Was passiert, wenn ein infiziertes Programm zu funktionieren beginnt? Computer Virus. Was ist ein Computervirus?

Ein Computervirus ist ein kleines Programm, das speziell dafür geschrieben wurde, andere Programme zu infizieren (d. h. sich ihnen „zuzuschreiben“) und unerwünschte Aktionen unterschiedlicher Art auf dem Computer auszuführen. Ein infiziertes Programm ist ein Programm, das einen Virus enthält. Wenn ein solches Programm seine Arbeit aufnimmt, übernimmt zunächst der Virus die Kontrolle. Computerviren finden und infizieren andere Programme und führen auch alle möglichen schädlichen Aktionen aus (z. B. beschädigen sie die Dateitabelle der Festplatte oder die Dateien selbst, verstopfen den Arbeitsspeicher usw.).

Beim Maskieren führt der Virus nicht immer Aktionen aus, die andere Programme infizieren und ihnen Schaden zufügen, und wenn bestimmte Aktionen auf dem Computer ausgeführt werden, kann der Virus seine Arbeit aufnehmen. Nach Durchführung der erforderlichen Manipulationen übergibt der Virus die Kontrolle an das Programm, in dem er sich befindet, und dieses Programm arbeitet wie gewohnt weiter. Äußerlich zeigt sich die Arbeit des infizierten Programms also in keiner Weise und es sieht so aus, als wäre es nicht infiziert.

Viele Arten von Viren sind so konzipiert, dass der Virus beim Start eines infizierten Programms im Speicher des Computers verbleibt (bis das Betriebssystem neu gestartet wird) und, wenn möglich, laufende Programme infiziert oder böswillige Aktionen auf dem Computer ausführt.

Alle Aktionen des Virus werden recht schnell ausgeführt, ohne dass vorherige Meldungen ausgegeben werden, sodass der Benutzer möglicherweise nicht bemerkt, dass auf seinem Computer etwas Ungewöhnliches passiert. Wenn eine kleine Anzahl von Programmen auf einem Computer infiziert ist, kann das Vorhandensein des Virus nahezu unsichtbar sein. Doch nach einer Weile passiert etwas Seltsames auf dem Computer, zum Beispiel:

  • einige Programme beginnen nicht mehr richtig zu funktionieren oder funktionieren ganz nicht mehr;
  • auf dem Bildschirm erscheinen fremde Zeichen, Meldungen usw.;
  • Der Computer wird erheblich langsamer;
  • Es stellt sich heraus, dass einige Dateien beschädigt sind usw.

In der Regel sind zu diesem Zeitpunkt die meisten von Ihnen verwendeten Programme mit einem Virus infiziert und einige Datenträger und Dateien sind beschädigt. Darüber hinaus können infizierte Programme bereits über das Netzwerk oder externe Medien von Ihrem Computer auf andere Computer übertragen worden sein.

Einige Computerviren und ihre Varianten sind sogar noch heimtückischer. Sie infizieren heimlich eine große Anzahl von Programmen auf einmal und richten dann erheblichen Schaden an, indem sie beispielsweise die gesamte Festplatte des Computers formatieren. Und es gibt Computerviren, die versuchen, möglichst unbemerkt zu agieren, aber nach und nach die auf der Festplatte des Computers gespeicherten Daten beschädigen.

Aus all dem folgt, dass die Folgen eines infizierten Computers sehr schwerwiegend sind, wenn Sie keine Maßnahmen zum Schutz vor Viren ergreifen. Beispielsweise schrieb der amerikanische Student Morris 1989 einen Virus, der Tausende von Computern infizierte und lahmlegte, darunter auch die des US-Verteidigungsministeriums. Das Gericht verhängte gegen den Urheber des Virus eine Geldstrafe von 270.000 US-Dollar und verurteilte ihn zu drei Monaten Gefängnis. Die Strafe hätte härter ausfallen können, aber das Gericht berücksichtigte die Tatsache, dass sich der Virus nur vermehrte und keine Zeit hatte, die Daten zu beschädigen.

Das Virenprogramm ist klein und daher unsichtbar. Manche Autoren erstellen solche Programme aus Unfug, andere aus dem Versuch, jemandem Schaden zuzufügen oder sich Zugang zu Informationen oder Computerressourcen zu verschaffen. In jedem Fall kann sich das erstellte Virenprogramm auf alle Computer ausbreiten, die mit dem Computer kompatibel sind, für den es geschrieben wurde, und große Schäden anrichten.

Es sollte beachtet werden, dass das Schreiben eines Virus keine so schwierige Aufgabe ist und für einen Programmierstudenten durchaus zugänglich ist. Daher tauchen täglich immer mehr neue Computerviren im Internet auf.


(9 Stimmen)

Computer Virus

Computervirus – Konzept und Klassifizierung.


Computer Virus ist ein speziell geschriebenes, kleines Programm (d. h. ein bestimmter Satz ausführbaren Codes), das sich anderen Programmen „zuordnen“ („infizieren“), Kopien von sich selbst erstellen und diese in Dateien und Systembereiche des Computers einschleusen kann usw. .d. und führen auch verschiedene unerwünschte Aktionen auf dem Computer aus.
Ein Programm, das einen Virus enthält, wird als „infiziert“ bezeichnet. Wenn ein solches Programm zu arbeiten beginnt, übernimmt zunächst der Virus die Kontrolle. Der Virus findet und „infiziert“ andere Programme und führt auch einige schädliche Aktionen aus (z. B. beschädigt er Dateien oder die Dateizuordnungstabelle auf der Festplatte, „verstopft“ den Arbeitsspeicher usw.). Um einen Virus zu verschleiern, werden möglicherweise nicht immer Aktionen durchgeführt, die andere Programme infizieren und Schaden anrichten, sondern beispielsweise dann, wenn bestimmte Bedingungen erfüllt sind.

