Реферат по информатике Компьютерные вирусы - davaiknam.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
Конспект урока по информатике: «Компьютерные вирусы» 1 55.14kb.
3 Компьютерные вирусы и антивирусные программы. 2 Что такое компьютерные... 1 115.29kb.
Компьютерные вирусы 1 72.52kb.
Компьютерные вирусы 1 94.71kb.
Конспект открытого урока по теме: "Компьютерные вирусы. Антивирусные... 1 96.76kb.
Правила поведения и техника безопасности в компьютерном классе. 1 85.45kb.
Компьютерные вирусы. Антивирусное по. Общие представления о вирусах 1 35.79kb.
Вредоносное по компьютерные вирусы 1 116.39kb.
Компьютерные вирусы 1 87.93kb.
Компьютерные вирусы и антивирусные программы 1 43.94kb.
Компьютерные вирусы. Антивирусные программы. Компьютерный вирус 1 50.49kb.
Курсовая работа По курсу: «Уголовное право» По теме: «Преступления... 4 959.47kb.
Направления изучения представлений о справедливости 1 202.17kb.

Реферат по информатике Компьютерные вирусы - страница №1/1




Компьютерные вирусы

Музыкально- математическая гимназия №2 Экзаменационный реферат по информатике Компьютерные вирусы Выполнил: ученик 9 класса “Б” Кочетков Максим Преподаватель: Вайнштейн А.С. Самара 1999 СОДЕРЖАНИЕ КОМПЬЮТЕРНЫЙ ВИРУС 1.1. Что такое компьютерный вирус…………………………………...3 1.2. Как проявляют себя вирусы………………………………………..31. ТИПЫ ВИРУСОВ 2.1.Вирусы – спутники………………………………………………….4 2.2.Файловые вирусы…………………………………………………...5 2.3.Загрузочные вирусы………………………………………………...5 2.4.Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов……………………….……………………………………….5 2.5.Вирусы DIR ………….……………………………………...….…....5 2.6.Макровирусы…………………………………………….…………..5 2. МЕХАНИЗМ ЗАЩИТЫ ВИРУСОВ ОТ ОБНАРУЖЕНИЯ 3.1.Стелс-вирусы………………………………………….……….…….6 3.2.Вирусы-призраки……………………………………………….…...6 3. ЧТО МОЖЕТ И ЧЕГО НЕ МОЖЕТ КОМПЬЮТЕРНЫЙ ВИРУС 4.1.Файлы, подвергающиеся заражению………………………..……..6 4.2.Случаи, когда можно заразить свой компьютер…………..………7 4. КАК НЕ ЗАРАЗИТЬСЯ КОМПЬЮТЕРНЫМ ВИРУСОМ 5.1.Профилактические меры…………………………………….……...8 5.2.Профилактика заражения вирусом компьютеров группового пользования ……………………………………………………………..9 5. ЧТО ДЕЛАТЬ, ЕСЛИ ЗАРАЖЕНИЕ УЖЕ ПРОИЗОШЛО 6.1.Стандартные действия при заражении вирусом………………….10 6.2.Нестандартные ситуации…………………………………………..11 6. Виды программ для защиты от вирусов. 7.1. Программы-ревизоры……………………………………………...12 7.2. Программы-детекторы и доктора…………………………………12 7.3.Программы-фильтры……………………………………………….13 ЗАКЛЮЧЕНИЕ……………………………………………………….…..13 ПРИЛОЖЕНИЕ 1………………………………………………………....14 ПРИЛОЖЕНИЕ 2…………………………………………………….……16 СЛОВАРЬ ТЕРМИНОВ………………………………………………….19 СПИСОК ЛИТЕРАТУРЫ………………………………..……………..23 1.КОМПЬЮТЕРНЫЙ ВИРУС С проблемой компьютерных вирусов и их возможностей связано, наверное, наибольшее число легенд и преувеличений. Многие люди, а иногда и целые организации панически бояться заражения своих машин. На самом деле все не так страшно. Чтобы не заразить свои компьютеры, достаточно соблюдать лишь небольшое число элементарных правил, но соблюдать их неукоснительно. 1.1. Что такое компьютерный вирус В общем случае компьютерный вирус – это небольшаяпрограмма, которая приписывает себя в конец исполняемых файлов,«драйверов»,или «поселяется» в загрузочном секторе диска. При запускезараженных программ и драйверов вначале происходит выполнение вируса, ауже потом управление передается самой программе. Если же вирус«поселился» в загрузочном секторе, то его активизация происходит в моментзагрузки операционной системы с такого диска. В тот момент, когдауправление принадлежит вирусу, обычно выполняются различные неприятные дляпользователя, но необходимые для продолжения жизни данного вируса действия.Это нахождение и заражение других программ, порча данных и т.д. Вирус можеттакже остаться в памяти резидентно и продолжать вредить до перезагрузкикомпьютера. После окончания работы вируса управление передается зараженнойпрограмме, которая обычно работает «как ни в чем не бывало», маскируя темсамым наличие в системе вируса. К сожалению, очень часто вирусобнаруживается слишком поздно, когда большинство программ уже заражено. Вэтих случаях потери от зловредных действий вируса могут быть очень велики. В последнее время появились так называемые макровирусы. Онипередаются вместе с документами, в которых предусмотрено выполнениемакрокоманд (например, документы текстового редактора Word), отсюда и ихназвание. Макровирусы представляют собой макрокоманды, которые предписываютпереносить тело вируса в другие документы. и, по возможности, совершатьразличные вредные действия. Наибольшее распространение в настоящее времяполучили макровирусы, заражающие документы текстового редактора Word6.0/7.0 для Windows и табличного редактора Excel 5.0/7.0 для Windows. 1.2. Как проявляют себя вирусыПроявление вирусов весьма различны: - Сильное замедление работы компьютера. - Неожиданное появление на экране посторонних фраз. - Появление различных видеоэффектов (например, перевертывание экрана). - Пропадание информации с экрана (один из хранителей экрана под названием Worms в Norton Commander 5.0 очень точно имитирует работу известного вируса - «поедание» информации своеобразной гусеницей). - Генерация различных звуков. - Некоторые программы перестают работать, а другие ведут себя очень странно. - На дисках появляется большое количество испорченных файлов данных, текстовых файлов. - Разом рушится вся файловая система на одном из дисков. - Операционная система неожиданно перестает видеть винчестер. - Произвольно изменяется длина отдельных файлов. - Неожиданные проблемы с 32-х битным доступом к диску и файлам в Windows 3.11 или Windows 95. Разные вирусы могут вести себя по-разному. Некоторыетолько размножаются, не совершая вредных действий, другие жесразу после заражения совершают множество очень неприятныхдействий. Есть такие, которые вначале ведут себя незаметно, а попрошествии какого-то времени вдруг разом портят все данные (скажем,форматируется винчестер). А бывают вирусы, которые стараются ввести себя как можно более незаметно, но понемногу и постепенно портятданные на жестком диске компьютера. Таким образом, если не предпринимать мер защиты от вируса,то последствия заражения компьютера могут быть очень серьезными.