teszi a leghatékonyabb felhasználását a vírusok elleni küzdelemben. De ne felejtsd el, hogy nincs tökéletes védelem, és az egyetlen mód arra, hogy figyelmeztesd magad az ilyen problémákra, az állandó operációs rendszer-frissítések, a jól konfigurált tűzfal, a gyakran frissülő víruskereső, és - ami a legfontosabb - ne indíts el / tölts le gyanús fájlokat a Internet.

A vírusvédelem a leggyakoribb intézkedés az IT-infrastruktúra információbiztonságának biztosítására a vállalati szektorban. Ugyanakkor az orosz vállalatok csak 74% -a használ vírusvédelmi megoldásokat a védelemhez - derül ki a Kaspersky Lab és a B2B International elemző vállalattal közösen végzett tanulmányból (2013 ősz).

A jelentés azt is elmondja, hogy az internetes fenyegetések robbanásszerű növekedése közepette, melyektől a vállalatokat egyszerű vírusirtók védik, az orosz vállalkozások egyre inkább összetett védelmi eszközöket használnak. Nagyrészt emiatt az adattitkosító eszközök használata a cserélhető adathordozókon 7% -kal (24% -kal) nőtt. Ezenkívül a vállalatok hajlandóbbak meghatározni a cserélhető eszközökre vonatkozó biztonsági irányelveket. Az informatikai infrastruktúra különböző részeihez való hozzáférés szintjének differenciálódása szintén növekedett (49%). Ugyanakkor a kis- és középvállalkozások nagyobb figyelmet fordítanak a kivehető eszközök (35%) és az alkalmazások (31%) ellenőrzésére.

A kutatók azt is megállapították, hogy a szoftverek új biztonsági réseinek folyamatos felfedezése ellenére az orosz vállalatok továbbra sem fordítanak kellő figyelmet a rendszeres szoftverfrissítésekre. Sőt, a javításokat telepítő szervezetek száma az elmúlt évhez képest csak 59% -ra csökkent.

A modern víruskereső programok képesek a program- és dokumentumfájlokban lévő rosszindulatú objektumok hatékony felderítésére. Bizonyos esetekben az antivírus a fájl helyreállításával eltávolíthatja a rosszindulatú objektum törzsét a fertőzött fájlból. A legtöbb esetben az antivírus képes eltávolítani egy rosszindulatú programobjektumot nemcsak egy programfájlból, hanem egy irodai dokumentumfájlból is, sértetlenül. Az antivírus programok használata nem igényel magas képesítést, és szinte minden számítógép-felhasználó számára elérhető.

A legtöbb víruskereső program valós idejű védelmi funkciókat (víruskereső monitor) és igény szerinti védelmi funkciókat (víruskereső) kombinál.

Antivirus minősítés

2019: Az Android vírusirtóinak kétharmada haszontalannak bizonyult

2019 márciusában az AV-Comparatives, egy osztrák vírusirtó szoftver-tesztelő laboratórium kiadott egy tanulmányt, amely kimutatta, hogy e programok többsége haszontalan az Android számára.

Az esetek 100% -ában csak a hivatalos Google Play Áruház-katalógusban található 23 vírusirtó érzékeli pontosan a rosszindulatú programokat. A szoftver többi része vagy nem reagál a mobil fenyegetésekre, vagy teljesen biztonságos alkalmazásokat igényel számukra.

A szakértők 250 antivírust vizsgáltak, és arról számoltak be, hogy csak 80% -uk képes felismerni a rosszindulatú programok több mint 30% -át. Így 170 alkalmazás kudarcot vallott a teszten. A teszteken átesett termékek főként a nagy gyártók, köztük az Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro és Trustwave megoldásait tartalmazzák.

A kísérlet részeként a kutatók minden víruskereső alkalmazást külön eszközre telepítettek (emulátor nélkül), és automatizálták a böngésző elindítását, a rosszindulatú programok letöltését, majd telepítését. Minden eszközt 2 ezer leggyakoribb Android vírus segítségével teszteltek 2018-ban.

Az AV-Comparatives szerint a legtöbb Android víruskereső megoldás hamis. Tucatnyi alkalmazás szinte azonos interfésszel rendelkezik, és készítőiket egyértelműen jobban érdekli a hirdetések megjelenítése, mint egy működő víruskereső írása.

Egyes vírusellenes vírusok „fenyegetést” látnak minden olyan alkalmazásban, amely nem szerepel a „fehér listájukon”. Emiatt számos nagyon anekdotikus esetben saját fájljaik miatt emelték ki a riasztót, mivel a fejlesztők elfelejtették megemlíteni őket a "fehér listán".

2017: A Microsoft Security Essentials az egyik legrosszabb vírusirtó

2017 októberében az AV-Test német antivírus laboratórium közzétette az antivírusok átfogó tesztelésének eredményeit. A tanulmány szerint a Microsoft rosszindulatú tevékenységekkel szembeni védelemre tervezett saját szoftvere szinte a legrosszabbul teljesíti feladatait.

A 2017. július-augusztusban elvégzett tesztek eredményei szerint az AV-Test szakértői a Kaspersky Internet Security programot nevezték meg a Windows 7 legjobb antivírusaként, amely 18 pontot kapott a védelem, a teljesítmény és a használhatóság értékelésében.

Az első három között a Trend Micro Internet Security és a Bitdefender Internet Security szerepelt, amelyek egyenként 17,5 pontot szereztek. A vizsgálatba bevont más víruskereső vállalatok termékeinek állapota az alábbi illusztrációkon található:

Sok szkenner heurisztikus szkennelési algoritmusokat is használ, azaz elemzi a parancssorozatot az ellenőrzött objektumban, összegyűjt néhány statisztikát és döntést hoz az egyes ellenőrzött objektumokról.

A szkennereket két kategóriára is fel lehet osztani - általános célúak és speciálisak. Az univerzális szkennereket úgy tervezték, hogy minden típusú vírust felkutassanak és semlegesítsenek, függetlenül az operációs rendszertől, amelyben a szkennert működni tervezték. A speciális szkennereket korlátozott számú vírus vagy csak egy osztályuk - például makrovírusok - semlegesítésére tervezték.

A szkennereket szintén rezidensekre (monitorokra) osztják, amelyek menet közben szkennelnek, és nem rezidensekre, amelyek csak igény szerint biztosítanak rendszerellenőrzést. Rendszerint a rezidens szkennerek megbízhatóbb rendszervédelmet nyújtanak, mivel azonnal reagálnak egy vírusra, míg a nem rezidens szkenner csak a következő indításakor képes felismerni egy vírust.

CRC szkennerek

A CRC szkennerek működési elve a lemezen lévő fájlok / rendszer szektorok CRC összegének (ellenőrző összegek) kiszámításán alapul. Ezeket a CRC összegeket ezután az anti-vírus adatbázisba menti, valamint néhány egyéb információt: a fájl hosszát, utolsó módosításának dátumát stb. A következő indításkor a CRC szkennerek ellenőrzik az adatbázisban lévő adatokat a tényleges számított értékekkel. Ha az adatbázisban rögzített fájl információi nem egyeznek a valós értékekkel, akkor a CRC-szkennerek jelzik, hogy a fájlt módosították vagy vírussal fertőzték meg.