Beispielsweise zerstört der Anti-MIT-Virus jedes Jahr am 1. Dezember alle Informationen auf der Festplatte, der Tea-Time-Virus verhindert die Eingabe von Informationen über die Tastatur von 15:10 bis 15:13 Uhr und der berühmte One Half, der dies getan hat Er ist im vergangenen Jahr durch unsere Stadt „gelaufen“ und verschlüsselt heimlich Daten auf Ihrer Festplatte. Im Jahr 1989 gelang es einem amerikanischen Studenten, einen Virus zu entwickeln, der etwa 6.000 Computer des US-Verteidigungsministeriums lahmlegte. Die Epidemie des berühmten Dir-II-Virus brach 1991 aus. Der Virus nutzte eine wirklich originelle, grundlegend neue Technologie und konnte sich aufgrund der Unvollkommenheit herkömmlicher Antiviren-Tools zunächst weit verbreiten. Christopher Pyne gelang es, die Pathogen- und Queeq-Viren sowie das Smeg-Virus zu erschaffen. Der letzte war der gefährlichste; er konnte die ersten beiden Viren überlagern und aus diesem Grund änderten sie nach jedem Start des Programms die Konfiguration. Daher war es unmöglich, sie zu zerstören. Um Viren zu verbreiten, kopierte Pine Computerspiele und -programme, infizierte sie und schickte sie dann zurück ins Netzwerk. Benutzer luden infizierte Programme auf ihre Computer herunter und infizierten ihre Festplatten. Die Situation wurde dadurch verschärft, dass es Pine gelang, Viren in das Programm einzuschleusen, das sie bekämpft. Durch den Start erhielten Benutzer, anstatt Viren zu zerstören, einen anderen. Dadurch wurden die Akten vieler Unternehmen vernichtet, was zu Verlusten in Millionenhöhe führte.

Weithin bekannt wurde der amerikanische Programmierer Morris. Er gilt als Erfinder des Virus, der im November 1988 etwa 7.000 mit dem Internet verbundene PCs infizierte.
Die ersten Studien über sich selbst reproduzierende künstliche Strukturen wurden Mitte dieses Jahrhunderts durchgeführt. Begriff "Computer Virus" erschien später - offiziell gilt sein Autor als Mitarbeiter der Lehigh University (USA) F. Cohen im Jahr 1984 auf der siebten Konferenz zum Thema Informationssicherheit.

Experten gehen davon aus, dass die Zahl der vorhandenen Viren heute 20.000 überschritten hat und täglich 6 bis 9 neue auftauchen. Derzeit gibt es etwa 260 „wilde“, also tatsächlich kursierende Viren.


Einer der maßgeblichsten „Virologen“ des Landes, Evgeny Kaspersky, schlägt vor, Viren bedingt nach folgenden Kriterien zu klassifizieren:

  1. je nach Lebensraum des Virus

  2. entsprechend der Infektionsmethode des Lebensraums

  3. nach destruktiven Möglichkeiten

  4. entsprechend den Eigenschaften des Virenalgorithmus.

Eine detailliertere Einteilung innerhalb dieser Gruppen lässt sich etwa so darstellen:


Netzwerk

über ein Computernetzwerk verteilt

Lebensraum:

Datei

in ausführbare Dateien eingefügt

Stiefel

sind im Bootsektor der Festplatte eingebettet (Bootsektor)

Methoden

Bewohner

sich im Speicher befinden und bis zum Ausschalten des Computers aktiv sind

Infektionen:

nicht ansässige

infizieren den Speicher nicht, sind für eine begrenzte Zeit aktiv

harmlos

haben praktisch keinen Einfluss auf die Arbeit; reduzieren aufgrund ihrer Verbreitung den freien Speicherplatz

destruktiv

ungefährlich

Reduzieren Sie den freien Speicher, erstellen Sie Sound-, Grafik- und andere Effekte

Möglichkeiten:

gefährlich

kann zu schwerwiegenden Störungen führen

sehr gefährlich

kann zum Verlust von Programmen oder Systemdaten führen

„Satelliten“-Viren

Viren, die Dateien nicht verändern, erstellen Satellitendateien für EXE-Dateien mit der Erweiterung COM

Wurmviren

verbreiten sich über das Netzwerk, versenden Kopien von sich selbst und berechnen Netzwerkadressen

Besonderheiten

"Student"

primitiv, enthalten eine große Anzahl von Fehlern

Virus:

Stealth-Viren

(unsichtbar)
DOS-Aufrufe an infizierte Dateien oder Sektoren abfangen und diese durch nicht infizierte Bereiche ersetzen

Geisterviren

verfügen über keinen einzigen permanenten Codeteil, sind schwer zu erkennen, der Hauptteil des Virus ist verschlüsselt

Makroviren

werden nicht in Maschinencodes, sondern in WordBasic geschrieben, leben in Word-Dokumenten und schreiben sich selbst in Normal.dot um

Die Hauptwege, über die Viren in einen Computer gelangen, sind Wechseldatenträger (Diskette und Laser) sowie Computernetzwerke. Eine Festplatte kann mit Viren infiziert werden, wenn ein Programm von einer Diskette geladen wird, die einen Virus enthält. Eine solche Infektion kann auch zufällig erfolgen, beispielsweise wenn die Diskette nicht aus Laufwerk A entfernt und der Computer neu gestartet wurde und es sich bei der Diskette möglicherweise nicht um eine Systemdiskette handelt. Es ist viel einfacher, eine Diskette zu infizieren. Ein Virus kann schon dann darauf gelangen, wenn die Diskette einfach in das Laufwerk eines infizierten Computers eingelegt und beispielsweise deren Inhaltsverzeichnis ausgelesen wird.


Wie der Virus funktioniert.
Schauen wir uns die Funktionsweise eines sehr einfachen Bootvirus an, der Disketten infiziert.

Was passiert, wenn Sie Ihren Computer einschalten? Zunächst wird die Kontrolle an das Bootprogramm übergeben, das im Nur-Lese-Speicher (ROM) gespeichert ist, d. h. PNZ-ROM.

Dieses Programm testet die Hardware und versucht, wenn die Tests erfolgreich sind, die Diskette in Laufwerk A zu finden:

Jede Diskette ist mit dem sogenannten gekennzeichnet. Sektoren und Gleise. Sektoren werden zu Clustern zusammengefasst, was für uns jedoch nicht von Bedeutung ist.