Например, в1989г, вирусом, написанным американским студентомМоррисом, были заражены и выведены из строя тысячикомпьютеров, в том числе принадлежащих министерству обороны США.Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270тыс.дол. Наказание могло быть и более строгим, но суд учел, что вирус непортил данные. а только размножался. Для того чтобы программа-вирус была незаметной, она должнабыть небольшой. Поэтому, как правило, вирусы пишутся на языкеассемблера. Некоторые авторы таких программ создали их из озорства,некоторые - из стремления «насолить» кому-либо или из ненависти ко всему роду человеческому. В любом случае созданнаяпрограмма-вирус может (потенциально) распространиться на всехкомпьютерах, совместимых с тем, для которого она была написана, и причинитьочень большие разрушения. Следует заметить, что написание вируса – не такая уж сложная задача,вполне доступная изучающему программирование студенту. Поэтомуеженедельно в мире появляются все новые и новые вирусы. И многие из нихсделаны в нашей стране и в других недостаточно цивилизованныхстранах: Болгарии, Пакистане и т.д. 2.ТИПЫ ВИРУСОВ Вирусы различаются между собой как по способу проникновения в систему, так и по способу функционирования. Рассмотрим основные классы вирусов. 2.1.Вирусы – спутники. Наиболее примитивный тип вирусов. Для каждого файла с расширением.ехе создают тот же файл с тем же именем,. но с расширением .сом,содержащий тело вируса. При запуске файла операционная системавначале ищет .сом файлы, а потом .exe файлы. Поэтому вначалеуправление получает вирус, а затем уже он сам вызываетнеобходимый .exe файл. 2.2.Файловые вирусы. Поражают файлы с расширением .com, .exe, реже .sys или оверлейныемодули .exe файлов. Эти вирусы дописывают свое тело в начало, серединуили конец файла и изменяют его таким образом, чтобы первымиполучить управление. Некоторые из этих вирусов не заботятся о сохранениизаражаемого файла. В результате чего он оказывается неработоспособным; ичто самое печальное, такой файл нельзя восстановить. Часть этих вирусовпосле запуска остается в памяти резидентно. 2.3.Загрузочные вирусы. Поражают загрузочные сектора дисков. Инфицирование новых дисковпроисходит в тот момент, когда в зараженный компьютер вставляют новуюдискету и начинают с ней работать. Часто вирус не помещается целиком взагрузочной записи, туда пишется только его начало, а продолжение телавируса сохраняется в другом месте диска. После запуска остаются в памятирезидентно. 2.4.Вирусы, сочетающие в себе свойства файловых и загрузочных вирусов. Такие вирусы могут поражать как файлы, так и загрузочные секторадисков. 2.5.Вирусы DIR. Интересный класс вирусов, появившийся недавно. Эти вирусы изменяютфайловую систему диска очень хитрым образом. В таблице размещения файлов(FAT) для всех исполняемых файлов ссылки на начало заменяются ссылками натело вируса. Адреса же начала файлов в закодированном виде помещаются внеиспользуемые элементы директории. В результате, как только вы запускаетелюбую программу, управление автоматически получает вирус. Он остается впамяти резидентно и при работе восстанавливает правильные ссылки на началафайлов. Если диск, зараженный вирусом DIR, попадает на чистый компьютер,считать с него данные, естественно, оказывается невозможным (читаетсятолько один кластер). При попытке протестировать файловую структуру –скажем, Norton Disk Doctor – на экран выдается сообщение об огромномколичестве ошибок, но стоит запустить хоть одну программу с зараженногодиска, как файловая система тут же «восстанавливается». На самом же делепроисходит инфицирование еще одного компьютера. 2.6.Макровирусы. Весьма оригинальный класс вирусов (хотя вирусами в полном смыслеэтого слова их даже нельзя назвать), заражающий документы, в которыхпредусмотрено выполнение макрокоманд. При открытии таких документов вначалеисполняются макрокоманды (специальные программы высокого уровня),содержащиеся в этом документе, - макровирус как раз и представляет собойтакую макрокоманду. Таким образом, как только будет открыт зараженныйдокумент, вирус получит управление и совершит все вредные действия (вчастности, найдет и заразит еще не зараженные документы). 3.МЕХАНИЗМ ЗАЩИТЫ ВИРУСОВ ОТ ОБНАРУЖЕНИЯ Как правило, вирусы легко обнаруживаются по особым участкам кода тела вируса. Правда, в последнее время широкое распространение получили два новых типа вирусов – вирусы-невидимки (или стелс-вирусы) и самомодифицирующиеся вирусы (вирусы-призраки), которые очень трудно обнаружить. 3.1.Стелс-вирусы Стелс-вирусы. (от английского steflth) реализуют очень хитрыймеханизм, затрудняющий их обнаружение. При заражении эти вирусы остаются впамяти резидентно и при обращении к зараженным файлам и областям дискаподменяют информацию так, что «заказчик» получает ее в незараженном,исходном виде. Достигается это перехватыванием обращений DOS и установкойсвоих векторов прерываний. Увидеть такой вирус можно либо на незараженномкомпьютере (например, загрузившись с заведомо чистой дискеты), либо в томслучае, когда программа не пользуется средствами DOS, а напрямую обращаетсяк диску. 3.2.Вирусы-призраки Вирусы-призраки маскируются с помощью другого механизма. Эти вирусыпостоянно модифицируют себя таким образом, что не содержат одинаковыхфрагментов. Такие вирусы хранят свое тело в закодированном виде и постоянноменяют параметры этой кодировки. Стартовая же часть, занимающаясядекодированием непосредственно самого тела, может генерироваться весьмасложным способом. При переносе вируса данного типа с компьютера накомпьютер код вируса изменяется таким образом, что уже не имеет ничегообщего со своим предыдущим вариантом. А часть вирусов можетсамомодифицироваться и в пределах одного компьютера. Обнаружение такихвирусов весьма затруднено, хотя часть антивирусных программ пытаетсянаходить их по участкам кода, характерным для стартовой части. 