14 virustorjuntaohjelmien tarkoitus ja niiden luokittelu. Luokittelu, ominaisuudet, esimerkit. Yhdistetty virustorjunta ja optimointi

Virusten luokitus

Tietokonevirus on pieni ohjelma, joka on suunniteltu olemassa ja toistumaan tiedostossa sen luvattoman muuttamisen vuoksi, ts. infektio , sekä ei-toivottujen toimien suorittaminen tietokoneella. Infektion merkkejä ovat: kyvyttömyys ladata käyttöjärjestelmä; jotkut ohjelmat lakkaavat toimimasta tai alkavat toimia väärin; vieraita merkkejä ja viestejä näytetään näytöllä; työ tietokoneella hidastuu huomattavasti; jotkin tiedostot vioittuvat tai katoavat; tiedostokoon muutokset; niiden muuttamisen päivämäärä ja kellonaika; levyllä olevien tiedostojen määrä kasvaa jne.

Tärkeimmät tartuntalähteet ovat sähköposti, Internet, paikalliseen verkkoon, irrotettavat levyt (levykkeet ja CD-ROM-levyt). Älä käytä epäilyttävästä lähteestä saatuja tiedostoja, joita ei ole aiemmin tarkistettu virustorjuntaohjelmilla, asenna yleinen pääsy verkossa olevan tietokoneen kansioihin ja tiedostoihin.

Tärkeimmät ohjeet virustartunnan estämiseksi:

1. Säännöllinen virustarkistus käyttämällä uusimmat versiot virustorjuntaohjelmat;

2. Ulkopuolelta tulevien tietojen todentaminen;

3. Tietojen kopiointi ja tiukka kulunvalvonta.

Virushyökkäyksen kohteet ovat käyttöjärjestelmän käynnistyslatain, pääasiallinen käynnistystietue levy, laiteajurit, ohjelmat ja asiakirjat.

Virukset jaetaan "elinympäristönsä" mukaan tiedosto, systeeminen, saapas, tiedostokäynnistys, makrovirukset Ja verkkoon.

Tiedostovirukset saastuttavat pääasiassa suoritettavat tiedostot jonka nimi on .com ja .exe; järjestelmävirukset – käyttöjärjestelmämoduulit, laiteajurit, tiedostojen varaustaulukot ja osiotaulukot; käynnistyslataajia tuodaan alalle bootstrap. Monitoimivirukset – tiedostokäynnistysvirukset – vahingoittavat levyjen ja tiedostojen käynnistyssektoreita.

Verkkovirusten elinympäristö on Tietokoneverkot. Tällä hetkellä tämä on yleisin virustyyppi, joka useimmiten välitetään liitetiedostoina. sähköpostiviestejä.

Niin kutsuttu makrovirukset , jotka käyttävät toimistopaketteihin sisäänrakennettujen makrokielten ominaisuuksia.

Vaikutusasteen mukaan virukset jaetaan: vaarattomiin, ei-vaarallisiin, vaarallisiin ja tuhoaviin.

Viruksen ilmenemiseen ja toimintaan vaikuttaa suuresti virusohjelmassa toteutettu "algoritmin ominaisuus". Esimerkiksi niin sanotut virukset replikaattorit Ne lisääntyvät erittäin nopeasti ja täyttävät RAM-muistin kopioillaan, ja yleensä kopio ei vastaa täysin alkuperäistä, mikä vaikeuttaa viruksen löytämistä ja tuhoamista. He toimivat samalla tavalla matovirukset , jotka elävät tietokoneverkoissa ja lähettävät kopioita itsestään verkon tietokoneisiin. Kun virus tuhoutuu tietokoneessa, se saa tartunnan uudelleen.

Jotkut virukset naamioituvat nimellä hyödyllisiä ohjelmia, mutta suorittaa lisäksi tuhoisia toimia (esimerkiksi luottamuksellisten tietojen - salasanojen, nimien kerääminen) järjestelmän tuhoamiseen asti. Tällaisia viruksia kutsutaan " Troijan hevoset ».

Virusohjelmat voidaan upottaa ohjelmistojärjestelmiin. Yleensä ne ovat passiivisia, kunnes tietty tapahtuma tapahtuu, minkä jälkeen niille ominaiset toiminnot toteutetaan. Tällaisia viruksia kutsutaan logiikkapommeja.

Virukset- näkymätön (salaperäisiä viruksia ) on erittäin vaikea havaita ja neutraloida, koska ne sieppaavat käyttöjärjestelmän kutsuja tartunnan saaneille tiedostoille ja levysektoreille ja korvaavat tartunnan saamattomia objekteja niiden rungon tilalla.

Ympäristön tartuttamismenetelmän perusteella virukset jaetaan asukas Ja ei asukas . Ensimmäisille on ominaista se, että virus sijaitsee jatkuvasti sisällä RAM-muisti, sieppaa käyttöjärjestelmän kutsut muille objekteille ja saastuttaa ne. Toiset ovat aktiivisia rajoitettu aika ja muisti ei ole saastunut.

Laaja käyttö tietokonevirukset, virushyökkäykset maailmanlaajuiseen Internetiin ovat johtaneet sellaisen suunnan kehittämiseen ohjelmistokehityksessä kuin virustorjuntaohjelmien luominen.

Virustorjuntaohjelmien luokitus

Virustentorjuntaohjelmat on suunniteltu estämään tartunnat ja poistamaan virustartunnan seuraukset. Ne voivat valvoa pääsyä kovalevylle ja varoittaa käyttäjää epäilyttävästä toiminnasta sekä tarjota luotettavan suojan sähköpostiviesteille viruksilta.

Viruksentorjuntaohjelmat jaetaan suorittamiensa toimintojen perusteella seuraaviin tyyppeihin: ilmaisimet; lääkärit; tilintarkastajat; suodattimet tai vartijat; rokotteet tai immunisaattorit.

Ohjelmat- tilintarkastajat muistaa alkutila ohjelmat, hakemistot ja järjestelmäalueet ennen kuin tietokone saa tartunnan ja vertaa sitä säännöllisesti nykyiseen tilaan. Jos poikkeama havaitaan, käyttäjälle annetaan varoitus.

Ohjelmat- suodattimet ovat ohjelmia, jotka havaitsevat epäilyttäviä toimia tietokoneen käytön aikana, esimerkiksi yritykset muuttaa suoritettavia tiedostoja, muuttaa tiedostomääritteitä, kirjoittaa käynnistyssektori levy jne.

Ohjelmat- ilmaisimia määritetty havaitsemaan yhden tai useamman tunnetun viruksen aiheuttama infektio. Useimmat ilmaisinohjelmat suorittavat myös "lääkäri"-toiminnon, ts. he yrittävät palauttaa tartunnan saaneet tiedostot ja levyalueet alkuperäiseen tilaan; tiedostot, joita ei voida palauttaa, tehdään yleensä käyttökelvottomaksi ja poistetaan.

Ohjelmat- lääkärit havaita ja hoitaa tartunnan saaneita esineitä "puremalla pois" viruksen kehosta. Tämän tyyppiset ohjelmat on jaettu faagit Ja polyfaagit (suuren määrän eri virusten havaitseminen ja tuhoaminen).

Ohjelmat- rokotteet muokata tiedostoa tai levyä siten, että se ei vaikuta niiden toimintaan, mutta virus pitää niitä jo tartunnan saaneina. Rokotus suoritetaan vain tunnettuja viruksia vastaan.

Polyphage-ohjelma Tohtori Web(kehittäjä: I. Danilov) etsii ja poistaa tuntemiaan viruksia tietokoneen muistista ja levyiltä. Älykkään heuristisen analysaattorin avulla voit havaita uusia, aiemmin tuntemattomia viruksia ja tunnettujen muunnelmia. Dr.Web-virustorjunta tarkistaa POP3-protokollan kautta saapuvan postin ennen sen käsittelyä sähköpostiohjelma ja tarkistaa myös SMTP-protokollan kautta lähtevän postin. Antivirus vartija ( monitori ), joka toimii automaattisesti, tarkistaa tiedostot "lennossa" käytettäessä niitä mistä tahansa ohjelmasta, ilmoittaa käyttäjälle, kun tartunnan saaneita tai epäilyttäviä tiedostoja havaitaan. Ohjelma käyttää älykästä teknologiaa virustoiminnan seurantaan, joka koostuu ohjelmien suorittamien toimien analysoinnista. Analyysi on rakennettu siten, että se eliminoi "vääriä hälytyksiä" lähes kokonaan ja mahdollistaa samalla kaikkien haittaohjelmien suorittamien toimintojen pysäyttämisen. Virustorjunta skanneri mahdollistaa tartunnan saaneiden kohteiden havaitsemisen kaikilla tietovälineillä ja tietokoneen RAM-muistissa sekä neutraloi virukset.

AVP(AntiVirus Protect, kehittäjä – Kaspersky Lab) mahdollistaa pakattujen ja arkistoitujen tiedostojen desinfioinnin ja skannauksen, verkkoasemia. Ainutlaatuisen tarkistustekniikan avulla se havaitsee ja poistaa virukset arkistoiduista ja pakatuista tiedostoista yli 700 eri tiedostomuodossa. Lisäksi ZIP-arkistoissa Kaspersky Anti-Virus pystyy poistamaan tartunnan saaneesta pakatusta tiedostosta haitallisia koodeja ja desinfioi tiedostot. Integroitu Office Guard™ luo turvallisimman tilan sovelluksille Microsoft Office. Tämän ansiosta Kaspersky Anti-Virus Personal Pro tarjoaa täydellisen hallinnan kaikesta toimistoasiakirjat ja takaa 100 % suojan jopa tuntemattomia makroviruksia vastaan.