Unter den Sektoren gibt es mehrere Dienstsektoren, die vom Betriebssystem für seine eigenen Bedürfnisse verwendet werden (diese Sektoren können Ihre Daten nicht enthalten). Unter den Dienstleistungssektoren interessiert uns derzeit einer – der sogenannte. Bootsektor (Bootsektor).

Der Bootsektor speichert Informationen über die Diskette – die Anzahl der Oberflächen, die Anzahl der Spuren, die Anzahl der Sektoren usw. Aber was uns jetzt interessiert, sind nicht diese Informationen, sondern ein kleines Bootprogramm (BLP), das muss Laden Sie das Betriebssystem selbst und übertragen Sie die Kontrolle darauf.

Das normale Bootstrap-Schema sieht also wie folgt aus:

Schauen wir uns nun den Virus an. Bootviren bestehen aus zwei Teilen – den sogenannten. Kopf usw. Schwanz. Der Schwanz kann im Allgemeinen leer sein.

Angenommen, Sie haben eine saubere Diskette und einen infizierten Computer, womit wir einen Computer mit einem aktiven residenten Virus meinen. Sobald dieser Virus erkennt, dass ein geeignetes Opfer im Laufwerk aufgetaucht ist – in unserem Fall eine nicht schreibgeschützte und noch nicht infizierte Diskette –, beginnt er mit der Infektion. Beim Infizieren einer Diskette führt der Virus die folgenden Aktionen aus:


  1. weist einen bestimmten Bereich der Festplatte zu und markiert ihn als für das Betriebssystem unzugänglich. Dies kann auf unterschiedliche Weise erfolgen. Im einfachsten und traditionellen Fall werden die vom Virus belegten Sektoren als fehlerhaft (schlecht) markiert.

  2. kopiert seinen Schwanz und den ursprünglichen (gesunden) Bootsektor in den ausgewählten Bereich der Festplatte

  3. ersetzt das Bootprogramm im Bootsektor (den echten) durch seinen Kopf

  4. organisiert die Kette der Kontrollübertragung gemäß dem Schema.
Somit erhält nun der Kopf des Virus als erster die Kontrolle, der Virus wird im Speicher installiert und übergibt die Kontrolle an den ursprünglichen Bootsektor. In einer Kette

PNZ (ROM) – PNZ (Festplatte) – SYSTEM

Es erscheint ein neuer Link:

PNZ (ROM) – VIRUS – PNZ (Festplatte) – SYSTEM

Wir haben das Funktionsschema eines einfachen Bootvirus untersucht, der in den Bootsektoren von Disketten lebt. Viren können in der Regel nicht nur die Bootsektoren von Disketten, sondern auch die Bootsektoren von Festplatten infizieren. Darüber hinaus verfügt die Festplatte im Gegensatz zu Disketten über zwei Arten von Bootsektoren, die Bootprogramme enthalten, die die Steuerung übernehmen. Wenn der Computer von der Festplatte bootet, übernimmt zunächst das Bootprogramm im MBR (Master Boot Record) die Kontrolle. Wenn Ihre Festplatte in mehrere Partitionen unterteilt ist, ist nur eine davon als Boot-Partition gekennzeichnet. Das Boot-Programm im MBR findet die Boot-Partition der Festplatte und übergibt die Kontrolle an das Boot-Programm dieser Partition. Der Code des letzteren stimmt mit dem Code des Bootprogramms überein, das auf gewöhnlichen Disketten enthalten ist, und die entsprechenden Bootsektoren unterscheiden sich nur in den Parametertabellen. Somit gibt es auf der Festplatte zwei Angriffsobjekte von Bootviren – das Bootprogramm im MBR und das Bootprogramm im Bootsektor der Bootplatte.

Anzeichen des Virus.


Wenn Ihr Computer mit einem Virus infiziert ist, ist es wichtig, ihn zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen von Viren kennen. Dazu gehören die folgenden:

  1. Betriebsunterbrechung oder Fehlbedienung zuvor erfolgreich funktionierender Programme

  2. langsamer Computer

  3. Unfähigkeit, das Betriebssystem zu laden

  4. Verschwinden von Dateien und Verzeichnissen oder Beschädigung ihres Inhalts

  5. Ändern des Datums und der Uhrzeit der Dateiänderung

  6. Größenänderung von Dateien

  7. unerwarteter erheblicher Anstieg der Anzahl der Dateien auf der Festplatte

  8. deutliche Reduzierung der Größe des freien RAM

  9. Es werden unerwartete Meldungen oder Bilder auf dem Bildschirm angezeigt

  10. unerwartete Tonsignale geben

  11. Häufiges Einfrieren und Abstürze des Computers
Es ist zu beachten, dass die oben genannten Phänomene nicht unbedingt durch das Vorhandensein eines Virus verursacht werden, sondern auch auf andere Ursachen zurückzuführen sein können. Daher ist es immer schwierig, den Zustand eines Computers richtig zu diagnostizieren.
Schutzmethoden. Antivirenprogramme.

Unabhängig vom Virus muss der Benutzer die grundlegenden Methoden zum Schutz vor Computerviren kennen.

Zum Schutz vor Viren können Sie Folgendes verwenden:


  1. allgemeine Tools zum Schutz von Informationen, die auch als Versicherung gegen physische Schäden an Festplatten, fehlerhafte Programme oder fehlerhafte Benutzeraktionen nützlich sind;

  2. vorbeugende Maßnahmen zur Verringerung der Wahrscheinlichkeit einer Ansteckung mit dem Virus;

  3. spezielle Programme zum Virenschutz.

Allgemeine Informationssicherheitstools sind nicht nur für den Virenschutz nützlich. Es gibt zwei Haupttypen dieser Fonds:


  1. Kopieren von Informationen – Erstellen von Kopien von Dateien und Systembereichen von Festplatten;

  2. Die Zugriffskontrolle verhindert die unbefugte Nutzung von Informationen, insbesondere den Schutz vor Änderungen an Programmen und Daten durch Viren, fehlerhaften Programmen und fehlerhaften Benutzerhandlungen.

