Menu
Jest wolny
Zameldować się
główny  /  Problemy / Klasyfikacja programów antywirusowych. Klasyfikacja wirusów komputerowych i programów antywirusowych

Klasyfikacja programów antywirusowych. Klasyfikacja wirusów komputerowych i programów antywirusowych

Wprowadzenie

Żyjemy na skrzyżowaniu dwóch tysiącleci, kiedy ludzkość zawarła w erze nowej rewolucji naukowej i technicznej.

Pod koniec XX wieku ludzie zdobyli wiele tajemnic transformacji substancji i energii oraz udało się wykorzystać te wiedzę, aby poprawić swoje życie. Ale oprócz substancji i energii w życiu osoby, inny komponent odgrywa ogromną rolę. Są to szeroką gamę informacji, wiadomości, wiadomości, wiedzy, umiejętności.

W środku naszego wieku pojawiły się specjalne urządzenia - wystąpiły komputery zorientowane na pamięć i konwersja informacyjna oraz rewolucja komputerowa.

Dziś, ogromne wykorzystanie komputerów osobistych, niestety okazał się powiązany z pojawieniem się wirusami samobieżnowymi, uniemożliwiając normalne działanie komputera, który zniszczy strukturę plików dysków i uszkodzić informacje przechowywane w komputerze.

Pomimo przepisów zwalczania przestępstw komputerowych przyjętych w wielu krajach i rozwój specjalnej ochrony programu przed wirusami, liczba nowych wirusów oprogramowania stale rośnie. Wymaga to komputera osobistego wiedzy na temat charakteru wirusów, sposobów na infekcję wirusów i ochrony przed nimi. Służył jako zachęta do wyboru tematu mojej pracy.

Chodzi o to, że mówię w moim abstrakcie. Pokazuję główne rodzaje wirusów, biorąc pod uwagę schematy ich funkcjonowania, przyczyny ich wyglądu i ścieżki penetracji do komputera, a także oferować środki w celu ochrony i zapobiegania.

Celem pracy jest zapoznanie użytkownika z podstaw wirusów komputerowych, aby nauczyć wykrywać wirusy i radzić sobie z nimi. Metoda pracy - analiza wydruków na tym temacie. Przede mną było trudne zadanie - porozmawiać o tym, co było nadal bardzo mało studiowane, a jak to się stało - osądzić cię.

1. Wirusy komputerowe, ich właściwości I klasyfikacja

1.1. Właściwości wirusów komputerowych

Komputery osobiste są teraz używane, w których użytkownik ma bezpłatny dostęp do wszystkich zasobów maszyny. Jest to dokładnie szansa na niebezpieczeństwo, które otrzymało nazwę wirusa komputerowego.

Jaki jest wirus komputerowy? Formalna definicja tej koncepcji nadal nie jest wymyślona, \u200b\u200ba istnieją poważne wątpliwości, że można go podać. Liczne próby przekazania "nowoczesnej" definicji wirusa nie prowadziły do \u200b\u200bsukcesu. Aby poczuć złożoność problemu, spróbuj na przykład, aby zdefiniować pojęcie "edytora". Albo pojawi się coś bardzo ogólnego, albo zaczynasz liście wszystkich znanych redaktorów. Oba nie mogą być uważane za dopuszczalne. Dlatego ograniczamy się do rozważenia niektórych właściwości wirusów komputerowych, które pozwalają nam mówić o nich jako określoną klasę programu.

Przede wszystkim wirus jest programem. Takie proste stwierdzenie samo w sobie jest w stanie rozwiać wiele legend na niezwykłych możliwościach wirusów komputerowych. Wirus może zmienić obraz na monitorze, ale sam monitor nie może się odwrócić. Legendy wirusów zabójczych "niszcząc operatorzy poprzez wycofanie śmiertelnego zakresu kolorów 25. sceny" nie są również poważnie traktowane. Niestety, niektóre autorytatywne wydania od czasu do czasu publikują "najnowsze wiadomości z frontów komputerowych", które na bliżej, okazują się konsekwencją nie dość jasnego zrozumienia tematu.

Wirus jest programem, który ma zdolność do reprodukcji samodzielnej reprodukcji. Takie umiejętności jest jedynym narzędziem związanym ze wszystkimi typami wirusów. Ale nie tylko wirusy są zdolne do samodzielnej reprodukcji. Każdy system operacyjny i wiele innych programów są w stanie tworzyć własne kopie. Kopie wirusa nie są nie tylko wymagane do pełnego pokrywają się z oryginałem, ale na ogół mogą się z tym pokrywają!

Wirus nie może istnieć w "kompletnej izolacji": Dziś niemożliwe jest wyobrazić wirusa, który nie używa kodu innych programów, informacji o strukturze plików, a nawet nazwy innych programów. Powód jest zrozumiały: wirus powinien w jakiś sposób zapewnić przeniesienie kontroli.

1.2. Klasyfikacja wirusów

Obecnie wiadomo, że więcej niż 5000 wirusów oprogramowania można one sklasyfikować zgodnie z następującymi funkcjami:

¨ siedlisko

¨ Metoda zakażenia siedliskowego

narażenie

¨ Cechy algorytmu

W zależności od środowiska siedliska wirusy można podzielić na sieć, plik, boot i plik. Wirusy sieciowe. Dystrybuuj za pomocą różnych sieci komputerowych. Wirusy plików są zaimplementowane głównie w modułach wykonywalnych, tj. W plikach posiadających rozszerzenia COM i EXE. Wirusy plików. Inne typy plików można wdrożyć, ale zwykle rejestrowane w takich plikach, nigdy nie otrzymują kontroli, a zatem tracą zdolność do rozmnażania. Wirusy rozruchowe są wprowadzane do sektora rozruchowego dysku (sektor rozruchowy) lub do sektora zawierającego program ładowania dysku (Master Boot Re-

sZNUR). Ładowanie plików. Wirusy zainfekują zarówno pliki, jak i sektor rozruchowy dysków.

Przy metodzie zakażenia wirusy są podzielone na rezydent i nierezydenta. Wirus rezydenta Po zainfekowanym (zakażenie), komputer pozostawia jego części zamieszkania w pamięci RAM, która następnie przechwytuje dostęp do systemu operacyjnego do obiektów infekcji (plików, sektorów rozruchowych itp.) I jest wprowadzany do nich. Wirusy rezydenta są w pamięci i są aktywne do zamykania lub ponownego uruchomienia komputera. Wirusy nierezyderyczne Nie infekuj pamięci komputera i są aktywne ograniczony czas.

W zależności od stopnia uderzenia wirusy można podzielić na następujące typy:

¨ niebezpieczeństwoNie zakłócając pracy komputera, ale zmniejsz ilość wolnej pamięci RAM i pamięci na dyskach, działania takich wirusów objawiają się w jakichkolwiek efektach graficznych lub audio

¨ niebezpieczny Wirusy, które mogą prowadzić do różnych zaburzeń w komputerze

¨ bardzo niebezpieczne, którego wpływ może prowadzić do utraty programów, zniszczenia danych, wymazywanie informacji w regionach systemowych dysku.

2. Główne typy wirusów i schematów na ich działanie

Wśród różnych wirusów można wyróżnić następujące główne grupy:

Ładowanie

¨ File.

¨ Boot File

Teraz bardziej szczegółowo o każdej z tych grup.

2.1. Wirusy rozruchowe

Rozważmy schemat funkcjonowania bardzo prostego wirusa startowego, zainfekowania dyskietki. Świadomie wypłacamy wszystkie liczne subtelności, które nieuchronnie spotykają się z ścisłą analizą algorytmu funkcjonowania.

Co się stanie, gdy włączysz komputer? Przede wszystkim sterowanie jest przesyłane program do pobierania podstawowegoktóry jest przechowywany w stale pamięci masowej (ROM) I.e. PNZ ROM.

Ten program testuje sprzęt i pomyślnie wypełnienie czeków próbuje znaleźć dyskietkę w napędzie A:

Wszystkie dyskietki są publikowane na tzw. Sektory i utwory. Sektory są łączone w klastry, ale jest dla nas nieznaczne.

Wśród sektorów istnieje kilka narzędzi używanych przez system operacyjny dla własnych potrzeb (Twoje dane nie mogą być umieszczone w tych sektorach). Wśród sektorów serwisowych nadal jesteśmy zainteresowani jednym - tak zwanym Sektor startowy (Sektor rozruchowy).

W sektorze startowym jest przechowywany informacje o rozdzieleniu - Liczba powierzchni, liczba utworów, liczba sektorów itp. Nie interesują nas te informacje, ale małe podstawowy program pobierania (PNZ), który powinien przesłać sam system operacyjny i przenieść go do kontroli.

W ten sposób normalny diagram startowy jest następujący:

PNZ (ROM) - PNZ (DISC) - System

Teraz rozważ wirus. W wirusach ładowania dwie części są izolowane - tak zwane. głowa i tak zwany ogon. Ogoni, ogólnie rzecz biorąc, może być pusty.

Pozwól nam mieć czystą dyskietkę i zainfekowany komputer, w którym rozumiemy komputer z aktywnym wirusem rezydentem. Gdy tylko ten wirus wykryje, że w napędzie pojawiła się odpowiednia ofiara - w naszym przypadku, a nie zakażony dysk dyskietkowy, przechodzi do infekcji. Infekowanie dyskietki, wirus wytwarza następujące działania:

Wynika, że \u200b\u200bniektóre obszar dyski i zaznacza go jako niedostępny system operacyjny, można to zrobić na różne sposoby, w najprostszym i tradycyjnym przypadku, sektory zaangażowane w wirusa są oznaczone jako nieudane (złe)

Kopiuje Twój ogon i oryginalny (zdrowy) sektor rozruchowy do dedykowanej powierzchni dysku

złośliwy program zakażenia antywirusowego

W przypadku ich udanej pracy wirusy muszą być sprawdzane, jeśli plik jest już zainfekowany (ten sam wirus). Więc unikają samozniszczenia. W tym celu wirusy wykorzystują podpis. Większość zwykłych wirusów (w tym macroviruses) używa symbolicznych podpisów. Bardziej złożone wirusy (polimorficzne) używać podpisów algorytmów. Niezależnie od rodzaju podpisu antywirusowego programów antywirusowych używają ich do wykrywania "zakażeń komputerowych". Po tym program antywirusowy próbuje zniszczyć wykryty wirus. Jednak proces ten zależy od złożoności wirusa i jakości programu antywirusowego. Jak już wspomniano, najtrudniej jest odkryć konie trojańskie i wirusy polimorficzne. Pierwszy z nich nie dodają swojego ciała do programu, ale są wprowadzane w niej. Z drugiej strony programy antywirusowe powinny spędzać dużo czasu na określenie podpisu wirusów polimorficznych. Faktem jest, że ich podpisy zmieniają się przy każdej nowej kopii.