A CRC-szkennerek nem képesek elkapni egy vírust abban a pillanatban, amikor a rendszerben megjelennek, de csak egy idő után, miután a vírus átterjedt a számítógépen. A CRC szkennerek nem tudnak vírust észlelni az új fájlokban (e-mailben, hajlékonylemezen, biztonsági másolatból helyreállított fájlokban vagy archívumból származó fájlok kicsomagolásakor), mert az adatbázisukban nincs információ ezekről a fájlokról. Ezenkívül rendszeresen vannak olyan vírusok, amelyek kihasználják a CRC szkennerek ezen gyengeségét, csak az újonnan létrehozott fájlokat fertőzik meg, és így láthatatlanok maradnak számukra.

Blokkolók

Az antivírus-blokkolók memória-rezidens programok, amelyek elfogják a veszélyes helyzeteket, és értesítik a felhasználót erről. A vírust fenyegető hívások magukban foglalják a futtatható fájlokba történő írásra, a lemezek vagy a merevlemez MBR-jének indítására szolgáló írásokat, a programok tartózkodási kísérletét stb., Vagyis a vírusokra jellemző hívásokat replikáció.

A blokkolók előnyei magukban foglalják a vírus kimutatásának és leállításának képességét a szaporodás legkorábbi szakaszában. A hátrányok közé tartozik a blokkolók védelmének megkerülésére szolgáló módszerek megléte és a hamis pozitív eredmények nagy száma.

Immunizátorok

Az immunizálók két típusra oszthatók: a fertőzést jelentő immunizálókra és a fertőzést blokkoló immunizálókra. Az előbbieket általában a fájlok végére írják (például a fájlvírusok), és minden egyes fájl futtatásakor ellenőrzik a változásokat. Egyetlen hátránya van az ilyen immunizálóknak, de halálos: a lopakodó vírussal való fertőzés abszolút képtelensége. Ezért az ilyen immunizálókat, valamint a blokkolókat gyakorlatilag jelenleg nem használják.

Az immunizálás második típusa megvédi a rendszert egy adott típusú vírus fertőzésétől. A lemezeken lévő fájlokat úgy módosítják, hogy a vírus már fertőzöttnek tekinti őket. A rezidens vírusok elleni védelem érdekében a vírus egy példányát utánzó programot írnak a számítógép memóriájába. Indításakor a vírus megbotlik benne, és úgy véli, hogy a rendszer már fertőzött.

Ez a típusú immunizálás nem lehet univerzális, mivel a fájlokat nem lehet immunizálni az összes ismert vírus ellen.

Az antivírusok osztályozása az időbeli változékonyságuk alapján

Valerij Konyavsky szerint az antivírus-eszközök két nagy csoportra oszthatók - adatok elemzésére és a folyamatok elemzésére.

Adatelemzés

Az adatelemzés magában foglalja az auditorokat és a polifágokat. Az auditorok elemzik a számítógépes vírusok és más rosszindulatú programok tevékenységének következményeit. A következmények olyan adatváltozásokban nyilvánulnak meg, amelyeken nem szabad változtatni. A rosszindulatú programok tevékenységének jele az auditor szempontjából az a tény, hogy megváltoztak az adatok. Más szavakkal, az ellenőrök ellenőrzik az adatok integritását, és az integritás megsértése esetén döntést hoznak a rosszindulatú programok jelenlétéről a számítógépes környezetben.

A polifágok másképp viselkednek. Adatelemzés alapján izolálják a rosszindulatú kód töredékeit (például annak aláírásával), és ennek alapján következtetést vonnak le a rosszindulatú programok jelenlétéről. A vírussal fertőzött adatok eltávolítása vagy fertőtlenítése segít megelőzni a rosszindulatú programok futtatásának negatív következményeit. Így a statikus elemzés alapján megakadályozzák a dinamikában felmerülő következményeket.

Az auditorok és a polifágok munkájának sémája gyakorlatilag megegyezik - összehasonlítva az adatokat (vagy azok ellenőrző összegét) egy vagy több referencia mintával. Az adatokat összehasonlítjuk az adatokkal. Így ahhoz, hogy vírust találjon a számítógépén, működnie kell, hogy megjelenjenek tevékenységének következményei. Ez a módszer csak olyan ismert vírusokat képes megtalálni, amelyeknél korábban kódrészleteket vagy aláírásokat írtak le. Nem valószínű, hogy az ilyen védelmet megbízhatónak lehetne nevezni.

Folyamatelemzés

A folyamatelemzésen alapuló víruskereső eszközök kissé eltérő módon működnek. A heurisztikus analizátorok, a fentiekhez hasonlóan, elemzik az adatokat (lemezen, csatornán, memóriában stb.). Az alapvető különbség abban rejlik, hogy az elemzést abból a feltételezésből hajtják végre, hogy az elemzett kód nem adat, hanem parancs (a von Neumann architektúrájú számítógépeken az adatok és a parancsok nem különböztethetők meg, ebben a tekintetben az elemzés során egy vagy több egy másik feltételezést kell felhozni.)

A heurisztikus analizátor azonosítja a műveletek sorozatát, mindegyikhez hozzárendel egy bizonyos veszélyességi besorolást, és a veszély összessége alapján eldönti, hogy ez a műveletsorozat a rosszindulatú kód része-e. Maga a kód nem kerül végrehajtásra.

A folyamatalapú vírusirtók másik típusa a viselkedésblokkolók. Ebben az esetben a gyanús kódot szakaszosan hajtják végre, amíg a kód által kezdeményezett műveletek halmaza veszélyes (vagy biztonságos) viselkedésnek minősül. Ebben az esetben a kód részben végrehajtásra kerül, mivel a kártékony kód befejezése egyszerűbb adatelemzési módszerekkel detektálható.

Vírusfelderítési technológiák

A víruskereső szoftverekben alkalmazott technológiák két csoportra oszthatók:

Aláírás-elemzési technológiák
Valószínűségi elemzési technológiák

Aláírás-elemzési technológiák

Az aláírás-elemzés egy vírusfelismerési módszer, amely ellenőrzi a fájlokban található vírus-aláírásokat. Az aláírás-elemzés a legismertebb módszer a vírusok kimutatására, és szinte az összes modern antivírusban alkalmazzák. A vizsgálat elvégzéséhez a víruskeresőnek vírusaláírásokra van szüksége, amelyeket az antivírus adatbázis tárol.

Mivel az aláíráselemzés magában foglalja a fájlok vírusaláírások keresését, az antivírus-adatbázist rendszeresen frissíteni kell, hogy naprakész legyen az antivírus. Az aláírás-elemzés működési elve maga határozza meg funkcionalitásának határait - csak a már ismert vírusok észlelésének képességét -, az aláírás-szkenner tehetetlen az új vírusokkal szemben.

Másrészt a vírusaláírások jelenléte magában foglalja az aláírás-elemzés segítségével észlelt fertőzött fájlok gyógyításának képességét. Azonban nem minden vírus gyógyítható - a trójai programok és a férgek többsége nem gyógyítható meg a tervezési jellemzőik miatt, mivel ezek integrált modulok, amelyek károkat okoznak.

A vírusaláírás kompetens megvalósítása lehetővé teszi az ismert vírusok száz százalékos valószínűséggel történő felderítését.

