Meny
Är gratis
checka in
den huvudsakliga  /  Problem / Anti-Virus-programklassificering. Klassificering av datavirus och antivirusprogram

Antivirusprogram klassificering. Klassificering av datavirus och antivirusprogram

Introduktion

Vi lever vid korsningen av två årtusenden, när mänskligheten gick in i den nya vetenskapliga och tekniska revolutionens era.

I slutet av det tjugonde århundradet fångade människor många hemligheter om omvandling av ämnet och energi och lyckades använda dessa kunskaper för att förbättra sina liv. Men förutom substansen och energin i en persons liv spelar en annan komponent en stor roll - information. Dessa är ett brett utbud av information, meddelanden, nyheter, kunskaper, färdigheter.

I mitten av vårt århundrade verkade speciella enheter - lagringsorienterade datorer och informationskonvertering och en datorrevolution inträffade.

Idag visade sig den massiva användningen av persondatorer, tyvärr vara associerad med tillkomsten av självåtergivande virus, vilket förhindrar den normala driften av datorn som förstör filstrukturen på skivorna och skadar den information som lagras i datorn.

Trots lagen om att bekämpa datorns brott som antogs i många länder och utvecklingen av särskilt programskydd mot virus växer antalet nya mjukvaruvirus ständigt. Detta kräver en personlig dator av kunskap om naturen av virus, sätt att infektera virus och skydd från dem. Det fungerade som ett incitament att välja ämnet i mitt arbete.

Det handlar om detta som jag berättar i min abstrakta. Jag visar de viktigaste typerna av virus, med tanke på systemen för deras funktion, orsakerna till deras utseende och penetrationsvägen i datorn, samt erbjuda åtgärder för att skydda och förebygga.

Syftet med arbetet är att bekanta användaren med grunderna för datavirus, för att undervisa att upptäcka virus och hantera dem. Arbetsmetod - Analys av utskrifter på detta ämne. Framför mig var det en svår uppgift - att prata om vad som fortfarande var mycket lite studerat och hur det hände - att döma dig.

1. Datorvirus, deras egenskaper Och klassificering

1.1. Egenskaper hos datavirus

Personliga datorer används nu där användaren har fri tillgång till alla resurser på maskinen. Detta är exakt möjligheten till den fara som fick namnet på dataviruset.

Vad är ett datavirus? Den formella definitionen av detta koncept är fortfarande inte uppfunnit, och det finns allvarliga tvivel om att det kan ges alls. Många försök att ge en "modern" definition av viruset ledde inte till framgång. För att känna problemets komplexitet, försök till exempel, definiera begreppet "redigerare". Du kommer antingen upp med något mycket generellt, eller börja notera alla kända redaktörer. Båda kan knappast anses vara acceptabelt. Därför begränsar vi oss till övervägandet av vissa egenskaper hos datavirus som tillåter oss att prata om dem som en viss specifik programklass.

Först och främst är viruset ett program. Ett sådant enkelt uttalande i sig kan skingra många legender på de extraordinära kapaciteterna hos datavirus. Viruset kan vända bilden på din bildskärm, men själva monitorn kan inte vända om. Legerna av mördarvirusen, "Förstörande operatörer genom återkallandet av det dödliga färgområdet för de 25: e scenerna" behandlas inte allvarligt på allvar. Tyvärr publicerar vissa auktoritativa utgåvor från tid till annan "de senaste nyheterna från datorramar", som närmare visar sig vara en följd av inte helt tydlig förståelse för ämnet.

Viruset är ett program som har en självreproduktionsförmåga. En sådan förmåga är det enda verktyget som är inneboende i alla typer av virus. Men inte bara virus är kapabla att självreproduktion. Eventuella operativsystem och många fler program kan skapa egna kopior. Kopior av viruset är inte bara skyldiga att helt sammanfalla med originalet, men de kan i allmänhet inte sammanfalla med det!

Viruset kan inte existera i "fullständig isolering": Idag är det omöjligt att föreställa sig ett virus som inte använder koden för andra program, information om filstrukturen eller till och med bara namnen på andra program. Anledningen är förståelig: viruset bör på något sätt säkerställa överföring av kontroll.

1,2. Klassificering av virus

För närvarande är mer än 5000 mjukvaruvirus kända, de kan klassificeras enligt följande funktioner:

livsmiljö

¨ Metod för habitatinfektion

exponering

¨ Egenskaper i algoritmen

Beroende på livsmiljön kan virus delas upp i nätverk, fil, boot och file-boot. Nätverksvirus Distribuera via olika datanät. Filvirus implementeras huvudsakligen i de exekverbara modulerna, dvs i filer som har förlängningarna av COM och EXE. Filvirus Andra filtyper kan distribueras, men vanligtvis registreras i sådana filer, de får aldrig kontroll och förlorar därför förmågan att reproducera. Bootvirus introduceras i startsektorn på skivan (boot sektorn) eller till sektorn som innehåller systemdiskens laddningsprogram (master boot re-

sLADD). Filhämtning Virus infekterar både filer och startsektorer på skivorna.

Med metoden för infektion är virus uppdelade i bosatt och icke-bosatt. Bosatt virus När den är infekterad (infektion) lämnar datorn sin bosatta del i RAM, som sedan avlyssnar operativsystemets åtkomst till infektionsobjekten (filer, startsektorer etc.) och introduceras i dem. Residentvirus är i minnet och är aktiva för att stänga av eller starta om datorn. Icke-bosatta virus Infektera inte datorminne och är aktiva begränsade tid.

Enligt graden av påverkan kan virus delas in i följande typer:

¨ icke-farligInte störa datorns arbete, men minska mängden fritt ram och minne på skivor, manifesteras åtgärderna hos sådana virus i alla grafiska eller ljudeffekter

¨ farlig Virus som kan leda till olika störningar i datorn

¨ väldigt farligt, vars effekt kan leda till förlust av program, dataförstörelse, radering av information i systemregionerna på skivan.

2. Huvudtyper av virus och system för deras operation

Bland de olika olika virus kan följande huvudgrupper särskiljas:

läser in

¨ fil

¨ File-boot

Nu närmare om var och en av dessa grupper.

2.1. Bootvirus

Tänk på systemet för funktion av ett mycket enkelt startbart virus, infekterande diskett. Vi kommer medvetet att löna alla många subtiliteter som oundvikligen skulle möta en strikt analys av algoritmen för dess funktion.

Vad händer när du slår på datorn? Först och främst överförs kontrollen elementärt nedladdningsprogramsom lagras i en ständigt lagringsenhet (ROM) dvs. PNZ ROM.

Programmet testar utrustningen och med framgångsrikt slutför kontrollerna för att hitta en diskett i enheten A:

Alla disketter publiceras på den så kallade. Sektorer och spår. Sektorerna kombineras i kluster, men det är obetydligt för oss.

Bland sektorerna finns det flera verktyg som används av operativsystemet för sina egna behov (dina data kan inte placeras i dessa sektorer). Bland tjänstesektorerna är vi fortfarande intresserade av en så kallad Utgångssektor (Boot-sektor).

I startsektorn hålls distansinformation - Antal ytor, antal spår, antal sektorer, etc. Men vi är inte intresserade av denna information, men en liten primär nedladdningsprogram (PNZ), som bör ladda upp operativsystemet själv och överföra det för att styra.

Således är det normala uppstartsdiagrammet som följer:

PNZ (ROM) - PNZ (DISC) - System

Tänk nu viruset. I lastvirusen isoleras två delar - så kallade. huvud och så kallade svans. Svans, i allmänhet kan det vara tomt.

Låt dig ha en ren diskett och en smittad dator under vilken vi förstår en dator med ett aktivt bosatt virus. Så snart det här viruset upptäcker att ett lämpligt offer uppträdde i enheten - i vårt fall, inte en icke-skyddad eller ändå infekterad diskett, fortsätter den till infektion. Infekterar en diskett, ger viruset följande åtgärder:

Det belyser lite diskområde och markerar det som ett otillgängligt operativsystem, det kan göras på olika sätt, i det enklaste och traditionella fallet, är sektorer som är engagerade i viruset markerade som misslyckade (dåliga)

Kopierar din svans och original (hälsosam) startsektor till det dedikerade diskområdet

skadligt antivirusinfektionsprogram

För deras framgångsrika arbete måste virus kontrolleras om filen redan är infekterad (samma virus). Så de undviker självförstörelse. För detta använder virus signatur. De flesta vanliga virusen (inklusive makrovirus) använder symboliska signaturer. Mer komplexa virus (polymorf) använder signaturer av algoritmer. Oavsett vilken typ av virus signatur, använder antivirusprogram dem för att upptäcka "datorinfektioner". Därefter försöker antivirusprogrammet förstöra det detekterade viruset. Denna process beror emellertid på virusets komplexitet och kvaliteten på antivirusprogrammet. Som redan nämnts är det svåraste att upptäcka trojanska hästar och polymorfa virus. Den första av dem lägger inte till sin kropp till programmet, men introduceras inuti det. Å andra sidan bör antivirusprogram spendera mycket tid för att bestämma signaturen av polymorfa virus. Faktum är att deras signaturer ändras med varje ny kopia.