Norton AntiVirus suojaa automaattisesti viruksilta, haitallisilta ActiveX-ohjelmilta, Java-sovelmilta, kun käytät Internetiä ja työskentelet levykkeiden, CD-levyjen tai verkon kanssa, skannaa saapuvat sovellukset yleisimmissä sähköpostiohjelmissa, havaitsee virukset ja desinfioi pakattuja tiedostoja. Selvästi sallii tartunnan saamattomien tiedostojen kulkemisen läpi, mutta estää viruksia sisältävät tiedostot ennen kuin ne pääsevät järjestelmään ja vahingoittavat niitä. Norton AntiVirus 2003 poistaa vaaralliset automaattisesti ohjelmakoodit, ja suojaa myös viestien ja sähköpostien liitteitä viruksilta, takaa maksimaalisen tietoturvatason jatkuvan automaattinen päivitys virustorjuntatietokannat ja kattavan käyttäjien suojan luominen vaarallisten ohjelmakoodien tunkeutumiselta. Ainutlaatuinen heuristinen tekniikka voi tunnistaa sähköpostimadot, kuten Nimda ja Badtrans, ja pysäyttää ne ennen kuin ne leviävät edelleen lähtevän postin kautta.

Ammattimainen versio ( Pro) kaikkien lisäksi toiminnallisuutta Standard Edition sisältää myös tietojen palautus- ja järjestelmän puhdistustyökalut, jotka on suunniteltu erityisesti alan ammattilaisille tietotekniikat ja pienet yritykset. Näiden työkalujen avulla käyttäjät voivat suojata ja palauttaa tärkeitä tiedostoja ja ylläpitää yksityisyyttä pirstomalla tiedostot, joita ei enää tarvita.

Panda Titanium Antivirus 2004(kehittäjä Panda ohjelmisto) – uusimman sukupolven virustentorjuntaohjelma parannetulla tekniikalla kaikenlaisten virusten havaitsemiseen ja poistamiseen, tarjoaa suojan mitä tahansa ohjelmia, asiakirjoja tai sähköposti jotka voivat vahingoittaa tietokonejärjestelmääsi. Tehokkaiden heurististen teknologioiden ansiosta Panda-ohjelmisto on erityisen tehokas taistelussa uusia tuntemattomia viruksia vastaan, jotka saattavat ilmaantua tulevaisuudessa, tunnistaa ja poistaa automaattisesti kaiken tyyppiset virukset sähköpostin vastaanoton/lähetyksen, tiedostojen lataamisen tai Internetissä surffauksen aikana, suojaa soittajilta - ohjelmia, jotka yhdistävät modeemin hiljaa maksulliset numerot, piilotetut hallintaohjelmat, vaaralliset piilotetut tiedostot, ohjelmat, joissa on vaarallisia piilotetut tiedostot ja muut turvallisuusuhat. Ohjelma tunnistaa ja poistaa tietokoneeseen asennetun ohjelmiston virheet ja suorittaa itsediagnoosin varmistaakseen virustorjunnan keskeytymättömän ja tuottavan toiminnan.

Katsotaanpa, miten ohjelma toimii Kaspersky Anti-Virus kun tarkistat henkilökohtaisen levykkeen ja kansion virusten varalta Omat asiakirjat.

1. Lataa ohjelma Kaspersky Anti-Virus Scanner tiimi Käynnistä Kaspersky Anti-Virus -ohjelma Kaspersky Anti-Virus Scanner.

2. Näytä skannatut kohteet ikkunassa Kaspersky Anti-Virus Scanner valitse vasemmalla puolella luokka esineitä, Napsauta [Expert]-painiketta ja valitse levyn valintaruudut A: ja kansiot Omat asiakirjat(alikansiot voidaan avata samalla tavalla kuin Kapellimestari).

3. Määritä ikkunan oikealla alueella ohjelman toiminta, jos virus havaitaan. On suositeltavaa valita seuraavat ruudut:

· Käsittele ja jos hoito on mahdotonta, poista kohde.

· Skannaa seuraavat tiedostotyypit: kaikki tiedostot.

· Tarkista yhdistelmätiedostot: rastita kaikki ruudut tähän .

4. Aloita skannaus valitsemalla komento Skannaa Aloita skannaus.

5. Voit seurata virustarkistusta ja levyjen desinfiointia napsauttamalla [Tilastot]-painiketta.

Tarkastetaan henkilökohtainen levyke ja kansio virusten varalta Omat asiakirjat käyttäen Norton AntiVirus Professional Editionia.

1. Lataa Norton AntiVirus Professional Edition komennolla alkaa Ohjelmat Norton AntiVirus Norton AntiVirus 2003 Professional Edition

2. Aseta skannausparametrit.

3. Siirry välilehdelle Etsi viruksia skannausobjektien määrittäminen: skannaa levyke napsauttamalla painiketta.

4. Valitse ikkunan alareunassa Toiminnot-alueelta .

5. Kansion tarkistaminen Omat asiakirjat kaksoisnapsauta painiketta ja valitse avautuvasta ikkunasta haluttu kansio ja paina painiketta.

Välilehdellä Raportit Tarkastele skannaustuloksia raporteissa.

JOHDANTO

Elämme kahden vuosituhannen vaihteessa, jolloin ihmiskunta on astunut uuden tieteellisen ja teknologisen vallankumouksen aikakauteen.

1900-luvun loppuun mennessä ihmiset olivat oppineet monia aineen ja energian muutoksen salaisuuksia ja pystyivät käyttämään tätä tietoa parantaakseen elämäänsä. Mutta aineen ja energian lisäksi toisella komponentilla on valtava rooli ihmisen elämässä - tiedolla. Tämä on laaja valikoima tietoa, viestejä, uutisia, tietoa, taitoja.

Vuosisadamme puolivälissä ilmestyi erityisiä laitteita - tietokoneita, jotka keskittyivät tietojen tallentamiseen ja muuntamiseen, ja tietokonevallankumous tapahtui.

Massiivinen käyttö nykyään henkilökohtaiset tietokoneet, valitettavasti osoittautui liittyvän itsestään replikoituvien virusohjelmien syntymiseen, jotka estävät normaali operaatio tietokoneeseen, joka tuhoaa levyjen tiedostorakenteen ja vahingoittaa tietokoneelle tallennettuja tietoja.

Huolimatta monissa maissa annetuista laeista tietokonerikosten torjumiseksi ja kehitykseen erityisiä ohjelmia Uusien virustorjuntatyökalujen avulla uusien ohjelmistovirusten määrä kasvaa jatkuvasti. Tämä edellyttää henkilökohtaisen tietokoneen käyttäjältä tietoa virusten luonteesta, virustartuntatavoista ja suojautumisesta niitä vastaan. Tämä oli sysäys työni aiheen valintaan.

Juuri tästä puhun esseessäni. Esittelen tärkeimmät virustyypit, pohdin niiden toimintatapoja, syitä niiden esiintymiseen ja tunkeutumiseen tietokoneeseen sekä tarjoan suoja- ja ehkäisytoimenpiteitä.

Työn tarkoituksena on perehdyttää käyttäjä tietokonevirologian perusteisiin, opettaa virusten havaitsemiseen ja niiden torjuntaan. Työskentelymenetelmä - painettujen julkaisujen analyysi tästä aiheesta. Edessäni oli vaikea tehtävä - puhua asiasta, jota on tutkittu hyvin vähän, ja kuinka se osoittautui, on sinun arvioitavasi.

1. TIETOKONEVIRUKSET JA NIIDEN OMINAISUUDET JA LUOKITUS

1.1. Tietokonevirusten ominaisuudet

Nykyään käytetään henkilökohtaisia tietokoneita, joissa käyttäjällä on vapaa pääsy kaikkiin koneen resursseihin. Tämä avasi mahdollisuuden vaaraan, joka tunnettiin tietokoneviruksena.

Mikä on tietokonevirus? Tämän käsitteen muodollista määritelmää ei ole vielä keksitty, ja on vakavia epäilyksiä, voidaanko sitä ollenkaan antaa. Lukuisat yritykset tarjota "moderni" määritelmä virukselle ovat epäonnistuneet. Ymmärtääksesi ongelman monimutkaisuuden, yritä esimerkiksi määritellä käsite "editori". Joko keksit jotain hyvin yleistä tai alat listata kaikki tunnetut editorityypit. Molempia näitä tuskin voidaan pitää hyväksyttävinä. Siksi rajoitamme harkitsemaan joitain tietokonevirusten ominaisuuksia, joiden avulla voimme puhua niistä tietyn luokan ohjelmina.