4.ЧТО МОЖЕТ И ЧЕГО НЕ МОЖЕТ КОМПЬЮТЕРНЫЙ ВИРУС 4.1.Файлы, подвергающиеся заражению. Компьютерный вирус может заразить огромное число файлов. Перечислимэти файлы. В первую очередь это исполняемые файлы с расширением .com и.exe, затем – драйверы устройств с расширениями .sys и тем же .exe,динамические библиотеки (расширение .dll) и, наконец, оверлейные модулиисполняемых файлов (как правило, имеют расширение .ovl). Существуют вирусы, заражающие пакетные .bat файлы, но эти вирусыкрайне примитивны и поступают очень просто: они вставляют в пакетные файлыкоманды своего вызова. Поймать такие вирусы не представляет труда. Также могут быть подвергнуты заражению файлы документов и шаблоновредакторов, в которых при открытии документа предусмотрено выполнениемакрокоманд. В частности, это .doc и .dot файлы текстового редактора Word,.xls и .xlt файлы табличного редактора Excel. Ни при каких условиях не могут быть подвергнуты заражению текстовые(.txt) и графические файлы (.tif, .gif, .bmp, и т.п.), файлы данных иинформационные файлы. 4.2.Случаи, когда можно заразить свой компьютер Заразиться компьютерным вирусом можно только в очень ограниченномколичестве случаев. Это: - Запуск на компьютере исполняемой программы, зараженной вирусом. - Загрузка компьютера с дискеты, содержащей загрузочный вирус. - Подключение к системе зараженного драйвера. - Открытие документа, зараженного макровирусом. - Установка на компьютере зараженной операционной системы.Компьютер не может быть заражен, если: - На него переписывались текстовые и графические файлы, файлы данных и информационные файлы (за исключением файлов, предусматривающих выполнение макрокоманд). - На нем производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался. - На компьютере производится обработка принесенных извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд).Примечание: Переписывание на компьютер зараженного вирусом файла еще неозначает заражения его вирусом. Чтобы заражение произошло, нужно либозапустить зараженную программу, либо подключить зараженный драйвер, либооткрыть зараженный документ (либо, естественно, загрузиться с зараженнойдискеты). Иначе говоря, заразить свой компьютер можно только в том случае, еслизапустить на нем непроверенные программы и (или) программные продукты,установить непроверенные драйверы и (или) операционные системы, загрузитьсяс непроверенной системной дискеты или открыть непроверенные документы,подверженные заражению макровирусами. Не стоит приписывать все сбои в работе оборудования или программдействию компьютерного вируса. Вирус – это обычная программа, причемнебольшого размера, и она не может совершать никаких сверхъестественныхдействий. Так, ни одна программа не в состоянии сжечь процессор, не подсилу это и вирусу. Единственное, на что способны вирусы, - это вызватьвременную неработоспособность компьютера (обычно устраняемую выключением ивключением питания). 5.КАК НЕ ЗАРАЗИТЬСЯ КОМПЬЮТЕРНЫМ ВИРУСОМ Правила, которые необходимо соблюдать Эти правила нужно соблюдать всегда. Нарушив их всего один раз, вы рискуете заразить свой компьютер, а гораздо проще предотвратить заболевание, чем заниматься потом его лечением. 5.1.Профилактические меры Все важные программы и данные необходимо иметь вне компьютера:например, сохранять их на дискетах. Это позволит в случае порчи вирусом илииз-за сбоев в работе оборудования быстро восстановить потеряннуюинформацию. Результаты своей текущей работы рекомендуется сохранять на дискетах нереже раза в неделю, тогда потери от вирусов и сбоев в работе оборудованиябудут не так велики. Любые программы и драйверы, которые вы собираетесь использовать накомпьютере перед первым запуском, обязательно необходимо проверить наналичие вирусов программами-детекторами (эти программы позволяют проверитьфайлы на инфицированность их вирусом),. скажем, AIDSTEST или (а еще лучшеи) Dr.Web. Эти программы постоянно обновляются (в них добавляетсяобнаружение новых вирусов), поэтому рекомендуется всегда иметь самыепоследние версии. Кроме того, Dr.Web имеет в своем составе эвристическийанализатор, позволяющий обнаруживать подозрительные участки кода,характерные для самомодифицирующихся вирусов. Обе программы имеют простойинтерфейс на русском языке, к тому же к ним прилагается весьма подробноеописание (также на русском языке), поэтому работа с ними здесь нерассматривается. Все документы (файлы документов и шаблонов Word, Excel и т.д.),предполагающие выполнение макрокоманд, необходимо проверить на наличиемакровирусов. Сделать это можно. Например, с помощью все того же Dr.Web. Если программы поступили к вам в заархивированном виде, то передпроверкой архив необходимо развернуть. Но до проверки не надо запускатькакие-либо программы из этого архива. Если вы устанавливаете не одиночную программу, а большой программныйпродукт, то необходимо проверить все файлы с дистрибутива до установки, асразу после установки произвести повторную проверку, по возможностипредварительно загрузившись с дискеты. Рекомендуется загружаться только со своих, причем заведомонезараженных дискет. Строго говоря, лучше иметь для этих целей специальнуюдискету, а все остальные диски форматировать без переноса операционнойсистемы. Чтобы случайно не загрузиться с дискеты, оставленной в дисководе А:,рекомендуется в SETUP отключить загрузку с диска А:.Если по каким-либо причинам вы хотите загрузиться с чужой дискеты, то передзагрузкой проверьте ее на наличие вирусов.