För att upptäcka, ta bort och skydda mot datavirus finns det speciella program som kallas antivirala. Moderna antivirusprogram är multifunktionella produkter som kombinerar både förebyggande åtgärder och verktyg för behandling av virus och dataåterställning.

Antalet och olika virus är stort, och för att detektera dem snabbt och effektivt måste antivirusprogrammet svara på vissa parametrar:

1. Stabilitet och tillförlitlighet av arbete.

2. Storleken på programmets virusdatabas (antalet virus som är ordentligt bestämda av programmet): Med hänsyn till det konstanta utseendet på nya virus ska databasen uppdateras regelbundet.

3. Möjligheten att definiera en mängd olika typer av virus, och förmågan att arbeta med filer av olika typer (arkiv, dokument).

4. Närvaron av en bosatt bildskärm som verifierar alla nya filer "på flugan" (det vill säga automatiskt, när de skriver till disken).

5. Programmets hastighet, närvaro av ytterligare särdrag hos typen av algoritmer för att bestämma även okända virusprogram (heuristisk skanning).

6. Möjligheten att återställa infekterade filer utan att radera dem från en hårddisk, men bara avlägsna virus från dem.

7. Procentandelen av det falska svaret i programmet (felaktig definition av viruset i "Clean" -filen).

8. CLOS-plattform (tillgänglighet av versioner av programmet för olika operativsystem).

Klassificering av antivirusprogram:

1. Programdetektorer ger sökning och detektering av virus i RAM och på externa medier, och när det detekteras diskuteras det med det lämpliga meddelandet. Distinguish detektorer:

Universell - Används i sitt arbete för att kontrollera oupplösningen av filer genom att räkna och jämföra med referensen till kontrollsumman.

Specialiserad - Utför sökningen efter kända virus genom deras signatur (upprepad kodkod).

2. Doktorsprogram (fager) hittar inte bara filer som är infekterade med virus, men också "behandlade" dem, d.v.s. Ta bort virusprogramkroppen från filen, återkommer filer till sitt ursprungliga tillstånd. I början av sitt arbete söker fages efter virus i RAM, förstör dem, och bara sedan gå till "Behandling" av filer. Bland fagen isoleras polyfags, d.v.s. Doktorsprogram som är utformade för att söka och förstöra ett stort antal virus.

3. Revisionsprogrammen hör till det mest tillförlitliga skyddet mot virus. Revisorerna kommer ihåg det ursprungliga tillståndet för programmen, katalogerna och systemregionerna på skivan när datorn inte är infekterad med viruset, och sedan regelbundet eller på begäran av användaren jämföra den aktuella statusen med källan. Upptäckta ändringar visas på skärmen.

4. Filterprogram (Storam) är små bosatta program som är utformade för att upptäcka misstänkta åtgärder när de arbetar på en dator som är karakteristisk för virus. Sådana åtgärder kan vara:

Försöker att korrigera filer med COM och EXE-förlängningar;

Ändra filattribut;

Direkt rekord till disk till en absolut adress

Inspelning till skivans startsektor;

5. Vaccinprogram (immuniseringsgivare) är bosatta program som förhindrar infektion av filer. Vacciner används om det inte finns några läkareprogram ", deltar" detta virus. Vaccination är endast möjligt från kända virus av Bezrukov N. Datorvirologi: Textbook [Elektronisk resurs]: http://vx.netlux.org/lib/anb00.html ..

Faktum är att arkitekturen av antivirusprogram är mycket mer komplicerad och beror på den specifika utvecklaren. Men ett faktum är obestridligt: \u200b\u200ball den teknik som jag berättade om, så nära sammanflätade varandra, det är ibland omöjligt att förstå när andra börjar arbeta i kursen. En sådan interaktion av antivirussteknik gör det möjligt för dem att användas mest effektivt i kampen mot virus. Men glöm inte att det inte finns något perfekt skydd, och det enda sättet att varna sig från sådana problem är de ständiga uppdateringarna av operativsystemet, en välstunnad brandvägg, ofta uppdaterad antivirus, och det viktigaste - att inte börja / ladda ner misstänkt filer från Internet.

Anti-virusskydd är den vanligaste åtgärden för att säkerställa IT-infrastrukturinformationssäkerhet inom företagssektorn. Emellertid tillämpar endast 74% av de ryska företagen antivirusskyddslösningar, visade en studie utförd av Kaspersky Lab tillsammans med det analytiska bolaget B2B International (hösten 2013).

Rapporten säger också att den ryska verksamheten mot bakgrund av den explosiva tillväxten av cybergroms, från vilka företag är skyddade av enkla antiviruser, börjar alltmer använda omfattande skyddsverktyg. På så många sätt ökade användningen av datakryptering till avtagbart media (24%) med 7%. Dessutom har företag blivit mer villiga att skilja mellan säkerhetspolicyer för flyttbara enheter. Skillnaden mellan nivån på tillgången till olika IT-infrastruktursidor (49%) har ökat (49%). Med dessa små och medelstora företag uppmärksammar kontrollen av flyttbara enheter (35%) och kontrollen av applikationer (31%).

Forskarna fann också att, trots den ständiga upptäckten av nya sårbarheter i programvara, betalar de ryska företagen fortfarande inte uppmärksam på regelbundna mjukvaruuppdateringar. Dessutom har antalet fasta fixeringsorganisationer minskat jämfört med förra året och uppgick till endast 59%.

Moderna antivirusprogram kan effektivt upptäcka skadliga objekt inom filer och dokument. I vissa fall kan antiviruset ta bort kroppen av ett skadligt objekt från en infekterad fil, återställa själva filen. I de flesta fall kan antiviruset ta bort den skadliga programvaran inte bara från programfilen, men också från kontorsdokumentfilen utan att störa dess integritet. Användningen av antivirusprogram kräver inte höga kvalifikationer och är tillgänglig för nästan vilken dator som helst.

De flesta antivirusprogrammen kombinerar de permanenta skyddsfunktionerna (antivirusövervakning) och säkerhetsfunktioner på användarens begäran (antiviruscanner).

Antivirusbetyg

2019: Två tredjedelar av antivirusor för Android var värdelösa

I mars 2019 publicerade det österrikiska AV-jämförande laboratoriet som specialiserat sig på att testa antivirusprogramvaran resultaten av studien att de mest liknande programmen för Android har visat.

Endast 23 antivirusplacering i den officiella Google Play-butikskatalogen kommer definitivt att känna igen skadliga program i 100% av fallen. Resten av programvaran svarar inte heller på mobila hot eller accepterar absolut säkra applikationer för dem.

Experter har studerat 250 antiviruser och rapporterat att endast 80% av dem kan identifiera mer än 30% av skadlig kod. Således misslyckades 170 applikationer testet. De produkter som klara av testen har ingått främst lösningar till stora tillverkare, inklusive AVAST, BITDEFENDER, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro och Trustwave.

Som en del av experimentet sätter forskarna varje antivirusprogram till en separat enhet (utan en emulator) och automatiserade enheterna för att starta webbläsaren, ladda och efterföljande installation av skadlig programvara. Varje enhet testades med exemplet på 2 tusen. De vanligaste Android-virusen 2018.

Enligt beräkningarna av AV-jämförelserna är de flesta Android Antivirus-lösningar förfalskade. Dussintals applikationer har ett praktiskt taget identiskt gränssnitt, och deras skapare är tydligt mer intresserade av att visa reklam än att skriva en fungerande antivirusskanner.

Vissa antiviruser "Se" ett hot i alla applikationer som inte ingår i sin "vita lista". På grund av detta ökade de i ett antal absolut anekdiska fall larmet på grund av sina egna filer, eftersom utvecklarna glömde att nämna dem i den "vita listan".

2017: Microsoft Security Essentials är erkänd som en av de värsta antiviruserna

I oktober 2017 publicerade det tyska antiviruslaboratoriet AV-testet resultaten av integrerad antivirusprovning. Enligt studien, Microsoft Branded Software, som är utformad för att skydda mot skadlig aktivitet, nästan sämre än alla copes med sina ansvarsområden.

Enligt resultaten av de test som genomfördes i juli-augusti 2017 kallade AV-testexperterna det bästa antiviruset för Windows 7, Kaspersky Internet Security-lösningen, som fick 18 poäng vid utvärderingen av skyddsnivån, prestanda och användarvänlighet.