Valószínűségi elemzési technológiák

A valószínűségi elemzési technológiák viszont három kategóriába sorolhatók:

Heurisztikus elemzés
Viselkedéselemzés
Ellenőrző összeg elemzése

Heurisztikus elemzés

A heurisztikus elemzés egy valószínűségi algoritmusokon alapuló technológia, amelynek eredménye a gyanús tárgyak azonosítása. A heurisztikus elemzés során ellenőrzik a fájl szerkezetét és a vírusmintáknak való megfelelést. A legnépszerűbb heurisztikus technológia egy fájl tartalmának ellenőrzése a már ismert vírusaláírások és kombinációik módosulása érdekében. Ez segít a hibridek és a korábban ismert vírusok új verzióinak felderítésében az antivírus adatbázis további frissítése nélkül.

A heurisztikus elemzést ismeretlen vírusok kimutatására használják, és ennek eredményeként nem jár gyógyítással. Ez a technológia nem képes 100% -ban meghatározni, hogy egy vírus áll-e előtte, vagy sem, és mint minden valószínűségi algoritmus, ez is hamis pozitív eredményektől szenved.

Viselkedéselemzés

A viselkedésanalízis olyan technológia, amelyben az ellenőrzött objektum jellegéről döntést hoznak az általa végrehajtott műveletek elemzése alapján. A viselkedéselemzés nagyon szűken alkalmazható a gyakorlatban, mivel a vírusokra jellemző műveletek többségét hétköznapi alkalmazások hajthatják végre. A leghíresebbek a szkriptek és makrók viselkedéselemzői, mivel a megfelelő vírusok szinte mindig számos hasonló műveletet hajtanak végre.

A BIOS-ba épített védelem viselkedéselemzőként is besorolható. Amikor megpróbálják megváltoztatni a számítógép MBR-jét, az elemző blokkolja a műveletet, és megfelelő értesítést jelenít meg a felhasználó számára.

Ezenkívül a viselkedéselemzők nyomon követhetik a fájlok közvetlen elérésére tett kísérleteket, a hajlékonylemezek rendszerindítási rekordjának változásait, a merevlemezek formázását stb.

A viselkedéselemzők nem használnak további objektumokat, például vírusadatbázisokat, és ennek következtében nem képesek megkülönböztetni az ismert és ismeretlen vírusokat - minden gyanús programot eleve ismeretlen vírusnak tekintenek. Hasonlóképpen, a viselkedéselemzési technológiákat megvalósító eszközök viselkedése nem foglal magában kezelést.

Ellenőrző összeg elemzése

Az ellenőrző összeg elemzés a számítógépes rendszer objektumainak változásainak nyomon követésének módja. A változások jellegének - egyidejűség, tömegesség, a fájlhosszak azonos változása - elemzése alapján megállapíthatjuk, hogy a rendszer fertőzött. A kontrollösszeg-elemzők (más néven változás-auditorok), a viselkedéselemzőkhöz hasonlóan, nem használnak további tárgyakat a munkájuk során, és kizárólag a szakértői megítélés módszerével hoznak ítéletet a vírus jelenlétéről a rendszerben. Hasonló technológiákat használnak a szkennerek a hozzáféréskor - az első ellenőrzés során az ellenőrző összeg eltávolításra kerül a fájlból, és a gyorsítótárba kerül, ugyanazon fájl következő ellenőrzése előtt az összeget ismét eltávolítják, összehasonlítják, és ha nincs változás , a fájl nem fertőzöttnek számít.

Antivírus komplexek

A víruskereső komplex egy olyan vírusirtó készlet, amely ugyanazt a vírusirtó kernelt vagy kerneleket használja, és amelynek célja a számítógépes rendszerek vírusirtó biztonságának gyakorlati problémáinak megoldása. Az antivírus-komplexum szükségszerűen tartalmaz eszközöket az antivírus-adatbázisok frissítésére is.

Ezenkívül az antivírus-komplexum tartalmazhat viselkedéselemzőket és változás-ellenőrzőket is, amelyek nem használják az antivírus-motort.

A következő típusú víruskereső komplexeket különböztetjük meg:

Víruskereső komplex munkaállomások védelmére
Antivírus komplex a fájlszerverek védelmére
Antivírus komplex a levelező rendszerek védelmére
Antivírus komplex az átjárók védelmére.

Felhő és hagyományos asztali víruskereső: melyiket válassza?

(A Webroot.com erőforrás anyagai alapján)

A víruskereső termékek modern piaca elsősorban az asztali rendszerek hagyományos megoldása, amelyben a védelmi mechanizmusok aláíráson alapuló módszerek alapján épülnek fel. A vírusvédelem alternatív módja a heurisztikus elemzés.

Problémák a hagyományos víruskereső szoftverekkel

Az utóbbi időben a hagyományos víruskereső technológiák egyre kevésbé hatékonyak és számos tényező miatt gyorsan elavultak. Az aláírások által felismert vírusfenyegetések száma már akkora, hogy gyakran irreális feladat az aláírási bázisok időben történő 100% -os frissítésének biztosítása a felhasználói számítógépeken. A hackerek és az internetes bűnözők egyre inkább használják a botneteket és más technológiákat a nulla napos vírusfenyegetések terjedésének felgyorsítására. Ezenkívül a megfelelő vírusok aláírása nem jön létre célzott támadások során. Végül új technológiákat alkalmaznak az antivírus-észlelés leküzdésére: rosszindulatú programok titkosítása, polimorf vírusok létrehozása a szerver oldalon, a vírustámadások minőségének előzetes tesztelése.

A hagyományos vírusvédelem legtöbbször a "vastag kliens" architektúrára épül. Ez azt jelenti, hogy nagy mennyiségű kód van telepítve az ügyfél számítógépére. Ellenőrzi a bejövő adatokat és felismeri a vírusfenyegetéseket.

Ennek a megközelítésnek számos hátránya van. Először is, a rosszindulatú programok keresése és az aláírások összehasonlítása jelentős számítási terhelést igényel, amelyet elvesznek a felhasználótól. Ennek eredményeként a számítógép termelékenysége csökken, és az antivírus munkája időnként megzavarja a párhuzamos alkalmazási feladatok végrehajtását. Néha a felhasználó rendszerének terhelése annyira észrevehető, hogy a felhasználók letiltják a vírusirtó programokat, ezzel eltávolítva a gátat az esetleges vírustámadással szemben.

Másodszor, a felhasználó gépének minden frissítéséhez több ezer új aláírás küldése szükséges. Az átvitt adatok mennyisége általában gépenként napi 5 MB nagyságrendű. Az adatátvitel lelassítja a hálózatot, eltereli a további rendszererőforrásokat, megköveteli a rendszergazdák bevonását a forgalom irányításához.

Harmadszor, a fix munkahelyen barangoló vagy távol tartózkodó felhasználók kiszolgáltatottak a nulla napos támadásoknak. Az aláírások frissített részének fogadásához olyan VPN-hálózathoz kell csatlakozniuk, amely távolról nem érhető el számukra.

Vírusvédelem a felhő ellen

A felhőből történő vírusvédelemre váltáskor a megoldás architektúrája jelentősen megváltozik. A felhasználó számítógépére telepítve van egy "könnyű" kliens, amelynek fő feladata új fájlok keresése, hash értékek kiszámítása és adatok küldése a felhő kiszolgálóra. A felhőben teljes körű összehasonlítást végeznek az összegyűjtött aláírások nagy adatbázisával. Ezt az adatbázist folyamatosan és időben frissítik a vírusirtó vállalatok által továbbított adatok miatt. Az ügyfél jelentést kap az ellenőrzés eredményeiről.