Ensinnäkin virus on ohjelma. Tällainen yksinkertainen lausunto sinänsä voi hälventää monia legendoja tietokonevirusten poikkeuksellisista ominaisuuksista. Virus voi kääntää kuvan näytölläsi, mutta se ei voi kääntää itse näyttöä. Legendoja tappajaviruksista, jotka "tuhoavat operaattoreita näyttämällä tappavan värimaailman ruudulla 25. ruudussa", ei myöskään pidä ottaa vakavasti. Valitettavasti jotkin hyvämaineiset julkaisut julkaisevat silloin tällöin "uusimmat uutiset tietokonerintamalta", jotka lähemmin tarkasteltuna osoittautuvat seuraukseksi aiheen epäselvästä ymmärtämisestä.

Virus on ohjelma, jolla on kyky lisääntyä. Tämä kyky on ainoa keino kaikentyyppisille viruksille. Mutta eivät vain virukset pystyvät lisääntymään itsestään. Mikä tahansa käyttöjärjestelmä ja monet muut ohjelmat pystyvät luomaan omia kopioita. Viruksen kopioiden ei vain tarvitse olla täysin yhteneväiset alkuperäisen kanssa, mutta ne eivät välttämättä ole ollenkaan samat sen kanssa!

Virus ei voi olla olemassa "täydellisesti eristyksissä": nykyään on mahdotonta kuvitella virusta, joka ei käytä muiden ohjelmien koodia, tietoa tiedostorakenne tai jopa vain muiden ohjelmien nimet. Syy on selvä: viruksen on jotenkin varmistettava, että hallinta siirtyy itselleen.

1.2. Virusten luokitus

Tällä hetkellä tunnetaan yli 5000 ohjelmistovirusta, jotka voidaan luokitella seuraavien kriteerien mukaan:

¨ elinympäristö

¨ elinympäristön saastumismenetelmä

¨ vaikuttaa

¨ algoritmin ominaisuudet

Virukset voidaan jakaa elinympäristöstään riippuen verkko-, tiedosto-, käynnistys- ja tiedostokäynnistysviruksiin. Verkkovirukset jaetaan useissa tietokoneverkoissa. Tiedostovirukset upotetaan pääasiassa suoritettaviin moduuleihin, eli tiedostoihin, joissa on COM- ja EXE-tunnisteet. Tiedostovirukset voidaan upottaa muun tyyppisiin tiedostoihin, mutta yleensä sellaisiin tiedostoihin kirjoitettuina ne eivät koskaan saa hallintaa ja siksi menettävät kykynsä toistaa. Käynnistysvirukset ne on upotettu levyn käynnistyssektoriin (Käynnistyssektori) tai sektoriin, joka sisältää käynnistysohjelman järjestelmälevy(Master Boot Re-

johto). Tiedoston käynnistys Virukset saastuttavat sekä tiedostot että levyjen käynnistyssektorit.

Tartuntatavan perusteella virukset jaetaan vakiintuneisiin ja ei-residentteihin. Asukas virus Kun tietokone saa tartunnan (tartunnan saaneen), se jättää sen pysyvän osan RAM-muistiin, joka sitten kaappaa käyttöjärjestelmän pääsyn tartuntaobjekteihin (tiedostot, levyn käynnistyssektorit jne.) ja ruiskuttaa itsensä niihin. Paikalliset virukset sijaitsevat muistissa ja ovat aktiivisia, kunnes tietokone sammutetaan tai käynnistetään uudelleen. Ulkomaiset virukset eivät saastuta tietokoneen muistia ja ovat aktiivisia rajoitetun ajan.

Vaikutusasteen perusteella virukset voidaan jakaa seuraaviin tyyppeihin:

¨ vaaraton, jotka eivät häiritse tietokoneen toimintaa, mutta vähentävät vapaan RAM-muistin ja levymuistin määrää, tällaisten virusten toiminta ilmenee joissain grafiikka- tai äänitehosteissa

¨ vaarallinen viruksia, jotka voivat aiheuttaa erilaisia ongelmia tietokoneessasi

¨ hyvin vaarallinen, jonka vaikutus voi johtaa ohjelmien katoamiseen, tietojen tuhoutumiseen ja tietojen poistamiseen levyn järjestelmäalueilla.

2. TÄRKEIMMÄT VIRUSTYYPIT JA NIIDEN TOIMINTAJÄRJESTELMÄ

Erilaisten virusten joukosta voidaan erottaa seuraavat pääryhmät:

saapas

¨ tiedosto

¨ tiedostokäynnistys

Tarkastellaan nyt lähemmin jokaista näistä ryhmistä.

2.1. Käynnistysvirukset

Katsotaanpa hyvin yksinkertaisen käynnistysviruksen toimintaa, joka saastuttaa levykkeitä. Ohitamme tarkoituksella kaikki lukuisat hienoudet, joita väistämättä kohdataan sen toiminta-algoritmin tiukan analyysin aikana.

Mitä tapahtuu, kun käynnistät tietokoneen? Ensinnäkin hallinta siirtyy bootstrap ohjelma, joka on tallennettu vain lukumuistiin (ROM) eli PNZ ROM.

Tämä ohjelma testaa laitteiston ja, jos testit onnistuvat, yrittää löytää levykkeen asemasta A:

Jokainen levyke on merkitty ns. sektorit ja radat. Sektorit yhdistetään klustereiksi, mutta sillä ei ole meille merkitystä.

Sektoreiden joukossa on useita palveluita, joita käyttöjärjestelmä käyttää omiin tarpeisiinsa (nämä sektorit eivät voi sisältää tietojasi). Palvelualoista olemme tällä hetkellä kiinnostuneita yhdestä - ns. käynnistyssektori(käynnistyssektori).

Käynnistyssektorin kaupat levykkeen tiedot- pintojen lukumäärä, ratojen lukumäärä, sektoreiden lukumäärä jne. Mutta nyt emme ole kiinnostuneita tästä tiedosta, vaan pienestä bootstrap ohjelma(PNZ), jonka on ladattava itse käyttöjärjestelmä ja siirrettävä ohjaus sille.

Joten normaali bootstrap-järjestelmä on seuraava:

Katsotaanpa nyt virusta. Käynnistysviruksilla on kaksi osaa - ns. pää jne. häntää. Häntä voi yleisesti ottaen olla tyhjä.

Oletetaan, että sinulla on puhdas levyke ja saastunut tietokone, jolla tarkoitamme tietokonetta, jossa on aktiivinen virus. Heti kun tämä virus havaitsee, että asemaan on ilmaantunut sopiva uhri - meidän tapauksessamme levyke, joka ei ole kirjoitussuojattu ja joka ei ole vielä saanut tartuntaa, se alkaa tartuttaa. Kun virus tartuttaa levykkeen, se suorittaa seuraavat toiminnot:

Valitsee tietyn alueen levyltä ja merkitsee sen käyttöjärjestelmän saavuttamattomaksi, tämä voidaan tehdä eri tavoin, yksinkertaisimmassa ja perinteisessä tapauksessa viruksen käyttämät sektorit merkitään huonoiksi (huonoiksi)

Kopioi sen hännän ja alkuperäisen (terveen) käynnistyssektorin valitulle levyn alueelle

Korvaa käynnistysohjelman (todellisessa) käynnistyssektorissa päällään

Järjestää ohjauksen siirtoketjun järjestelmän mukaisesti.

Siten viruksen pää saa nyt ensimmäisenä hallinnan, virus asennetaan muistiin ja siirtää hallinnan alkuperäiseen käynnistyssektoriin. Ketjussa

PNZ (ROM) - PNZ (levy) - JÄRJESTELMÄ

uusi linkki tulee näkyviin:

PNZ (ROM) - VIRUS - PNZ (levy) - JÄRJESTELMÄ

Moraali on selvä: Älä koskaan jätä levykkeitä (vahingossa) asemaan A.

Tutkimme yksinkertaisen käynnistysviruksen toimintajärjestelmää, joka elää levykkeiden käynnistyssektoreilla. Virukset voivat pääsääntöisesti saastuttaa levykkeiden käynnistyssektoreiden lisäksi myös kiintolevyjen käynnistyssektoreita. Lisäksi, toisin kuin levykkeillä, kiintolevyllä on kahden tyyppisiä käynnistyssektoreita, jotka sisältävät käynnistysohjelmia, jotka saavat ohjauksen. Kun tietokone käynnistyy kiintolevyltä, MBR:n (Master Boot Record) käynnistysohjelma ottaa ohjauksen ensin. Jos sinun HDD on jaettu useisiin osioihin, jolloin vain yksi niistä merkitään käynnistykseksi. MBR:n käynnistysohjelma löytää kiintolevyn käynnistysosion ja siirtää ohjauksen tämän osion käynnistysohjelmaan. Jälkimmäisen koodi on sama kuin tavallisilla levykkeillä olevan käynnistysohjelman koodi ja vastaavat käynnistyssektorit eroavat toisistaan vain parametritaulukoissa. Siten kiintolevyllä on kaksi käynnistysvirusten hyökkäyskohdetta - käynnistysohjelma sisään MBR Ja ensisijainen ohjelma käynnistyssektorin lataukset käynnistyslevy.

2.2. Tiedostovirukset

Tarkastellaan nyt, kuinka yksinkertainen tiedostovirus toimii. Toisin kuin käynnistysvirukset, jotka ovat lähes aina paikallisia, tiedostovirukset eivät välttämättä ole paikallisia. Tarkastellaanpa ulkopuolisen tiedostoviruksen toimintamallia. Oletetaan, että meillä on saastunut suoritettava tiedosto. Kun tällainen tiedosto käynnistetään, virus saa hallinnan, suorittaa joitain toimintoja ja siirtää hallinnan "isännälle" (vaikka ei vielä tiedetä, kuka isäntä tällaisessa tilanteessa on).