Trend Micro Internet Security och BitDefender Internet Security och BitDefender Internet-säkerhet har gått in i de tre bästa. På platsen för produkter från andra antivirusföretag som har fallit i studien kan du lära av illustrationer nedan:

Många skannrar använder också heuristiska skanningsalgoritmer, d.v.s. Analys av kommandosekvensen i det verifierade objektet, en uppsättning av viss statistik och beslutsfattandet för att varje objekt kontrolleras.

Skannrar kan också delas upp i två kategorier - universella och specialiserade. Universella skannrar är utformade för sökningen och neutraliserar alla typer av virus, oavsett operativsystem, för att fungera där skannern beräknas. Specialiserade skannrar är utformade för att neutralisera ett begränsat antal virus eller endast en klass av dem, till exempel makrovirus.

Skannrar är också uppdelade i bosatta (övervakare) som producerar skanning på flyg och icke-bosatt, vilket ger systemet bara på begäran. Som regel ger bosatta skannrar mer tillförlitligt skydd av systemet, eftersom de omedelbart reagerar på virusets utseende, medan en icke-bosatt skanner kan identifiera viruset endast under nästa lansering.

CRC-skannrar

Principen om drift av CRC-skannrar är baserad på CRC-sumräkning (kontroller) för de filer / systemsektorer som finns på disken. Dessa CRC-summor lagras sedan i antivirusdatabasen, eftersom vissa andra information: fillängder, deras senaste ändringsdatum, etc. När CRC-skannrarna därefter är de data som finns i databasen med faktiskt räknade värden kontrolleras. Om filinformationen som spelas in i databasen inte matchar de reella värdena, skriver CRC-skannrarna att filen har ändrats eller smittats med viruset.

CRC-skannrar kan inte fånga ett virus vid tidpunkten för utseendet i systemet, och de gör det bara efter ett tag, efter att viruset har spridit sig via en dator. CRC-skannrar kan inte bestämma viruset i nya filer (i e-post, på disketter, i filer som återvinns från säkerhetskopiering eller när du packar upp filer från arkivet), eftersom det inte finns någon information om dessa filer i sina databaser. Dessutom verkar regelbundet virus som använder denna svaghet i CRC-skannrar, bara nyskapade filer infekterar och förbli osynliga för dem.

Blockerare

Anti-virusblockerare är bosatta program, avlyssande virusfarliga situationer och rapportering av detta till användaren. De virus-farliga samtalen inkluderar att öppna samtal för att skriva till exekverbara filer, skriv till startsektorerna på skivorna eller MBR Winchester, förblir programmets försök bosatta, etc., det vill säga samtal som är karakteristiska för virus i stunder från avel.

Fördelarna med blockerare innefattar deras förmåga att upptäcka och stoppa viruset i det tidigaste skedet av dess reproduktion. Nackdelarna innefattar förekomsten av sätt att skydda blockerare och ett stort antal falska positiva.

Immunisatorer

Immuniserare är uppdelade i två typer: immunisatorer som informerar infektion och immunisatorer som blockerar infektion. Den första som vanligtvis spelas in i slutet av filerna (på principen om filvirus) och när filen startas, kontrollerar varje gång den på ändringen. Nackdelen med sådana immunisatorer är bara en, men den flyger: Absolut oförmåga att informera om smittet av Stelsviruset. Därför används sådana immunisatorer, såväl som blockerare, praktiskt taget inte för närvarande.

Den andra typen av immunisering skyddar systemet från skador på ett virus av en viss art. Filer på diskar är modifierade på ett sådant sätt att viruset accepterar dem för redan smittade. För att skydda mot ett bosatt virus anges ett program med en kopia av viruset. När du börjar, snubblas viruset på det och tror att systemet redan är infekterat.

Denna typ av immunisering kan inte vara mångsidig, eftersom det är omöjligt att immunisera filer från alla kända virus.

Klassificering av antiviruser på tecknet på tidsvariationer

Enligt Valery Konavsky kan antivirusmedel delas upp i två stora grupper - analysera data och analysprocesser.

Dataanalys

Dataanalysen innehåller revisorer och polyfag. Revisorerna analyserar konsekvenserna av datavirus och andra skadliga program. Konsekvenserna manifesteras vid förändring av data som inte bör ändras. Det är det faktum att dataändringar är ett tecken på aktiviteterna hos skadliga program ur revisorens synvinkel. Med andra ord kontrollerar revisorerna uppgifternas integritet och om överträdelsen av integriteten fattar beslut om närvaro av skadliga program i datormiljön.

PolyPhagi verkar annorlunda. På grundval av dataanalys fördelar de fragment av skadlig kod (till exempel genom undertecknande) och på detta sätt gör en slutsats om närvaron av skadliga program. Avlägsnande eller behandling av de data som påverkas av viruset gör att du kan förhindra de negativa effekterna av skadlig kod. Således, baserat på analys i statik, presenteras de konsekvenser som uppstår i dynamik.

Arbets- och revisorernas system, och polyphanes är nästan lika - att jämföra data (eller deras kontrollsumma) med ett eller flera referensprover. Uppgifterna jämförs med data. För att hitta ett virus i din dator behöver du således den ha redan arbetat för konsekvenserna av sin verksamhet. På så sätt kan du hitta endast kända virus för vilka koden eller signaturfragmenten beskrivs i förväg. Det är osannolikt att sådant skydd kan kallas tillförlitligt.

Processanalys

Anti-virusprodukter baserade på analys av processer fungerar något. Heuristiska analysatorer, liksom ovanstående, analysera data (på skivan, i kanalen, i minnet, etc.). Den grundläggande skillnaden är att analysen utförs under antagandet att den analyserade koden inte är data, och data (i datorer med bakgrunds-Neuman-arkitekturdata och lag är oskiljbara, i samband med detta, vid analys, det är nödvändigt att nominera en eller annan.)

Den heuristiska analysatorn fördelar en sekvens av verksamheten, var och en av dem tilldelar en viss farabedömning och mot en totalitet av fara bestämmer om denna operationssekvens är en del av en skadlig kod. Koden själv är inte utförd.

En annan typ av antivirus, baserat på analysen av processer är beteendeblock. I det här fallet utförs den misstänkta koden i steg tills totaliteten av de åtgärder som initieras av koden kommer inte att bedömas som farligt (eller säkert) beteende. Koden exekveras delvis, eftersom slutförandet av den skadliga koden kan detekteras av enklare dataanalysmetoder.

Virus detekteringsteknik

Tekniker som används i antivirus kan delas upp i två grupper:

  • Signalanalysteknik
  • Probabilistisk analysteknik

Signalanalysteknik

Antiderad analys - en virusdetekteringsmetod, som består av att kontrollera närvaron av virus i filerna. Antiderad analys är den mest kända metoden för att detektera virus och används i nästan alla moderna antiviruser. För att genomföra en antiviruskontroll krävs en uppsättning virus signaturer, som lagras i antivirusdatabasen.

På grund av det faktum att signaturanalysen innefattar att kontrollera filerna för närvaro av virus signaturer, behöver antivirusbasen en periodisk uppdatering för att upprätthålla relevansen av antivirus. Principen om användning av signaturanalysen i sig bestämmer också gränserna för dess funktionalitet - förmågan att detektera endast redan kända virus - mot nya virus är en signaturskanner maktlös.

Å andra sidan innefattar närvaron av virus signaturer möjligheten att behandla infekterade filer som detekteras med hjälp av signaturanalys. Behandlingen är dock tillåten för alla virus - Trojaner och de flesta maskar är inte mottagliga för behandlingsbara på sina konstruktiva egenskaper, eftersom det är en solid modul som skapats för skador.

Det behöriga implementeringen av virus signaturen gör att du kan upptäcka kända virus med hundra procent sannolikhet.

Probabilistisk analysteknik

Probabilistisk analysteknik är i sin tur uppdelade i tre kategorier:

  • Heuristisk analys
  • Behärska analys
  • Analys av kontrollsumma

Heuristisk analys

Heuristisk analys - Teknik baserad på probabilistiska algoritmer, vars resultat är identifieringen av misstänkta föremål. I processen med heuristisk analys kontrolleras filstrukturen, dess överensstämmelse med virusmallar. Den mest populära heuristiska tekniken är att verifiera innehållet i filen för närvaro av modifieringar av de redan kända virus signaturerna och deras kombinationer. Det bidrar till att identifiera hybrider och nya versioner av tidigare kända virus utan ytterligare uppdatering av antivirusbasen.

Heuristisk analys används för att upptäcka okända virus, och som ett resultat innebär inte behandling. Denna teknik kan inte 100% bestämma viruset framför det eller inte, och hur några probabilistiska algoritm synder falska svar.