Így a víruskereső felhő architektúrájának számos előnye van:

a felhasználó számítógépén végzett számítások mennyisége elhanyagolhatónak bizonyul egy vastag klienshez képest, ezért a felhasználó termelékenysége nem csökken;
az antivírus-forgalomnak nincs katasztrofális hatása a hálózati sávszélességre: kompakt adatot kell elküldeni, amely csak néhány tíz hash értéket tartalmaz, az átlagos napi forgalom mennyisége nem haladja meg a 120 Kbyte-ot;
a felhőtároló hatalmas aláírási tömböt tartalmaz, sokkal nagyobb, mint a felhasználói számítógépeken tároltak;
A felhőben használt aláírás-összehasonlító algoritmusok lényegesen intelligensebbek, mint a helyi állomás szintjén alkalmazott egyszerűsített modellek, és a nagyobb teljesítmény miatt az adatok összehasonlítása kevesebb időt vesz igénybe;
a felhőalapú vírusirtó szolgáltatások valós adatokkal működnek, amelyeket vírusirtó laboratóriumoktól, biztonsági fejlesztőktől, vállalati és magánfelhasználóktól kapnak; a nulla napos fenyegetéseket a felismerésükkel egyidejűleg blokkoljuk, a felhasználói számítógépekhez való hozzáférés szükségessége által okozott késedelem nélkül;
barangoló vagy fő munkahelyükhöz nem hozzáférő felhasználók az internethez való hozzáféréssel egyidejűleg védelmet kapnak a nulla napos támadások ellen;
csökken a rendszergazdák terhelése: nem kell időt tölteniük a vírusirtó szoftverek telepítésével a felhasználók számítógépein, valamint az aláírási adatbázisok frissítésével.

Miért nem sikerül a hagyományos antivírusok?

A modern rosszindulatú kód:

Megkerüli az antivírusok csapdáit egy speciális célvírus létrehozásával a vállalat számára
Mielőtt az antivírus létrehozna egy aláírást, megkerüli a polimorfizmust, az átkódolást dinamikus DNS és URL-ek használatával

Célzott létrehozás egy vállalat számára
Polimorfizmus
Kód még senki által ismeretlen - nincs aláírás

Nehéz megvédeni

Nagy sebességű vírusirtók 2011-ben

Az orosz független információs és elemző központ, az Anti-Malware.ru, 2011 májusában közzétette a 20 legnépszerűbb antivírus következő összehasonlító tesztjének eredményeit a rendszer erőforrásainak teljesítményére és felhasználására vonatkozóan.

Ennek a tesztnek a célja annak bemutatása, hogy mely személyes vírusirtók gyakorolják a legkevesebb hatást a számítógépen tipikus műveleteket végző felhasználóra, kevésbé lassítják munkáját, és a rendszer erőforrásainak minimális mennyiségét fogyasztják.

A vírusirtók (valós idejű szkennerek) közül egy teljes termékcsoport bizonyított nagyon nagy teljesítményt, többek között: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro és Dr.Web. Ezekkel az antivírusokkal a fedélzeten a tesztgyűjtemény másolásának lassulása kevesebb volt, mint 20% a referenciához képest. A víruskereső a BitDefender, a PC Tools, az Outpost, az F-Secure, a Norton és az Emsisoft 30-50% -os tartományában is jól teljesített. A víruskereső a BitDefender, a PC Tools, az Outpost, az F-Secure, a Norton és az Emsisoft 30-50% -os tartományában is jól teljesített.

Ugyanakkor az Avira, az AVG, a BitDefender, az F-Secure, a G Data, a Kaspersky Anti-Virus, a Norton, az Outpost és a PC Tools valós körülmények között sokkal gyorsabb lehet a későbbi vizsgálatok optimalizálása miatt.

Az Avira antivírus a legjobb keresési sebességet mutatta igény szerint. Kicsit mögötte állt a Kaspersky Anti-Virus, az F-Secure, a Norton, a G Data, a BitDefender, a Kaspersky Anti-Virus és az Outpost. Az első vizsgálat sebességét tekintve ezek az antivírusok csak kissé elmaradnak a vezetőtől, ugyanakkor mindannyian hatékony technológiákkal rendelkeznek az ismételt vizsgálatok optimalizálására az arzenáljukban.

Az antivírus sebességének másik fontos jellemzője, hogy hatással van azoknak az alkalmazásoknak a működésére, amelyekkel a felhasználó gyakran dolgozik. Ötöt választottak ki a tesztre: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader és Adobe Photoshop. Az Eset, a Microsoft, az Avast, a VBA32, a Comodo, a Norton, a Trend Micro, az Outpost és a G Data antivírusok mutatták a legkevesebb lassulást ezen irodai programok elindításában.

BEVEZETÉS

Két évezred fordulóján élünk, amikor az emberiség egy új tudományos és technológiai forradalom korszakába lépett.

1. SZÁMÍTÓGÉPVÍRUSOK, TULAJDONSÁGAIK ÉS OSZTÁLYOZÁS

1.1. A számítógépes vírusok tulajdonságai

1.2. Vírusosztályozás

Jelenleg több mint 5000 szoftvervírus ismert, ezeket a következő kritériumok szerint osztályozhatjuk:

¨ élőhely

¨ az élőhely szennyezésének módja

kitettség

¨ az algoritmus jellemzői

zsinór). Fájl indítása a vírusok megfertőzik a fájlokat és a lemezek indító szektorait egyaránt.

Az expozíció mértéke szerint a vírusok a következő típusokra oszthatók:

¨ veszélyes vírusok, amelyek a számítógép működésének különféle zavaraihoz vezethetnek

¨ nagyon veszélyes, amelynek hatása programok elvesztéséhez, adatok megsemmisüléséhez, információk törléséhez vezethet a lemez rendszerterületein.

2. A VÍRUSOK FŐ TÍPUSAI ÉS MŰKÖDÉSÉNEK RENDSZEREI

A vírusok teljes változatossága közül a következő fő csoportokat lehet megkülönböztetni:

¨ indítható

¨ fájl

¨ file-boot

Most részletesebben ezekről a csoportokról.

2.1. Boot vírusok

Mi történik, amikor bekapcsolja a számítógépet? Először is, az irányítás átkerül indító program amelyet csak olvasható memóriában (ROM) tárolnak, azaz PNZ ROM.

Ez a program teszteli a hardvert, és ha az ellenőrzések sikeresek, megpróbálja megtalálni a hajlékonylemezt az A meghajtóban:

Minden hajlékonylemezt egy ún. szektorok és pályák. Az ágazatokat klaszterekké egyesítik, de ez számunkra lényegtelen.

Tehát a normál bootstrap séma a következő:

Most nézzük meg a vírust. A boot vírusoknál két részt különböztetünk meg - az ún. fej stb. farok... A farok általában véve üres lehet.

Másolja a farok és az eredeti (egészséges) rendszerindítási szektort a kiválasztott lemezterületre

A fejével helyettesíti a rendszerindító szektor indító programját (jelen van)

Szervezi az irányítás átadásának láncolatát a séma szerint.

Így a vírus feje most elsőként szerzi meg az irányítást, a vírus telepítve van a memóriába, és átadja az irányítást az eredeti boot szektornak. A láncban

PNZ (ROM) - PNZ (lemez) - RENDSZER

új link jelenik meg:

PNZ (ROM) - VÍRUS - PNZ (lemez) - RENDSZER

Az erkölcs világos: soha ne hagyja (véletlenül) hajlékonylemezeket az A meghajtóban.