Aby wykryć, usunąć i chronić przed wirusami komputerowymi, istnieją specjalne programy, które nazywane są przeciwwirusowe. Nowoczesne programy antywirusowe są produktami wielofunkcyjnymi łączącymi zarówno środki zapobiegawcze, jak i narzędzia do leczenia wirusów i odzyskiwania danych.

Numer i różnorodność wirusów jest duży, a do szybkiej i skutecznej wykrywania, program antywirusowy musi odpowiedzieć na niektóre parametry:

1. Stabilność i niezawodność pracy.

2. Rozmiar wirusowej bazy danych programu (liczba wirusów, które są odpowiednio określone przez program): Biorąc pod uwagę stały wygląd nowych wirusów, baza danych powinna być regularnie aktualizowana.

3. Możliwość zdefiniowania różnych rodzajów wirusów i zdolność do pracy z plikami różnych typów (archiwa, dokumenty).

4. Obecność monitora rezydenta, który weryfikuje wszystkie nowe pliki "w locie" (czyli automatycznie, gdy piszą na dysku).

5. Prędkość programu, obecność dodatkowych funkcji typu algorytmów do określania nawet nieznanych programów wirusów (skanowanie heurystyczne).

6. Możliwość przywrócenia zainfekowanych plików bez kasowania ich z dysku twardego, ale tylko usuwanie wirusów z nich.

7. Procent fałszywej odpowiedzi programu (błędna definicja wirusa w pliku "czysty").

8. Platforma krzyżowa (dostępność wersji programu do różnych systemów operacyjnych).

Klasyfikacja programów antywirusowych:

1. Detektory programów zapewniają wyszukiwanie i wykrywanie wirusów w pamięci RAM i na mediach zewnętrznych, a po wykryciu omówiono go odpowiednim komunikatem. Odróżnij detektory:

Uniwersalne - wykorzystanie w swojej pracy, aby sprawdzić nieprawidłowe pliki, licząc i porównywanie z odniesieniem sumacji kontrolnej;

Specjalistyczne - wykonaj wyszukiwanie znanych wirusów według ich podpisu (powtarzający się kod kodu).

2. Programy doktora (PHAGE) Nie tylko znajdują pliki zakażone wirusami, ale także "traktowane" je, tj. Usuń korpus programu wirusa z pliku, zwracając pliki do stanu pierwotnego. Na początku swojej pracy fagi szukają wirusów w pamięci RAM, niszcząc je i tylko następnie przejdź do "leczenia" plików. Wśród fagów polifagów są izolowane, tj. Doktor programy zaprojektowane do wyszukiwania i zniszczenia dużej liczby wirusów.

3. Programy audytu należą do najbardziej niezawodnego środka ochrony przed wirusami. Audytorzy pamiętają oryginalny stan programów, katalogów i regionów systemowych płyty, gdy komputer nie jest zainfekowany wirusem, a następnie okresowo lub na żądanie Użytkownika porównuje aktualny stan źródła. Wykryte zmiany są wyświetlane na ekranie monitora.

4. Programy filtrów (Storam) to małe programy rezydenta mające na celu wykrywanie podejrzanych działań podczas pracy na komputerze charakterystycznym wirusów. Takie działania mogą być:

Próbuje poprawić pliki z rozszerzeniami COM i EXE;

Zmiana atrybutów plików;

Bezpośredni rekord na dysk na bezwzględnym adresie;

Nagranie do sektora rozruchowego dysku;

5. Programy szczepionek (immunizery) są programami rezydentnymi, które zapobiegają infekcji plików. Szczepionki są używane, jeśli nie ma programów lekarzy ", uczestnicząc" tego wirusa. Szczepienie jest możliwe tylko ze słynnych wirusów wirusów bezrukowa N. Computer Virology: Podręcznik [Zasób elektroniczny]: http://vx.netlux.org/lib/anb00.html .. \\ t

W rzeczywistości architektura programów antywirusowych jest znacznie bardziej skomplikowana i zależy od konkretnego dewelopera. Jednak jeden fakt jest niepodważalny: wszystkie technologie, o których mówiłem o tym, tak ściśle spodziewać się nawzajem, że czasami niemożliwe jest zrozumienie, gdy inni zaczynają pracować w kursie. Takie interakcje technologii antywirusowych pozwala im być najczęściej stosowane w walce z wirusami. Ale nie zapominaj, że nie ma doskonałej ochrony, a jedynym sposobem ostrzeżenia z takich problemów jest stałe aktualizacje systemu operacyjnego, dobrze dostrojony zaporę, często aktualizowany antywirus, a główną rzeczą - nie do pobierania / pobierz podejrzanych Pliki z Internetu.

Ochrona antywirusowa jest najczęstszym środkiem, aby zapewnić bezpieczeństwo informacyjne infrastruktury w sektorze korporacyjnym. Jednak tylko 74% rosyjskich firm stosuje rozwiązania ochrony antywirusowej, wykazało badanie przeprowadzone przez Kaspersky Lab wspólnie z firmą analityczną B2B International (Autumn 2013).

Raport mówi również, że na tle wybuchowego wzrostu cybergranów, z których firmy są chronione prostymi antywirusami, rosyjski biznes zaczyna coraz częściej korzystać z kompleksowych narzędzi ochrony. Pod wieloma względami z tego powodu zastosowanie szyfrowania danych do nośnika wymiennego (24%) wzrosła o 7%. Ponadto firmy stały się bardziej skłonne odróżnić politykę bezpieczeństwa dla urządzeń wymiennych. Różnica między poziomem dostępu do różnych stron infrastrukturalnych IT (49%) wzrosła (49%). Dzięki tym małym i średnim przedsiębiorstwom zwracają większą uwagę na kontrolę urządzeń wymiennych (35%) oraz kontroli aplikacji (31%).

Naukowcy odkryli również, że pomimo stałego wykrywania nowych luk w programie oprogramowania, rosyjskie firmy nadal nie zwracają uwagi na regularne aktualizacje oprogramowania. Ponadto liczba stałych organizacji mocujących zmniejszyła się w porównaniu do ubiegłego roku i wyniosła tylko 59%.

Nowoczesne programy antywirusowe są w stanie skutecznie wykrywać złośliwe obiekty w ramach plików i dokumentów. W niektórych przypadkach antywirus może usunąć korpus złośliwego obiektu z zainfekowanego pliku, przywrócenie samego pliku. W większości przypadków antywirus jest w stanie usunąć złośliwe oprogramowanie nie tylko z pliku programu, ale także z pliku dokumentu Office bez zakłócania jego integralności. Korzystanie z programów antywirusowych nie wymaga wysokich kwalifikacji i jest dostępny dla niemal dowolnego użytkownika komputera.

Większość programów antywirusowych łączy stałe funkcje ochrony (monitor antywirusowy) i zabezpieczenia na żądanie użytkownika (skaner antywirusowy).

Ocena antywirusowa.

2019: dwie trzecie antywirusów na Androida były bezużyteczne

W marcu 2019 r. Austriackie laboratorium AV-porównawcze specjalizujące się w testowaniu oprogramowania antywirusowego opublikowało wyniki badania, że \u200b\u200bnajbardziej podobne programy dla Androida wykazały.

Tylko 23 antywirusowy umieszczony w oficjalnym katalogu Google Play Store na pewno rozpozna złośliwe programy w 100% przypadków. Reszta oprogramowania nie odpowiada na zagrożenia mobilne lub akceptuje dla nich absolutnie bezpieczne aplikacje.

Eksperci studiowali 250 antywirusy i poinformowali, że tylko 80% z nich może zidentyfikować więcej niż 30% złośliwego oprogramowania. W ten sposób testowano 170 aplikacji. Produkty, które radzą sobie z testami wprowadzone głównie rozwiązania dla dużych producentów, w tym Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro i TrustWave.

W ramach eksperymentu, badacze ustawiają każdą aplikację antywirusową do oddzielnego urządzenia (bez emulatora) i zautomatyzował urządzenia do uruchamiania przeglądarki, załadunku i późniejszej instalacji złośliwego oprogramowania. Każde urządzenie zostało przetestowane przez przykład 2 tysięcy. Najczęstsze wirusy Android w 2018 roku.

Zgodnie z obliczeniami AV-porównawcze, większość rozwiązań antywirusowych Android to podróbki. Dziesiątki aplikacji mają praktycznie identyczny interfejs, a ich twórcy są wyraźnie bardziej zainteresowani wyświetlaniem reklamy niż na piśmie pracującego skanera antywirusowego.

Niektóre antywirusy "patrz" zagrożenie w dowolnej aplikacji, która nie jest zawarta w ich "białej liście". Z tego powodu, w wielu absolutnie anegdicznych przypadkach podnieśli alarm ze względu na ich własne pliki, ponieważ deweloperzy zapomnieli wspomnieć o nich na "białej liście".

2017: Microsoft Security Essentials jest uznawany za jeden z najgorszych antywirusów

W październiku 2017 r. Niemiecki Laboratorium AV-AV opublikował wyniki zintegrowanych testów antywirusowych. Według badania, oprogramowanie do marki Microsoft, zaprojektowane w celu ochrony przed złośliwą aktywnością, prawie gorszą niż wszystkie radzenia sobie z ich obowiązkami.

Zgodnie z wynikami testów prowadzonych w lipcu-sierpień 2017 r. Eksperci z testami AV zwane najlepszym antywirusem dla systemu Windows 7, rozwiązanie zabezpieczenia Internetu Kaspersky Internet, które otrzymały 18 punktów przy ocenie poziomu ochrony, wydajności i łatwości użytkowania.