Um Computerviren zu erkennen, zu entfernen und vor ihnen zu schützen, wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme heißen Antivirus. Es gibt folgende Arten von Antivirenprogrammen:


  1. Detektorprogramme

  2. Arztprogramme oder Phagen

  3. Prüfprogramme

  4. Filterprogramme

  5. Impf- oder Immunisierungsprogramme
Detektorprogramme Sie suchen im RAM und in den Dateien nach einer Signatur, die für einen bestimmten Virus charakteristisch ist, und geben bei Fund eine entsprechende Meldung aus. Der Nachteil solcher Antivirenprogramme besteht darin, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind.

Arztprogramme oder Phagen, und auch Impfprogramme Mit Viren infizierte Dateien nicht nur finden, sondern auch „behandeln“, d. h. Entfernen Sie den Hauptteil des Virenprogramms aus der Datei und versetzen Sie die Dateien in ihren ursprünglichen Zustand. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören diese und beginnen erst dann mit der „Säuberung“ der Dateien. Unter den Phagen werden Polyphagen unterschieden, d.h. Arztprogramme zur Suche und Zerstörung einer großen Anzahl von Viren. Die bekanntesten davon: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Da ständig neue Viren auftauchen, veralten Detektorprogramme und Arztprogramme schnell und es sind regelmäßige Versionsaktualisierungen erforderlich.

Auditor-Programme gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Ausgangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem Originalzustand. Erkannte Änderungen werden auf dem Monitorbildschirm angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Steuercode (Dateiprüfsumme), Datum und Uhrzeit der Änderung sowie weitere Parameter überprüft. Auditor-Programme verfügen über hochentwickelte Algorithmen, erkennen Tarnviren und können sogar Änderungen in der Version des überprüften Programms von den durch den Virus vorgenommenen Änderungen bereinigen. Zu den Prüfprogrammen gehört das in Russland weit verbreitete Adinf-Programm.

Programme filtern oder "Wächter" sind kleine residente Programme, die dazu dienen, verdächtige Aktionen während des Computerbetriebs zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:


  1. versucht, Dateien mit den Erweiterungen COM, EXE zu korrigieren

  2. Dateiattribute ändern

  3. Direktes Schreiben auf die Festplatte an einer absoluten Adresse

  4. Schreiben in die Bootsektoren der Festplatte
Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der „Wächter“ eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie in der Lage sind, einen Virus im frühesten Stadium seiner Existenz vor der Replikation zu erkennen. Sie „bereinigen“ jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme verwenden, beispielsweise Phagen. Zu den Nachteilen von Watchdog-Programmen gehören ihre „Aufdringlichkeit“ (sie warnen beispielsweise ständig vor jedem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software. Ein Beispiel für ein Filterprogramm ist das Vsafe-Programm, das Teil des MS-DOS-Dienstprogrammpakets ist.

Impfungen oder Immunisierungsmittel– Hierbei handelt es sich um residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden eingesetzt, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Festplatte so, dass der Betrieb nicht beeinträchtigt wird und der Virus es als infiziert wahrnimmt und daher keine Wurzeln schlägt. Derzeit haben Impfprogramme nur begrenzten Nutzen.

Die rechtzeitige Erkennung vireninfizierter Dateien und Datenträger sowie die vollständige Vernichtung erkannter Viren auf jedem Computer tragen dazu bei, die Ausbreitung einer Virenepidemie auf andere Computer zu verhindern.


Um zu vermeiden, dass Ihr Computer Viren ausgesetzt wird und um eine zuverlässige Speicherung von Informationen auf Datenträgern zu gewährleisten, müssen Sie die folgenden Regeln befolgen:

  1. Rüsten Sie Ihren Computer mit modernen Antivirenprogrammen wie Aidstest und Doctor Web aus und aktualisieren Sie deren Versionen ständig

  2. Bevor Sie auf anderen Computern gespeicherte Informationen von Disketten lesen, überprüfen Sie diese Disketten immer auf Viren, indem Sie die Antivirenprogramme Ihres Computers ausführen

  3. Wenn Sie Dateien in archivierter Form auf Ihren Computer übertragen, scannen Sie diese sofort nach dem Entpacken auf Ihrer Festplatte und beschränken Sie den Scanbereich auf nur neu aufgezeichnete Dateien

  4. Überprüfen Sie die Festplatten Ihres Computers regelmäßig auf Viren, indem Sie Antivirenprogramme ausführen, um Dateien, Speicher und Systembereiche der Festplatten von einer schreibgeschützten Diskette zu testen, nachdem Sie das Betriebssystem von einer schreibgeschützten Systemdiskette geladen haben

  5. Schützen Sie Ihre Disketten immer mit einem Schreibschutz, wenn Sie an anderen Computern arbeiten, es sei denn, es werden Informationen darauf geschrieben

  6. Erstellen Sie unbedingt Sicherungskopien der für Sie wertvollen Informationen auf Disketten

  7. Lassen Sie keine Disketten in der Tasche von Laufwerk A, wenn Sie das Betriebssystem einschalten oder neu starten, um zu verhindern, dass Ihr Computer mit Bootviren infiziert wird

  8. Verwenden Sie Antivirenprogramme zur Eingabekontrolle aller aus Computernetzwerken empfangenen ausführbaren Dateien

  9. Um eine höhere Sicherheit zu gewährleisten, müssen Aidstest und Doctor Web mit der täglichen Verwendung des Adinf Disk Auditors kombiniert werden.

Antivirenprogramm AntiViral Toolkit Pro.

Das Antivirenprogramm AVP wurde vom führenden russischen Unternehmen Kaspersky Lab entwickelt. Das Programm ist auf dem Weltmarkt angekommen und wird in vielen Ländern recht aktiv verkauft.
Beim Start lädt AVP Antiviren-Datenbanken, testet den RAM auf das Vorhandensein residenter Viren und prüft sich selbst auf Virenbefall. Nach erfolgreichem Download erscheint eine Meldung in der Statusleiste " Letztes Update: Datum> , Menge> Viren » , wobei das Datum der letzten Aktualisierung und die Anzahl der bekannten Viren angegeben sind (Daten zu Viren befinden sich in Dateien mit der Erweiterung .AVC).