Megvizsgáltuk a hajlékonylemezek rendszerindító szektoraiban élő egyszerű törmelék vírus működésének sémáját. Általános szabály, hogy a vírusok nemcsak a hajlékonylemezek indítószektorait képesek megfertőzni, hanem a merevlemezek rendszerindító szektorait is. A hajlékonylemezektől eltérően azonban a merevlemez kétféle rendszerindítási szektorral rendelkezik, amelyek vezérelt rendszerindító programokat tartalmaznak. Amikor a számítógép a merevlemezről indul, az MBR (Master Boot Record) rendszerindító program veszi át először az irányítást. Ha a merevlemez több partícióra van felosztva, akkor csak az egyiket jelölte meg bootként. Az MBR rendszerindító programja megtalálja a merevlemez indító partícióját, és átadja a vezérlést az adott partíció indító programjának. Ez utóbbi kódja megegyezik a rendes hajlékonylemezeken található bootstrap program kódjával, és a megfelelő indítási szektorok csak a paramétertáblákban különböznek egymástól. A merevlemezen tehát két indító vírus támadásának objektuma van - boot program in MBRés kezdeti program boot szektor letöltések indítólemez.

2.2. Fájl vírusok

Vizsgáljuk meg most, hogyan működik egy egyszerű fájl vírus. A rendszerindító vírusokkal ellentétben, amelyek szinte mindig memória rezidensek, a fájlvírusok nem feltétlenül memória rezidensek. Vizsgáljuk meg a nem memória-rezidens fájlvírus működési sémáját. Tegyük fel, hogy van egy fertőzött futtatható fájlunk. Egy ilyen fájl indításakor a vírus megszerzi az irányítást, végrehajt bizonyos műveleteket és átadja az irányítást a „master” -nek (bár egyelőre nem tudni, ki a master ilyen helyzetben).

Mit csinál a vírus? Új fertőzött objektumot keres - egy megfelelő típusú fájlt, amelyet még nem fertőzött meg (abban az esetben, ha a vírus "tisztességes", különben vannak olyanok, amelyek azonnal, semmilyen ellenőrzés nélkül fertőznek). Egy fájl megfertőzésével a vírus befecskendezi magát a kódjába, hogy megszerezhesse az irányítást a fájl futtatásakor. Fő funkciója - a szaporodás - mellett a vírus valami bonyolult dolgot is elvégezhet (mondjuk, kérdezhet, játszhat) - ez már a vírus szerzőjének fantáziájától függ. Ha a fájlvírus memóriaterületű, akkor a memóriába kerül, és megfertőzheti a fájlokat, és más képességeket jeleníthet meg nemcsak a fertőzött fájl futása közben. A futtatható fájl megfertőzésével a vírus mindig megváltoztatja a kódját - ezért a futtatható fájl fertőzése mindig kimutatható. De a fájl kódjának megváltoztatásával a vírus nem feltétlenül hajt végre más változtatásokat:

à nem köteles megváltoztatni az irat hosszát

à nem használt kódrészek

à nem köteles megváltoztatni a fájl elejét

Végül a fájlvírusokat gyakran vírusoknak nevezik, amelyek „köze van a fájlokhoz”, de nem kell beágyazniuk a kódjukba. Vegyük példaként a jól ismert Dir-II család vírusainak működését. El kell ismerni, hogy ezek a vírusok, miután 1991-ben megjelentek, egy igazi pestisjárvány okozói lettek Oroszországban. Vegyünk egy modellt, amely egyértelműen megmutatja a vírus fő gondolatát. A fájlokkal kapcsolatos információkat könyvtárak tárolják. Minden könyvtárbejegyzés tartalmazza a fájl nevét, a létrehozás dátumát és idejét, néhány további információt, első klaszter száma fájl stb. tartalék bájtok... Ez utóbbiak "tartalékban" maradnak, és maga az MS-DOS nem használja őket.

A fájlok indításakor a rendszer beolvassa a fájl első fürtjét a könyvtár bejegyzésből, majd az összes többi fürtöt. A Dir-II vírusok a fájlrendszer következő "átszervezését" hajtják végre: a vírus maga írja be néhány szabad lemez szektorba, amelyeket rossznak jelöl. Ezenkívül tartalék bitekben tárolja a futtatható fájlok első fürtjeiről szóló információkat, és ezekre az információkra önmagára ír hivatkozásokat.

Így amikor bármilyen fájlt elindítanak, a vírus átveszi az irányítást (az operációs rendszer maga indítja el), telepíti magát a memóriába és átadja az irányítást a hívott fájlnak.

2.3. Rendszerindító fájl vírusok

Nem vesszük figyelembe a boot-file vírus modelljét, mert nem fog megtudni semmilyen új információt. De itt egy jó alkalom, hogy röviden megvitassuk a rendkívül népszerű "OneHalf" boot / file vírust, amely megfertőzi a master boot szektort (MBR) és a futtatható fájlokat. A fő pusztító akció a merevlemez-szektorok titkosítása. Minden alkalommal, amikor elindul, a vírus titkosítja a szektorok következő részét, és miután a merevlemez felét titkosította, boldogan tájékoztat róla. A vírus kezelésének legfőbb problémája az, hogy nem elég csak eltávolítani a vírust az MBR-ből és a fájlokból, hanem meg kell oldani az általa titkosított információkat. A leghalálosabb akció egy egészséges, új MBR egyszerű átírása. A lényeg, hogy ne essen pánikba. Mérjen meg mindent nyugodtan, konzultáljon szakértőkkel.

2.4. Polimorf vírusok

A legtöbb kérdés a "polimorf vírus" kifejezéssel kapcsolatos. Ez a fajta számítógépes vírus tűnik ma a legveszélyesebbnek. Magyarázzuk el, mi ez.

A polimorf vírusok olyan vírusok, amelyek úgy módosítják kódjukat a fertőzött programokban, hogy ugyanazon vírus két példánya nem egyezhet meg egyetlen bitben.

Az ilyen vírusok nemcsak titkosítják kódjukat különféle titkosítási útvonalak segítségével, hanem tartalmazzák a titkosító és a dekódoló generáló kódot is, amely megkülönbözteti őket a hagyományos titkosító vírusoktól, amelyek kódjuk egy részét is képesek titkosítani, ugyanakkor állandó titkosítással és dekódolóval rendelkeznek. kód.

A polimorf vírusok önmódosító dekódolók. A titkosítás célja: a fertőzött és eredeti fájlok birtokában még mindig nem lehet elemezni a kódját a szokásos szétszereléssel. Ez a kód titkosított, és értelmetlen parancskészlet. A visszafejtést maga a vírus hajtja végre futás közben. Ebben az esetben lehetségesek a lehetőségek: egyszerre tudja visszafejteni magát, vagy "útközben" végre tud hajtani egy ilyen visszafejtést, újra kódolhatja a már használt szakaszokat. Mindez azért történik, hogy megnehezítse a víruskód elemzését.