Trend Micro Internet Security i Bitdefender Internet Security i BitDefender Internet Security wszedł do trzeciej. Na stanowisku produktów innych firm antywirusowych, które wpadły w badanie, możesz nauczyć się z poniższych ilustracji:

Wiele skanerów używa również heurystycznych algorytmów skanowania, tj. Analiza sekwencji poleceń w zweryfikowanym obiekcie, zestaw niektórych statystyk i podejmowania decyzji dla każdego sprawdzanego obiektu.

Skanery można również podzielić na dwie kategorie - uniwersalne i specjalistyczne. Uniwersalne skanery są przeznaczone do wyszukiwania i neutralizacji wszystkich typów wirusów, niezależnie od systemu operacyjnego, do pracy, w której obliczany jest skaner. Specjalistyczne skanery są zaprojektowane, aby zneutralizować ograniczoną liczbę wirusów lub tylko jedną klasę, na przykład wirusy makro.

Skanery są również podzielone na rezydenta (monitory) produkujące skanowanie wlocie i nierezydenta, zapewniając kontrolę systemu tylko na życzenie. Z reguły skanery rezydenta zapewniają bardziej niezawodną ochronę systemu, ponieważ natychmiast reagują na pojawienie się wirusa, podczas gdy skaner nierezydentowy jest w stanie zidentyfikować wirusa tylko podczas jego następnego uruchomienia.

Skanery CRC.

Zasada działania skanerów CRC opiera się na liczeniu CRC-suma (czekodzie) dla sektorów plików / systemów obecnych na dysku. Te sumy CRC są następnie przechowywane w bazie danych antywirusowej, ponieważ jednak niektóre inne informacje: długości plików, ich ostatnie daty modyfikacji itp. Gdy skanery CRC są następnie sprawdzane dane zawarte w bazie danych z faktycznie liczonymi wartościami. Jeśli informacje o pliku zarejestrowane w bazie danych nie pasuje do rzeczywistych wartości, skanery CRC podpisze, że plik został zmieniony lub zainfekowany wirusem.

Skanery CRC nie są w stanie złapać wirusa w czasie jego wyglądu w systemie, i robią to tylko po chwili, po rozprzestrzenianiu się przez wirusa przez komputer. Skanery CRC nie mogą określać wirusa w nowych plikach (w e-mailu, na dyskietkach, w plikach odzyskanych z kopii zapasowej lub po rozpakowaniu plików z archiwum), ponieważ nie ma informacji o tych plikach w bazach danych. Ponadto okresowo wydaje się wirusy, które wykorzystują tę słabość skanerów CRC, tylko nowo utworzone pliki infekują i pozostają dla nich niewidoczne.

Blokery

Blokery antywirusowe są programami rezydentami, przechwytywaniem sytuacji niebezpiecznych wirusów i zgłaszanie tego użytkownikowi. Wywołania niebezpieczeństwem wirusami obejmują otwarcie połączeń do zapisu do plików wykonywalnych, zapisu do sektorów rozruchowych dysków lub MBR Winchester, próby programów pozostają rezydentami itp., To znaczy wzywa, które są charakterystyczne dla wirusów w momentach hodowli.

Zalety blokerów obejmują ich zdolność do wykrywania i zatrzymywania wirusa na najwcześniejszym etapie jego reprodukcji. Wady obejmują istnienie sposobów ochrony blokerów i dużej liczby fałszywych pozytywów.

Immunalizers.

Immunisers są podzielone na dwa typy: immunizatory, które informują zakażenie, a immunalizer blokujący infekcję. Pierwszy zwykle nagrany na końcu plików (w zasadzie wirusa pliku), a gdy plik jest uruchamiany, za każdym razem, gdy sprawdzaj go na zmianie. Wadą takich immunizatorów jest tylko jedna, ale leci: bezwzględna niezdolność do informowania o zakażeniu wirusów stels. Dlatego też takie immunizery, a także blokery, są praktycznie obecnie nie używane.

Drugi typ immunizacji chroni system przed uszkodzeniem wirusa pewnych gatunków. Pliki na dyskach są modyfikowane w taki sposób, że wirus akceptuje je już zainfekowane. Aby chronić przed wirusem rezydentem, program jest wprowadzany przez kopię wirusa. Podczas rozpoczęcia wirus jest na nim natknięty i uważa, że \u200b\u200bsystem jest już zainfekowany.

Ten typ immunizacji nie może być wszechstronny, ponieważ niemożliwe jest immuniowanie plików ze wszystkich znanych wirusów.

Klasyfikacja antywirusów na znaku zmienności czasu

Według Valery Konavsky środki antywirusowe można podzielić na dwie duże grupy - analizując dane i analizowanie procesów.

Analiza danych

Analiza danych obejmuje audytorzy i polifag. Audytorzy analizują konsekwencje wirusów komputerowych i innych szkodliwych programów. Konsekwencje przejawia się w zmieniających się danych, których nie należy zmieniać. Jest to fakt, że zmiany danych są oznaką działań szkodliwych programów z punktu widzenia audytora. Innymi słowy, audytorzy kontrolują integralność danych i fakt naruszenia uczciwości podejmuje decyzję w sprawie obecności szkodliwych programów w środowisku komputerowym.

Polifagi działa inaczej. Na podstawie analizy danych przeznaczają fragmenty złośliwego kodu (na przykład przez podpis), a na tej podstawie zawarł wniosek o obecności szkodliwych programów. Usuwanie lub leczenie danych dotkniętych wirusem umożliwia zapobieganie negatywnym skutkom złośliwego oprogramowania. W związku z tym oparte na analizie w statyce przedstawiono konsekwencje wynikające z dynamiki.

Schemat pracy i audytorów, a polifany są prawie takie same - porównanie danych (lub ich kontrolę) za pomocą jednej lub więcej próbek odniesienia. Dane są porównywane z danymi. W ten sposób, aby znaleźć wirusa na swoim komputerze, musisz już pracować w sprawie konsekwencji swojej działalności. W ten sposób można znaleźć tylko znane wirusy, dla których kodu lub fragmenty podpisu są opisane z wyprzedzeniem. Jest mało prawdopodobne, że taka ochrona może być nazywana niezawodnym.

Analiza procesu

Produkty antywirusowe oparte na analizie procesów pracują w sposób nieco. Analizatory heurystyczne, a także powyższe, analizują dane (na dysku, w kanale, w pamięci itp.). Podstawową różnicą jest to, że analiza przeprowadza się w ramach założenia, że \u200b\u200banalizowany kod nie jest danymi, a dane (w komputerach z danymi architekturą i zespołami w tle - Neuman Data i zespoły są nie do odróżnienia, w związku z tym, gdy analizujesz, jest konieczne do wyznaczenia jednego lub drugiego.)

Analizator heurystyczny przydzielają sekwencję operacji, każdy z nich przypisuje pewną ocenę zagrożenia i w kierunku całości niebezpieczeństwa decyduje, czy ta sekwencja operacji jest częścią złośliwego kodu. Sam kod nie jest wykonywany.

Inny typ antywirusowy, w oparciu o analizę procesów to bloki behawioralne. W takim przypadku podejrzany kod jest wykonywany na etapach do momentu, gdy całość działań zainicjowanych przez kod nie zostanie oceniona jako niebezpieczne (lub bezpieczne) zachowanie. Kod jest częściowo wykonany, ponieważ zakończenie złośliwego kodu można wykryć przez prostsze metody analizy danych.

Technologie wykrywania wirusów.

Technologie stosowane w antywirusie można podzielić na dwie grupy:

  • Technologie analizy sygnału.
  • Technologie analizy probabilistycznej

Technologie analizy sygnału.

Analiza anartana - metoda wykrywania wirusów, która polega na sprawdzeniu obecności wirusów w plikach. Analed Analiza jest najbardziej znaną metodą wykrywania wirusów i jest stosowany w prawie wszystkich nowoczesnych antywirusach. Aby przeprowadzić kontrolę antywirusową, wymagany jest zestaw podpisów wirusowych, który jest przechowywany w bazie danych antywirusowych.

Ze względu na fakt, że analiza podpisu obejmuje sprawdzenie plików do obecności podpisów wirusów, baza antywirusowa wymaga okresowej aktualizacji w celu utrzymania znaczenia antywirusowego. Zasada działania samej analizy podpisu określa również granice swojej funkcjonalności - zdolność do wykrywania już znanych wirusów - przeciwko nowym wirusom skaner podpisowy jest bezsilny.

Z drugiej strony, obecność podpisów wirusów obejmuje możliwość leczenia zainfekowanych plików wykrytych przy użyciu analizy podpisu. Jednakże leczenie jest dopuszczalne nie dla wszystkich wirusów - trojanów i większości robaków nie są podatne na leczenie na ich konstruktywne funkcje, ponieważ jest to solidne moduły utworzone pod kątem uszkodzeń.

Właściwe wdrożenie podpisu wirusa umożliwia wykrywanie znanych wirusów o stu procentach prawdopodobieństwa.

Technologie analizy probabilistycznej

Technologie analizy probabilistycznej z kolei są podzielone na trzy kategorie:

  • Analiza heurystyczna
  • Analiza shanty
  • Analiza kontrolnych sum

Analiza heurystyczna

Analiza heurystyczna - technologia oparta na algorytmach probabilistycznych, którego wynikiem jest identyfikacja podejrzanych obiektów. W procesie analizy heurystycznej struktura plików jest sprawdzana, jego zgodność z szablonami wirusowymi. Najpopularniejszą technologią heurystyczną jest zweryfikowanie zawartości pliku do obecności modyfikacji już znanych podpisów wirusów i ich kombinacji. Pomaga zidentyfikować hybrydy i nowe wersje wcześniej znanych wirusów bez dodatkowej aktualizacji bazy antywirusowej.

Analiza heurystyczna służy do wykrywania nieznanych wirusów, aw rezultacie nie oznacza leczenia. Technologia ta nie jest zdolna do 100% określająca wirusa przed nim, czy nie, i jak każde probabilistyczne algorytm grzechów fałszywych odpowiedzi.