При постоянном переносе на ваш компьютер новых файлов рекомендуетсяустановить одну из программ-ревизоров, скажем пакет Adinf (эти программыотслеживают изменения в системе – изменения на дисках, распределениепамяти, включение и отключение драйверов – и при подозрительных действияхпредупреждают пользователя). Это в какой-то степени застрахует вас отпоявления новых вирусов. Сразу после установки новой программы (особеннонеизвестного происхождения) необходимо также на некоторое время установитьодну из программ-фильтров (программ, отслеживающих текущие операции сдиском и памятью и сообщающих о тех из них, которые могут быть вызванывирусом). Если в течение нескольких дней никаких подозрительных действий необнаружится, то программу-фильтр можно отключить. 5.2.Профилактика заражения вирусом компьютеров групповогопользования Обеспечить защиту компьютеров группового пользования гораздо сложнее.Для таких компьютеров есть несколько дополнительных рекомендаций. Предотвратить ситуацию, когда разные группы пользователей приносят накомпьютер различные программы, как показывает практика, невозможно. Можноне сомневаться, что кто-то обязательно принесет вирус. Рекомендуетсяпоступить следующим образом: разрешить приносить любые программы, в томчисле и игры, но при одном условии – все эти программы проверяет на наличиевирусов и устанавливает на компьютеры системный администратор даннойорганизации. Если это условие нарушено, то виновного ждут штрафные санкции.Этот метод действует весьма эффективно, надо только следить, чтобы игрыбыли не в ущерб работе (чего, как правило, и не бывает). Другой выход – разграничение доступа. На компьютере создаетсясистемный логический диск и диски для каждой группы пользователей.Разбиение происходит с помощью одного из существующих менеджеров диска, идиски защищаются паролем. В обычном режиме для чтение доступен толькосистемный диск и диск данной группы пользователей, а для записи – толькодиск данной группы пользователей. Все остальные диски попросту недоступны.Системный администратор знает все пароли и может получить доступ к любомудиску. Этот метод позволяет достаточно эффективно бороться с заражением,но, к сожалению, часть вирусов обходит и такую защиту. В случае коллективного пользования можно рекомендовать еще один способ– отключить дисководы. Правда, на практике его можно реализовать только втом случае, когда компьютеры объединены в сеть. Дисководы остаютсяподключенными только на сервере, за которым постоянно сидит системныйадминистратор, контролирующий все принесенные файлы. 6.ЧТО ДЕЛАТЬ, ЕСЛИ ЗАРАЖЕНИЕ УЖЕ ПРОИЗОШЛО Рассмотрим теперь действия при заражении компьютера. Предположим, несмотря на все ваши старания, компьютерному вирусу удалось проникнуть к вам в систему. 6.1.Стандартные действия при заражении вирусом Вы должны: 1. Сразу же выключить питание, чтобы вирус перестал распространяться дальше. Единственное, что можно сделать до выключения питания, - это сохранить результаты текущей работы. Не следует использовать горячую перезагрузку (Ctrl + Alt + Del ), т.к. некоторые вирусы при этом сохраняют свою активность. 2. Войти в SETUP и включить загрузку с диска А. Заодно рекомендуется проверить правильность всех установок, включая параметры жестких дисков. Если произошли какие-либо изменения, то необходимо восстановить старые значения. 3. Ни в коем случае не запускать ни одной новой программы, находящейся на жестком диске. 4. Необходимо загрузиться с дискеты (она должна быть защищена от записи) и запустить по очереди программы-детекторы, находящиеся на дискете. Если одна из программ обнаружит загрузочный вирус, то его можно тут же удалить, аналогично надо поступить и при наличии вируса DIR. Учтите, что вирусов может быть много. 5. Если программа-детектор обнаружит файловый вирус, то возможны два варианта действий. Если у вас установлена программа-ревизор с лечащим модулем, то восстановление файлов лучше делать с ее помощью. Если такой программы нет, то необходимо воспользоваться для лечения одним из детекторов. Испорченные файлы (если, конечно, они не текстовые или не файлы данных) необходимо удалить. 6. После того как все вирусы удалены, необходимо заново перенести операционную систему на жесткий диск (с помощью команды SYS). 7. Необходимо проверить целостность файловой системы на винчестере (с помощью CHKDSK) и исправить все повреждения. Если таких повреждений очень много, то перед исправлением файловой структуры необходимо попытаться скопировать наиболее важные файлы на дискеты. 8. Необходимо еще раз проверить жесткий диск на наличие вирусов, если таковых не оказалось, то можно перезагрузиться с винчестера. После перезагрузки винчестера необходимо оценить потери от действий вируса. Если повреждений очень много, то проще заново переформатировать винчестер (при необходимости сохранив самые важные файлы). 9. Необходимо восстановить все необходимые файлы и программы с помощью архива – и для страховки, еще раз загрузившись с дискеты, протестировать винчестер. Если снова будет обнаружен вирус, то вам не повезло, ваш архив также заражен вирусом. В этом случае вы должны протестировать весь ваш архив. 10. Если все в порядке, то необходимо проверить все дискеты, которые могли оказаться зараженными вирусом и при необходимости пролечить их. Не забудьте только отключить загрузку с диска A:. 11. После того, как вирус дезактивирован, вы можете продолжать свою работу. Рекомендуется только подключить на некоторое время одну из программ-фильтров. 6.2.