Das Hauptprogrammfenster enthält vier Menüpunkte:


  1. Datei

  2. Virusscan

  3. Service
fünf Registerkarten:

  1. Region

  2. Objekte

  3. Aktionen

  4. Einstellungen

  5. Statistiken
Tasten « P usk" (" Einhundert P » beim Scannen der Festplatte) und das Sichtfenster „Objekt – Ergebnis“ . Beim Laden öffnet sich automatisch ein Tab "Bereich" (Abb. 1.) Um mit dem Scannen zu beginnen, müssen Sie auf der Registerkarte auswählen "Bereich" Wählen Sie die Laufwerke und/oder Ordner aus, die Sie überprüfen möchten, und klicken Sie auf die Schaltfläche « P usk" (oder Menüpunkt „Virenscan starten“ ). Durch einen Doppelklick mit der linken Maustaste auf das gewünschte Objekt können Sie den zu prüfenden Datenträger und/oder Ordner auswählen. Um Datenträger schnell auszuwählen, müssen Sie die entsprechenden Kontrollkästchen aktivieren « L Ocal-Discs » und/oder " MIT e te Scheiben » und/oder « Flopp Und -Laufwerke " . Wenn Sie einen Ordner zum Scannen auswählen möchten, müssen Sie die Taste drücken "Ordner auswählen" Anschließend wird ein Standarddialogfeld von Windows 95 angezeigt, in dem Sie den Namen des Ordners auswählen müssen, den Sie dem Testbereich hinzufügen möchten. Wenn Sie auf die Schaltfläche „Start“ klicken, ohne ein zu scannendes Objekt auszuwählen, zeigt AVP die folgende Meldung an: Der Scanbereich ist nicht angegeben. Bitte markieren Sie die Laufwerke im Reiter „Bereich“. Wenn Sie den Test dringend abbrechen möchten, klicken Sie auf die Schaltfläche " Stoppen " oder Menüpunkt auswählen „Virenscan stoppen“ .
Tab „Objekte“ , gibt die Liste der zu scannenden Objekte und die Dateitypen an, die getestet werden.

Auf der Registerkarte „Objekte“ können Sie die folgenden Kontrollkästchen aktivieren:


  1. Erinnerung- Aktivieren Sie den Systemspeicher-Scanvorgang (einschließlich High Memory Area).

  2. Sektoren - eine Überprüfung der Systemsektoren in den Scanvorgang einbeziehen

  3. Dateien- Dateiprüfung in den Scanvorgang einbeziehen (einschließlich Dateien mit den Attributen „Versteckt“, „System“ und „Schreibgeschützt“)

  4. Verpackte Gegenstände- Aktivieren Sie die Unpack Engine, die Dateien zum Testen entpackt
Archiv- Aktivieren Sie Extract Engine, mit dem Sie in Archiven nach Viren suchen können.

"Dateityp" enthält vier Schalter:

Programme nach Format - Scanprogramme (Files.com-, .exe-, .vxd-, .dll- und Microsoft Office-Formate). Daher werden beim Scannen nach Format alle Dateien überprüft, die möglicherweise Virencode enthalten.

Expansionsprogramme- Scannen Sie alle Dateien mit der Erweiterung *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.

Alle Dateien- Alle Dateien scannen.

Mit der Maske- Scannen mit einer vom Benutzer in der Eingabezeile angegebenen Maske.


Tab "Aktionen" ermöglicht das Festlegen von Aktionen für den Fall, dass während des Tests infizierte oder verdächtige Objekte entdeckt werden.

Die Registerkarte enthält vier Schaltflächen und zwei Kontrollkästchen.

Auf Ihren Wunsch informiert Sie das Programm entweder nur über erkannte Viren, behandelt das infizierte Objekt nach dem Öffnen oder behandelt es automatisch. Verdächtige Objekte können entweder in einen von Ihnen angegebenen Ordner oder in den Arbeitsordner des Programms kopiert werden.


Tab "Einstellungen" ermöglicht Ihnen, das Programm für verschiedene Modi zu konfigurieren.

Warnungen – Aktiviert einen zusätzlichen Prüfmechanismus.

Code-Analysator – enthält einen Mechanismus, der in der Lage ist, noch unbekannte Viren in den untersuchten Objekten zu erkennen.

Redundantes Scannen – ermöglicht einen Mechanismus zum vollständigen Scannen des Inhalts einer Datei. Es wird empfohlen, diesen Modus zu aktivieren, wenn kein Virus erkannt wird, aber seltsame Phänomene beim Betrieb des Computers beobachtet werden – Verlangsamungen, häufige spontane Neustarts usw. In anderen Fällen wird die Verwendung dieses Modus nicht empfohlen, da beim Scannen sauberer Dateien die Möglichkeit falsch positiver Ergebnisse besteht.




Die Einstellungen ermöglichen es dem Benutzer, während des Scanvorgangs den Namen des gescannten Objekts in der Spalte „Objekt“ anzuzeigen; im Fenster „Ergebnis“ erscheint neben dem Objektnamen eine „OK“-Meldung, wenn das Objekt sauber ist. Sie können auch ein akustisches Signal einstellen, das bei einem Virusfund ertönt, was in der Praxis sehr nützlich ist, da der Scanvorgang recht langwierig und eintönig ist. Sie können auch die Scan-Reihenfolge überwachen (Kontrollkästchen Berichtsverfolgung) oder schreiben Sie eine Berichtsdatei und geben Sie dabei den Namen der resultierenden Datei an (Kontrollkästchen Datei Bericht). Durch Aktivieren dieses Kontrollkästchens erhält der Benutzer Zugriff auf zwei zusätzliche Kontrollkästchen:

  1. Hinzufügen- Der neue Bericht wird strikt am Ende des alten hinzugefügt

  2. Größenbeschränkung- Begrenzen Sie die Größe der Berichtsdatei auf Wunsch des Benutzers (standardmäßig 500 Kilobyte).

Nach Prüfung der angegebenen Objekte wird die Registerkarte automatisch aktiviert "Statistiken"




Diese Registerkarte enthält die Ergebnisse des Programms. Die Registerkarte ist in zwei Teile unterteilt und enthält Informationen über die Anzahl der gescannten Objekte, Dateien, Ordner und die Anzahl der gefundenen Viren, Warnungen, beschädigten Objekte usw.
Die AVP-Signaturdatenbank ist eine der größten – die neueste Version des Programms enthält mehr als 25.000 Viren. Es ist zu beachten, dass die Arbeit mit dem Programm auch für einen unerfahrenen Benutzer keine Schwierigkeiten bereitet und Sie problemlos eine neue Version aus dem Internet beziehen können.