Analiza shanty

Analiza behawioralna jest technologią, w której decyzja o charakterze sprawdzonej obiektu opiera się na analizie operacji wykonanych przez nich. Analiza behawioralna jest bardzo wąsko stosowana w praktyce, ponieważ większość działań charakterystycznych dla wirusów może być wykonywana przez konwencjonalne zastosowania. Korzystne analizatory skryptów i makr otrzymało największą sławę, ponieważ odpowiednie wirusy prawie zawsze wykonują wiele podobnych działań.

Narzędzia ochronne w bios można również przypisać analizatom behawioralnym. Gdy próbujesz wprowadzić zmiany w komputerze MBR, analizator blokuje działanie i wyświetla odpowiednie powiadomienie użytkownika.

Ponadto analizatory behawioralne mogą śledzić próby bezpośrednio dostępu do plików, wprowadzając zmiany na dyskietce rekordu rozruchowego, formatowanie dysków twardych itp.

Analizatory behawioralne nie stosują dodatkowych obiektów, takich jak bazy wirusów, a w rezultacie, w wyniku czego nie można rozróżnić dobrze znanych i nieznanych wirusów - wszystkie podejrzane programy priori są uważane za nieznane wirusy. Podobnie cechy pracy funduszy wdrażających technologie analizy behawioralnej nie oznaczają leczenia.

Analiza kontrolnych sum

Analiza sumy kontrolnej jest sposobem śledzenia zmian w obiektach systemu komputerowego. W oparciu o analizę charakteru zmian - symulowność, masa, identyczne zmiany w długościami plików - można stwierdzić o zakażeniu systemu. Analizatory sum sterowania (zastosowano również nazwę audytorów zmian), ponieważ analizatory behawioralne nie używają dodatkowych obiektów w swojej pracy i zapewniają werdykt na obecność wirusa w systemie wyłącznie metodą oceny ekspertów. Takie technologie są stosowane w skanerach podczas uzyskiwania dostępu - Podczas sprawdzania z pliku, suma kontrolna jest usuwana i umieszczona w pamięci podręcznej, ilość zostanie usunięta ponownie przed sprawdzeniem tego samego pliku, w porównaniu, a w przypadku braku zmian, plik jest uważany za niezakłócony .

Kompleksy antywirusowe.

Kompleks antywirusowy - zestaw antywirusów przy użyciu tego samego rdzenia antywirusowego lub jądra zaprojektowanego w celu rozwiązania problemów praktycznych w celu zapewnienia bezpieczeństwa antywirusowego systemów komputerowych. Kompleks antywirusowy obejmuje również środki aktualizowania baz antywirusowych.

Ponadto kompleks antywirusowy może dodatkowo obejmować analizatory behawioralne i audytorzy zmian, które nie korzystają z rdzenia antywirusowego.

Wyróżnia się następujące typy kompleksów antywirusowych:

  • Kompleks antywirusowy w celu ochrony stacji roboczych
  • Kompleks antywirusowy do ochrony serwerów plików
  • Kompleks antywirusowy do ochrony systemów pocztowych
  • Kompleks antywirusowy do ochrony bramek.

Chmura i tradycyjny desktop antywirus: co do wyboru?

(Na podstawie zasobów Webroot.com)

Nowoczesny rynek antywirusowy jest przede wszystkim tradycyjnym rozwiązaniami dla systemów pulpitu, mechanizmy ochrony, w których są zbudowane na podstawie metod podpisu. Alternatywna metoda ochrony antywirusowej jest stosowanie analizy heurystycznej.

Problemy tradycyjnego oprogramowania antywirusowego

Ostatnio tradycyjne technologie antywirusowe stają się mniej skuteczne, szybko stają się przestarzałe, ze względu na szereg czynników. Liczba zagrożeń wirusowych uznanych przez podpisy są już tak wspaniale, że terminowa aktualizacja bazy danych podpisu na komputerach niestandardowych jest często nierealnym zadaniem. Hakerzy i cyberprzestrzeni są coraz częściej stosując botnety i inne technologie, które przyspieszają rozprzestrzenianie się zagrożeń wirusów dnia zerowego. Ponadto podczas przeprowadzania ukierunkowanych ataków podpisu odpowiednich wirusów nie są tworzone. Wreszcie stosowane są nowe technologie przeciwdziałania detekcji antywirusowej: szyfrowanie złośliwego oprogramowania, tworzenie wirusów polimorficznych po stronie serwera, wstępnie testowanie jakości ataku wirusowego.

Tradycyjna ochrona antywirusowa jest najczęściej budowana w architekturze "Tolstoy Client". Oznacza to, że kod oprogramowania surround jest zainstalowany na komputerze klienta. Dzięki nim sprawdzenie danych przychodzących i wykryty jest obecność zagrożeń wirusowych.

Takie podejście ma wiele niedociągnięć. Po pierwsze, skanowanie w poszukiwaniu złośliwego oprogramowania i porównania podpisów wymaga znaczącego obciążenia obliczeniowego, który "zabiera się" przez użytkownika. W rezultacie, wydajność komputera jest zmniejszona, a działanie antywirusowego jest czasami zakłóca stosowane zadania równolegle. Czasami ładunek systemu użytkownika jest tak zauważalny, że użytkownicy wyłączyli programy antywirusowe, usuwając tym samym barierę przed potencjalnym atakiem wirusowym.

Po drugie, każda aktualizacja na maszynie użytkownika wymaga wysłania tysięcy nowych podpisów. Ilość transmitowanej danych wynosi zwykle około 5 MB dziennie na maszynę. Hamulce transmisji danych Operacja sieci, rozprasza dodatkowe zasoby systemowe, wymaga zaangażowania administratorów systemu do kontrolowania ruchu.

Po trzecie, użytkownicy, którzy w roamingu lub na odległość od stacjonarnego miejsca pracy są bezbronni przed atakami dnia zerowego. Aby uzyskać zaktualizowaną część podpisów, muszą połączyć się z siecią VPN, która jest niedostępna dla nich zdalnie.

Ochrona antywirusowa chmury

Podczas przenoszenia do ochrony antywirusowej z chmury architektura roztworu różni się znacząco. Komputer użytkownika jest zainstalowany klient "Lightweight", który główną funkcją jest wyszukiwanie nowych plików, obliczanie wartości Hash i wysyłanie danych na serwer Cloud. Porównanie na pełną skalę prowadzi się w chmurze wykonanej na dużej bazie zebranych podpisów. Ta baza jest stale iw odpowiednim sposobem na koszt danych transmitowanych przez firmy antywirusowe. Klient otrzymuje raport z wynikami kontroli.

W związku z tym architektura chmury ochrony przeciwwirusowej ma wiele zalet:

  • ilość obliczeń na komputerze użytkownika jest pomijalna w porównaniu z grubym klientem, dlatego produktywność użytkownika nie zmniejsza się;
  • nie ma katastrofalnego efektu ruchu antywirusowego na przepustowości sieciowej: Przekazywanie podlega częściom zwartej części danych, zawierającej tylko kilka kilkudziesięciu wartości Hash, średnia ilość ruchu dziennego nie przekracza 120 KB;
  • przechowywanie w chmurze zawiera ogromne tablice podpisów, znacznie więcej niż przechowywane na niestandardowych komputerach;
  • algorytmy do porównywania podpisów stosowanych w chmurach charakteryzują się znacznie wyższą intelektualizaturą w porównaniu z uproszczonymi modelami, które są używane na poziomie lokalnych stacji, a dzięki wyższej wydajności w celu porównania danych wymaga mniej czasu;
  • usługi antywirusowe w chmurze współpracują z prawdziwymi danymi uzyskanymi z laboratoriów antywirusowych, deweloperów rozwoju bezpieczeństwa, użytkowników korporacyjnych i prywatnych; Zagrożenia dnia zerowego są zablokowane jednocześnie z ich uznaniem, bez opóźnienia spowodowanego potrzebą uzyskania dostępu do komputerów użytkownika;
  • użytkownicy w roamingu lub nie mają dostępu do swoich głównych miejsc pracy, są chronione przed atakami zerowego dnia jednocześnie z dostępem do Internetu;
  • administratorzy systemu ładowania są zmniejszone: nie muszą spędzać czasu na zainstalowanie oprogramowania antywirusowego na komputerach użytkownika, a także aktualizacje baz danych podpisu.

Dlaczego tradycyjne antywirusy nie radzą sobie

Nowoczesny złośliwy kod może:

  • Omijając pułapki antywirusowe, tworząc specjalny wirus docelowy w ramach firmy
  • Zanim antywirus stworzy podpis, będzie się nieśmiała przy użyciu polimorfizmu, recoding przy użyciu dynamicznych DNS i URL
  • Docelowa tworzenie w ramach firmy
  • Wielopostaciowość
  • Nieznany, ale nikt nie kod - bez podpisu

Trudno jest bronić

Szybkie antywirusy 2011

Rosyjskie niezależne informacje i centrum analityczne anty-Malware.ru opublikowane w maju 2011 r. Wyniki kolejnego testu porównawczego 20 najbardziej popularnych antywirusów antywirusowych na temat prędkości i konsumpcji zasobów systemowych.

Celem tego testu jest pokazanie, które osobiste antywirusy mają najmniejszy wpływ na standardowe operacje użytkownika na komputerze, mniej "hamowania" jego pracy i spożywają minimalną liczbę zasobów systemowych.

Wśród monitorów antywirusowych (skanery w czasie rzeczywistym), cała grupa produktów wykazała bardzo dużą pracę, wśród nich: Avira, AVG, ZoneAlarm, avast, Kaspersky Anti-Virus, Eset, Trend Micro i Dr.Web . Wraz z tymi antywirusami na pokładzie spowolnienie kopiowania zbierania testów była mniejsza niż 20% w porównaniu ze standardem. Anti-Virus Monitors BitDefender, Narzędzia PC, Outpost, F-Secure, Norton i Emsisoft wykazały również duże prędkości na prędkości, układane w zakresie 30-50%. Anti-Virus Monitors BitDefender, Narzędzia PC, Outpost, F-Secure, Norton i Emsisoft wykazały również duże prędkości na prędkości, układane w zakresie 30-50%.

W tym samym czasie, Avira, AVG, Bitdefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost i Narzędzia PC w rzeczywistych warunkach mogą być znacznie szybsze ze względu na ich kolejne czeki.