Нестандартные ситуации Во время вирусной атаки может возникнуть ряд нестандартных ситуаций. Например. Если у вас установлен менеджер диска, то при загрузке с дискеты частьдисков может быть недоступна. Тогда необходимо пролечить вначале вседоступные на данный момент диски, затем загрузиться с жесткого системногодиска и пролечить все оставшиеся логические диски. Если при загрузке с дискеты выясняется, что система просто «не видит»ваш винчестер, то скорее всего вирус повредил таблицу разбиения жесткогодиска. В этом случае необходимо еще раз проверить установки SETUP и попытаться восстановить разбиение с помощью Norton Disk Doctor (или,если вы хорошо представляете себе свои действия, с помощью Norton DiskEdit). Если это не поможет, то, вся информация с винчестерапотеряна, остается только воспользоваться программой EDISK. Если вы столкнулись с неизвестным вирусом, то дело обстоит несколькосложнее. Во-первых, вы можете воспользоваться программой-ревизором, еслиона у вас установлена. Вполне возможно, что она поможет обезвредитьваш вирус. Если ее нет или она не помогла, то остается только зановоперенести на диск операционную систему, а затем удалить с неговсе исполняемые и пакетные файлы, драйверы и оверлейные файлы, послечего восстановить их из архива. Можно также воспользоваться услугамиантивирусной скорой помощи. И в заключение одно замечание. Не стоит приписывать всеваши неприятности действиям вируса. Говорить же о действии неизвестноговируса, а тем более прибегать к радикальным мерам следует толькотогда, когда не остается никаких сомнений. Стоит вначале попытатьсявосстановить файлы, и, только если это не удается, удалить их. Ситуация, сложившаяся сейчас в области вирусной безопасности, весьмастабильна. Различные организации (исключая, конечно, институтские учебныецентры, на которых пробуют свои силы юные авторы вирусов) подвергаютсявирусным атакам весьма редко, - не говоря уже об индивидуальныхпользователях. 7.Виды программ для защиты от вирусов. 7.1Программы-ревизоры Программы-ревизоры являются самым надежным средствомзащиты от вирусов и должны входить в арсенал каждого пользователя. Ревизорыэто единственное средство, позволяющее следить за целостностью системныхфайлов и изменениями в используемых каталогах. Следует отметить, чтополучаемая с помощью ревизоров информация существенно облегчаеториентировку в лабиринте каталогов и "нововведениях" среди трансляторов ииспользуемых утилит. Поэтому их нельзя рассматривать только в контекстезащиты от вирусов - в настоящее время они должны являться рабочиминструментом каждого уважающего свой труд программиста. Существуют два основных типа программ-ревизоров: пакетные ирезидентные. Программ-ревизоры имеют две стадии работы. Сначала они запоминаютсведения о состоянии программ и системных областей дисков. После этого спомощью программы-ревизора можно в любой момент сравнить состояние программи системных областей дисков с исходными. О выявленных несоответствияхсообщается пользователю. Доктора-ревизоры. В последнее время появились очень полезные гибриды ревизоров идокторов – программы, которые не только обнаруживают изменения в файлах, нои могут в случае изменений автоматически вернуть их в исходное состояние.Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненнуюинформацию о состояни файлов и областей диска. Это позволяет им вылечиватьфайлы даже от тех вирусов, которые не были созданы на момент написанияпрограммы. Конечно, доктора-ревизоры – это не панацея. Они могутлечить неот всех вирусов, а только от тех, которые используют известные намомент написания программы, механизмы заражения файлов. 7.2. Программы-детекторы и доктора. В большинстве случаев для обнаружения вируса, заразившего вашкомпьютер, можно найти уже разработанные программы-детекторы. Эти программыпроверяют, имеются ли в файлах на указанном пользователем дискеспецифические для данного вируса комбинация байтов. При ее обнаружении вкаком либо файле на экране выводится соответствующее сообщение. Многиедетекторы имеют режимы лечения или уничтожения зараженных файлов. Следуетподчеркнуть, что программы-детекторы могут обнаруживать только те вирусы,которые ей «известны». Лечение от вирусов. Большинство программ-детекторов имеют также и функцию «доктора», т.е.они пытаются вернуть зараженные файлы и области диска в их исходноесостояние. Те файлы, которые не удалось восстановить, как правило, делаютсянеработоспособными или удаляются.Большинство программ-докторов умеют «лечить» только от некоторогофиксированного набора вирусов, поэтому они быстро устаревают. Но некоторыепрограммы могут обучаться не только способам обнаружения, но и способамлечения новых вирусов. К таким программам относится AVSP фирмы «Диалог-МГУ». Другой перспективный подход – восстановление файлов на основе заранеесохраненной информации об их состоянии. 7.3.Программы-фильтры Одной из причин, из-за которых стало возможным такое явление, каккомпьютерный вирус, является отсутствие в операционной системе MS-DOSэффективных средств для защиты информации от несанкционированного доступа.Из-за отсутствия средств защиты компьютерные вирусы могут незаметно ибезнаказанно изменять программы, портить таблицы размещения файлов и т.д. В связи с этим различными фирмами и программистами разработаныпрограммы- фильтры, или резедентные программы для защиты от вируса, которыев определенной степени восполняют указанный недостаток DOS. Эти программы располагаются резедентно в оперативной памятикомпьютера и «перехватывают» те сообщения к операционной системе, которыеиспользуются вирусами для размножения и нанесения вреда. ЗАКЛЮЧЕНИЕ В настоящее время для существует несколько десятков тысячкомпьютерных вирусов и их число продолжает расти. Поэтому следует, содной стороны, ожидать постепенного проникновения в Россию новых, болееопасных и изощренно написанных вирусов, включая стелс-вирусы, и с другой - потока сравнительно простых, а зачастую и безграмотно написанныхвирусов в результате "вирусного взрыва" внутри самой страны. Не следуетдумать, что эволюция вирусов пойдет только в направлении их усложнения.Опыт показал, что сложность стелс-вирусов существенно снижает ихжизнеспособность. Как отмечал С.Н.