3. A SZÁMÍTÓGÉPES VIRUSZTOLÓGIA TÖRTÉNETE ÉS A VÍRUSOK MEGJELENÉSÉNEK OKAI

A számítógépes virológia története ma úgy tűnik, hogy állandó "verseny a vezetőért", és a modern víruskereső programok minden ereje ellenére a vírusok a vezetők. A vírusok ezrei közül csak néhány tucat eredeti fejlesztés, amely valóban alapvetően új ötleteket használ fel. Az összes többi "variáció egy témához". De minden eredeti fejlesztés arra kényszeríti az antivírus készítőit, hogy alkalmazkodjanak az új körülményekhez, hogy utolérjék a vírustechnológiát. Ez utóbbi vitatható. Például 1989-ben egy amerikai hallgatónak sikerült létrehoznia egy vírust, amely letiltotta az Egyesült Államok Védelmi Minisztériumának mintegy 6000 számítógépét. Vagy a híres Dir-II vírus járványa, amely 1991-ben tört ki. A vírus valóban eredeti, alapvetően új technológiát alkalmazott, és a hagyományos víruskereső eszközök tökéletlensége miatt eleinte széles körben el tudott terjedni.

Vagy a számítógépes vírusok terjedése az Egyesült Királyságban: Christopher Pine-nek sikerült létrehoznia a Pathogen és a Queeq vírusokat, valamint a Smeg vírust. Ez volt az utolsó, amely a legveszélyesebb, alkalmazható az első két vírusra, és emiatt a program minden egyes futtatása után megváltoztatták a konfigurációt. Ezért lehetetlen volt megsemmisíteni őket. A vírusok terjesztése érdekében a Pine számítógépes játékokat és programokat másolt, fertőzött meg, majd visszaküldte őket online. A felhasználók fertőzött programokat töltöttek le számítógépeikre és fertőzött lemezeikre. A helyzetet súlyosbította, hogy a Pine-nek sikerült vírusokat bevezetnie a velük küzdő programba. Elindításával a felhasználók a vírusok megsemmisítése helyett újabbat kaptak. Ennek eredményeként sok vállalat aktái megsemmisültek, a veszteségek millió fontot tettek ki.

Az amerikai programozó, Morris széles körben ismert. A vírus létrehozójaként ismert, amely 1988 novemberében mintegy 7000, az internethez csatlakozó személyi számítógépet fertőzött meg.

A számítógépes vírusok megjelenésének és elterjedésének okai egyrészt az emberi személyiség pszichológiájában és annak árnyoldalaiban rejlenek (irigység, bosszú, ismeretlen alkotók hiúsága, képességeik konstruktív alkalmazásának képtelensége), másrészt másrészt a hardveres védelem hiánya és a műtőből történő ellensúlyozás következménye.

4. A VÍRUSOK MŰKÖDÉSE A SZÁMÍTÓGÉPBEN ÉS A VÍRUS PROGRAMOK ELOSZTÁSÁNAK MECHANIZMUSA

A vírusok számítógépbe jutásának fő módja az eltávolítható lemezek (hajlékonylemez és lézer), valamint a számítógépes hálózatok. A merevlemez vírusfertőzés akkor fordulhat elő, amikor egy programot vírust tartalmazó hajlékonylemezről tölt be. Az ilyen fertőzés véletlenszerű is lehet, például, ha a lemezt nem távolítják el az A meghajtóból, és a számítógépet újraindítják, miközben előfordulhat, hogy a lemez nem egy rendszerlemez. A hajlékonylemez megfertőzése sokkal könnyebb. A vírus akkor is bekerülhet rá, ha egy hajlékonylemezt egyszerűen behelyeznek a fertőzött számítógép hajlékonylemezébe, és például elolvassa annak tartalomjegyzékét.

A vírusok általában úgy kerülnek be a munkaprogramba, hogy amikor elindul, akkor először átkerül az irányítás rá, és csak az összes parancs végrehajtása után tér vissza a munkaprogramba. Miután hozzáférést kapott az irányításhoz, a vírus először felülírja magát egy másik munkaprogramba, és megfertőzi. A vírust tartalmazó program elindítása után lehetővé válik más fájlok megfertőzése. A leggyakoribb vírus az EXE, COM, SYS, BAT kiterjesztéssel fertőzi meg a lemezindító szektort és a futtatható fájlokat. A szöveges fájlokat ritkán fertőzik meg.

A program megfertőzése után a vírus valamilyen szabotázst hajthat végre, nem túl súlyos, hogy ne vonzza a figyelmet. És végül ne felejtse el visszatérni az irányításhoz ahhoz a programhoz, amelyből elindították. A fertőzött programok minden végrehajtása a vírust átviszi a következőre. Így minden szoftver megfertőződik.

A számítógépes program vírussal történő megfertőzésének szemléltetése érdekében célszerű a lemezmemóriát egy régimódi archívumhoz hasonlítani, amelyben mappák vannak a szalagon. A mappák programokat tartalmaznak, és a vírus bevezetésének műveletsorozata ebben az esetben így fog kinézni (lásd 1. függelék)

5. A VÍRUSOK MEGJELENÉSÉNEK JELEI

Amikor egy számítógép vírussal fertőződik meg, fontos annak felderítése. Ehhez tudnia kell a vírusok megnyilvánulásának fő jeleiről. Ezek a következők:

¨ a korábban sikeresen működő programok befejezése vagy helytelen működése

¨ lassú számítógép teljesítmény

¨ képtelen elindítani az operációs rendszert

¨ a fájlok és könyvtárak eltűnése vagy azok tartalmának torzulása

¨ módosítsa a fájl módosításának dátumát és idejét

Files fájlok átméretezése

¨ a lemezen lévő fájlok számának váratlan jelentős növekedése

¨ a szabad RAM méretének jelentős csökkenése

Unexpected váratlan üzenetek vagy képek megjelenítése

Unexpected váratlan hangjelzések adása

¨ a számítógép gyakori lefagyása és összeomlása

Meg kell jegyezni, hogy a fenti jelenségeket nem feltétlenül vírus jelenléte okozza, hanem más okok is. Ezért mindig nehéz helyesen diagnosztizálni a számítógép állapotát.

6. VÍRUSFELTÉTEL, VÉDELMI ÉS MEGELŐZÉSI INTÉZKEDÉSEK

6.1. Hogyan lehet kimutatni egy vírust ? Hagyományos megközelítés

Tehát egy bizonyos vírusíró vírust hoz létre, és elindítja az "életbe". Egy ideig szabadon járhat, de előbb-utóbb a "lafa" véget ér. Valaki gyanítja, hogy valami nincs rendben. A vírusokat általában a hétköznapi felhasználók észlelik, akik bizonyos rendellenességeket észlelnek a számítógép viselkedésében. Ők a legtöbb esetben nem képesek önmagukban megbirkózni a fertőzéssel, de ezt nem követelik meg tőlük.