LISTE DER VERWENDETEN REFERENZEN


Achmetow K. Kurs eines jungen Kämpfers. Moskau, Computerpresse, 1997.
Kaspersky E. Computerviren in MS-DOS. Moskau, Edel-Renaissance, 1992.
PC Welt. Nr. 4,1998.

Eigenschaften von Computerviren

Das Wesen und die Erscheinungsform von Computerviren

Es stellte sich leider heraus, dass die weit verbreitete Nutzung von Personalcomputern mit der Entstehung selbstreproduzierender Virenprogramme verbunden war, die den normalen Betrieb des Computers störten, die Dateistruktur von Datenträgern zerstörten und die auf dem Computer gespeicherten Informationen beschädigten. Sobald ein Computervirus in einen Computer eindringt, kann er sich auf andere Computer ausbreiten. Computer Virus ist ein speziell geschriebenes Programm, das in der Lage ist, sich spontan an andere Programme anzuschließen, Kopien von sich selbst zu erstellen und diese in Dateien, Systembereiche des Computers und in Computernetzwerke einzuführen, um den Betrieb von Programmen zu stören, Dateien und Verzeichnisse zu beschädigen und zu erstellen Störungen aller Art bei der Arbeit am Computer. Die Gründe für das Auftreten und die Verbreitung von Computerviren liegen einerseits in der Psychologie der menschlichen Persönlichkeit und ihren Schattenseiten (Neid, Rache, Eitelkeit unerkannter Schöpfer usw.). Unfähigkeit, seine Fähigkeiten konstruktiv zu nutzen), andererseits aufgrund des Mangels an Hardwareschutz und Gegenmaßnahmen durch das Betriebssystem eines Personalcomputers. Trotz der in vielen Ländern verabschiedeten Gesetze zur Bekämpfung von Computerkriminalität und der Entwicklung spezieller Softwaretools dazu Zum Schutz vor Viren nimmt die Zahl neuer Softwareviren ständig zu. Dies setzt voraus, dass der Benutzer eines Personalcomputers über Kenntnisse über die Natur von Viren, die Infektionsmethoden durch Viren und den Schutz davor verfügt. Die Hauptwege für das Eindringen von Viren in einen Computer sind Wechseldatenträger (Diskette und Laser) sowie Computernetzwerke . Ihre Festplatte kann mit Viren infiziert werden, wenn Sie Ihren Computer von einer Diskette starten, die einen Virus enthält. Eine solche Infektion kann auch versehentlich erfolgen, beispielsweise wenn die Diskette nicht aus Laufwerk A: entfernt und der Computer neu gestartet wurde, obwohl es sich bei der Diskette möglicherweise nicht um die Systemdiskette handelt. Es ist viel einfacher, eine Diskette zu infizieren. Ein Virus kann schon dann darauf gelangen, wenn die Diskette einfach in das Laufwerk eines infizierten Computers eingelegt und beispielsweise deren Inhaltsverzeichnis ausgelesen wird. Infizierte Festplatte- Dies ist eine Festplatte, in deren Bootsektor sich ein Programm befindet – ein Virus. Nach dem Ausführen eines Programms, das einen Virus enthält, ist es möglich, andere Dateien zu infizieren. Am häufigsten sind der Bootsektor der Festplatte und ausführbare Dateien mit den Erweiterungen EXE, .COM, SYS oder BAT mit einem Virus infiziert. Es kommt äußerst selten vor, dass Text- und Grafikdateien infiziert werden. Infiziertes Programm ist ein Programm, in das ein Virenprogramm eingebettet ist. Wenn ein Computer mit einem Virus infiziert ist, ist es sehr wichtig, ihn rechtzeitig zu erkennen. Dazu sollten Sie die wichtigsten Anzeichen von Viren kennen. Dazu gehören die folgenden:
  • Betriebsunterbrechung oder Fehlbedienung zuvor erfolgreich funktionierender Programme;
  • langsamer Computerbetrieb;
  • Unfähigkeit, das Betriebssystem zu laden;
  • Verschwinden von Dateien und Verzeichnissen oder Beschädigung ihres Inhalts;
  • Ändern des Datums und der Uhrzeit der Dateiänderung;
  • Größenänderung von Dateien;
  • unerwarteter erheblicher Anstieg der Anzahl der Dateien auf der Festplatte;
  • eine deutliche Reduzierung der Größe des freien RAM;
  • Anzeige unerwarteter Nachrichten oder Bilder auf dem Bildschirm;
  • unerwartete Tonsignale geben;
  • Häufiges Einfrieren und Abstürze des Computers.
Es ist zu beachten, dass die oben genannten Phänomene nicht unbedingt durch das Vorhandensein eines Virus verursacht werden, sondern auch eine Folge anderer Gründe sein können. Daher ist es immer schwierig, den Zustand eines Computers richtig zu diagnostizieren. Haupttypen von Viren Derzeit gibt es mehr als 5.000 bekannte Software Viren, Sie können nach folgenden Kriterien klassifiziert werden (Abb. 11.10): Abb. 11.10. Klassifizierung von Computerviren: a – nach Lebensraum; B - nach Infektionsmethode; c – je nach Grad der Auswirkung; g - je nach den Merkmalen der Algorithmen, abhängig aus dem Lebensraum Viren können in Netzwerk-, Datei-, Boot- und File-Boot-Viren unterteilt werden. Netzwerkvirenüber verschiedene Computernetzwerke verteilt. Dateiviren sind hauptsächlich in ausführbare Module eingebettet, d.h. auf Dateien mit COM- und EXE-Erweiterungen. Dateiviren können in andere Dateitypen eingebettet sein, aber wenn sie in solche Dateien geschrieben werden, erlangen sie in der Regel nie die Kontrolle und verlieren daher die Fähigkeit zur Reproduktion. Bootviren sind in den Bootsektor der Festplatte (Bootsektor) oder in den Sektor eingebettet, der das Bootprogramm der Systemfestplatte enthält (Master Boot Record). Dateibootviren infizieren sowohl Dateien als auch Bootsektoren von Festplatten. Von Infektionsmethode Viren werden in residente und nicht residente Viren unterteilt. Residenter Virus Wenn ein Computer infiziert (infiziert) wird, belässt er seinen residenten Teil im RAM, der dann den Zugriff des Betriebssystems auf infizierte Objekte (Dateien, Festplatten-Bootsektoren usw.) abfängt und sich in diese einschleust. Residente Viren verbleiben im Speicher und sind aktiv, bis der Computer ausgeschaltet oder neu gestartet wird. Nicht residente Viren infizieren den Computerspeicher nicht und sind nur für eine begrenzte Zeit aktiv. Grad der Wirkung Viren können in folgende Typen unterteilt werden:
  • ungefährlich, Da sie den Betrieb des Computers nicht beeinträchtigen, aber die Menge an freiem RAM und Festplattenspeicher verringern, äußern sich die Aktionen solcher Viren in einigen Grafik- oder Soundeffekten.
  • gefährlich Viren, die zu verschiedenen Problemen mit Ihrem Computer führen können;
  • sehr gefährlich Die Auswirkungen können zum Verlust von Programmen, zur Zerstörung von Daten und zum Löschen von Informationen in Systembereichen der Festplatte führen.
Von Merkmale des Algorithmus Aufgrund ihrer großen Vielfalt sind Viren schwer zu klassifizieren. Die einfachsten Viren - parasitär, Sie verändern den Inhalt von Dateien und Festplattensektoren und können leicht erkannt und zerstört werden. Sie können es merken Replikatorviren, sogenannte Würmer, die sich über Computernetzwerke verbreiten, die Adressen von Netzwerkcomputern berechnen und Kopien von sich selbst an diese Adressen schreiben. Bekannt unsichtbare Viren, angerufen Stealth-Viren, die sehr schwer zu erkennen und zu neutralisieren sind, da sie Aufrufe des Betriebssystems an infizierte Dateien und Festplattensektoren abfangen und an ihrer Stelle nicht infizierte Bereiche der Festplatte ersetzen. Am schwierigsten zu erkennen sind mutierte Viren, die Verschlüsselungs- und Entschlüsselungsalgorithmen enthalten, wodurch Kopien desselben Virus keine einzige sich wiederholende Bytefolge aufweisen. Es gibt auch sogenannte quasi-virale bzw „Trojaner" Programme, die zwar nicht in der Lage sind, sich selbst zu verbreiten, aber sehr gefährlich sind, da sie, getarnt als nützliche Programme, den Bootsektor und das Dateisystem von Festplatten zerstören.