Mitä toimia virus suorittaa? Se etsii uutta kohdetta tartuttaakseen - sopivan tyyppistä tiedostoa, joka ei ole vielä saanut tartuntaa (jos virus on "kunnollinen", muuten on sellaisia, jotka tartuttavat välittömästi tarkistamatta mitään). Tartuntamalla tiedoston virus ruiskuttaa itsensä sen koodiin saadakseen hallintaansa tiedoston suorittamisen aikana. Päätehtävänsä - lisääntymisen - lisäksi virus voi hyvinkin tehdä jotain monimutkaista (sanoa, kysyä, pelata) - tämä riippuu jo viruksen tekijän mielikuvituksesta. Jos tiedostovirus on pysyvä, se asentaa itsensä muistiin ja pystyy saastuttamaan tiedostoja ja osoittamaan muita ominaisuuksia paitsi tartunnan saaneen tiedoston ollessa käynnissä. Kun virus tartuttaa suoritettavaa tiedostoa, se muuttaa aina koodiaan - siksi suoritettavan tiedoston tartunta voidaan aina havaita. Mutta muuttamalla tiedostokoodia virus ei välttämättä tee muita muutoksia:

à hän ei ole velvollinen muuttamaan tiedoston pituutta

à käyttämättömät koodiosat

à ei vaadi tiedoston alun muuttamiseen

Lopuksi tiedostovirukset sisältävät usein viruksia, jotka "on jonkin verran suhteessa tiedostoihin", mutta joita ei tarvitse upottaa niiden koodiin. Tarkastellaanpa esimerkkinä tunnetun Dir-II-perheen virusten toimintakaaviota. On myönnettävä, että vuonna 1991 ilmestyneistä viruksista tuli Venäjällä todellisen ruttoepidemian syy. Katsotaanpa mallia, joka näyttää selkeästi viruksen perusidean. Tietoa tiedostoista tallennetaan hakemistoihin. Jokainen hakemistomerkintä sisältää tiedoston nimen, luomispäivämäärän ja -ajan, joitain lisätietoja, ensimmäinen klusterin numero tiedosto jne. varata tavuja. Jälkimmäiset jätetään "varaan", eikä MS-DOS itse käytä niitä.

Ajettaessa suoritettavia tiedostoja järjestelmä lukee tiedoston ensimmäisen klusterin ja sen jälkeen kaikki muut klusterit hakemistomerkinnästä. Dir-II-perheen virukset suorittavat seuraavan "uudelleenjärjestelyn" tiedostojärjestelmä: virus itse kirjoittaa joihinkin levyn vapaisiin sektoreihin, jotka se merkitsee huonoiksi. Lisäksi se tallentaa tiedot ensimmäisistä suoritettavien tiedostojen klustereista varattuihin bitteihin ja kirjoittaa näiden tietojen tilalle viittauksia itseensä.

Siten kun mikä tahansa tiedosto käynnistetään, virus saa hallinnan (käyttöjärjestelmä käynnistää sen itse), asentaa itsensä muistiin ja siirtää hallinnan kutsutulle tiedostolle.

2.3. Käynnistystiedostovirukset

Emme huomioi käynnistystiedoston virusmallia, koska et opi uutta tietoa. Mutta tässä on hyvä tilaisuus keskustella lyhyesti viime aikoina erittäin "suositusta" käynnistystiedostoviruksesta OneHalf, joka saastuttaa pääkäynnistyssektorin (MBR) ja suoritettavat tiedostot. Suurin tuhoisa vaikutus on kiintolevyn sektoreiden salaus. Joka kerta kun virus käynnistetään, se salaa toisen osan sektoreista ja salaamisen jälkeen puolet kovalevy, raportoi tästä iloisesti. Suurin ongelma tämän viruksen hoidossa on, että viruksen poistaminen MBR:stä ja tiedostoista ei riitä, vaan sen salaamien tietojen salaus on purettava. Tappavin toimenpide on yksinkertaisesti korvata uusi terve MBR. Pääasia, älä panikoi. Punnitse kaikki rauhallisesti ja keskustele asiantuntijoiden kanssa.

2.4. Polymorfiset virukset

Useimmat kysymykset liittyvät termiin "polymorfinen virus". Tämän tyyppinen tietokonevirus näyttää olevan vaarallisin nykyään. Selitetään, mikä se on.

Polymorfiset virukset ovat viruksia, jotka muokkaavat koodiaan tartunnan saaneissa ohjelmissa siten, että saman viruksen kaksi kopiota eivät välttämättä täsmää yhdessä bitissä.

Tällaiset virukset eivät vain salaa koodiaan käyttämällä erilaisia salauspolkuja, vaan sisältävät myös salaus- ja salauksenpurkukoodin, mikä erottaa ne tavallisista salausviruksista, jotka voivat myös salata osia koodistaan, mutta joilla on samaan aikaan jatkuva salaus- ja salauksenpurkukoodi. .

Polymorfiset virukset ovat viruksia, joissa on itsemuovautuvat salauksenpurkut. Tällaisen salauksen tarkoitus: jos sinulla on tartunnan saanut ja alkuperäinen tiedosto, et silti pysty analysoimaan sen koodia säännöllisen purkamisen avulla. Tämä koodi on salattu ja se on merkityksetön joukko komentoja. Virus itse suorittaa salauksen purkamisen suorituksen aikana. Tässä tapauksessa vaihtoehdot ovat mahdollisia: hän voi purkaa itsensä kerralla tai hän voi suorittaa tällaisen salauksen "lennossa", hän voi salata uudelleen jo käytettyjä osia. Kaikki tämä tehdään viruskoodin analysoinnin vaikeuttamiseksi.

3. TIETOKONEVIROLOGIAN HISTORIA JA SYYT VIRUSIEN ILMOstumiseen

Tietokonevirologian historia näyttää nykyään olevan jatkuvaa "kilpailua johtajasta", ja huolimatta nykyaikaisten virustorjuntaohjelmien voimasta, virukset ovat johtajia. Tuhansien virusten joukossa vain muutama kymmenkunta on alkuperäistä kehitystä, joka hyödyntää todella perustavanlaatuisia uusia ideoita. Kaikki loput ovat "muunnelmia aiheesta". Mutta jokainen alkuperäinen kehitys pakottaa virustentorjunnan tekijät mukautumaan uusiin olosuhteisiin ja tarttumaan virusteknologiaan. Jälkimmäisestä voidaan kiistää. Esimerkiksi vuonna 1989 amerikkalainen opiskelija onnistui luomaan viruksen, joka sammutti noin 6 000 Yhdysvaltain puolustusministeriön tietokonetta. Tai kuuluisan Dir-II-viruksen epidemia, joka puhkesi vuonna 1991. Virus käytti todella omaperäistä, pohjimmiltaan uutta teknologiaa ja onnistui aluksi leviämään laajalle perinteisten virustorjuntatyökalujen epätäydellisyyden vuoksi.

Tai tietokonevirusten nousu Isossa-Britanniassa: Christopher Pyne onnistui luomaan Pathogen- ja Queeq-virukset sekä Smeg-viruksen. Se oli viimeinen, joka oli vaarallisin; se voitiin levittää kahden ensimmäisen viruksen päälle, ja tämän vuoksi he muuttivat kokoonpanoa jokaisen ohjelman ajon jälkeen. Siksi niitä oli mahdotonta tuhota. Levittääkseen viruksia Pine kopioi tietokonepelit ja ohjelmat, tartuttaneet ne ja lähettäneet ne sitten takaisin verkkoon. Käyttäjät latasivat tartunnan saaneita ohjelmia tietokoneilleen ja tartuttivat levynsä. Tilannetta pahensi se, että Pine onnistui tuomaan viruksia niitä vastaan taistelevaan ohjelmaan. Käynnistämällä sen, virusten tuhoamisen sijaan käyttäjät saivat toisen. Seurauksena monien yritysten tiedostot tuhoutuivat, mikä aiheutti miljoonien puntien tappiot.

Amerikkalainen ohjelmoija Morris tuli laajalti tunnetuksi. Hänet tunnetaan viruksen luojana, joka marraskuussa 1988 tartutti noin 7 tuhatta Internetiin kytkettyä tietokonetta.

Syyt tietokonevirusten syntymiseen ja leviämiseen ovat toisaalta piilossa ihmispersoonallisuuden psykologiassa ja sen varjopuolissa (kateus, kosto, tuntemattomien tekijöiden turhamaisuus, kyvyttömyys käyttää rakentavasti omia kykyjään). toisaalta laitteistosuojauksen ja leikkaussalista tulevan vastatoimien puutteen vuoksi.henkilökohtaiset tietokonejärjestelmät.