Behärska analys

Behavioral Analysis är en teknik där beslutet om arten av föremålet som kontrolleras baseras på analysen av de operationer som utförs av dem. Behavioralanalys är mycket snävt tillämplig i praktiken, eftersom de flesta handlingar som är karakteristiska för virus kan utföras med konventionella tillämpningar. Gynnsamma analysatorer av skript och makron fick den största berömmelsen, eftersom motsvarande virus nästan alltid utför ett antal liknande åtgärder.

Skyddsverktygen i BIOS kan också hänföras till beteendeanalysatorer. När du försöker göra ändringar i MBR-datorn blockerar analysorn åtgärden och visar lämplig anmälan till användaren.

Dessutom kan beteendeanalysatorer spåra försök att direkt komma åt filer, vilket gör ändringar i startdisketten, formaterar hårddiskar etc.

Beteendeanalysatorer använder inte ytterligare föremål som virusbaser och som ett resultat kan inte skilja välkända och okända virus - alla misstänkta priori-program anses vara okända virus. På samma sätt innebär inte funktionerna i arbetet med medel som genomför beteendemässig analysteknik behandling.

Analys av kontrollsumma

Analys av kontrollsum är ett sätt att spåra förändringar i datorsystemets föremål. Baserat på analysen av förändringarna - simultanitet, massa, identiska förändringar i längderna av filer - kan slutas om systemets infektion. Kontroll summanalysatorer (använde även namnet på revisorerna för ändringarna), eftersom beteendeanalysatorerna inte använder ytterligare föremål i sitt arbete och ger en dom om närvaron av ett virus i systemet exklusivt med metoden för expertbedömning. Sådan teknik appliceras i skannrar vid åtkomst till - vid kontroll från filen, tas checksumet bort och placeras i cacheminnet, är beloppet borttaget igen innan du kontrollerar samma fil, jämfört med och i avsaknad av ändringar anses filen som inte är relaterad .

Antiviruskomplex

Anti-viruskomplex - En uppsättning antiviruser med användning av samma antiviruskärna eller kärna utformad för att lösa praktiska problem för att säkerställa antivirus-säkerheten hos datorsystem. Antiviruskomplexet innefattar också sättet att uppdatera antivirusbaser.

Dessutom kan antiviruskomplexet dessutom innefatta beteendeanalysatorer och revisorer av förändringar som inte använder antiviruskärnan.

Följande typer av antiviruskomplex är utmärkta:

  • Anti-viruskomplex för att skydda arbetsstationer
  • Antiviruskomplex för att skydda filservrar
  • Antiviruskomplex för att skydda postsystem
  • Antiviruskomplex för att skydda gateways.

Moln och traditionellt skrivbord Antivirus: Vad ska man välja?

(Baserat på Webroot.com Resource)

Den moderna antivirusmarknaden är främst de traditionella lösningarna för stationära system, de skyddsmekanismer som är byggda på grundval av signaturmetoder. En alternativ metod för antivirusskydd är användningen av heuristisk analys.

Problem med traditionell antivirusprogram

Nyligen blir traditionell antivirussteknik mindre effektiva, de blir snabbt föråldrade, på grund av ett antal faktorer. Antalet virushot som erkänns av signaturer är redan så bra att den aktuella 100% uppdateringen av signaturdatabaser på anpassade datorer ofta är en orealistisk uppgift. Hackers och cyberkimes använder alltmer botnets och annan teknik som accelererar spridningen av virushot på nolldagen. Dessutom skapas inte när man utför riktade angrepp av signaturen av motsvarande virus. Slutligen tillämpas ny teknik för att motverka antivirusdetektering: krypteringen av skadlig kod, skapandet av polymorfa virus på serverns sida, förprovning av kvaliteten på den virala attacken.

Traditionellt antivirusskydd är oftast byggt i "Tolstoy Client" -arkitekturen. Det betyder att en surroundprogramkod är installerad på klientens dator. Med det, kontrolleras inkommande data och närvaron av virala hot detekteras.

Detta tillvägagångssätt har ett antal brister. Först kräver skanning på jakt efter malware och jämförelse av signaturer en betydande beräkningsbelastning som "tar bort" av användaren. Som ett resultat reduceras datorns produktivitet, och antivirusoperationen stör ibland de applicerade uppgifterna parallellt. Ibland är belastningen på användarsystemet så märkbart att användare stänger av antivirusprogrammen och därigenom tar bort barriären före den potentiella virala attacken.

För det andra kräver varje uppdatering på användarens maskin att skicka tusentals nya signaturer. Mängden data som sänds är vanligtvis ca 5 MB per dag per maskin. Datatransmission bromsar Nätverksoperationen, distraherar ytterligare systemresurser, kräver att systemadministratörerna deltar i att kontrollera trafiken.

För det tredje är användare som är i roaming eller på avstånd från den stationära arbetsplatsen försvarslösa före attacker av nolldagen. För att få en uppdaterad del av signaturer måste de ansluta till ett VPN-nätverk som inte är tillgängligt för dem på distans.

Antivirusskydd av molnet

När du flyttar till antivirusskydd från molnet varierar lösningen av lösningen avsevärt. Användarens dator är installerad "Lightweight" -klient, vars huvudsakliga funktion är sökandet efter nya filer, beräkningen av hash-värden och skicka data till en molnserver. En fullskalig jämförelse utförs i molnet som utförs på en stor bas av de uppsamlade signaturerna. Denna bas är ständigt och i god tid på bekostnad av data som sänds av antivirusföretag. Klienten får en rapport med resultaten av inspektionen.

Således har molnarkitekturen av antiviralt skydd ett antal fördelar:

  • mängden beräkningar på användardatorn är försumbar jämfört med den tjocka klienten, därför minskar inte användarens produktivitet.
  • det finns ingen katastrofal effekt av antivirustrafik på nätverksbandbredd: vidarebefordran är föremål för en kompakt datadedel som endast innehåller några få dussin hash-värden, den genomsnittliga mängden dagtidstrafik inte överstiger 120 kb;
  • cloud Storage innehåller stora arrays av signaturer, betydligt mer än de som är lagrade på anpassade datorer;
  • algoritmer för att jämföra signaturer som används i molnen kännetecknas avsevärt högre intellektualitet jämfört med förenklade modeller som används på lokal stationer, och på grund av högre prestanda för att jämföra data kräver mindre tid.
  • cloud Antivirus Services arbetar med reala data erhållna från antiviruslaboratorier, utvecklingsutvecklare, företag och privata användare. Hotens hot är blockerade samtidigt med deras erkännande, utan dröjsmål som orsakas av behovet av att få tillgång till användardatorer.
  • användare i roaming eller har inte tillgång till sina huvudsakliga arbetsplatser, är skyddade mot attackerna på en nolldag samtidigt med internetåtkomst.
  • laddningssystemets administratörer är reducerad: de behöver inte spendera tid för att installera antivirusprogramvara på användardatorer, samt uppdateringar av signaturdatabaser.

Varför traditionella antiviruser inte klara sig

Modern skadlig kod kan:

  • Kringgå antivirusfällor genom att skapa ett speciellt målvirus under företaget
  • Innan antiviruset kommer att skapa en signatur, kommer den att skygga med hjälp av polymorfism, som återkallar med dynamisk DNS och URL
  • Målskapelse enligt företaget
  • Polymorfism
  • Okänd men ingen kod - ingen signatur

Det är svårt att försvara

Höghastighets Antiviruses 2011

Den ryska oberoende informationen och analytiska centrum Anti-malware.ru publicerad i maj 2011, resultaten av nästa jämförande test av de 20 mest populära antiviruserna på hastighet och konsumtion av systemresurser.

Syftet med detta test är att visa vilka personliga antivirus som har den minsta inverkan på användarens standardoperationer på datorn, mindre "broms" sitt arbete och förbrukar det minsta antalet systemresurser.

Bland antivirusmonitorerna (realtidsskannrar) visade en hel grupp av produkter en mycket hög fart, bland dem: Avira, Avg, Zonealarm, Avast, Kaspersky Anti-Virus, ESET, Trend Micro och Dr.Web . Med dessa antivirusor ombord var nedgången i kopiering av en testuppsamling mindre än 20% jämfört med standarden. Anti-Virus övervakar BitDefender, PC-verktyg, utpost, F-Secure, Norton och Emsisoft visade också höga hastigheter på hastighet, som ligger i intervallet 30-50%. Anti-Virus övervakar BitDefender, PC-verktyg, utpost, F-Secure, Norton och Emsisoft visade också höga hastigheter på hastighet, som ligger i intervallet 30-50%.