Virenerkennungs- und Schutzprogramme

Eigenschaften von Antivirenprogrammen Um Computerviren zu erkennen, zu entfernen und vor ihnen zu schützen, wurden verschiedene Arten von Spezialprogrammen entwickelt, mit denen Sie Viren erkennen und zerstören können. Solche Programme heißen Antivirus. Es gibt folgende Arten von Antivirenprogrammen (Abb. 11.11): Detektorprogramme Sie suchen im RAM und in den Dateien nach einer für einen bestimmten Virus charakteristischen Bytefolge (Virensignatur) und geben bei Fund eine entsprechende Meldung aus. Der Nachteil eines solchen Antiviren-Pro-Abb. 11.11. Arten von Antivirenprogrammen
Das Besondere daran ist, dass sie nur Viren finden können, die den Entwicklern solcher Programme bekannt sind. Arztprogramme oder Phagen, und auch Impfprogramme Mit Viren infizierte Dateien nicht nur finden, sondern auch „behandeln“, d. h. Entfernen Sie den Hauptteil des Virenprogramms aus der Datei und versetzen Sie die Dateien in ihren ursprünglichen Zustand. Zu Beginn ihrer Arbeit suchen Phagen im RAM nach Viren, zerstören diese und beginnen erst dann mit der „Säuberung“ der Dateien. Unter den Phagen gibt es Polyphagen, diese. Arztprogramme zur Suche und Zerstörung einer großen Anzahl von Viren. Die bekanntesten Polyphagen sind die Aidstest-Programme , Scannen, Norton AntiVirus und Doctor Web . Da ständig neue Viren auftauchen, veralten Detektor- und Arztprogramme schnell und erfordern regelmäßige Aktualisierungen ihrer Versionen. Auditor-Programm gehören zu den zuverlässigsten Mitteln zum Schutz vor Viren. Prüfer merken sich den Ausgangszustand von Programmen, Verzeichnissen und Systembereichen der Festplatte, wenn der Computer nicht mit einem Virus infiziert ist, und vergleichen dann regelmäßig oder auf Wunsch des Benutzers den aktuellen Zustand mit dem Originalzustand. Erkannte Änderungen werden auf dem Videomonitor angezeigt. Der Zustandsvergleich erfolgt in der Regel unmittelbar nach dem Laden des Betriebssystems. Beim Vergleich werden die Dateilänge, der zyklische Steuercode (Dateiprüfsumme), Datum und Uhrzeit der Änderung sowie weitere Parameter überprüft. Auditor-Programme verfügen über ziemlich entwickelte Algorithmen, erkennen Tarnviren und können sogar Änderungen in der Version des überprüften Programms von durch den Virus vorgenommenen Änderungen unterscheiden. Zu den Prüfprogrammen gehört das in Russland weit verbreitete Adinf-Programm von Dialog-Science. Programme filtern oder "Wächter" sind kleine residente Programme, die dazu dienen, verdächtige Aktionen während des Computerbetriebs zu erkennen, die für Viren charakteristisch sind. Solche Aktionen können sein:
  • versucht, Dateien mit COM- und EXE-Erweiterungen zu korrigieren;
  • Dateiattribute ändern;
  • direktes Schreiben auf die Festplatte an der absoluten Adresse;
  • Schreiben in Bootsektoren der Festplatte.
Wenn ein Programm versucht, die angegebenen Aktionen auszuführen, sendet der „Wächter“ eine Nachricht an den Benutzer und bietet an, die entsprechende Aktion zu verbieten oder zuzulassen. Filterprogramme sind sehr nützlich, da sie in der Lage sind, einen Virus im frühesten Stadium seiner Existenz vor der Replikation zu erkennen. Sie „bereinigen“ jedoch keine Dateien und Datenträger. Um Viren zu zerstören, müssen Sie andere Programme verwenden, beispielsweise Phagen. Zu den Nachteilen von Watchdog-Programmen gehören ihre „Aufdringlichkeit“ (sie warnen beispielsweise ständig vor jedem Versuch, eine ausführbare Datei zu kopieren) sowie mögliche Konflikte mit anderer Software. Ein Beispiel für ein Filterprogramm ist das Programm Vsafe, im Paket der Dienstprogramme für das MS-DOS-Betriebssystem enthalten. Impfungen oder Immunisierungsmittel– Hierbei handelt es sich um residente Programme, die eine Dateiinfektion verhindern. Impfstoffe werden eingesetzt, wenn es keine Arztprogramme gibt, die dieses Virus „behandeln“. Eine Impfung ist nur gegen bekannte Viren möglich. Der Impfstoff verändert das Programm oder die Festplatte so, dass der Betrieb nicht beeinträchtigt wird und der Virus es als infiziert wahrnimmt und