4. VIRUSTEN TIETOON TULEMISTAPA JA VIRUSOHJELMAN JAKELUMEKANISMI

Tärkeimmät tavat, joilla virukset pääsevät tietokoneeseen, ovat siirrettävät levyt (levykkeet ja laser) sekä tietokoneverkot. Kiintolevy voi saada virustartunnan, kun ohjelmaa ladataan viruksen sisältävältä levykkeeltä. Tällainen tartunta voi olla myös vahingossa, esimerkiksi jos levykettä ei ole poistettu asemasta A ja tietokone käynnistettiin uudelleen, eikä levyke välttämättä ole järjestelmällinen. Levykkeen saattaminen on paljon helpompaa. Virus voi päästä siihen, vaikka levyke vain laitetaan tartunnan saaneen tietokoneen levyasemaan ja esimerkiksi luetaan sen sisällysluettelo.

Virus yleensä tunkeutuu työohjelma siten, että kun se käynnistyy, ohjaus siirtyy ensin hänelle ja vasta kun kaikki hänen käskynsä on suoritettu, hän palaa työohjelmaan. Päästyä hallintaan virus ensin kirjoittaa itsensä uudelleen toiseen työohjelmaan ja tartuttaa sen. Viruksen sisältävän ohjelman suorittamisen jälkeen on mahdollista tartuttaa muita tiedostoja. Useimmiten levyn käynnistyssektori ja suoritettavat tiedostot, joiden tunniste on EXE, COM, SYS, BAT, ovat viruksen saastuttamia. On erittäin harvinaista, että tekstitiedostot saavat tartunnan.

Ohjelman tartunnan jälkeen virus voi suorittaa jonkinlaisen sabotoinnin, ei liian vakavaa, jotta se ei herätä huomiota. Ja lopuksi, älä unohda palauttaa ohjausta ohjelmaan, josta se käynnistettiin. Jokainen tartunnan saaneen ohjelman suoritus siirtää viruksen seuraavaan. Siten kaikki ohjelmistot saavat tartunnan.

Havainnollistamaan infektioprosessia tietokoneohjelma Viruksen kanssa on järkevää verrata levymuistia vanhanaikaiseen arkistoon, jossa on kansioita nauhalla. Kansiot sisältävät ohjelmia, ja viruksen levittämistoimintojen järjestys näyttää tässä tapauksessa tältä. (Katso liite 1)

5. VIRUUSMERKIT

Kun tietokoneesi on saanut viruksen, on tärkeää havaita se. Tätä varten sinun tulee tietää virusten tärkeimmät merkit. Näitä ovat seuraavat:

¨ aiemmin onnistuneesti toimineiden ohjelmien lopettaminen tai virheellinen toiminta

¨ tietokoneen hidas suorituskyky

¨ käyttöjärjestelmän lataaminen ei onnistu

¨ tiedostojen ja hakemistojen katoaminen tai niiden sisällön vääristyminen

¨ tiedoston muokkauksen päivämäärän ja kellonajan muuttaminen

¨ tiedostojen koon muuttaminen

¨ levyllä olevien tiedostojen määrän odottamaton merkittävä kasvu

¨ vapaan RAM-muistin koon merkittävä väheneminen

¨ odottamattomien viestien tai kuvien näyttäminen

¨ odottamattomien äänimerkkien antaminen

¨ toistuvat jumittumiset ja tietokoneen kaatumiset

On huomattava, että yllä olevat ilmiöt eivät välttämättä johdu viruksen läsnäolosta, vaan ne voivat johtua muista syistä. Siksi tietokoneen kunnon oikea diagnosointi on aina vaikeaa.

6. VIRUSTEN TUNNISTUS SEKÄ SUOJAUSTA JA ESTÄMISTOIMENPITEET

6.1. Kuinka tunnistaa virus ? Perinteinen lähestymistapa

Joten tietty viruskirjoittaja luo viruksen ja käynnistää sen "elämään". Hän saattaa kävellä sydämensä kyllyydestä jonkin aikaa, mutta ennemmin tai myöhemmin "lafa" päättyy. Joku epäilee, että jotain on vialla. Yleensä virukset havaitsevat tavalliset käyttäjät, jotka huomaavat tiettyjä poikkeavuuksia tietokoneensa toiminnassa. Useimmissa tapauksissa he eivät pysty selviytymään tulehduksesta yksin, mutta sitä ei heiltä vaadita.

On vain välttämätöntä, että virus joutuu asiantuntijoiden käsiin mahdollisimman pian. Ammattilaiset tutkivat häntä, selvittävät "mitä hän tekee", "miten hän tekee", "milloin hän tekee" jne. Tällaisen työn aikana kaikki tarvittavat tiedot tästä viruksesta erityisesti viruksen allekirjoitus on korostettu - tavusarja, joka luonnehtii sitä aivan varmasti. Allekirjoituksen rakentamiseksi otetaan yleensä viruskoodin tärkeimmät ja ominaisimmat osat. Samalla selviävät viruksen toimintamekanismit, esimerkiksi käynnistysviruksen tapauksessa on tärkeää tietää, mihin se piilottaa häntänsä, missä sijaitsee alkuperäinen käynnistyssektori ja tiedostovirus, tapa tartuttaa tiedosto. Saatujen tietojen avulla voit selvittää:

· miten virus havaitaan, tätä tarkoitusta varten menetelmät allekirjoitusten etsimiseksi mahdollisista virushyökkäyksen kohteista - tiedostot ja/tai käynnistyssektorit määritellään

· miten virus neutraloidaan, jos mahdollista, kehitetään algoritmeja viruskoodin poistamiseksi haavoittuvista objekteista

6.2. Virusten havaitsemis- ja suojausohjelmat

Tietokonevirusten havaitsemiseksi, poistamiseksi ja niiltä suojaamiseksi on kehitetty useita erikoisohjelmia, joiden avulla voit havaita ja tuhota viruksia. Tällaisia ohjelmia kutsutaan virustorjunta . On olemassa seuraavan tyyppisiä virustorjuntaohjelmia:

· ilmaisinohjelmat

· lääkäriohjelmat tai faagit

· tarkastusohjelmat

· suodatusohjelmat

Rokote- tai immunisaattoriohjelmat

Ilmaisinohjelmat He etsivät RAM-muistista ja tiedostoista tietylle virukselle ominaista allekirjoitusta ja antavat vastaavan viestin, jos ne löytyvät. Tällaisten virustorjuntaohjelmien haittana on, että ne voivat löytää vain viruksia, jotka tällaisten ohjelmien kehittäjät tuntevat.

Lääkäriohjelmat tai faagit, ja rokoteohjelmat ei vain löydä viruksilla saastuneita tiedostoja, vaan myös "käsittele" niitä, ts. poista virusohjelman runko tiedostosta ja palauttaa tiedostot alkuperäiseen tilaan. Työnsä alussa faagit etsivät viruksia RAM-muistista, tuhoavat ne ja jatkavat vasta sitten tiedostojen "puhdistukseen". Faagien joukosta erotetaan polyfaagit, so. Lääkäriohjelmat, jotka on suunniteltu etsimään ja tuhoamaan suuri määrä viruksia. Tunnetuimmat niistä: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Koska uusia viruksia ilmaantuu jatkuvasti, ilmaisinohjelmat ja lääkäriohjelmat vanhenevat nopeasti ja säännöllisiä versiopäivityksiä tarvitaan.

Tilintarkastajien ohjelmat ovat luotettavimpia suojakeinoja viruksia vastaan. Tarkastajat muistavat ohjelmien, hakemistojen ja levyn järjestelmäalueiden alkuperäisen tilan, kun tietokone ei ole viruksen saastuttama, ja vertaavat sitten säännöllisesti tai käyttäjän pyynnöstä nykyistä tilaa alkuperäiseen. Havaitut muutokset näkyvät monitorin näytöllä. Pääsääntöisesti tilojen vertailu suoritetaan heti käyttöjärjestelmän lataamisen jälkeen. Vertailun aikana tarkistetaan tiedoston pituus, syklinen ohjauskoodi (tiedoston tarkistussumma), muokkauspäivämäärä ja -aika sekä muut parametrit. Tarkastusohjelmat ovat melko kehittyneitä algoritmeja, havaitsevat salaperäisiä viruksia ja voivat jopa puhdistaa tarkistettavan ohjelman muutokset viruksen tekemistä muutoksista. Tarkastusohjelmien joukossa on Venäjällä laajalti käytetty Adinf-ohjelma.

Suodata ohjelmat tai "vartija" ovat pieniä ohjelmia, jotka on suunniteltu havaitsemaan viruksille ominaisia epäilyttäviä toimia tietokoneen käytön aikana. Tällaisia toimia voivat olla:

· yrittää korjata tiedostoja COM-, EXE-tunnisteilla

· tiedostomääritteiden muuttaminen

suora kirjoitus levylle absoluuttiseen osoitteeseen

· kirjoittaminen levyn käynnistyssektoreille

Kun mikä tahansa ohjelma yrittää suorittaa määritettyjä toimintoja, "vartija" lähettää käyttäjälle viestin ja tarjoutuu kieltämään tai sallimaan vastaavan toiminnon. Suodatinohjelmat ovat erittäin hyödyllisiä, koska ne pystyvät havaitsemaan viruksen sen olemassaolon varhaisessa vaiheessa ennen replikointia. Ne eivät kuitenkaan "puhdista" tiedostoja ja levyjä. Virusten tuhoamiseksi sinun on käytettävä muita ohjelmia, kuten faageja. Watchdog-ohjelmien haittoja ovat niiden "tunkeilevuus" (esimerkiksi ne antavat jatkuvasti varoituksen kaikista yrityksistä kopioida suoritettavaa tiedostoa) sekä mahdollisia konflikteja toisen kanssa ohjelmisto. Esimerkki suodatinohjelmasta on Vsafe-ohjelma, joka on osa MS DOS -apuohjelmapakettia.