Csak arra van szükség, hogy a vírus a lehető leghamarabb a szakemberek kezébe kerüljön. A szakemberek meg fogják vizsgálni, megtudják, „mit csinál”, „hogyan csinálja”, „mikor csinálja” stb. Az ilyen munka során összegyűjtik az összes szükséges információt egy adott vírusról, különösen vírus aláírást osztanak ki - bájtsorozat, amely egészen határozottan jellemzi. Az aláírás összeállításához általában a víruskód legfontosabb és legjellemzőbb szakaszait veszik figyelembe. Ugyanakkor világossá válnak a vírus működésének mechanizmusai, például indító vírus esetén fontos tudni, hogy hol rejtette el a farkát, hol található az eredeti rendszerindító szektor, illetve egy fájl vírus, a fájl megfertőzésének módja. A kapott információk segítségével megtudhatja:

Hogyan lehet felismerni egy vírust, ehhez meg kell határozni az aláírások keresésének módszereit egy vírustámadás lehetséges objektumaiban - fájlok és / vagy indító szektorok vannak meghatározva

Hogyan lehet semlegesíteni a vírust, ha lehetséges, algoritmusokat dolgoznak ki a víruskód eltávolítására a fertőzött objektumokról

6.2. Vírusfelderítő és védelmi programok

A számítógépes vírusok felderítésére, eltávolítására és az ellenük való védelemre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok felderítését és megsemmisítését. Ilyen programokat hívnak víruskereső . A víruskereső programok a következő típusok:

Detektor programok

· Programoz-orvosok vagy fágok

Könyvvizsgálói programok

Szűrés programok

Vakcinaprogramok vagy immunizálók

Detektor programok egy adott vírusra jellemző aláírást keresnek a RAM-ban és a fájlokban, és ha észlelik, kiadnak egy megfelelő üzenetet. Az ilyen víruskereső programok hátránya, hogy csak olyan vírusokat találnak meg, amelyekről az ilyen programok fejlesztői ismertek.

Orvos programok vagy fágok, továbbá vakcinaprogramok nemcsak vírusokkal fertőzött fájlokat talál meg, hanem "gyógyítja" őket, azaz. távolítsa el a vírusprogram törzsét a fájlból, és állítsa vissza a fájlokat az eredeti állapotukba. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítve őket, és csak ezután folytatják a fájlok "gyógyítását". A fágok közül megkülönböztetik a polifágokat, azaz Orvos programok, amelyek nagyszámú vírus keresésére és megsemmisítésére készültek. Közülük a leghíresebbek: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Tekintettel arra, hogy folyamatosan új vírusok jelennek meg, a detektoros és az orvosos programok gyorsan elavultak, és rendszeres verziófrissítésre van szükség.

Könyvvizsgálói programok a vírusok elleni védelem legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógépet nem fertőzte meg vírus, majd rendszeresen, vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredetivel. Az észlelt változások megjelennek a monitor képernyőn. Általános szabály, hogy az állapotokat azonnal összehasonlítják az operációs rendszer betöltése után. Összehasonlításkor ellenőrizzük a fájl hosszát, a ciklikus vezérlőkódot (a fájl ellenőrző összegét), a módosítás dátumát és idejét, valamint az egyéb paramétereket. Az ellenőrző programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még a vírus által bevezetett változásoktól is megtisztíthatják a program ellenőrzött verziójának változásait. Az Oroszországban széles körben alkalmazott Adinf program az egyik auditor program.

Szűrők vagy "Őr" kicsi rezidens programok, amelyek a vírusokra jellemző gyanús műveletek észlelésére szolgálnak a számítógép működése során. Ilyen műveletek lehetnek:

Megpróbálja kijavítani a fájlokat COM, EXE kiterjesztéssel

A fájlattribútumok módosítása

Közvetlen írás lemezre abszolút címen

Írás a lemez indító szektoraiba

Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, a „watchman” üzenetet küld a felhasználónak, és felajánlja a megfelelő művelet tiltását vagy engedélyezését. A szűrők azért hasznosak, mert a vírust a létezésének legkorábbi szakaszában, még a szaporodása előtt képesek felismerni. A fájlokat és lemezeket azonban nem "gyógyítják". A vírusok megsemmisítéséhez más programokat kell használnia, például a fágokat. A felügyeleti programok hátrányai közé tartozik a "tolakodó képességük" (például folyamatosan figyelmeztetnek egy futtatható fájl másolására irányuló kísérleteket), valamint más szoftverekkel való esetleges ütközések. Szűrőprogramra példa az MS DOS segédprogram csomagban található Vsafe program.

Védőoltások vagy immunizálók olyan TSR programok, amelyek megakadályozzák a fájlfertőzéseket. Vakcinákat használnak, ha nincsenek olyan orvos programok, amelyek "kezelik" ezt a vírust. Oltás csak ismert vírusok ellen lehetséges. A vakcina oly módon módosítja a programot vagy a lemezt, hogy az ne befolyásolja a munkájukat, és a vírus fertőzöttnek fogja fel őket, ezért nem kerül bevezetésre. Az oltóprogramok jelenleg korlátozottan használhatók.

A vírusokkal fertőzött fájlok és lemezek időben történő felismerése, az egyes számítógépeken észlelt vírusok teljes megszüntetése segít elkerülni a vírusok kitörését más számítógépekre.

6.3. Alapvető vírusvédelmi intézkedések

Annak érdekében, hogy ne tegye ki számítógépét vírusfertőzésnek, és biztosítsa az adatok megbízható tárolását a lemezeken, a következő szabályokat kell betartani:

¨ szerelje fel számítógépét modern víruskereső programokkal, például Aidstest, Doctor Web, és folyamatosan frissítse verzióikat

¨ mielőtt más számítógépeken rögzített információkat olvasna le a hajlékonylemezről, mindig ellenőrizze ezeket a hajlékonylemezeket vírusok ellen, futtatva a víruskereső programokat

¨ a tömörített fájlok számítógépre történő átvitele után azonnal ellenőrizze őket, miután kibontotta őket a merevlemezről, és a szkennelési területet csak az újonnan írt fájlokra korlátozza.

¨ rendszeresen ellenőrizze a számítógép merevlemezeit, hogy vannak-e rajta vírusok: víruskereső programok futtatásával tesztelje a fájlokat, a memóriát és a lemezterületeket írásvédett lemezről, miután az operációs rendszert korábban írásvédett lemezről töltötte

¨ mindig védje meg a hajlékonylemezeket az írástól, ha más számítógépeken dolgozik, ha azok nem írnak információkat

¨ mindenképpen készítsen archív másolatokat az Ön számára értékes információkról a hajlékonylemezeken

¨ az operációs rendszer bekapcsolásakor vagy újraindításakor ne hagyjon hajlékonylemezeket az A hajlékonylemez meghajtó zsebében, hogy elkerülje a számítógépet rendszerindító vírusokkal.

-Használjon vírusirtó programokat a számítógépes hálózatokról kapott összes futtatható fájl bejövő vezérléséhez

¨ az Aidstest és a Doctor Web használatának biztonságosabbá tétele érdekében kombinálni kell az Adinf lemezellenőrző napi használatával

KÖVETKEZTETÉS

Tehát sok olyan tényt idézhetünk, amelyek azt mutatják, hogy az információforrást fenyegető veszély nap mint nap növekszik, és pánikba sodorják a bankok, vállalkozások és vállalatok felelős személyeit szerte a világon. Ez a fenyegetés pedig olyan számítógépes vírusokból származik, amelyek eltorzítják vagy elpusztítják a létfontosságú, értékes információkat, amelyek nemcsak pénzügyi veszteségekhez, hanem emberi veszteségekhez is vezethetnek.

Számítógépes vírus - egy speciálisan írt program, amely spontán módon csatlakozhat más programokhoz, másolatokat készíthet magáról, és beágyazhatja őket fájlokba, a számítógépes rendszerterületekbe és a számítógépes hálózatokba a programok működésének megzavarása, a fájlok és könyvtárak károsítása érdekében, mindenféle interferenciát okozhat a számítógép működése.