Najlepsza prędkość skanowania na żądanie pokazała Avira Antivirus. Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus i Outpost. Z prędkością pierwszego skanowania, te antywirusy są tylko trochę gorsze od lidera, jednocześnie wszyscy mają w ich arsenalne technologie optymalizacyjne dla powtarzających się kontroli.

Inną ważną cechą prędkości antywirusowej jest jego wpływ na działanie programów aplikacji, które często działa. W związku z tym wybrano pięć: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader i Adobe Photoshop. Najmniejsze spowolnienie uruchomienia tych programów biurowych pokazał ESET, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost i G Data.

Wprowadzenie

Żyjemy na skrzyżowaniu dwóch tysiącleci, kiedy ludzkość zawarła w erze nowej rewolucji naukowej i technicznej.

Pod koniec XX wieku ludzie zdobyli wiele tajemnic transformacji substancji i energii oraz udało się wykorzystać te wiedzę, aby poprawić swoje życie. Ale oprócz substancji i energii w życiu osoby, inny komponent odgrywa ogromną rolę. Są to szeroką gamę informacji, wiadomości, wiadomości, wiedzy, umiejętności.

W środku naszego wieku pojawiły się specjalne urządzenia - wystąpiły komputery zorientowane na pamięć i konwersja informacyjna oraz rewolucja komputerowa.

Dziś, ogromne wykorzystanie komputerów osobistych, niestety okazał się powiązany z pojawieniem się wirusami samobieżnowymi, uniemożliwiając normalne działanie komputera, który zniszczy strukturę plików dysków i uszkodzić informacje przechowywane w komputerze.

Pomimo przepisów zwalczania przestępstw komputerowych przyjętych w wielu krajach i rozwój specjalnej ochrony programu przed wirusami, liczba nowych wirusów oprogramowania stale rośnie. Wymaga to komputera osobistego wiedzy na temat charakteru wirusów, sposobów na infekcję wirusów i ochrony przed nimi. Służył jako zachęta do wyboru tematu mojej pracy.

Chodzi o to, że mówię w moim abstrakcie. Pokazuję główne rodzaje wirusów, biorąc pod uwagę schematy ich funkcjonowania, przyczyny ich wyglądu i ścieżki penetracji do komputera, a także oferować środki w celu ochrony i zapobiegania.

Celem pracy jest zapoznanie użytkownika z podstaw wirusów komputerowych, aby nauczyć wykrywać wirusy i radzić sobie z nimi. Metoda pracy - analiza wydruków na tym temacie. Przede mną było trudne zadanie - porozmawiać o tym, co było nadal bardzo mało studiowane, a jak to się stało - osądzić cię.

1. Wirusy komputerowe, ich właściwości I klasyfikacja

1.1. Właściwości wirusów komputerowych

Komputery osobiste są teraz używane, w których użytkownik ma bezpłatny dostęp do wszystkich zasobów maszyny. Jest to dokładnie szansa na niebezpieczeństwo, które otrzymało nazwę wirusa komputerowego.

Jaki jest wirus komputerowy? Formalna definicja tej koncepcji nadal nie jest wymyślona, \u200b\u200ba istnieją poważne wątpliwości, że można go podać. Liczne próby przekazania "nowoczesnej" definicji wirusa nie prowadziły do \u200b\u200bsukcesu. Aby poczuć złożoność problemu, spróbuj na przykład, aby zdefiniować pojęcie "edytora". Albo pojawi się coś bardzo ogólnego, albo zaczynasz liście wszystkich znanych redaktorów. Oba nie mogą być uważane za dopuszczalne. Dlatego ograniczamy się do rozważenia niektórych właściwości wirusów komputerowych, które pozwalają nam mówić o nich jako określoną klasę programu.

Przede wszystkim wirus jest programem. Takie proste stwierdzenie samo w sobie jest w stanie rozwiać wiele legend na niezwykłych możliwościach wirusów komputerowych. Wirus może zmienić obraz na monitorze, ale sam monitor nie może się odwrócić. Legendy wirusów zabójczych "niszcząc operatorzy poprzez wycofanie śmiertelnego zakresu kolorów 25. sceny" nie są również poważnie traktowane. Niestety, niektóre autorytatywne wydania od czasu do czasu publikują "najnowsze wiadomości z frontów komputerowych", które na bliżej, okazują się konsekwencją nie dość jasnego zrozumienia tematu.

Wirus jest programem, który ma zdolność do reprodukcji samodzielnej reprodukcji. Takie umiejętności jest jedynym narzędziem związanym ze wszystkimi typami wirusów. Ale nie tylko wirusy są zdolne do samodzielnej reprodukcji. Każdy system operacyjny i wiele innych programów są w stanie tworzyć własne kopie. Kopie wirusa nie są nie tylko wymagane do pełnego pokrywają się z oryginałem, ale na ogół mogą się z tym pokrywają!

Wirus nie może istnieć w "kompletnej izolacji": Dziś niemożliwe jest wyobrazić wirusa, który nie używa kodu innych programów, informacji o strukturze plików, a nawet nazwy innych programów. Powód jest zrozumiały: wirus powinien w jakiś sposób zapewnić przeniesienie kontroli.

1.2. Klasyfikacja wirusów

Obecnie wiadomo, że więcej niż 5000 wirusów oprogramowania można one sklasyfikować zgodnie z następującymi funkcjami:

¨ siedlisko

¨ Metoda zakażenia siedliskowego

narażenie

¨ Cechy algorytmu

W zależności od środowiska siedliska wirusy można podzielić na sieć, plik, boot i plik. Wirusy sieciowe. Dystrybuuj za pomocą różnych sieci komputerowych. Wirusy plików są zaimplementowane głównie w modułach wykonywalnych, tj. W plikach posiadających rozszerzenia COM i EXE. Wirusy plików. Inne typy plików można wdrożyć, ale zwykle rejestrowane w takich plikach, nigdy nie otrzymują kontroli, a zatem tracą zdolność do rozmnażania. Wirusy rozruchowe są wprowadzane do sektora rozruchowego dysku (sektor rozruchowy) lub do sektora zawierającego program ładowania dysku (Master Boot Re-

sZNUR). Ładowanie plików. Wirusy zainfekują zarówno pliki, jak i sektor rozruchowy dysków.

Przy metodzie zakażenia wirusy są podzielone na rezydent i nierezydenta. Wirus rezydenta Po zainfekowanym (zakażenie), komputer pozostawia jego części zamieszkania w pamięci RAM, która następnie przechwytuje dostęp do systemu operacyjnego do obiektów infekcji (plików, sektorów rozruchowych itp.) I jest wprowadzany do nich. Wirusy rezydenta są w pamięci i są aktywne do zamykania lub ponownego uruchomienia komputera. Wirusy nierezyderyczne Nie infekuj pamięci komputera i są aktywne ograniczony czas.

W zależności od stopnia uderzenia wirusy można podzielić na następujące typy:

¨ niebezpieczeństwo Nie zakłócając pracy komputera, ale zmniejsz ilość wolnej pamięci RAM i pamięci na dyskach, działania takich wirusów objawiają się w jakichkolwiek efektach graficznych lub audio

¨ niebezpieczny Wirusy, które mogą prowadzić do różnych zaburzeń w komputerze

¨ bardzo niebezpieczne , którego wpływ może prowadzić do utraty programów, zniszczenia danych, wymazywanie informacji w regionach systemowych dysku.

2. Główne typy wirusów i schematów na ich działanie

Wśród różnych wirusów można wyróżnić następujące główne grupy:

Ładowanie

¨ File.

¨ Boot File

Teraz bardziej szczegółowo o każdej z tych grup.

2.1. Wirusy rozruchowe

Rozważmy schemat funkcjonowania bardzo prostego wirusa startowego, zainfekowania dyskietki. Świadomie wypłacamy wszystkie liczne subtelności, które nieuchronnie spotykają się z ścisłą analizą algorytmu funkcjonowania.

Co się stanie, gdy włączysz komputer? Przede wszystkim sterowanie jest przesyłane program do pobierania podstawowego który jest przechowywany w stale pamięci masowej (ROM) I.e. PNZ ROM.

Ten program testuje sprzęt i pomyślnie wypełnienie czeków próbuje znaleźć dyskietkę w napędzie A:

Wszystkie dyskietki są publikowane na tzw. Sektory i utwory. Sektory są łączone w klastry, ale jest dla nas nieznaczne.

Wśród sektorów istnieje kilka narzędzi używanych przez system operacyjny dla własnych potrzeb (Twoje dane nie mogą być umieszczone w tych sektorach). Wśród sektorów serwisowych nadal jesteśmy zainteresowani jednym - tak zwanym Sektor startowy (Sektor rozruchowy).

W sektorze startowym jest przechowywany informacje o rozdzieleniu - Liczba powierzchni, liczba utworów, liczba sektorów itp. Nie interesują nas te informacje, ale małe podstawowy program pobierania (PNZ), który powinien przesłać sam system operacyjny i przenieść go do sterowania.

W ten sposób normalny diagram startowy jest następujący:

Teraz rozważ wirus. W wirusach ładowania dwie części są izolowane - tak zwane. głowa i tak zwany ogon . Ogoni, ogólnie rzecz biorąc, może być pusty.

Pozwól nam mieć czystą dyskietkę i zainfekowany komputer, w którym rozumiemy komputer z aktywnym wirusem rezydentem. Gdy tylko ten wirus wykryje, że w napędzie pojawiła się odpowiednia ofiara - w naszym przypadku, a nie zakażony dysk dyskietkowy, przechodzi do infekcji. Infekowanie dyskietki, wirus wytwarza następujące działania:

Wynika, że \u200b\u200bniektóre obszar dyski i zaznacza go jako niedostępny system operacyjny, można to zrobić na różne sposoby, w najprostszym i tradycyjnym przypadku, sektory zaangażowane w wirusa są oznaczone jako nieudane (złe)

Kopiuje Twój ogon i oryginalny (zdrowy) sektor rozruchowy do dedykowanej powierzchni dysku

Zastępuje początkowy program rozruchowy w sektorze rozruchowym (obecnie) jego głowę

Organizuje łańcuch kontrolny zgodnie z schematem.