Паркинсон в одном из своих знаменитыхзаконов, "рост означает усложнение, а усложнение - разложение". По-видимому, эволюция компьютерных вирусов будет идти сразу в несколькихнаправлениях, лишь одним из которых являются стелс-вирусы. Хотя общее количество вирусов велико, лежащие в их основе идеисравнительно малочисленны и не так просто поддаются расширению. Поэтомуосновной тенденцией, наблюдаемой в настоящее время, является не столькопоявление новых типов вирусов, сколько комбинирование уже известныхидей. Такие "гибриды", как правило, оказываются опаснее базисных видов.Еще чаще наблюдается тенденция к минимальной модификации одного изполучивших широкое распространение вирусов, что приводит к образованиювокруг "базисного" вируса группы штаммов, причем их количество в некоторыхслучаях превышает десяток ПРИЛОЖЕНИЕ 1 Описание некоторых компьютерных вирусов Есть ли спасение от вируса «Чернобыль»? Вирус этот не новый: впервые он был обнаружен почти год назад. CIN(«Чернобыль»)Активизируется 26 числа каждого месяца. А в 13-ю годовщину трагедии на АЭСвсплеск был особенно силен. Вирус переносится в файлах с расширением «exe»,работающих в программах Microsoft Windows. Заражение может произойти приустановке программ с пиратского компакт-диска (а таковых у нас 94процента), при перекачке файлов по сети Интернет и по электронной почте.Сейчас CIN у нас – самый распространенный вирус. Утешает одно: «Чернобыль»успешно ликвидируют большинство современных антивирусных программ. Однако если уж он проникает в систему, то последствия разрушительны.Он способен в лучшем случае стереть все, что есть в памяти персональногокомпьютера, а в худшем – полностью вывести его из строя. По прогнозам экспертов, вспышка этого цикличного вируса 26 апреля2000 года будет столь же сильной. Специалисты говорят, что «заболевший» компьютеры можно оживить,заменив микросхему Flash-BIOS. Однако на некоторых моделях она не можетбыть отделена от материнской платы, и в этом случае придется покупать новуюматеринскую плату. . Вирус Cookie Monster - Печеньевое чудовище Данная легенда основана на демонстрационном вирусе,действительно существовавшем на компьютерах с микропроцессором 8080 илиApple II. Или, возможно, вирус полностью уничтожен и относится к"ископаемым" вирусам. Название данного вируса связано с персонажемпопулярной в США детской телевизионной программы SESAME STREET. Проявлениеэтого вируса связано с выдачей на экран сообщения I WANT COOKIE (Хочу печенья) Только ввод с клавиатуры слова COOKIE позволяетпродолжить работу с программой. Вводом тайного пароля "OREO" можно"усыпить" вирус на несколько недель. В некоторых вариантах легенды вирусстирает файлы при неправильном ответе или слишком длительной задержке сответом.Отечественный аналог данного мифа под названием Чуча (якобы выдающийсообщение "Хочу чучу") опубликован в [Павлов89] Исторические сведения. Слухи о данном вирусе дошли доКиева в конце 1988 г., т.е. до появления в Киеве настоящихкомпьютерных вирусов. Вирус упоминается в ряде зарубежных публикаций. . НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ Сетевые вирусы более точно называть не вирусами, арепликаторами, поскольку они не заражают выполняемые программы, а простораспространяются по сети от одной ЭВМ к другой. Буквальный переводсоответствующего англоязычного термина Worm - червяк представляетсяменее удачным, чем предлагаемый термин репликатор. В свою очередь,репликатор, подобно кассетной боеголовке, может переносить с собойтроянских коней и обычные вирусы. К счастью, два наиболее известных случаясоздания таких вирусов не связаны с вандализмом. . Вирус Christmas Tree (Рождественская елка) Рассматриваемый вирус написан студентом университетаClausthalZellerfeld (Германия), который в конце декабря 1987 г. запустилего в университетской сети. Название вируса связано с тем, что он рисовална экране дисплея новогоднюю елку и затем рассылал себя по всем адресам,найденным на зараженном компьютере, используя механизм электроннойпочты. Вирус был написан на языке управления заданиями REXX операционнойсистемы VM/CMS. Фактически это один из немногих вирусов, написанных наязыке управления заданиями, и это свидетельствует о мощности и гибкостиREXX -- несомненно лучшего из множества языков управления заданиями длякомпьютеров системы 360/370 ПРИЛОЖЕНИЕ 2 АНТИВИРУСНЫЕ ПРОГРАММЫ AVP Inspector™ Что такое AVP Inspector™AVP Inspector™ – это антивирусная программа-ревизор диска, работающая подуправлением операционной системы Microsoft Windows 95/98® или MicrosoftWindows NT®.AVP Inspector следит за изменениями содержимого файлов и директорий. Онаможет использоваться в качестве вспомогательной антивирусной программы илидля контроля над изменениями на диске.Программа значительно уменьшает время проверки дисков антивирусным сканеромAVP, так как после окончания проверки дисков на изменения, AVPI можетпередать на проверку сканеру AVP только новые и измененные файлы.Ее работа основана на сохранении основных данных о диске в таблице,содержащей образы Master-Boot и Boot секторов, список номеров сбойныхкластеров, схему дерева каталогов и информацию обо всех контролируемыхфайлах.Кроме того, AVP Inspector запоминает и при каждом запуске проверяет, неизменился ли доступный DOS объем оперативной памяти (что бывает призаражении большинством загрузочных вирусов), количество установленныхвинчестеров. При всех этих проверках программа просматривает диск посекторам непосредственно через IOS и не использует стандартные методы(прерывания INT 21h и INT 13h), что позволяет успешно обнаруживать активныемаскирующиеся вирусы, находящиеся в памяти и взявшие на себя обработку этихжизненно важных (для компьютера) прерываний. Основные особенности AVP InspectorОсновными особенностями AVP Inspector являются:· Работа в среде Microsoft Windows 95, Microsoft Windows 98 илиMicrosoft Windows NT;· Возможность разбора файловых систем (FAT12, FAT16, VFAT32, NTFS) безиспользования обращений к функциям операционной системы, работающих сфайлами;· Возможность проверки сетевых дисков;· Обращение к дискам напрямую через драйвер IOS (супервизор ввода-вывода) в обход DOS-резидентов (в частности Boot вирусов, перехвативших 13hпрерывание при загрузке компьютера);· Истинная 32-х разрядность, многозадачная работа, графическийинтерфейс;· Доступ к компрессионным дискам в обход DOS;· Восстановление загрузочных секторов;· Ведение базы данных о предыдущих проверках;· Анализ измененных файлов на схожее изменение длины;· Работа с OLE2 документами (документы Word, Excel и Access);· Возможность восстановления исполняемых файлов DOS, Windows 95/98/NT,которая обеспечивается лечащим модулем AVPI Cure Module;· Возможность обнаружения активных Stelth-вирусов.