Samtidigt kan Avira, AVG, BitDefender, F-Secure, G-data, Kaspersky Anti-Virus, Norton, Outpost och PC-verktyg i reella förhållanden vara mycket snabbare på grund av de efterföljande kontrollerna i deras optimering.

Den bästa skanningshastigheten på begäran visade Avira Antivirus. Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus och Outpost. Med hastigheten på den första skanningen är dessa antiviruser bara lite sämre än ledaren, samtidigt som de alla har i sin arsenal kraftfulla optimeringsteknik för upprepade kontroller.

En annan viktig egenskap hos antivirushastigheten är dess inverkan på driften av de applikationsprogram som användaren ofta arbetar. Som sådan för testet valdes fem: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader och Adobe Photoshop. Den minsta avmattningen i lanseringen av dessa kontorsprogram har visat ESET, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost och G-data.

Introduktion

Vi lever vid korsningen av två årtusenden, när mänskligheten gick in i den nya vetenskapliga och tekniska revolutionens era.

I slutet av det tjugonde århundradet fångade människor många hemligheter om omvandling av ämnet och energi och lyckades använda dessa kunskaper för att förbättra sina liv. Men förutom substansen och energin i en persons liv spelar en annan komponent en stor roll - information. Dessa är ett brett utbud av information, meddelanden, nyheter, kunskaper, färdigheter.

I mitten av vårt århundrade verkade speciella enheter - lagringsorienterade datorer och informationskonvertering och en datorrevolution inträffade.

Idag visade sig den massiva användningen av persondatorer, tyvärr vara associerad med tillkomsten av självåtergivande virus, vilket förhindrar den normala driften av datorn som förstör filstrukturen på skivorna och skadar den information som lagras i datorn.

Trots lagen om att bekämpa datorns brott som antogs i många länder och utvecklingen av särskilt programskydd mot virus växer antalet nya mjukvaruvirus ständigt. Detta kräver en personlig dator av kunskap om naturen av virus, sätt att infektera virus och skydd från dem. Det fungerade som ett incitament att välja ämnet i mitt arbete.

Det handlar om detta som jag berättar i min abstrakta. Jag visar de viktigaste typerna av virus, med tanke på systemen för deras funktion, orsakerna till deras utseende och penetrationsvägen i datorn, samt erbjuda åtgärder för att skydda och förebygga.

Syftet med arbetet är att bekanta användaren med grunderna för datavirus, för att undervisa att upptäcka virus och hantera dem. Arbetsmetod - Analys av utskrifter på detta ämne. Framför mig var det en svår uppgift - att prata om vad som fortfarande var mycket lite studerat och hur det hände - att döma dig.

1. Datorvirus, deras egenskaper Och klassificering

1.1. Egenskaper hos datavirus

Personliga datorer används nu där användaren har fri tillgång till alla resurser på maskinen. Detta är exakt möjligheten till den fara som fick namnet på dataviruset.

Vad är ett datavirus? Den formella definitionen av detta koncept är fortfarande inte uppfunnit, och det finns allvarliga tvivel om att det kan ges alls. Många försök att ge en "modern" definition av viruset ledde inte till framgång. För att känna problemets komplexitet, försök till exempel, definiera begreppet "redigerare". Du kommer antingen upp med något mycket generellt, eller börja notera alla kända redaktörer. Båda kan knappast anses vara acceptabelt. Därför begränsar vi oss till övervägandet av vissa egenskaper hos datavirus som tillåter oss att prata om dem som en viss specifik programklass.

Först och främst är viruset ett program. Ett sådant enkelt uttalande i sig kan skingra många legender på de extraordinära kapaciteterna hos datavirus. Viruset kan vända bilden på din bildskärm, men själva monitorn kan inte vända om. Legerna av mördarvirusen, "Förstörande operatörer genom återkallandet av det dödliga färgområdet för de 25: e scenerna" behandlas inte allvarligt på allvar. Tyvärr publicerar vissa auktoritativa utgåvor från tid till annan "de senaste nyheterna från datorramar", som närmare visar sig vara en följd av inte helt tydlig förståelse för ämnet.

Viruset är ett program som har en självreproduktionsförmåga. En sådan förmåga är det enda verktyget som är inneboende i alla typer av virus. Men inte bara virus är kapabla att självreproduktion. Eventuella operativsystem och många fler program kan skapa egna kopior. Kopior av viruset är inte bara skyldiga att helt sammanfalla med originalet, men de kan i allmänhet inte sammanfalla med det!

Viruset kan inte existera i "fullständig isolering": Idag är det omöjligt att föreställa sig ett virus som inte använder koden för andra program, information om filstrukturen eller till och med bara namnen på andra program. Anledningen är förståelig: viruset bör på något sätt säkerställa överföring av kontroll.

1,2. Klassificering av virus

För närvarande är mer än 5000 mjukvaruvirus kända, de kan klassificeras enligt följande funktioner:

livsmiljö

¨ Metod för habitatinfektion

exponering

¨ Egenskaper i algoritmen

Beroende på livsmiljön kan virus delas upp i nätverk, fil, boot och file-boot. Nätverksvirus Distribuera via olika datanät. Filvirus implementeras huvudsakligen i de exekverbara modulerna, dvs i filer som har förlängningarna av COM och EXE. Filvirus Andra filtyper kan distribueras, men vanligtvis registreras i sådana filer, de får aldrig kontroll och förlorar därför förmågan att reproducera. Bootvirus introduceras i startsektorn på skivan (boot sektorn) eller till sektorn som innehåller systemdiskens laddningsprogram (master boot re-

sLADD). Filhämtning Virus infekterar både filer och startsektorer på skivorna.

Med metoden för infektion är virus uppdelade i bosatt och icke-bosatt. Bosatt virus När den är infekterad (infektion) lämnar datorn sin bosatta del i RAM, som sedan avlyssnar operativsystemets åtkomst till infektionsobjekten (filer, startsektorer etc.) och introduceras i dem. Residentvirus är i minnet och är aktiva för att stänga av eller starta om datorn. Icke-bosatta virus Infektera inte datorminne och är aktiva begränsade tid.

Enligt graden av påverkan kan virus delas in i följande typer:

¨ icke-farlig Inte störa datorns arbete, men minska mängden fritt ram och minne på skivor, manifesteras åtgärderna hos sådana virus i alla grafiska eller ljudeffekter

¨ farlig Virus som kan leda till olika störningar i datorn

¨ väldigt farligt , vars effekt kan leda till förlust av program, dataförstörelse, radering av information i systemregionerna på skivan.

2. Huvudtyper av virus och system för deras operation

Bland de olika olika virus kan följande huvudgrupper särskiljas:

läser in

¨ fil

¨ File-boot

Nu närmare om var och en av dessa grupper.

2.1. Bootvirus

Tänk på systemet för funktion av ett mycket enkelt startbart virus, infekterande diskett. Vi kommer medvetet att löna alla många subtiliteter som oundvikligen skulle möta en strikt analys av algoritmen för dess funktion.

Vad händer när du slår på datorn? Först och främst överförs kontrollen elementärt nedladdningsprogram som lagras i en ständigt lagringsenhet (ROM) dvs. PNZ ROM.

Programmet testar utrustningen och med framgångsrikt slutför kontrollerna för att hitta en diskett i enheten A:

Alla disketter publiceras på den så kallade. Sektorer och spår. Sektorerna kombineras i kluster, men det är obetydligt för oss.

Bland sektorerna finns det flera verktyg som används av operativsystemet för sina egna behov (dina data kan inte placeras i dessa sektorer). Bland tjänstesektorerna är vi fortfarande intresserade av en så kallad Utgångssektor (Boot-sektor).

I startsektorn hålls distansinformation - Antal ytor, antal spår, antal sektorer, etc. Men vi är inte intresserade av denna information, men en liten primär nedladdningsprogram (PNZ), som bör ladda upp operativsystemet själv och överföra det för att styra.

Således är det normala uppstartsdiagrammet som följer:

Tänk nu viruset. I lastvirusen isoleras två delar - så kallade. huvud och så kallade svans . Svans, i allmänhet kan det vara tomt.

Låt dig ha en ren diskett och en smittad dator under vilken vi förstår en dator med ett aktivt bosatt virus. Så snart det här viruset upptäcker att ett lämpligt offer uppträdde i enheten - i vårt fall, inte en icke-skyddad eller ändå infekterad diskett, fortsätter den till infektion. Infekterar en diskett, ger viruset följande åtgärder:

Det belyser lite diskområde och markerar det som ett otillgängligt operativsystem, det kan göras på olika sätt, i det enklaste och traditionella fallet, är sektorer som är engagerade i viruset markerade som misslyckade (dåliga)

Kopierar din svans och original (hälsosam) startsektor till det dedikerade diskområdet

Ersätter det ursprungliga startprogrammet i startsektorn (närvarande) huvudet

Organiserar kontrollkedjan enligt schemat.