W ten sposób głowica wirusa jest teraz pierwsza, która odbiera kontrolę, wirus jest zainstalowany w pamięci i przenosi kontrolę oryginalnego sektora rozruchowego. W łańcuchu

PNZ (ROM) - PNZ (DISC) - System

pojawi się nowy link:

PNZ (ROM) - Wirus - PNZ (DISC) - System

Morał jest jasny: nigdy nie wychodź (według szans) dyskietki w napędzie A.

Spojrzeliśmy na funkcjonujący schemat prostego wirusa tyłek mieszkającego w sektorach obciążenia dyskietki. Z reguły wirusy są w stanie zainfekować nie tylko sektory rozruchowe dyskietki, ale także sektory rozruchowe dysków twardych. W tym samym czasie, w przeciwieństwie do dyskietki na Winchesteru znajdują się dwa rodzaje sektorów rozruchowych zawierających początkowe programy rozruchowe, które otrzymują zarządzanie. Podczas uruchamiania komputera z Winchesteru najpierw zakłada sterowanie początkowym programem rozruchowym w MBR (Master Boot Record - główny rekord rozruchu). Jeśli dysk twardy jest uszkodzony na kilka sekcji, tylko jeden z nich jest oznaczony jako startowy (boot). Początkowy program pobierania w MBR znajduje sekcję ładowania dysku twardego i sterowania transfery do pierwszego programu obciążenia tej sekcji. Ten ostatni kod zbiega się z kodem wstępnego programu rozruchowego zawartego na zwykłych dyskietach, a odpowiednie sektory rozruchowe różnią się tylko na tabelach parametrów. W ten sposób na Winchester znajdują się dwa przedmioty ataku wirusów rozruchowych - Podstawowy program pobierania w MBR. i program inicjał pliki do pobrania w sektorze rozruchowym dysk rozruchowy.

2.2. Wirusy plików.

Rozważmy teraz schemat prostego wirusa pliku. W przeciwieństwie do wirusów rozruchowych, które są prawie zawsze rezydentami, wirusy plików niekoniecznie są rezydentami. Rozważmy schemat funkcjonowania wirusa plików nierezydenta. Pozwól nam mieć zainfekowany plik wykonywalny. Po uruchomieniu takiego pliku wirus otrzymuje kontrolę, wytwarza pewne działania i przenosi zarządzanie właścicielem (choć nadal jest nieznany, który w takiej sytuacji gospodarza).

Jaką akcję występuje wirus? Szuka nowego obiektu infekcji - odpowiedni plik, który nie jest jeszcze zainfekowany (jeśli wirus jest "przyzwoity", a następnie natkną się na takie, że infekują natychmiast, bez sprawdzania niczego). Infekowanie pliku, wirus jest osadzony w swoim kodzie, aby uzyskać kontrolę podczas uruchamiania tego pliku. Oprócz jego głównej funkcji - hodowla, wirus może zrobić coś skomplikowanego (powiedzmy, zapytać, grać) - już zależy od fantazji autora wirusa. Jeśli wirus pliku rezydenta, będzie w pamięci i będzie w stanie zainfekować pliki i pokazać inne umiejętności nie tylko podczas pracy zainfekowanego pliku. Infekowanie pliku wykonywalnego, wirus zawsze zmienia swój kod - w konsekwencji, infekcja pliku wykonywalnego może być zawsze wykrywana. Ale zmieniając kod kodu, wirus niekoniecznie dokonuje innych zmian:

à Nie jest to zobowiązane do zmiany długości pliku

à nieużywany kod

à nie jest zobowiązany do zmiany rozpoczęcia pliku

Wreszcie wirusy plików często obejmują wirusy, które "mają odpowiednie pliki", ale nie są wymagane do osadzenia się z ich kodem. Rozważmy przykład schemat funkcjonowania wirusów słynnej rodziny DIR-II. Nie można przyznać, że pojawiające się w 1991 r., Wirusy te spowodowały obecną epidemię zarazy w Rosji. Rozważmy model, na którym jest wyraźnie widoczna podstawowa idea wirusa. Informacje o pliku są przechowywane w katalogach. Każdy wpis do katalogu zawiera nazwę pliku, datę i godzinę tworzenia, niektóre dodatkowe informacje, liczba pierwszego klastra Plik i tak zwany Bujte bajty . Te ostatnie pozostają "o dostawie", a sam MS-DOS nie są używane.

Podczas uruchamiania plików wykonywalnych system odczytuje pierwszą klaster plików przed nagrywaniem w katalogu, a następnie wszystkie inne klastry. Wirusy rodziny DIR-II wytwarza następującą "reorganizację" systemu plików: sam wirus jest zapisywany na niektóre darmowe sektory płyt, które zaznaczają, że nie powiodło się. Ponadto zapisuje informacje o pierwszych klastrach plików wykonywalnych w bitach kopii zapasowych oraz odniesienia do tych zapisów informacyjnych.

Tak więc po uruchomieniu dowolnego pliku, wirus otrzymuje kontrolę (system operacyjny rozpoczyna się sam), znajduje się w pamięci i przesyła kontrolę zwanego pliku.

2.3. Ładowanie i wirusy plików

Nie uwzględnimy modelu wirusa rozruchu i pliku, ponieważ nie rozpoznasz żadnych nowych informacji. Ale tutaj wydaje się dogodne przypadek, aby krótko omówić wyjątkowo "popularne" ostatnio ładowanie i wirus pliku, infekując główny sektor boot (MBR) i pliki wykonywalne. Podstawowe działanie destrukcyjne - szyfrowanie sektorów wciągających. Za każdym razem, gdy wystawiasz, wirus szyfruje następną część sektorów, podczas szyfrowania połowa dysku twardego, z radością informuje go. Głównym problemem w leczeniu tego wirusa jest to, że nie wystarczy po prostu usunąć wirusa z MBR i plików, konieczne jest rozszyfrowanie informacji szyfrowanych. Najbardziej "śmiertelnym" akcją jest po prostu przepisanie nowego zdrowego MBR. Najważniejszą rzeczą nie jest panika. Waży wszystko spokojnie, skonsultuj się z ekspertami.

2.4. Wirusy polimorficzne.

Większość kwestii związana jest z terminem "wirus polimorficzny". Ten typ wirusów komputerowych wydaje się być najbardziej niebezpieczny. Wyjaśnij, co to jest.

Wirusy polimorficzne są wirusami, które modyfikują swój kod w zainfekowanych programach w taki sposób, że dwa wystąpienia tego samego wirusa mogą nie pokrywać się w żadnej partii.

Takie wirusy nie tylko szyfrują swój kod przy użyciu różnych ścieżek szyfrowania, ale zawierają również kod generowania kodu i Decryr, który odróżnia je przed konwencjonalnymi wirusami szyfrowania, które mogą również szyfrować sekcje ich kodu, ale mają stały kodeks szyfrowy i dekoder.

Wirusy polimorficzne są wirusami z samobiebniowymi deszykorami. Celem takiego szyfrowania: o zainfekowanych i oryginalnych plikach nadal nie możesz analizować swojego kodu za pomocą konwencjonalnego demontażu. Ten kod jest szyfrowany i jest bezsensownym zestawem poleceń. Dekodowanie odbywa się przez sam wirus bezpośrednio podczas wykonania. Jednocześnie możliwe są opcje: może rozszyfrować się jednocześnie, i może wykonywać taki dekodowanie "wzdłuż obudowy" może ponownie szyfrować sekcje. Wszystko to robi dla trudności analizy kodu wirusa.

3. Historia wirusologii komputerowej i przyczyn wirusów

Historia wirusologii komputerowej jest obecnie prezentowana przez stałą "wyścig za lidera", a pomimo całej mocy nowoczesnych programów antywirusowych przywódcy są wirusami. Wśród tysięcy wirusów tylko kilkadziesiąt jest pierwotnymi wydarzeniami, które są naprawdę zasadniczo nowymi pomysłami. Wszystkie inne są "wariacjami na ten temat". Ale każdy oryginalny rozwój powoduje, że twórcy antywirusów dostosowują się do nowych warunków, dogonić się technologii wirusowej. Ten ostatni może być kwestionowany. Na przykład w 1989 r. Amerykański student zdołał stworzyć wirusa, który wyłączył około 6000 komputerów z Departamentu Obrony USA. Lub epidemia słynnego wirusa DIR-II, która podziła w 1991 roku. Wirus używany naprawdę oryginalną, zasadniczo nową technologię i najpierw udało się rozprzestrzeniać szeroko z powodu niedoskonałości tradycyjnego antywirusowego.

Lub rozpryski wirusów komputerowych w Wielkiej Brytanii: CristoFour Paine udało się tworzyć wirusy patogenowe i queeq, a także wirus SMEG. Była to ostatnia, która była najbardziej niebezpieczna, może być nałożona na pierwsze dwa wirusy, a ze względu na to, po tym, jak każdy uruchomiony program zmienili konfigurację. Dlatego byli niemożliwe do zniszczenia. Aby dystrybuować wirusy, skopiowane gry komputerowe i programy, zainfekowały ich, a następnie odesłane do sieci. Użytkownicy pobrali zainfekowane programy do swoich komputerów i zainfekowanych płyt. Sytuacja została obciążona faktem, że sosna zdołała przynieść wirusy iw programu, który z nimi zmaga. Uruchomienie go, użytkownicy zamiast niszcząc wirusy otrzymali kolejny. W rezultacie pliki wielu firm zostało zniszczonych, straty wyniosły miliony funtów szterlinga.

Amerykański programista Morris otrzymał szeroką sławę. Jest znany jako twórca wirusa, który w listopadzie 1988 r. Zagażony około 7 tysięcy komputerów osobistych podłączonych do Internetu.

Przyczyny wyglądu i dystrybucji wirusów komputerowych z jednej strony są ukryte w psychologii ludzkiej osobowości i jego boków cienia (zazdrość, zemsty, próżność nierozpoznanych twórców, niemożność konstruktywnie stosować ich zdolności), na Z drugiej strony, ze względu na brak ochrony sprzętu i kontrakcji z systemów komputerowych operacyjnych.