Rokotteet tai immunisaattorit- Nämä ovat ohjelmia, jotka estävät tiedostojen tartunnan. Rokotteita käytetään, jos ei ole lääkäriohjelmia, jotka "hoitaisivat" tätä virusta. Rokotus on mahdollista vain tunnettuja viruksia vastaan. Rokote muokkaa ohjelmaa tai levyä siten, että se ei vaikuta sen toimintaan ja virus havaitsee sen tartunnan saaneena eikä siksi juurtu. Tällä hetkellä rokoteohjelmien käyttö on rajallista.

Virusten saastuttamien tiedostojen ja levyjen oikea-aikainen havaitseminen ja havaittujen virusten täydellinen tuhoaminen jokaisessa tietokoneessa auttavat estämään virusepidemian leviämisen muihin tietokoneisiin.

6.3. Perustoimenpiteet viruksilta suojaamiseksi

Noudata seuraavia sääntöjä, jotta tietokoneesi ei altistu viruksille ja varmistaisi tietojen luotettavan tallentamisen levyille:

¨ Varusta tietokoneesi nykyaikaisilla virustorjuntaohjelmilla, kuten Aidstest, Doctor Web, ja päivitä jatkuvasti niiden versioita

¨ ennen kuin luet muille tietokoneille tallennettuja tietoja levykkeiltä, tarkista aina nämä levykkeet virusten varalta ajamalla tietokoneellasi virustorjuntaohjelmia

¨ kun siirrät tiedostoja arkistoidussa muodossa tietokoneellesi, tarkista ne heti, kun olet purkanut ne kiintolevyltä. Rajoita skannausalue vain uusiin tallennettuihin tiedostoihin

¨ Tarkista säännöllisesti virusten varalta kovalevyjä tietokone, viruksentorjuntaohjelmien suorittaminen tiedostojen, muistin ja levyjen järjestelmäalueiden testaamiseksi kirjoitussuojatulta levykkeeltä sen jälkeen, kun käyttöjärjestelmä on ladattu kirjoitussuojatulta järjestelmän levykkeeltä

¨ Suojaa aina levykkeitäsi kirjoittamiselta työskennellessäsi muilla tietokoneilla, jos tietoja ei kirjoiteta niihin

¨ muista tehdä varmuuskopiot levykkeille sinulle arvokkaista tiedoista

¨ älä jätä levykkeitä A-aseman taskuun, kun käynnistät tai käynnistät uudelleen käyttöjärjestelmän, jotta tietokone ei saa käynnistysvirustartuntaa

¨ käytä virustorjuntaohjelmia kaikkien tietokoneverkoista vastaanotettujen suoritettavien tiedostojen syöttämiseen

¨ suuremman turvallisuuden takaamiseksi Aidstest ja Doctor Web on yhdistettävä Adinf levyauditorin päivittäiseen käyttöön

PÄÄTELMÄ

Joten voimme lainata monia tosiasioita, jotka osoittavat, että uhka tietolähde lisääntyy joka päivä, mikä saa pankkien, tehtaiden ja yritysten päättäjät paniikkiin ympäri maailmaa. Ja tämä uhka tulee tietokoneviruksista, jotka vääristävät tai tuhoavat tärkeitä, arvokkaita tietoja, mikä voi johtaa paitsi taloudellisia menetyksiä, mutta myös ihmisuhreja.

Tietokonevirus - erityisesti kirjoitettu ohjelma, joka pystyy spontaanisti liittymään muihin ohjelmiin, luomaan itsestään kopioita ja tuomaan niitä tiedostoihin, tietokoneen järjestelmäalueisiin ja tietokoneverkkoihin häiritsemään ohjelmien toimintaa, vahingoittamaan tiedostoja ja hakemistoja sekä luomaan kaikenlaisia häiriöitä tietokoneen toimintaan.

Tällä hetkellä tunnetaan yli 5000 ohjelmistovirusta, joiden määrä kasvaa jatkuvasti. On tunnettuja tapauksia, jolloin ne on luotu opetusvälineet, auttaa virusten kirjoittamisessa.

Virusten päätyypit: boot, file, file-boot. Vaarallisin virustyyppi on polymorfinen.

Tietokonevirologian historiasta on selvää, että mikä tahansa alkuperäinen tietokonekehitys pakottaa virustentorjuntaohjelmien tekijät mukautumaan uusiin tekniikoihin ja jatkuvasti parantamaan virustentorjuntaohjelmia.

Virusten ilmaantumisen ja leviämisen syyt ovat piilossa toisaalta ihmisen psykologiassa ja toisaalta käyttöjärjestelmän suojatoimenpiteiden puutteessa.

Virusten pääasialliset reitit ovat siirrettävät levyt ja tietokoneverkot. Noudata suojatoimenpiteitä, jotta tämä ei tapahdu. Lisäksi on kehitetty useita erilaisia erikoisohjelmia, joita kutsutaan virustorjuntaohjelmiksi tunnistamaan, poistamaan ja suojaamaan tietokoneviruksia vastaan. Jos löydät viruksen tietokoneeltasi, perinteisen lähestymistavan avulla on parempi soittaa ammattilaiselle selvittämään asiaa.

Mutta jotkut virusten ominaisuudet hämmentävät jopa asiantuntijoita. Juuri äskettäin oli vaikea kuvitella, että virus selviytyisi kylmästä käynnistyksestä tai leviäisi asiakirjatiedostojen kautta. Tällaisissa olosuhteissa on mahdotonta olla kiinnittämättä huomiota ainakin käyttäjien alustavaan virustorjuntakoulutukseen. Ongelman vakavuudesta huolimatta mikään virus ei voi aiheuttaa niin paljon haittaa kuin valkeakasvoinen käyttäjä, jolla on tärisevät kädet!

Niin, tietokoneidesi terveys, tietojesi turvallisuus on sinun käsissäsi!

Bibliografia

1. Tietojenkäsittelytiede: Oppikirja / toim. Prof. N.V. Makarova. - M.: Rahoitus ja tilastot, 1997.

2. Salaisuuksien ja tunteiden tietosanakirja / Valmistelija. teksti Yu.N. Petrova. - Mn.: Kirjallisuus, 1996.

3. Bezrukov N.N. Tietokonevirukset. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Nykyaikaiset tekniikat taistelu viruksia vastaan // PC World. - Nro 8. - 1993.

Suosituimmat ja tehokkaimmat virustorjuntaohjelmat ovat virustorjuntaohjelmat (ilmaisinohjelmat) ja CRC-skannerit (auditorit). On myös virustorjunta-aineita ja immunisoijia.

Skannerit. Toimintaperiaate virustorjuntaohjelmat perustuu tiedostojen, sektoreiden ja järjestelmämuistin tarkistamiseen sekä tunnettujen ja uusien (skannerille tuntemattomien) virusten etsimiseen. Tunnettujen virusten etsimiseen käytetään niin kutsuttuja "naamioita". Viruksen peite on jokin tälle tietylle virukselle spesifinen jatkuva koodisekvenssi. Jos virus ei sisällä pysyvää maskia tai maskin pituus ei ole tarpeeksi pitkä, käytetään muita menetelmiä. Esimerkki tällaisesta menetelmästä on algoritminen kieli, joka kuvaa kaikkea mahdollisia vaihtoehtoja koodi, joka voi ilmetä tämän tyyppisen viruksen tartunnan yhteydessä. Jotkut antivirukset käyttävät tätä lähestymistapaa polymorfisten virusten havaitsemiseen.

Monet skannerit käyttävät myös "heuristisia skannaus"-algoritmeja, eli ne analysoivat komentosarjaa skannattavassa objektissa, keräävät tilastoja ja tekevät päätöksen jokaisesta skannattavasta objektista. Koska heuristinen skannaus on suurelta osin todennäköisyyspohjainen menetelmä virusten etsimiseen, siihen sovelletaan monia todennäköisyysteorian lakeja. Esimerkiksi mitä suurempi on havaittujen virusten prosenttiosuus, enemmän määrää väärät positiiviset.

Skannerit voidaan myös jakaa kahteen luokkaan – "universaalit" ja "erikoistuneet". Yleisskannerit on suunniteltu etsimään ja neutraloimaan kaikentyyppisiä viruksia riippumatta käyttöjärjestelmästä, jossa skanneri on suunniteltu toimimaan. Erikoisskannerit on suunniteltu neutraloimaan rajoitettu määrä viruksia tai vain yksi virusluokka, esimerkiksi makrovirukset.

Skannerit on jaettu myös "asukkaisiin" (monitorit), jotka skannaavat lennossa, ja "ei-residenteihin", jotka skannaavat järjestelmän vain pyynnöstä. Pääsääntöisesti "asukkaat" skannerit tarjoavat luotettavamman järjestelmän suojauksen, koska ne reagoivat välittömästi viruksen ilmaantuvuuteen, kun taas "ei-residentti" skanneri pystyy tunnistamaan viruksen vasta seuraavan käynnistyksen yhteydessä.