Således är virushuvudet nu det första som mottar kontroll, viruset är installerat i minnet och överför kontrollen av den ursprungliga startsektorn. I en kedja

PNZ (ROM) - PNZ (DISC) - System

en ny länk visas:

PNZ (ROM) - Virus - PNZ (DISC) - System

Moral är tydlig: lämna aldrig (av en slump) diskett i enheten A.

Vi tittade på det fungerande systemet för ett enkelt rumvärtvirus som lever i lastsektorerna på disketten. Som regel kan virus infektera inte bara Boot-sektorns diskett, utan också boot sektorer av hårddiskar. Samtidigt, till skillnad från disketter på Winchester finns det två typer av startsektorer som innehåller initiala startprogram som får ledning. När du startar en dator från Winchester antar du först kontrollen av det ursprungliga startprogrammet i MBR (Master Boot Record - Main Boot Record). Om din hårddisk är uppdelad i flera sektioner, är bara en av dem markerad som startbar (start). Det ursprungliga nedladdningsprogrammet i MBR hittar lastdelen av hårddisken och överför kontrollen till det ursprungliga belastningsprogrammet i det här avsnittet. Den senare koden sammanfaller med koden för det ursprungliga startprogrammet som finns på vanliga disketter, och motsvarande boot-sektorer skiljer sig endast på parameterknapparna. Således, på Winchester finns det två föremål av attacken av startvirus - Primär nedladdningsprogram i Mbr och programinitialt nedladdningar i startsektorn startdiskett.

2,2. Filvirus

Låt oss nu överväga systemet för det enkla filviruset. Till skillnad från Boot-virus, som nästan alltid är bosatta, är filvirus inte nödvändigtvis bosatta. Tänk på systemet för att ett icke-bosatt filvirus fungerar. Låt oss ha en infekterad körbar fil. När du startar en sådan fil, får viruset kontroll, ger vissa åtgärder och överför att förvaltningen av ägaren (även om den fortfarande är okänd som i en sådan värdsituation).

Vilka åtgärder fungerar viruset? Han letar efter en ny anläggning för infektion - en lämplig fil som ännu inte är infekterad (om viruset är "anständigt" och sedan stöter de på så att de infekterar omedelbart utan att kontrollera någonting). Infektionsafilen är viruset inbäddat i koden för att få kontroll när den startas. Förutom sin huvudfunktion - Uppfödning kan viruset göra något som är invecklat (säg, fråga, spela) - det beror redan på fantasin av författaren av viruset. Om ett bosatt filvirus kommer det att vara i minnet och kommer att kunna infektera filer och visa andra förmågor inte bara under driften av den infekterade filen. Infektion av exekverbar fil ändrar viruset alltid sin kod - följaktligen kan infektionen i den körbara filen alltid detekteras. Men, ändra kodkoden, gör viruset inte nödvändigtvis andra förändringar:

à Det är inte skyldigt att ändra längden på filen

à oanvänd kod

à är inte skyldig att ändra början på filen

Slutligen innehåller filvirusen ofta virus som "har några relevanta filer", men är inte skyldiga att bädda in i deras kod. Tänk som ett exempel systemet för funktionen av virus av den berömda familjen Dir-II. Det är omöjligt att inte erkänna det som uppträder 1991, dessa virus orsakade den nuvarande epidemin av pest i Ryssland. Tänk på den modell som den grundläggande idén om viruset är tydligt synlig. Filinformation lagras i kataloger. Varje kataloguppgift innehåller ett filnamn, datum och tidpunkt för skapandet, ytterligare information, antal det första klustret Fil och så kallad Backup bytes . Den senare är kvar "om tillförseln" och MS-DOS i sig används inte.

När du kör körbara filer läser systemet det första filklustret från inspelning i katalogen och sedan alla andra kluster. Viruserna i Dir-II-familjen producerar följande "omorganisation" i filsystemet: Viruset är skrivet till några gratis skivsektorer som den markerar som misslyckats. Dessutom sparar det information om de första klusterna av exekverbara filer i backupbitar och referenserna till dessa informationsrekord.

Således, när du startar någon fil, får viruset kontroll (operativsystemet startar det själv), det är bosatt till minnet och sänder kontrollen av den uppringda filen.

2,3. Laddar och filvirus

Vi kommer inte att överväga modellen på start- och filviruset, eftersom du inte kommer att känna igen någon ny information. Men här verkar det som ett bekvämt fall att kortfattat diskutera det extremt "populära" nyligen laddnings- och filviruset, som infekterar den huvudsakliga boot sektorn (MBR) och körbara filer. Grundläggande destruktiva åtgärder - kryptering av vinschssektorer. Varje gång du startar krypterar viruset nästa del av sektorerna, samtidigt som man krypterar halva hårddisken, rapporterar det lyckligt. Det största problemet vid behandling av detta virus är att det inte räcker för att helt enkelt ta bort viruset från MBR och filerna, det är nödvändigt att dechiffrera informationen krypterade dem. Den mest "dödliga" åtgärden är att helt enkelt skriva om en ny hälsosam MBR. Det viktigaste är inte att panikera. Väga allt lugnt, kontakta experter.

2,4. Polymorfa virus

De flesta av frågorna är förknippade med termen "polymorfvirus". Denna typ av datavirus verkar som de farligaste. Förklara vad det är.

Polymorfiska virus är virus som modifierar sin kod i infekterade program på ett sådant sätt att två instanser av samma virus inte kan sammanfalla i någon sats.

Sådana virus krypterar inte bara sin kod med olika krypteringsvägar, men innehåller även kodgenereringskod och dekryryr, som skiljer dem från konventionella krypteringsvirus, som också kan kryptera sektionerna i koden, men har en permanent krypterkod och avkodare.

Polymorfa virus är virus med självmodifierande dekrypterare. Syftet med en sådan kryptering: Att ha smittade och ursprungliga filer kan du fortfarande inte analysera sin kod med konventionell demontering. Denna kod är krypterad och är en meningslös uppsättning kommandon. Avkodningen görs av själva viruset direkt vid utförandet. Samtidigt är alternativen möjliga: det kan dechiffrera sig omedelbart och kan utföra en sådan avkodning "längs fallets gång", kan igen kryptera sektionerna. Allt detta görs för svårigheten att analysera viruskoden.

3. Historia av datavirologi och orsaker till virus

Historien om datavirologi presenteras idag av den ständiga "rasen bakom ledaren", och trots allt kraften i moderna antivirusprogram är ledarna virus. Bland tusentals virus är bara ett par dussin ursprungliga utvecklingar som verkligen är grundläggande nya idéer. Alla andra är "variationer på ämnet." Men varje originalutveckling orsakar skaparna av antiviruser att anpassa sig till nya förhållanden, komma ikapp med viral teknik. Den senare kan utmanas. Till exempel, 1989 lyckades en amerikansk student skapa ett virus, som handikappade ca 6 000 datorer av den amerikanska försvarsdepartementet. Eller epidemin av det berömda DIR-II-viruset, som har brutit ner 1991. Viruset använde verkligen den ursprungliga, grundläggande nya tekniken och lyckades först sprida sig i stor utsträckning på grund av ofullkomligheten av traditionellt antivirus.

Eller ett stänk av datavirus i Storbritannien: Cristofour Paine lyckades skapa patogen och Queeq-virus, liksom SMEG-virus. Det var den sista som var den farligaste, det kunde åläggas de två första virusen, och på grund av detta, efter varje programkörning, ändrade de konfigurationen. Därför var de omöjliga att förstöra. För att distribuera virus, tallkopierade datorspel och program, smittade dem och skickas sedan tillbaka till nätverket. Användare laddade ner infekterade program i sina datorer och smittade skivor. Situationen förvärrades av det faktum att tall lyckades medföra virus och i det program som kämpar med dem. Genom att köra den fick användarna istället för att förstöra virusen en annan. Som ett resultat förstördes filer av många företag, förluster uppgick till miljontals pund sterling.

Den amerikanska programmeraren Morris fick bred berömmelse. Det är känt som skaparen av viruset, som i november 1988 infekterade cirka 7 tusen personliga datorer anslutna till Internet.

Skälen till utseendet och distributionen av datavirus är å ena sidan dolda i psykologin hos den mänskliga personligheten och dess skuggsidor (avundsjuka, hämnd, fåfänga av orecognerade skapare, omöjligheten att konstruktivt tillämpar sina förmågor), på Annan hand, på grund av bristen på hårdvaruskydd och motverkning från de operativa persondatorsystemen.