Jelenleg több mint 5000 szoftvervírus ismert, amelyek száma folyamatosan növekszik. Vannak olyan esetek, amikor oktatóanyagok készültek a vírusok írásának elősegítésére.

A vírusok fő típusai: boot, file, file-boot. A legveszélyesebb vírustípus polimorf.

A számítógépes virológia történetéből egyértelműen kitűnik, hogy minden eredeti számítógépes fejlesztés arra kényszeríti a vírusirtókat, hogy alkalmazkodjanak az új technológiákhoz és folyamatosan javítsák a víruskereső programokat.

A vírusok megjelenésének és elterjedésének okai egyrészt az emberi pszichológiában rejlenek, másrészt az operációs rendszer védelmének hiányával.

A vírusok behatolásának fő útjai az eltávolítható lemezek és a számítógépes hálózatok. Ennek elkerülése érdekében kövesse a védőintézkedéseket. A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védelemre számos speciális programot, úgynevezett antivírus programokat fejlesztettek ki. Ha mégis talál egy vírust a számítógépén, akkor a hagyományos megközelítés szerint jobb, ha szakembert hív fel, hogy kiderítse tovább.

De a vírusok néhány tulajdonsága még a szakértőket is elkápráztatja. Egészen a közelmúltig nehéz volt elképzelni, hogy a vírus túlélheti a hideg indítást, vagy dokumentumfájlokon keresztül terjedhet. Ilyen körülmények között nem lehet fontosnak tekinteni a felhasználók legalább kezdeti vírusirtó oktatását. A probléma teljes komolysága ellenére egyetlen vírus sem okozhat annyi kárt, mint egy elfehéredett felhasználó remegő kézzel!

Így, a számítógépek egészsége, az adatok biztonsága a kezedben van!

Bibliográfiai lista

1. Informatika: Tankönyv / szerk. Prof. N.V. Makarova. - M.: Pénzügy és statisztika, 1997.

2. Titkok és szenzációk enciklopédiája / Készült. szöveg: Yu.N. Petrov. - Minszk: Irodalom, 1996.

3. Bezrukov N.N. Számítógépes vírusok. - M.: Nauka, 1991.

4. Mostovoy D.Yu. A vírusok elleni küzdelem modern technológiái // A PC világa. - 8. sz. - 1993.

A modern személyi számítógép felhasználói szabadon hozzáférhetnek a gép összes erőforrásához. Ez nyitotta meg annak a veszélyét, amelyet számítógépes vírusnak neveztek.

A számítógépes vírus egy speciálisan írt program, amely spontán módon kapcsolódhat más programokhoz, másolatokat készíthet magáról, és beillesztheti fájlokba, a számítógépes rendszerterületekbe és a számítógépes hálózatokba a programok működésének megzavarása, a fájlok és könyvtárak károsítása érdekében. mindenféle interferenciát okozhat a számítógépen. A környezettől függően a vírusok feloszthatók hálózati, fájl, indító, indító, makró vírusokra és trójaiakra.

Hálózati vírusok elterjedt a különböző számítógépes hálózatokon.
Fájl vírusok főleg futtatható modulokba vannak beágyazva. A fájlvírusok más típusú fájlokba is beinjektálhatnak, de általában az ilyen fájlokba rögzítve soha nem kapják meg az irányítást, ezért elveszítik a replikációs képességüket.
Boot vírusok be vannak ágyazva a lemez indító szektorába (Boot szektor) vagy a rendszer lemez indító programját (Master Boot Record) tartalmazó szektorba.
Fájl indító vírusok megfertőzni a fájlokat és a lemezindító szektorokat egyaránt.
Macrovírusok magas szintű nyelveken íródnak, és megfertőzik olyan alkalmazások dokumentumfájljait, amelyek beépített automatizálási nyelvekkel (makró nyelvekkel) rendelkeznek, például a Microsoft Office család alkalmazásai.
Trójaiak Hasznos programnak álcázva a vírusok számítógépes fertőzését okozzák.

A számítógépes vírusok felderítésére, eltávolítására és az ellenük való védelemre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok felderítését és megsemmisítését. Az ilyen programokat vírusirtó programoknak nevezzük. A következő típusok vannak víruskereső szoftver:

- detektor programok;
- programok-orvosok vagy fágok;
- könyvvizsgálói programok;
- szűrő programok;
- vakcinaprogramok vagy immunizálók.

Detektor programok egy adott vírusra jellemző aláírást keresnek a RAM-ban és a fájlokban, és ha észlelik, kiadnak egy megfelelő üzenetet. Az ilyen víruskereső programok hátránya, hogy csak olyan vírusokat találnak meg, amelyeket az ilyen programok fejlesztői ismernek.

Orvos programok vagy fágok, és vakcinaprogramok nemcsak megtalálja a vírusokkal fertőzött fájlokat, hanem "meg is gyógyítja" őket, vagyis törli a vírusprogram törzsét a fájlból, visszaállítva a fájlokat az eredeti állapotukba. Munkájuk elején a fágok vírusokat keresnek a RAM-ban, megsemmisítve őket, és csak ezután folytatják a fájlok "gyógyítását". A fágok között vannak polifágok, azaz orvosprogramok, amelyek nagyszámú vírus keresésére és megsemmisítésére készültek. Közülük a leghíresebb: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

Annak a ténynek köszönhetően, hogy folyamatosan megjelennek az új vírusok, a detektor programok és az orvos programok gyorsan elavulnak, és rendszeres verziófrissítésre van szükség.

Könyvvizsgálói programok a vírusok elleni védelem legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógépet nem fertőzte meg vírus, majd rendszeresen, vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredetivel. Az észlelt változások megjelennek a monitor képernyőn. Általános szabály, hogy az állapotokat azonnal összehasonlítják az operációs rendszer betöltése után. Összehasonlításkor ellenőrizzük a fájl hosszát, a ciklikus vezérlőkódot (a fájl ellenőrző összegét), a módosítás dátumát és idejét, valamint az egyéb paramétereket. Az auditor programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, sőt megkülönböztethetik a program ellenőrzött verziójának változásait a vírus által végrehajtottaktól. A széles körben használt program a Kaspersky Monitor egyike az audit programoknak.

Szűrők vagy "őrszemek" olyan kicsi rezidens programok, amelyek a vírusokra jellemző gyanús cselekmények észlelésére szolgálnak a számítógép működése során. Ilyen műveletek lehetnek:

- megpróbálja kijavítani a fájlokat COM kiterjesztéssel. ALKALMAZÁS;
- a fájl attribútumainak megváltoztatása;
- közvetlen írás lemezre abszolút címen;
- írás a lemez indító szektoraiba;

A vírusok megsemmisítéséhez más programokat kell használnia, például a fágokat. A felügyeleti programok hátrányai közé tartozik a "tolakodó képességük" (például folyamatosan figyelmeztetnek egy futtatható fájl másolására irányuló kísérleteket), valamint más szoftverekkel való esetleges ütközések.

Vakcinák vagy immunizáló szerek Rezidens programok. a fájlfertőzés megelőzése. Vakcinákat használnak, ha nincsenek olyan orvos programok, amelyek "kezelik" ezt a vírust. Oltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a munkájukat, és a vírus fertőzöttnek fogja fel őket, ezért nem kerül be. Az oltóprogramok jelenleg korlátozottan használhatók.