Kaikentyyppisten skannerien etuja ovat niiden monipuolisuus, haittoja ovat virustorjuntatietokantojen koko, joita skannerit joutuvat tallentamaan ja päivittämään, sekä suhteellisen alhainen virusetsintänopeus.

CRC-skannerit. CRC-skannerien toimintaperiaate perustuu CRC-summien (tarkistussummien) laskemiseen levyllä oleville tiedostoille/järjestelmäsektoreille. Nämä CRC-määrät tallennetaan sitten virustorjuntatietokantaan, samoin kuin joitain muita tietoja: tiedostojen pituudet, niiden viimeisimmän muokkauksen päivämäärät jne. Kun CRC-skannerit käynnistetään myöhemmin, ne vertaavat tietokannan sisältämiä tietoja todellisiin laskettuihin arvoihin. Jos tietokantaan tallennetut tiedostotiedot eivät vastaa todellisia arvoja, CRC-skannerit ilmoittavat, että tiedostoa on muokattu tai se on saanut viruksen.

Anti-stealth-algoritmeja käyttävät CRC-skannerit vastaavat lähes 100 prosenttiin viruksista heti, kun muutokset näkyvät tietokoneessa. Näiden virustentorjuntaohjelmien tyypillinen haittapuoli on kyvyttömyys havaita viruksia sen ilmestymishetkestä siihen asti, kun tietokoneeseen tehdään muutoksia. CRC-skannerit eivät pysty havaitsemaan virusta uusista tiedostoista (sähköpostista, levykkeiltä, palautettavista tiedostoista tai purettaessa tiedostoja arkistosta), koska niiden tietokannat eivät sisällä tietoja näistä tiedostoista.

Salpaajat. Virustentorjuntaohjelmat ovat paikallisia ohjelmia, jotka sieppaavat "virusvaarallisia" tilanteita ja ilmoittavat niistä käyttäjälle. "Viruksille vaarallisia" ovat kutsut avautua kirjoittamista varten suoritettaviin tiedostoihin, kirjoittamiseen levyn käynnistyssektoriin jne., jotka ovat tyypillisiä viruksille niiden lisääntymishetkellä.

Salpaajien etuja ovat niiden kyky havaita ja estää virus sen lisääntymisen varhaisessa vaiheessa, mikä voi muuten olla erittäin hyödyllistä tapauksissa, joissa pitkään tunnettu virus aktivoituu jatkuvasti.

Rokotteet. Rokotteet jaetaan kahteen tyyppiin: rokotteet, jotka ilmoittavat infektiosta, ja immunisaattorit, jotka estävät minkä tahansa virusinfektion.

Koska uusia viruksia ilmaantuu jatkuvasti, ilmaisinohjelmat ja lääkäriohjelmat vanhenevat nopeasti ja säännöllisiä versiopäivityksiä tarvitaan.

Suodata ohjelmat tai "vartija" ovat pieniä ohjelmia, jotka on suunniteltu havaitsemaan viruksille ominaisia epäilyttäviä toimia tietokoneen käytön aikana. Tällaisia toimia voivat olla:

· yrittää korjata tiedostoja COM-, EXE-tunnisteilla

· tiedostomääritteiden muuttaminen

suora kirjoitus levylle absoluuttiseen osoitteeseen

· kirjoittaminen levyn käynnistyssektoreille

Kun mikä tahansa ohjelma yrittää suorittaa määritettyjä toimintoja, "vartija" lähettää käyttäjälle viestin ja tarjoutuu kieltämään tai sallimaan vastaavan toiminnon. Suodatinohjelmat ovat erittäin hyödyllisiä, koska ne pystyvät havaitsemaan viruksen sen olemassaolon varhaisessa vaiheessa ennen replikointia. Ne eivät kuitenkaan "puhdista" tiedostoja ja levyjä. Virusten tuhoamiseksi sinun on käytettävä muita ohjelmia, kuten faageja. Watchdog-ohjelmien haittoja ovat niiden "tunkeilevuus" (esimerkiksi ne antavat jatkuvasti varoituksen kaikista yrityksistä kopioida suoritettavaa tiedostoa) sekä mahdolliset ristiriidat muiden ohjelmistojen kanssa. Esimerkki suodatinohjelmasta on Vsafe-ohjelma, joka on osa MS Windows -apuohjelmapakettia.

Ihmiset, jotka työskentelevät jatkuvasti tietokoneella, kohtaavat usein ongelmia käyttäessään sitä ja alkavat kutsua ohjelmoijia apuun, vaikka useimmissa tapauksissa tällaiset tapaukset johtuvat käyttäjän itsensä huolimattomuudesta ja koulutuksen puutteesta. Loppujen lopuksi suurimmat ongelmat tulevat juuri silloin, kun tietokone on saanut viruksen. Tietokonevirusten käsite ja luokitus on perusta, jonka tunteminen voi estää 50 % käyttäjän tietokoneen ongelmista.

Tieto on valtaa

Yritetään määritellä mikä tietokonevirus on. Kuten sisällä oikea elämä, virus on organismi, joka pystyy kopioimaan itseään ja lisääntymään hallitsemattomasti. Tämä on ohjelma, joka pystyy kehittymään itsenäisesti, ilman käyttäjän tietämystä ja suorittamaan ohjelmoijan sille osoittamia toimintoja. Tämä ei riitä tartunnan saamiseen tai tietokoneen tartunnan estämiseen, mutta yksinkertaisimmissa tapauksissa se auttaa sinua ainakin soittamaan hälytyksen ja soittamaan asiantuntijalle. Tietokonevirusten luokittelu auttaa jälkimmäisiä valitsemaan tarkasti tietokoneesi tallentamiseen tarvittavan työkalun. Siksi yritämme myös ymmärtää sen.

Yleinen käsite

Verrattuamme tietokonevirusta todelliseen mikro-organismiin hieman aikaisemmin, voimme vetää vertauskuvan siihen, mitä tietty virus tai mato saastuttaa. Yksi keskeisistä on tietokonevirusten luokittelu elinympäristön mukaan, koska käyttötarkoituksesta riippuen myös viruksen sijainti tietokoneympäristössä vaihtelee. Esitetään yleinen standardikaavio.

Tiedostovirukset. Ehkä yleisimpiä nykyään ovat virukset, jotka saastuttavat tietokoneesi tiedostoja. Useimmissa tapauksissa ne soluttautuvat suoritettaviin tiedostoihin tai ohjelmakirjastoihin suorittaakseen tehtäviään. Nämä virukset ovat skriptejä, jotka on kirjoitettu ohjelmointikielellä (esimerkiksi Java).
Käynnistysvirukset. Kuten nimestä voi päätellä, ne käynnistetään, kun käyttöjärjestelmä käynnistyy. He kirjoittavat koodinsa Windowsin käynnistyssektoriin.
Verkkovirukset. Melko epämiellyttävä asia, joka lähettää kopioita itsestään verkon, postin tai viestintäjärjestelmien, kuten ICQ:n, kautta. Toinen epämiellyttävä asia on, että tällainen virus voi lisääntyä, kunnes se täyttää kaiken tilan käyttäjän tietokoneella, ja pahimmassa tapauksessa se alkaa myös tehdä tilaa itselleen poistamalla käyttäjäohjelmia.
Makrovirukset. Ne vaikuttavat vain makroja tukevien sovellusten tiedostoihin, kuten Office.

On syytä huomata, että tällainen virusten luokittelu ei voi olla täydellinen, koska tämän infektion kehittyminen ei pysy paikallaan, ja on viruksia, jotka voidaan luokitella useisiin alatyyppeihin.

Varoitus - vaara!

Viruksia voidaan tarkastella täysin eri näkökulmista. Jos puhumme niistä järjestelmään kohdistuvan vaikutuksen asteen mukaan, tietokonevirusten luokitus näyttää lyhyesti tältä:

Asiantuntijat työskentelevät

Tietokonevirusten ja virustentorjuntaohjelmien luokittelu ansaitsee erityisen maininnan. Useimmilla tietoturva-alan asiantuntijoilla on omat luokituksensa ja tapansa määrittää tietokonevirukset. Esimerkiksi tunnettu Kaspersky Laboratory. Monien vuosien työn jälkeen he loivat ehkä yksityiskohtaisimman tietokonevirusten luokituksen. Kaspersky tunnistaa seuraavan tyyppiset "tuholaiset":

Jo tunnetut verkkovirukset ovat matoja, jotka käyttävät sähköpostia leviämiseen.
Pakkaajat. Nämä ovat pikemminkin vain tuholaisia eivätkä tiettyyn tarkoitukseen lähetettyjä viruksia. Heidän tehtävänsä on arkistoida tiedostoja siten, että niiden arkistoinnin purkaminen on mahdotonta. Usein ne myös koodaavat tietoa arkistoitaessa.
Haitalliset apuohjelmat.
Troijan ohjelmat. Heidän nimensä tulee Troijan hevosen myytistä. Prototyyppinsä mukaisesti tällaiset virukset naamioituvat vaarattomiksi ohjelmiksi päästäkseen tietokoneeseen. Niiden pääasiallinen toiminnallinen tarkoitus on tarjota hyökkääjälle pääsy tietokoneesi hallintaan. Jotkut alakategoriat voidaan myös erottaa tästä:

1) virukset, varten kaukosäädin Sinun tietokoneesi;

2) ladattavat virukset haittaohjelma internetistä;

3) ohjelmat, jotka asentavat luvattomasti muita viruksia tietokoneeseen.