· Контроль за изменениями в системном реестре. Принципы работы ревизора AVP Inspector™Антивирусные ревизоры имеют единый принцип работы, основанный на подсчетеCRC-сумм для дисковых секторов и файлов, сохранении их в некоторой базеданных (таблице) и последующем сравнении реальных (новых) CRC-сумм с ихоригинальными значениями, хранящимися в базе данных. В базе данных такжехранится дополнительная информация о файлах - их длины, время создания ипоследней модификации, атрибуты и данные, необходимые для восстановленияизмененных (зараженных) файлов. В базе данных также хранятся полные образызагрузочных секторов диска (Master-Boot и Boot), список номеров сбойныхкластеров, схема дерева подкаталогов и прочая информация обо всехконтролируемых объектах.Помимо этого, AVP Inspector™ запоминает и затем при каждом запускепроверяет информацию об операционной системе и установленном аппаратномобеспечении: объем оперативной памяти (контроль на заражение загрузочнымвирусом), количество установленных жестких дисков и некоторые ключисистемного реестра. При проверках AVP Inspector обращается к секторамдиска напрямую непосредственно через IOS и не использует стандартные методы(прерывания INT 21h и INT 13h). Данная особенность работы AVP Inspectorпозволяет ему успешно обнаруживать и ликвидировать так называемые стелс-вирусы (вирусы-невидимки). ОСОБЕННОСТИ РАБОТЫ AVP Inspector в MS Windows NTВ связи с архитектурными особенностями Microsort Windows NT®, AVPInspector™ не производит следующие проверки:· Отладочных регистров· Проверка размера доступной DOS памятиAntiViral Toolkit Pro для Windows 95/98/NTAntiViral Toolkit Pro для Windows 95/98/NT представляет собой мощнуюинтегрированную антивирусную систему, которая включает в себя двапрограммных модуля:· антивирусный сканер AVP,· антивирусный резидентный монитор AVP Monitor.AVP для Windows 95/98/NT является полностью 32-х разрядным приложением,оптимизированным для работы в операционных системах Microsoft Windows95/98/NT и использующим все возможности, которые эти системы предоставляют.Резидентный монитор AVP Monitor, постоянно находясь в оперативной памяти, вфоновом режиме осуществляет контроль над операциями обращения к файлам исекторам. Прежде чем разрешить доступ к объекту, AVP Monitor проверяет егона наличие вируса. Таким образом, AVP Monitor позволяет обнаружить иудалить вирус до момента реального заражения системы.Программы имеют удобный пользовательский интерфейс, характерный для средыWindows 95/98/NT, большое количество настроек, выбираемых пользователем, атакже самую большую антивирусную базу данных, количество данных о вирусах вкоторой постоянно растет.Встроенная в AVP для Windows 95/98/NT функция "живые апдейты" позволяетавтоматически обновлять антивирусные базы. В зависимости от выбранныхпользователем опций, обновление может быть произведено либо через Интернет(непосредственно с того http- либо ftp-сервера, на котором всегда находятсясамые последние базы), либо из каталога на Вашем компьютере. Словарь терминовАтрибуты файлаСодержит характеристики файла: системный файл, скрытый файл, файл толькодля чтения (read-only) и т.д.Заголовок EXE-файлаЧасть EXE-файла, содержащая управляющую информацию. Располагается в началеEXE-файла и содержит информацию для системного загрузчика: длинузагружаемого модуля, значения регистров, таблицу настройки адресов и др.КластерЕдиница разбиения логического диска. Состоит из одного или несколькихподряд расположенных логических секторов диска. Длина кластера на флоппи-дисках обычно равна 1 или 2 секторам, на винчестере – до 64 секторов.Логический дискЕдиница разбиения диска. Состоит из подряд расположенных физическихсекторов. Логический диск делится на Boot-сектор, секторы FAT, корневогокаталога и области данных. Секторы, входящие в область данных, группируютсяв кластеры. Логическим дискам ставятся в соответствие заглавные символы(A:, B:, D: и т.д.). В пределах логического диска возможна логическаяадресация к секторам.Монитор (программа-монитор, блокировщик)Резидентно находящаяся в оперативной памяти утилита, которая позволяетвыявлять "подозрительные" действия пользовательских программ: изменение ипереименование выполняемых программ (COM- и EXE-файлов), запись на диск поабсолютному адресу, форматирование диска и т.д. При обнаружении"подозрительной" функции программа-монитор либо выдает на экран сообщение,либо блокирует выполнение перехваченной функции, либо совершает другиеспециальные действия.ПрерываниеСигнал, по которому процессор прерывает выполнение текущейпоследовательности команд и передает управление на программу – обработчикпрерывания. Адрес программы-обработчика вычисляется по таблице векторовпрерываний. Прерывание может быть инициировано либо программамипользователя при работе с дисками, экраном, принтером и т.д. (программныепрерывания) либо внешними устройствами: клавиатурой, таймером (аппаратныепрерывания).Призрак (вирусы-"призраки")Вирусы, предпринимающие специальные меры для затруднения их поиска ианализа. Не имеют сигнатур, т.е. не содержат ни одного постоянного участкакода. В большинстве случаев два образца одного и того же вируса-"призрака"не будут иметь ни одного совпадения. Это достигается шифрованием основноготела вируса и модификациями программы-расшифровщика.