4. Sposoby przeniknięcia wirusów do komputera i mechanizmu do dystrybucji programów wirusowych

Głównymi ścieżkami penetracji wirusów do komputera są wyjmowane koła (elastyczne i laserowe), a także sieci komputerowe. Infekcja dysku twardego z wirusami może wystąpić, gdy program jest ładowany z dyskietki zawierającej wirusa. Taka infekcja może być przypadkowa, na przykład, jeśli dyskietka została usunięta z napędu A i uruchom ponownie komputer, podczas gdy dyskietka może nie być systemowa. Infekuj dysk dyskietek jest znacznie łatwiejszy. Wirus może na to dostać, nawet jeśli dyskietka została włożona do napędu zainfekowanego komputera, na przykład, przeczytaj jego spis treści.

Wirus, z reguły, jest osadzony w programie roboczym w taki sposób, że gdy rozpocznie kontrolę, po raz pierwszy przekazał mu i dopiero po wykonaniu wszystkich swoich poleceń, powrócił do programu pracy. Mając dostęp do zarządzania, wirus przede wszystkim przepisuje się do innego programu prac i infekuje go. Po uruchomieniu programu zawierającego wirusa staje się możliwe, aby zainfekować inne pliki. Najczęściej wirus jest zainfekowany sektoriem rozruchu dysku i plików wykonywalnych, które rozciąga EXE, COM, SYS, BAT. Niezwykle rzadko zainfekowane pliki tekstowe.

Po zakażeniu programu wirus może wykonywać trochę sabotażu, a nie zbyt poważne, aby nie przyciągnąć uwagi. Wreszcie nie zapomina zwrócić zarządzania programem, z którego został uruchomiony. Każde wykonanie zainfekowanego programu przenosi wirusa do następnego. W ten sposób wszystkie oprogramowanie zostanie zainfekowane.

Aby zilustrować proces zakażenia programu komputerowego, wirus ma sens, aby płytkę pamięci dyskowej ze staromodnym archiwum z folderami na warkocz. W folderach znajdują się programy, a sekwencja przekształcania wirusa w tym przypadku wygląda w następujący sposób. (Patrz Załącznik 1)

5. Znaki wirusów

Podczas infekowania komputera wirus jest ważny, aby go wykryć. Aby to zrobić, powinieneś wiedzieć o głównych oznakach manifestacji wirusów. Należą do nich:

¨ zakończenie pracy lub nieprawidłowe prace nad z powodzeniem funkcjonowanie programów

¨ Wolna praca komputerowa

¨ Nie można pobrać systemu operacyjnego

¨ Zniknięcie plików i katalogów lub zniekształca ich zawartość

¨ Zmień datę i godzinę modyfikacji plików

¨ Zmień rozmiary plików

¨ Nieoczekiwany znaczny wzrost liczby plików na dysku

¨ Znaczna redukcja bezpłatnej pamięci RAM

¨ Wyjście do ekranu nieprzewidzianych wiadomości lub obrazów

¨ Pasza nieprzewidzianych sygnałów dźwiękowych

¨ częste zawieszenia i awarie

Należy zauważyć, że powyższe zjawiska niekoniecznie spowodowane obecnością wirusa i może być konsekwencją innych powodów. Dlatego prawidłowa diagnoza statusu komputera jest zawsze trudna.

6. Wykrywanie wirusów i środków w celu ochrony i zapobiegania

6.1. Jak wykryć wirusa ? Tradycyjne podejście

Więc pewny pisarz wirusa tworzy wirusa i wprowadza go w "życiu". Przez pewien czas może chodzić w lotnym, ale prędzej czy później "Lafa" zakończy się. Ktoś podejmie coś złego. Z reguły wirusy wykrywają zwykłych użytkowników, którzy zauważają pewne anomalie w zachowaniu komputera. W większości przypadków nie są w stanie niezależnie poradzić sobie z infekcją, ale nie jest to wymagane od nich.

Jest to konieczne, aby uzyskać wirusa tak szybko, jak to możliwe w rękach specjalistów. Profesjonaliści będą go studiować, dowiedz się, "co on robi", "jak on", ", kiedy robi", itd. W procesie takiej pracy wszystkie niezbędne informacje na temat tego wirusa są zebrane, w szczególności, Przydzielono podpis wirusa - sekwencję bajtów, które zdecydowanie charakteryzuje się tym. Aby zbudować podpis, najważniejsze i charakterystyczne sekcje kodu wirusa są zwykle pobierane. Jednocześnie mechanizmy działania wirusa stają się jasne, na przykład, w przypadku wirusa startowego, ważne jest, aby wiedzieć, gdzie ukrywa swój ogon, w którym znajduje się oryginalny sektor rozruchowy, aw przypadku pliku - sposób na zainfekowanie pliku. Uzyskane informacje pozwalają dowiedzieć się:

· Jak wykryć wirusa, aby określić metody znalezienia podpisów w potencjalnych obiektach ataku wirusowego - plików i sektorów startowych

· Sposób neutralizacji wirusa, jeśli to możliwe, opracowano algorytmy do usuwania kodu wirusowego z poszczególnych obiektów.

6.2. Programy wykrywania i ochrony wirusów

Aby wykryć, usunąć i chronić wirusy komputerowe, opracowano kilka typów programów specjalnych, które umożliwiają wykrycie i niszczenie wirusów. Takie programy są nazywane antywirusowy . Odróżnij następujące typy programów antywirusowych:

· Programy detektorów

· Lekarze lub programy fagowe

· Program-audytorzy

· Programy filtrujące

· Programy szczepionkowe lub immunizery

Programy detektorów Szukaj podpisu charakterystyczne dla konkretnego wirusa w pamięci RAM i w plikach oraz po wykryciu odpowiedniego komunikatu. Wadą takich programów antywirusowych jest to, że mogą znaleźć tylko te wirusy, które są znane deweloporom takich programów.

Programy doktorskie. lub fages. , jak również programy szczepionek Nie tylko znajdź pliki zarażone wirusami, ale także "traktuj" je, tj. Usuń korpus programu wirusa z pliku, zwracając pliki do stanu pierwotnego. Na początku swojej pracy fagi szukają wirusów w pamięci RAM, niszcząc je i tylko następnie przejdź do "leczenia" plików. Wśród fagów polifagów są izolowane, tj. Doktor programy zaprojektowane do wyszukiwania i zniszczenia dużej liczby wirusów. Najbardziej znanym z nich to: Aidstestest, Scan, Norton Antivirus, Doctor Web.

Biorąc pod uwagę, że nowe wirusy są stale pojawiające się, programy detektora i lekarze są szybko przestarzały, a wymagana jest regularna aktualizacja wersji.

Program-audytorzy. należą do najbardziej niezawodnego środka ochrony przed wirusami. Audytorzy pamiętają oryginalny stan programów, katalogów i regionów systemowych płyty, gdy komputer nie jest zainfekowany wirusem, a następnie okresowo lub na żądanie Użytkownika porównuje aktualny stan źródła. Wykryte zmiany są wyświetlane na ekranie monitora. Z reguły porównanie państw produkuje natychmiast po załadowaniu systemu operacyjnego. W porównaniu, długość pliku, cykliczny kod sterowania (suma kontrolna pliku), data i godzina modyfikacji, inne parametry są sprawdzane. Programy audytu mają wystarczająco opracowane algorytmy, wykrywają wirusy ukryte i mogą nawet jasne zmiany w wersji zweryfikowanego programu ze zmian dokonanych przez wirusa. Program Audinf jest szeroko rozpowszechniany program ADINF w Rosji.

Filtruj programy lub "Storam" Obecne małe programy rezydenta mające na celu wykrywanie podejrzanych działań podczas pracy na komputerze charakterystycznym dla wirusów. Takie działania mogą być:

· Próbuje poprawić pliki za pomocą rozszerzeń COM, EXE

· Zmień atrybuty plików

· Bezpośredni rekord na dysk na adres bezwzględny

· Nagrywanie do sektora rozruchowego dysku

Gdy próbujesz dokonać określonych działań "Watchman" wysyła użytkownika wiadomość i oferuje zakaz lub rozwiązać odpowiednie działanie. Programy filtrujące są bardzo przydatne, ponieważ mogą wykryć wirusa na najwcześniejszym etapie jego istnienia do reprodukcji. Jednak nie "traktują" plików i dysków. Aby zniszczyć wirusy, musisz zastosować inne programy, takie jak fages. Wady zegarmistów mogą obejmować ich "denerwujące" (na przykład, stale wydają ostrzeżenie o każdej próbie skopiowania pliku wykonywalnego), a także możliwe konflikty z innym oprogramowaniem. Przykładem programu filtrów jest program VSAFE, który jest częścią pakietu MS Dos Utility.

Szczepionki lub Immunalizers. - Są to programy rezydenta, które zapobiegają infekcji plików. Szczepionki są używane, jeśli nie ma programów lekarzy ", uczestnicząc" tego wirusa. Szczepienie jest możliwe tylko ze znanych wirusów. Szczepionka modyfikuje program lub dysk w taki sposób, że nie jest to odzwierciedlenie w swojej pracy, a wirus postrzega ich zainfekowany, a zatem nie zostanie wdrożony. Obecnie programy szczepionek mają ograniczone zastosowanie.

Terminowe wykrywanie plików zainfekowanych wirusami i dyskami, całkowite zniszczenie wykrytych wirusów na każdym komputerze pozwala uniknąć rozprzestrzeniania się epidemii wirusowej na inne komputery.

6.3. Podstawowe środki w celu ochrony przed wirusami

Aby nie poddać komputerze z infekcją wirusami i zapewnić niezawodne przechowywanie informacji na dyskach, należy przestrzegać następujących zasad:

¨ Zbuduj komputer z nowoczesnymi programami antywirusowymi, takimi jak Aidstestest, Doctor Web i stale odnawiają swoje wersje.

¨ Przed przeczytaniem z dyskietów informacji nagranych na innych komputerach zawsze sprawdzają te dyskietki dla wirusów, uruchomienie oprogramowania antywirusowego komputera

¨ Podczas przenoszenia do plików komputerowych w zarchiwizowano. Sprawdź je natychmiast po rozpakowaniu na dysku twardym, ograniczając obszar skanowania tylko przez nowo nagrane pliki

¨ Okresowo sprawdzaj wirusy dysków twardych komputera, uruchomienie programów antywirusowych do testowania plików, pamięci i regionów systemów dyskietek dyskietek, po załadowaniu systemu operacyjnego z chronioną dyskietką systemową

¨ Zawsze chroń dyskietki przed nagrywaniem podczas pracy na innych komputerach, jeśli informacje nie są nagrane na nich.