Kuinka saada tartunnan

Ennakkovaroitettu on aseistettu. Näin sanoo kansan viisaus. Kun tiedät, mistä ja miten voit saada tietokoneviruksen kiinni, voit välttää sen poistamiseen liittyvät valtavat ongelmat. Tartunnan ehkäisy on paljon helpompaa kuin tietokoneen parantaminen viruksen tunkeutumisen jälkeen. Tietokonevirusten luokitus on myös tartuntatavan mukaan:

Virus suojautuminen

Kuten on jo käynyt selväksi, haittaohjelmia on suuri valikoima. Mikään virusluokitus ei auta suojaamaan niitä vastaan. Tietokonehuijareita ja roskapostittajia on niin paljon, että on mahdotonta käsitellä niitä kaikkia omin käsin. Tästä syystä on olemassa suuri määrä virustentorjuntaohjelmia, jotka voivat auttaa selviytymään tästä ongelmasta. Katsotaanpa niitä tavallisten käyttäjien näkökulmasta.

Yleisin virustentorjuntaohjelma on Kaspersky Anti-Virus. Tämä ohjelma tarjotaan käyttäjille kaikissa mahdollisissa myymälöissä, ja se pystyy suojaamaan tietokonettasi luotettavasti haittaohjelmilta. Kokeneet käyttäjät ovat kuitenkin tietoisia tämän luotettavuuden merkittävistä sivuvaikutuksista. Kaspersky ei vain ylikuormita järjestelmää ja hälyttää pienimmästäkin vaarasta, vaan myös estää sitä toimimasta riittävästi käyttäjäsovellusten kanssa. Siksi tällä hetkellä tätä virustorjuntaa käytetään pääasiassa yrityksissä, koska sen ostaminen on helpompi suorittaa kirjanpidon kautta, ja turvatarkastuspalkkiot ovat sille paljon uskollisempia. On syytä huomata, että tämän laboratorion ansiosta luotiin tietokonevirusten perusluokitus. Heidän virustorjuntansa antama viesti, että tietokoneelta löytyi virus, ei valitettavasti aina sisällä luotettavaa tietoa.

NOD32 voi toimia arvokkaana korvaajana Kasperskylle. Suojaa luotettavasti ja lujasti, ne on suunniteltu erityisesti tavallisille käyttäjille ilmaiset versiot. Se toimii kuin kello ja ilman vikoja, mutta se tarjoaa ehdottoman luotettavuuden vain täysin maksetussa paketissa. Siksi tämän virustorjunnan ainoa haittapuoli on hinta, jos suljet pois ei-tuettujen hakkeroitujen versioiden lataamisen.

Dr.Webia voidaan oikeutetusti pitää virustorjuntaohjelmien johtajana. Jahtaamatta mainetta ja tuloja, hän tarjoaa jokaiselle latauksen verkkosivuillaan. kokeiluversio täydellä toiminnallisuudella. Yksi "Doctorin" tärkeimmistä ominaisuuksista on kyky keskeyttää käyttöjärjestelmän toiminta kokonaan, jonka avulla voit saada kiinni jopa "ovelimmat tuholaiset". Tämä ohjelma käyttää omaa virusluokitustaan. Apuohjelma löytää tietokonemadot nopeasti ja tehokkaasti, eivätkä paikalliset virukset pysty piiloutumaan RAM-muistiin.

Sinun täytyy tuntea vihollinen silmästä

Joten tietokonevirusten luokittelusta keskusteltiin edellä. Sinun olisi luultavasti helpompi ymmärtää esimerkkien avulla, joten annamme muutaman selvyyden vuoksi.

Trj.Reboot - pakottaa tietokoneen käynnistymään uudelleen.

Rentoudu - saastuttaa asiakirjoja Microsoft Word, sekä globaaleja muuttujia. Se oli erityisen suosittu ja relevantti Windows 98:ssa. Työn tuloksena on informaatioviestin näyttäminen näytöllä.

Marburg - hyökkää suoritettaviin tiedostoihin EXE-laajennuksella ja ajaa niitä eri hakemistoissa, minkä seurauksena niiden koko kasvaa.

Flame on Kaspersky Labin löytämä tietokonemato. Sen erikoisuus on, että se koostuu useista kymmenistä osista, joista jokaisella on oma toiminnallisuutensa.

Ajattele turvallisuutta

Tässä artikkelissa käsiteltiin tietokonevirusten käsitettä ja luokittelua. Jos olet lukenut huolellisesti ja harkiten kaiken kirjoitetun, olet todennäköisesti jo ymmärtänyt, että ehdotonta suojaa ei ole olemassa. Tästä huolimatta suojavarusteiden valinta on sinun harteillasi. Viimeinen huomionarvoinen asia on vain muutama hyödyllinen vinkki:

Älä mene epäilyttäville sivustoille tai seuraa tuntemattomien lähettämiä linkkejä.
Älä anna Internetin mainosten ja ponnahdusikkunoiden pettää.
Jos lataat ohjelmia Internetistä, varmista, että lähde on turvallinen.
Jos etsit jotain ohjelmaa, yritä ladata se osoitteesta suosittuja resursseja, eikä World Wide Webin laitamilla.
Älä käytä tallennusvälineitä, jotka on ehkä asetettu tietokoneisiin yleinen käyttö(Nettikahvila).

Näitä seuraamalla yksinkertaisia vinkkejä, voit tehdä sen jopa ilman virustorjuntaa. Tarvitset vain tietokonevirusten luokituksen opiskeluun tai itsensä kehittämiseen.

Evgeny Kaspersky käytti vuonna 1992 seuraavaa virustentorjuntaluokitusta niiden toimintaperiaatteen mukaan (määrittävä toiminnallisuus):

1. Skannerit (vanhentunut versio - "polyfagit") - määrittävät viruksen olemassaolon käyttämällä allekirjoitustietokantaa, joka tallentaa virusten allekirjoitukset (tai niiden tarkistussummat). Niiden tehokkuus määräytyy virustietokannan merkityksen ja heuristisen analysaattorin olemassaolon perusteella (katso: Heuristinen skannaus).

2. Auditorit (IDS:tä lähellä oleva luokka) - muistaa tiedostojärjestelmän tilan, mikä mahdollistaa muutosten analysoinnin tulevaisuudessa.

3. Vartijat (monitorit) - valvovat mahdollisesti vaarallisia toimintoja ja antavat käyttäjälle vastaavan pyynnön toiminnan sallimisesta/kiellosta.

4. Rokotteet - muuta rokotettu tiedosto niin, että virus, jota vastaan rokotetaan, pitää tiedostoa jo tartunnan saaneena. Nykyaikaisissa (2007) olosuhteissa, kun mahdollisten virusten lukumäärää mitataan satoissa tuhansissa, tämä lähestymistapa ei sovellu.

Nykyaikaiset virustorjuntaohjelmat yhdistävät kaikki edellä mainitut toiminnot.

Virustentorjuntaohjelmat voidaan jakaa myös:

1. Tuotteet kotikäyttäjille:

2. Itse virustorjuntaohjelmat;

3. Yhdistetyt tuotteet (esimerkiksi roskapostin esto, palomuuri, anti-rootkit jne. lisätään klassiseen virustorjuntaan);

4. Yritystuotteet:

5. Palvelimen virustorjunta;

6. Virustentorjunta työasemilla ("päätepiste").

Virustentorjunta SIM-korteilla, flash-korteilla ja USB-laitteet

Nykyään valmistetuissa matkapuhelimissa on laaja valikoima rajapintoja ja tiedonsiirtoominaisuuksia. Kuluttajien tulee tarkistaa suojausmenetelmät huolellisesti ennen pienten laitteiden liittämistä.

Suojausmenetelmät, kuten laitteisto, mahdollisesti virustorjunta USB-laitteilla tai SIM-kortilla, sopivat paremmin kuluttajille matkapuhelimet. Virustorjuntaohjelman matkapuhelimeen asentamista koskevaa teknistä arviointia ja tarkastelua tulisi pitää tarkistusprosessina, joka voi vaikuttaa muihin laillisiin sovelluksiin kyseisessä puhelimessa.

Virustorjuntaohjelmat SIM-kortilla, joissa virustorjunta on sisäänrakennettu pieneen muistialueeseen, tarjoavat haittaohjelmien/virusten torjuntaa ja suojaavat samalla puhelimen käyttäjän PIN-koodia ja tietoja. Flash-korttien virustorjunta antaa käyttäjälle mahdollisuuden vaihtaa tietoja ja käyttää näitä tuotteita erilaisten laitteistojen kanssa sekä lähettää näitä tietoja muihin laitteisiin eri viestintäkanavien kautta.

Virustentorjunta, mobiililaitteet ja innovatiivisia ratkaisuja

Tulevaisuudessa on mahdollista, että matkapuhelimet saavat virustartunnan. Yhä useammat kehittäjät tällä alalla tarjoavat virustentorjuntaohjelmia virusten torjuntaan ja matkapuhelimien suojaamiseen. SISÄÄN mobiililaitteet On olemassa seuraavanlaisia viruksia vastaan taistelevia tyyppejä.