Псевдосбойный кластерКаждый кластер логического диска помечается в FAT как свободный, занятыйили сбойный. Сбойным (плохим) считается кластер, который содержит один илинесколько дефектных секторов. Такой кластер не используется DOS и невидимдля нее. Псевдосбойным называется нормальный кластер (т.е. не имеющийдефектных секторов), но помеченный в FAT как сбойный. Выделитьпсевдосбойный кластер из, на самом деле, сбойных секторов можно несколькораз прочитав содержимое секторов кластера. Если при этом не произошлоошибки, то кластер псевдосбойный. Нормальные кластеры (т.е. не имеющиедефектных секторов) помечаются как сбойные некоторыми вирусами, которыемогут затем использовать пространство таких кластеров в своих целях.Резидентный (TSR – Terminate and Stay Resident)Запускаемые на выполнение программы делятся на резидентные и нерезидентные.Резидентная программа по окончании оставляет свой код или часть кода воперативной памяти, при этом DOS резервирует необходимый для ее работыучасток памяти. Затем резидентная программа работает параллельно другимпрограммам, некоторые из резидентных программ могут быть выгружены изпамяти. Нерезидентная программа при завершении не оставляет в памяти своегокода, а занимаемая ею память освобождается.СекторМинимальная единица разбиения диска (т.е. минимальная адресуемая частьдиска). Разбиение диска на секторы происходит при его форматировании.Различают физические (абсолютные) и логические секторы диска. Один и тот жесектор может рассматриваться как физический при обращении к нему функциямиBIOS и как логический при обращении к нему при помощи прерываний DOS. Длинасектора обычно равна 512 байтам.Стелс (Stealth)"Стелс"-вирусы (вирусы-невидимки) представляют собой программы, которыеперехватывают обращения DOS к пораженным файлам или секторам дисков и"подставляют" вместо себя незараженные участки информации. Кроме этоготакие вирусы при обращении к файлам используют достаточно оригинальныеалгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. К"стелс"-вирусам относятся вирусы "V-4096", "Fish#6", "Brain" и некоторыедругие.ФайлЕдиница организации логического диска. Файлы содержат информацию,содержащую какой-либо конкретный объект: программу, часть базы данных,тексты, прочие данные. К характеристикам файла относятся его длина (объемсодержащейся в файле информации), атрибуты, время и дата последнеймодификации.BackupРезервные копии программного обеспечения, баз данных, рабочих файлов и т.д.Создаются для восстановления информации в случае ее потери, например присбое компьютера или при заражении вирусом.BIOS (Basic Input-Output System)Базовая система ввода-вывода. Часть программного обеспечения, входящего всостав компьютера. Отвечает за тестирование и начальную загрузку системы.Также поддерживает стандартный интерфейс с внешними устройствами (экраном,дисками, принтером и т.д.). Хранится в ПЗУ.Boot-сектор (загрузочный сектор)Первый сектор логического диска (на флоппи-дисках совпадает с первымфизическим сектором). Содержит программу-загрузчик, отвечающую за запускоперационной системы.DOS (Disk Operating System)Операционная система. Загружается с диска и отвечает за интерфейспользователя и программного обеспечения с логическими элементами дисков,оборудованием и т.д.FAT (File Allocation Table)Таблица распределения файлов. Состоит из последовательных секторовлогического диска и содержит таблицу расположения файлов на этом диске.Размещается в секторах, следующих за Boot-сектором. Дополнительноинформирует о свободных и сбойных секторах логического диска.MBR (Master Boot Record)Первый физический сектор диска. Обычно содержит небольшую программу-загрузчик и таблицу разбиения диска (Disk Partition Table). Программа-загрузчик анализирует Disk Partition Table, выделяет в ней активныйлогический диск, загружает в память Boot-сектор этого диска и передает нанего управление.MCB (Memory Control Block)Единица (блок) системной памяти. Выделяется, изменяется и освобождается DOSпри запуске программ или при соответствующих запросах. В памяти блокипамяти организованы в виде списка, состоящего из M-блоков изаканчивающегося Z-блоком.PSP (Program Segment Prefix)Префикс программного сегмента. Расположен в начале участка памяти,выделяемого DOS под запускаемую программу. Создается операционной системойи содержит информацию о некоторых векторах прерываний, адресах системныхполей и т.д.TSRсм. РезидентныйCOM-файлДвоичный выполняемый файл, располагаемый при старте в одном сегменте иработающий в пределах этого сегмента. Программы, содержащиеся в COM-файлах(COM-программы) могут использовать и другие сегменты, но эти действиятребуют специальных вычислений внутри самих программ. Поэтому все ссылки вCOM-программах внутрисегментные и не требуют привязки к сегментному адресу.EXE-файлДвоичный выполняемый файл, который может занимать в оперативной памяти одинили несколько сегментов. При обращении к какому-либо сегменту EXE-программетребуется знать сегментный адрес этого сегмента. Для этого при загрузке впамять DOS привязывает (настраивает) EXE-файл к адресам памяти, т.е.помещает в необходимые ячейки соответствующие сегментные адреса. НастройкаEXE-файла происходит по таблице настройки адресов. Таблица настройкиадресов (ТНА) расположена в заголовке EXE-файла и содержит адреса, покоторым происходит привязка EXE-программы к сегментным адресам памяти.OVL-файлФайл, содержащий выполняемые двоичные коды, используемые основнойпрограммой по мере необходимости. Часто оформлен в виде COM- или EXE-файла.SYS-файлФайл, содержащий системный драйвер. Загружается в память при инициализацииDOS после загрузки системы. Для запуска SYS-файла необходимо поместитьсоответствующую команду в файл CONFIG.SYS и перезагрузить компьютер. СПИСОК ЛИТЕРАТУРЫ1.В.Э.Фигурнов. IBM PC для пользователя2.А.Микляев. Настольная книга пользователя3.Internet сайды (Диалог-наука).




Бездетность в вашей семье может быть наследственной. Роберт Бунзен
ещё >>