¨ Pamiętaj, aby wykonać archiwalne kopie na dyskretnie cennych informacji dla Ciebie.

¨ Nie zostawiaj dysku w kieszeni i dyskietkach po włączeniu lub uruchomieniu ponownego uruchomienia systemu operacyjnego, aby wyeliminować infekcję komputera z obciążeniem wirusami

¨ Używaj programów antywirusowych do sterowania wejściem wszystkich plików wykonywalnych odebranych z sieci komputerowych.

¨ Aby zapewnić większe bezpieczeństwo sieci Aidstestest i Doctor, musisz połączyć z codziennym korzystaniem z ADINF Drive Revitor

Wniosek

Można więc dać wiele faktów wskazujących, że zagrożenie zasobów informacyjnych wzrasta codziennie, wystawiając w panikowe osoby odpowiedzialne w bankach, przedsiębiorstwach i firmach na całym świecie. A to zagrożenie pochodzi z wirusów komputerowych, które zniekształcają lub niszczą istotne, cenne informacje, co może prowadzić nie tylko straty finansowe, ale także dla ludzkich ofiar.

Wirus komputerowy - specjalnie pisemny program, który jest w stanie spontanicznie dołączyć do innych programów, tworzyć kopie i wdrożyć je do plików, obszarów systemów komputerowych oraz w sieciach obliczeniowych w celu naruszania programów, uszkodzeń plików i katalogów, tworzyć wszelkiego rodzaju interferencje w komputerze.

Obecnie znana jest ponad 5000 wirusów oprogramowania, której liczba jest stale rośnie. Istnieją przypadki, gdy utworzono pomocy nauczania, które pomagają w pisaniu wirusów.

Główne typy wirusów: rozruch, plik, plik-boot. Najbardziej niebezpieczny rodzaj wirusów - polimorficzny.

Z historii wirusologii komputerowej jasna jest, że każdy oryginalny rozwój komputerowy zmusza twórców antywirusów, aby dostosować się do nowych technologii, stale ulepszają programy antywirusowe.

Przyczyny wyglądu i rozprzestrzeniania wirusów są ukryte z jednej strony w psychologii ludzkiej, z drugiej strony, z brakiem środków ochrony systemu operacyjnego.

Głównymi ścieżkami penetracji wirusów to dyski wymienne i sieci komputerowe. Więc tak się nie wydarzy, postępuj zgodnie ze środkami ochronnymi. Również do wykrywania, usuwania i ochrony przed wirusami komputerowymi opracowano kilka rodzajów specjalnych programów zwanych przeciwwirusowych. Jeśli nadal wykryjesz wirusa na komputerze, lepiej zadzwonić do profesjonalnego podejścia do tradycyjnego podejścia, aby go pomijać.

Ale niektóre właściwości wirusów zagadkowymi nawet specjalistami. Ostatnio trudno było sobie wyobrazić, że wirus może przetrwać zimny restart lub rozpowszechniany za pośrednictwem plików dokumentów. W takich warunkach niemożliwe jest nie dołączenia znaczenia co najmniej początkowej edukacji antywirusowej użytkowników. Z całą powagą, nie ma problemu z wirusem, nie jest w stanie przynieść tak wiele szkód jako szepczący użytkownik z drżącymi rękami!

Więc, Zdrowie komputerów, bezpieczeństwo danych - w twoich rękach!

Lista bibliograficzna

1. Informatyka: Podręcznik / wyd. Prof. N.v. Makarova. - M.: Finanse i statystyki, 1997.

2. Encyklopedia tajemnic i odczuć / premium. Tekst Yu.n. Petrova. - MN: literatura, 1996.

3. Bezrukov n.n. Wirusy komputerowe. - M.: Science, 1991.

4. Bridge D.YU. Nowoczesne technologie zwalczania wirusów // World PC. - №8. - 1993.

Użytkownik nowoczesnego komputera osobistego ma bezpłatny dostęp do wszystkich zasobów maszyny. To było to, że otworzyło możliwość istnienia niebezpieczeństwa, które otrzymało nazwę wirusa komputerowego.

Wirus komputerowy jest specjalnie pisemnym programem, który jest w stanie spontanicznie dołączyć do innych programów, tworzyć swoje kopie i wdrożyć je w plikach, obszary systemowe komputerowe oraz w sieciach obliczeniowych w celu naruszenia programów, uszkodzeń plików i katalogów, tworzyć wszelkiego rodzaju zakłóceń komputer. W zależności od środowiska siedliskowego wirusy można podzielić na sieć, plik, boot, plik-boot, makro i trojan.

  • Wirusy sieciowe. Dystrybuuj za pomocą różnych sieci komputerowych.
  • Wirusy plików. Wdrożone głównie w modułach wykonywalnych. Wirusy plików mogą być osadzone w innych typach typów plików, ale zwykle rejestrowane w takich plikach, nigdy nie otrzymują kontroli, a zatem utracą zdolność do rozmnażania.
  • Wirusy rozruchowe Zaimplementowane w sektorze rozruchowym dysku (sektor rozruchowy) lub do sektora zawierającego główny rekord rozruchowy (Master Boot Record).
  • Wirusy do rozruchu plików Zainfekuj zarówno pliki, jak i rozruchowe sektory dysków.
  • Macrowurus. Języki wysokiego poziomu są napisane i wpływa na dokumenty aplikacji Pliki, które mają wbudowane języki automatyki (makro), takie jak aplikacje rodzinne Microsoft Office.
  • Programy Trojan.Mouching dla przydatnych programów jest źródłem zakażenia komputerowego z wirusami.

Aby wykryć, usunąć i chronić wirusy komputerowe, opracowano kilka typów programów specjalnych, które umożliwiają wykrycie i niszczenie wirusów. Takie programy nazywane są przeciwwirusowe. Odróżnić następujące typy oprogramowanie antywirusowe:

  • - Programy detektorów;
  • - programy doktorskie lub fagi;
  • - audytorzy programu;
  • - Program Filters;
  • - Programy szczepionkowe lub immunizery.

Programy detektorów Szukaj podpisu charakterystyczne dla konkretnego wirusa w pamięci RAM i w plikach oraz po wykryciu odpowiedniego komunikatu. Wadą takich programów antywirusowych jest to, że mogą znaleźć tylko te wirusy, które są znane deweloporom takich programów.

Programy doktorskie.lub fagi programy szczepionek Nie tylko znajdują pliki zainfekowane wirusami, ale także "traktuj" je, tj. Usuń korpus wirusa ciała z pliku, zwracając pliki do pierwotnego stanu. Na początku swojej pracy fagi szukają wirusów w pamięci RAM, niszcząc je i tylko następnie przejdź do "leczenia" plików. Wśród przydzielonych fagów polifagi., I.e., programy lekarzy zaprojektowane do poszukiwania zniszczenia dużej liczby wirusów. Najbardziej znanym z nich to: Kaspersky Antivirus, Norton Antivirus, Doctor Web.

Ze względu na fakt, że nowe wirusy są stale pojawiające się, detektory i programy lekarzy i programy programów są szybko przestarzały, a wymagana jest regularna aktualizacja wersji.

Program-audytorzy. należą do najbardziej niezawodnego środka ochrony przed wirusami. Audytorzy pamiętają oryginalny stan programów, katalogów i regionów systemowych płyty, gdy komputer nie jest zainfekowany wirusem, a następnie okresowo lub na żądanie Użytkownika porównuje aktualny stan źródła. Wykryte zmiany są wyświetlane na ekranie monitora. Z reguły porównanie państw produkuje natychmiast po załadowaniu systemu operacyjnego. W porównaniu, długość pliku, cykliczny kod sterowania (suma kontrolna pliku), data i godzina modyfikacji, inne parametry są sprawdzane. Programy audytu mają wystarczająco opracowywane algorytmy, wykrywają wirusy ukryte i mogą nawet rozróżnić zmiany w wersji programu jest sprawdzane ze zmian dokonanych przez wirusa. Kaspersky Monitor to szeroko rozpowszechnione audytorzy programu.

Filtruj programy Lub "Storam" to małe programy rezydenta mające na celu wykrywanie podejrzanych działań podczas pracy na komputerowej charakterystycznej wirusów. Takie działania mogą być:

  • - próbuje poprawić pliki z rozszerzeniami SOM. DAWNY;
  • - Zmień atrybuty plików;
  • - bezpośredni rekord na dysk na adres bezwzględny;
  • - wpis do sektorów rozruchowych dysku;

Gdy próbujesz dokonać określonych działań "Watchman" wysyła użytkownika wiadomość i oferuje zakaz lub rozwiązać odpowiednie działanie. Programy filtrów są bardzo przydatne. Ponieważ mogą wykryć wirusa na najwcześniejszym etapie jego istnienia, do reprodukcji. Jednak nie "traktują" plików i dysków.

Aby zniszczyć wirusy, musisz zastosować inne programy, takie jak fages. Wady zegarmistów mogą obejmować ich "denerwujące" (na przykład, stale wydają ostrzeżenie o każdej próbie skopiowania pliku wykonywalnego), a także możliwe konflikty z innym oprogramowaniem.

Szczepionki lub immunalizers. - Są to programy rezydenta. Zapobiegaj infekcji plików. Szczepionki są używane, jeśli nie ma programów lekarzy ", uczestnicząc" tego wirusa. Szczepienie jest możliwe tylko ze znanych wirusów. Szczepionka modyfikuje program lub dysk w taki sposób, że nie jest to odzwierciedlenie w swojej pracy, a wirus postrzega ich zainfekowany, a zatem nie zostanie wdrożony. Obecnie programy szczepionek mają ograniczone zastosowanie.

Terminowe wykrywanie plików zainfekowanych wirusami i dyskami, całkowite zniszczenie wykrytych wirusów na każdym komputerze pozwala uniknąć rozprzestrzeniania się epidemii wirusowej na inne komputery.