4. Sätt att penetrera virus i en dator och en mekanism för fördelning av virala program

De viktigaste vägarna med penetration av virus till datorn är avtagbara hjul (flexibel och laser), såväl som datanät. Infektion av en hårddisk med virus kan inträffa när programmet är laddat från en diskett som innehåller viruset. En sådan infektion kan vara slumpmässig, till exempel om disketten avlägsnades från drivenheten A och startade om datorn, medan disketten kanske inte är systemisk. Infektera en diskett är mycket lättare. Ett virus kan komma på det, även om disketten sattes in i en infekterad dator och, till exempel läser dess innehållsförteckning.

Viruset är som regel inbäddat i ett arbetsprogram på ett sådant sätt att när det börjar kontrollen, passerade den först till honom och först efter att ha utfört alla sina kommandon, återvände den till arbetsprogrammet. Med tillgång till ledning skriver viruset i första hand till ett annat arbetsprogram och infekterar det. Efter att ha startat ett program som innehåller viruset blir det möjligt att infektera andra filer. Oftast är viruset infekterat med startsektorn på skivan och exekverbara filer som har utökat exe, com, sys, fladdermus. Extremt sällan infekterade textfiler.

Efter infektion av programmet kan viruset utföra viss sabotage, inte för allvarlig för att inte locka uppmärksamhet. Slutligen glömmer det inte att återställa förvaltningen av det program från vilket det lanserades. Varje utförande av ett infekterat program överför viruset till nästa. Således kommer all programvara att smittas.

För att illustrera infektionsprocessen i datorprogrammet är viruset meningsfullt att likna skivminnet med ett gammaldags arkiv med mappar på flätan. I mappar finns det program, och sekvensen för att omvandla viruset kommer i det här fallet att se ut som följer. (Se bilaga 1)

5. Tecken på virus

När du infekterar en dator är viruset viktigt att detektera det. För att göra detta borde du veta om de viktigaste tecknen på manifestationen av virus. Dessa inkluderar följande:

¨ Uppsägning av arbete eller felaktigt arbete med tidigare framgångsrikt fungerande program

¨ långsam dator arbete

¨ Kan inte hämta operativsystemet

¨ Försvinnande av filer och kataloger eller snedvrida deras innehåll

¨ Ändra datum och tid för filändring

¨ Ändra filstorlekar

¨ En oväntad betydande ökning av antalet filer på disken

¨ Betydande minskning av fri RAM

¨ Utgång till skärmen för oförutsedda meddelanden eller bilder

¨ Matning av oförutsedda ljudsignaler

¨ Frekventa fryser och funktionsfel

Det bör noteras att ovanstående fenomen inte nödvändigtvis orsakas av närvaron av ett virus och kan vara en följd av andra skäl. Därför är den korrekta diagnosen av datorstatus alltid svår.

6. Detektering av virus och åtgärder för att skydda och förhindra

6.1. Hur man upptäcker Virus ? Traditionellt tillvägagångssätt

Så skapar en viss virusförfattare ett virus och lanserar det i "LIFE". Under en tid kan han gå i volatil, men förr eller senare kommer "Lafa" att sluta. Någon kommer att misstänka något fel. Som regel upptäcker virus vanliga användare som märker vissa anomalier i datorns beteende. De kan i de flesta fall inte självständigt klara av infektionen, men det är inte nödvändigt med dem.

Det är bara nödvändigt att få viruset så snart som möjligt i specialisternas händer. Professionella kommer att studera det, ta reda på, "vad han gör", "som han gör", "när han gör" etc. I processen med ett sådant arbete samlas all nödvändig information om detta virus, i synnerhet Virus signatur tilldelas - sekvensen av byte, som den definitivt kännetecknas av det. För att konstruera signaturen tas de viktigaste och karakteristiska sektionerna av viruskoden. Samtidigt blir virusets mekanismer tydliga, till exempel, i fallet med ett startbart virus är det viktigt att veta var det döljer sin svans, där den ursprungliga boot-sektorn ligger och i fallet av en fil - ett sätt att infektera en fil. Den erhållna informationen låter dig ta reda på:

· Hur man upptäcker viruset, för detta anger metoderna för att hitta signaturer i potentiella objekt av virusattack - filer och \\ eller boot sektorer

· Hur man neutraliserar viruset, om möjligt, är algoritmerna för att ta bort en viral kod från drabbade objekt utvecklade.

6.2. Virusdetektering och skyddsprogram

För att upptäcka, radera och skydda datorvirus har flera typer av specialprogram utvecklats som låter dig upptäcka och förstöra virus. Sådana program kallas antivirus . Skiljer följande typer av antivirusprogram:

· Detektorer program

· Läkare eller fagprogram

· Programrevisorer

· Filtrera program

· Vaccinprogram eller immunisatorer

Detektorer program Sök undersignaturen för ett visst virus i RAM och i filer och när det detekteras, ges motsvarande meddelande. Nackdelen med sådana antivirusprogram är att de bara kan hitta de virus som är kända för utvecklare av sådana program.

Doktorsprogram eller fager , såväl som vaccinprogram Hitta inte bara de filer som är infekterade med virus, men också "behandla" dem, d.v.s. Ta bort virusprogramkroppen från filen, återkommer filer till sitt ursprungliga tillstånd. I början av sitt arbete söker fages efter virus i RAM, förstör dem, och bara sedan gå till "Behandling" av filer. Bland fagen isoleras polyfags, d.v.s. Doktorsprogram som är utformade för att söka och förstöra ett stort antal virus. Den mest kända av dem är: Aidstest, Scan, Norton AntiVirus, Doktor Web.

Med tanke på att nya virus ständigt dyker upp, är detektorprogrammen och läkarna snabbt föråldrade, och regelbunden uppdatering av versioner krävs.

Programrevisorer tillhör det mest tillförlitliga sättet att skydda mot virus. Revisorerna kommer ihåg det ursprungliga tillståndet för programmen, katalogerna och systemregionerna på skivan när datorn inte är infekterad med viruset, och sedan regelbundet eller på begäran av användaren jämföra den aktuella statusen med källan. Upptäckta ändringar visas på skärmen. Som regel producerar jämförelsen av stater omedelbart efter lastning av operativsystemet. Vid jämförelse, fillängden, cyklisk styrkod (checksum på filen), datum och tid för modifiering, kontrolleras andra parametrar. Revisionsprogrammen har tillräckligt utvecklade algoritmer, upptäcker smygvirus och kan till och med rensa ändringar i versionen av det verifierade programmet från ändringar som gjorts av viruset. Audinf-programmet är ett utbrett program Adinf som är allmänt fördelat i Ryssland.

Filterprogram eller "Storam" Nuvarande småbosatta program som är utformade för att upptäcka misstänkta åtgärder när de arbetar på en dator som är karakteristisk för virus. Sådana åtgärder kan vara:

· Försök att korrigera filer med COM-förlängningar, EXE

· Ändra filattribut

· Direktpost till disk till en absolut adress

· Inspelning till skivans startsektor

När du försöker göra de angivna åtgärderna "Watchman" skickar användaren ett meddelande och erbjuder för att förbjuda eller lösa lämpliga åtgärder. Filterprogrammen är mycket användbara, eftersom de kan upptäcka viruset i det tidigaste skedet av dess existens till reproduktion. Men de "behandlar" inte "filer och skivor. För att förstöra virus måste du tillämpa andra program, till exempel fager. Nackdelarna med vaktmännen kan inkludera deras "irriterande" (till exempel, de utfärdar ständigt en varning om något försök att kopiera den körbara filen), såväl som eventuella konflikter med annan programvara. Ett exempel på ett filterprogram är VSafe-programmet, som ingår i MS DOS Utility-paketet.

Vacciner eller Immunisatorer - Det här är bosatta program som förhindrar infektion av filer. Vacciner används om det inte finns några läkareprogram ", deltar" detta virus. Vaccination är endast möjlig från kända virus. Vaccinet ändrar programmet eller skivan på ett sådant sätt att detta inte återspeglas i deras arbete, och viruset kommer att uppfatta dem infekterade och därför inte kommer att genomföras. För närvarande har vaccinprogram begränsad användning.

Tidig upptäckt av filer som är infekterade med virus och skivor, kan den fullständiga förstörelsen av detekterade virus på varje dator undvika spridning av en virusepidemi till andra datorer.

6.3. Grundläggande åtgärder för att skydda mot virus

För att inte utsättas för datorn med infektion med virus och säkerställa tillförlitlig lagring av information om diskar, måste följande regler följas:

¨ Bygg din dator med moderna antivirusprogram, till exempel Aidstest, doktorsbana och ständigt förnya sina versioner.

¨ Innan du läser från disketter av information som spelats in på andra datorer, kontrollera alltid dessa disketter för virus, lansera datorns antivirusprogramvara

¨ När du överför till datorns filer i arkiverade. Kontrollera dem omedelbart efter att ha tagit på hårddisken, vilket begränsar skanningsområdet endast med nyspelade filer

¨ Kontrollera regelbundet för virus av hårddiskar på datorn, som kör antivirusprogram för testning av filer, minnes- och systemområden av skivor med en diskettskyddad diskett, efter att ha laddat operativsystemet med en systemdiskettskyddad

¨ Skydda alltid dina disketter från inspelning när du arbetar med andra datorer om information inte spelas in på dem.

¨ Var noga med att göra arkivkopior på disketter av värdefull information för dig.

¨ Lämna inte enheten i fickan och disketter när du slår på eller starta om operativsystemet för att eliminera datorns infektion med laddningsvirus

¨ Använd antivirusprogram för inmatningskontroll av alla körbara filer mottagna från datanät.

¨ För att säkerställa större säkerhet för Aidstest och Doctor Web måste du kombinera med den dagliga användningen av ADINF-revisor

Slutsats

Så det är möjligt att ge många fakta som indikerar att hotet om informationsresursen ökar varje dag, exponering i panikansvariga personer i banker, företag och företag runt om i världen. Och detta hot kommer från datavirus som snedvrider eller förstör vital, värdefull information, vilket inte bara kan leda till ekonomiska förluster, utan också för mänskliga offer.

Datorvirus - Ett speciellt skriftligt program som kan spontant gå med i andra program, skapa dina kopior och genomföra dem i filer, datorsystem och i beräkningsnät för att bryta mot program, skada filer och kataloger, skapa alla slags störningar i datorn.

För närvarande är mer än 5000 mjukvaruvirus kända, vars antal kontinuerligt växer. Det finns fall när undervisningshjälpmedel har skapats som hjälper till att skriva virus.

Huvudtyper av virus: Boot, File, File-Boot. Den farligaste typen av virus - polymorf.

Från datorvirologins historia är det uppenbart att alla ursprungliga datorutvecklingskrafter styrker skaparna av antiviruser att anpassa sig till ny teknik, ständigt förbättra antivirusprogrammen.

Skälen till utseendet och spridningen av virus är dolda å ena sidan i mänsklig psykologi, å andra sidan, med brist på skyddsmedel för operativsystemet.

De viktigaste vägen för virus är avtagbara skivor och datanät. Så att detta inte händer följer skyddsåtgärderna. Också för att detektera, radera och skydda mot datavirus har flera typer av speciella program som heter antiviral har utvecklats. Om du fortfarande upptäckte ett virus på en dator, är det bättre att ringa ett professionellt tillvägagångssätt för det traditionella tillvägagångssättet så att det tänkte ut.

Men vissa egenskaper hos virus är förbryllande även specialister. Senast var det svårt att föreställa sig att viruset skulle kunna överleva en kall omstart eller distribuerad via dokumentfiler. Under sådana förhållanden är det omöjligt att inte fästa vikten av åtminstone den första antivirusutbildningen av användare. Med all allvar, kan inget virusproblem medföra så mycket skada som den viskande användaren med darrande händer!

Så, Hälsan hos dina datorer, säkerheten för dina data - i dina händer!

Bibliografisk lista

1. Informatik: lärobok / ed. Prof. N.v. Makarova. - m.: Finans och Statistik, 1997.

2. Encyclopedia of Secrets and Sensations / Premium. Text yu.n. Petrova. - MN: Litteratur, 1996.

3. Bezrukov n.n. Datavirus. - M.: Science, 1991.

4. Bro D.YU. Modern teknik för bekämpning av virus // World PC. - №8. - 1993.

Användaren av den moderna persondatorn har fri tillgång till alla resurser på maskinen. Det var detta som öppnade möjligheten till förekomsten av en fara som fick namnet på ett datavirus.

Ett datavirus är ett speciellt skriftligt program som kan spontant gå med i andra program, skapa kopior och implementera dem i filer, datorsystem och i beräkning av nätverk för att bryta mot program, skada filer och kataloger, skapa alla slags störningar på en dator. Beroende på livsmiljön kan virus delas upp i nätverk, fil, boot, file-boot, makro och trojanska program.

  • Nätverksvirus Distribuera via olika datanät.
  • Filvirus Implementeras huvudsakligen i de körbara modulerna. Filvirus kan vara inbäddade i andra typer av filtyper, men vanligtvis inspelad i sådana filer, får de aldrig kontroll och förlorar därför förmågan att reproducera.
  • Bootvirus Implementeras i startsektorn på skivan (startsektorn) eller till sektorn som innehåller Master Boot Record (Master Boot Record).
  • File-Boot-virus Infektera både filer och boot sektorer av skivor.
  • Makrowurus På hög nivå är skrivna och påverkar programdokumentfiler som har inbyggda automationsspråk (makrospråk), till exempel Microsoft Office-familjen.
  • TrojanprogramMouching för användbara program är en källa till datorinfektion med virus.

För att upptäcka, radera och skydda datorvirus har flera typer av specialprogram utvecklats som låter dig upptäcka och förstöra virus. Sådana program kallas antivirala. Skilja följande typer antivirusprogram:

  • - detektorer program;
  • - Doktorsprogram eller fager;
  • - Programrevisorer;
  • - Filtersprogram;
  • - Vaccinprogram eller immunisatorer.

Detektorer program Sök undersignaturen för ett visst virus i RAM och i filer och när det detekteras, ges motsvarande meddelande. Nackdelen med sådana antivirusprogram är att de bara kan hitta de virus som är kända för utvecklare av sådana program.

Doktorsprogram, eller fager också vaccinprogram Hitta inte bara filer som är infekterade med virus, men också "behandla" dem, d.v.s., radera kroppsviruskroppen från filen, återvända filer till sitt ursprungliga tillstånd. I början av sitt arbete söker fages efter virus i RAM, förstör dem, och bara sedan gå till "Behandling" av filer. Bland de andelade fagen polyfagi., do., doktorsprogrammen som är utformade för att söka efter förstörelsen av ett stort antal virus. Den mest kända av dem är: Kaspersky Antivirus, Norton AntiVirus, Doktor Web.

På grund av det faktum att nya virus ständigt uppstår är detektorer och läkareprogram och programprogram snabbt föråldrade, och regelbunden uppdatering av versioner krävs.

Programrevisorer tillhör det mest tillförlitliga sättet att skydda mot virus. Revisorerna kommer ihåg det ursprungliga tillståndet för programmen, katalogerna och systemregionerna på skivan när datorn inte är infekterad med viruset, och sedan regelbundet eller på begäran av användaren jämföra den aktuella statusen med källan. Upptäckta ändringar visas på skärmen. Som regel producerar jämförelsen av stater omedelbart efter lastning av operativsystemet. Vid jämförelse, fillängden, cyklisk styrkod (checksum på filen), datum och tid för modifiering, kontrolleras andra parametrar. Revisionsprogrammen har tillräckligt utvecklade algoritmer, upptäcker stealth-virus och kan till och med skilja förändringar i den version av programmet som kontrolleras från ändringar som görs av viruset. Kaspersky Monitor är ett utbrett programrevisorer.

Filterprogram Eller "Storam" är små bosatta program som är utformade för att upptäcka misstänkta handlingar när man arbetar på en dator som är karakteristisk för virus. Sådana åtgärder kan vara:

  • - Försöker att korrigera filer med SOM-förlängningar. EX;
  • - Ändra filattributen
  • - direkt rekord till disk till en absolut adress
  • - Inträde i skivans startsektorer

När du försöker göra de angivna åtgärderna "Watchman" skickar användaren ett meddelande och erbjuder för att förbjuda eller lösa lämpliga åtgärder. Filterprogrammen är mycket användbara. Eftersom de kan upptäcka viruset i det tidigaste skedet av dess existens, till reproduktion. Men de "behandlar" inte "filer och skivor.

För att förstöra virus måste du tillämpa andra program, till exempel fager. Nackdelarna med vaktmännen kan inkludera deras "irriterande" (till exempel, de utfärdar ständigt en varning om något försök att kopiera den körbara filen), såväl som eventuella konflikter med annan programvara.

Vacciner eller immunisatorer - Det här är bosatta program. Förhindra filinfektion. Vacciner används om det inte finns några läkareprogram ", deltar" detta virus. Vaccination är endast möjlig från kända virus. Vaccinet ändrar programmet eller skivan på ett sådant sätt att detta inte återspeglas i deras arbete, och viruset kommer att uppfatta dem infekterade och därför inte kommer att genomföras. För närvarande har vaccinprogram begränsad användning.

Tidig upptäckt av filer som är infekterade med virus och skivor, kan den fullständiga förstörelsen av detekterade virus på varje dator undvika spridning av en virusepidemi till andra datorer.