daher keine Wurzeln schlägt. Derzeit sind Impfprogramme nur begrenzt einsetzbar. Die rechtzeitige Erkennung vireninfizierter Dateien und Datenträger sowie die vollständige Zerstörung erkannter Viren auf jedem Computer tragen dazu bei, die Ausbreitung einer Virenepidemie auf andere Computer zu verhindern. Antiviren-Kit JSC „Dialog-Science“ Unter der Fülle moderner Softwaretools zur Bekämpfung von Computerviren sollte dem Antiviren-Kit von Dialog-Science JSC der Vorzug gegeben werden, das vier Softwareprodukte umfasst: Aidstest und Doctor Web Polyphages (kurz Dr.Web), ADinf Disk Auditor und ADinf Cure Module-Behandlungseinheit. Werfen wir einen kurzen Blick darauf, wie und wann diese Antivirenprogramme verwendet werden sollten. Aidstest-Polyphagenprogramm . Aidstest - Hierbei handelt es sich um ein Programm, das mehr als 1.300 in Russland am weitesten verbreitete Computerviren erkennen und zerstören kann. Versionen Aidstest werden regelmäßig aktualisiert und mit Informationen über neue Viren ergänzt. Anrufen Aidstest Sie sollten den Befehl:AIDSTEST eingeben []wobei Pfad der Laufwerksname, der vollständige Name oder die Dateispezifikation und die Dateigruppenmaske ist:* – alle Festplattenpartitionen,** – alle Laufwerke, einschließlich Netzwerk- und CD-ROM-Laufwerke; Optionen – eine beliebige Kombination der folgenden Schlüssel: /F – Infizierte Programme reparieren und beschädigte Programme löschen; /G – alle Dateien nacheinander scannen (nicht nur COM, EXE und SYS); /S – langsame Arbeit bei der Suche nach beschädigten Viren; /X – alle Dateien mit Verstößen in der Struktur löschen den Virus; /Q – Bitten Sie um Erlaubnis, beschädigte Dateien zu löschen; /B – Bieten Sie nicht an, die nächste Diskette zu verarbeiten. Beispiel 11.27 Aidstest um die Festplatte zu überprüfen und zu „behandeln“. IN:. Erkannte infizierte Programme werden behoben. Alle Dateien auf der Festplatte werden gescannt. Wenn die Datei nicht repariert werden kann, bittet das Programm um Erlaubnis, sie löschen zu dürfen: AIDSTEST B: /f/g/q Polyphagenprogramm von Doctor Web. Dieses Programm ist in erster Linie zur Bekämpfung polymorpher Viren konzipiert, die erst vor relativ kurzer Zeit in der Computerwelt aufgetaucht sind. Verwendung DR. Netz zum Scannen von Datenträgern und Entfernen erkannter Viren, im Allgemeinen ähnlich dem Programm Aidstest. In diesem Fall gibt es praktisch keine doppelten Schecks, da Aidstest Und Dr.Web Arbeit an verschiedenen Virengruppen. Programm Dr.Web kann komplexe mutierte Viren, die über die Fähigkeiten des Programms hinausgehen, wirksam bekämpfen Aidstest. Im Gegensatz zu Aidstest Programm Dr.Web ist in der Lage, Änderungen im eigenen Programmcode zu erkennen, mit neuen, unbekannten Viren infizierte Dateien effektiv zu identifizieren, in verschlüsselte und verpackte Dateien einzudringen und auch die „Impfhülle“ zu überwinden. Dies wird durch das Vorhandensein eines ziemlich leistungsstarken heuristischen Analysators erreicht. Im heuristischen Analysemodus ist das Programm Dr.Web untersucht Dateien und Systembereiche von Festplatten und versucht, neue oder unbekannte Viren anhand der für Viren charakteristischen Codesequenzen zu erkennen. Wenn welche gefunden werden, wird eine Warnung angezeigt, die darauf hinweist, dass das Objekt möglicherweise mit einem unbekannten Virus infiziert ist. Es stehen drei Ebenen der heuristischen Analyse zur Verfügung. Im heuristischen Analysemodus sind falsch positive Ergebnisse möglich, d. h. Erkennung von Dateien, die nicht infiziert sind. Die „Heuristik“-Ebene impliziert eine Ebene der Codeanalyse ohne das Vorhandensein falsch positiver Ergebnisse. Je höher der Grad der Heuristik, desto höher ist der Prozentsatz an Fehlern oder Fehlalarmen. Empfohlen werden die ersten beiden Ebenen des heuristischen Analysators. Die dritte Ebene der heuristischen Analyse sieht eine zusätzliche Überprüfung von Dateien auf den „verdächtigen“ Zeitpunkt ihrer Erstellung vor. Einige Viren legen beim Infizieren von Dateien eine falsche Erstellungszeit fest, als Zeichen dafür, dass die Dateien infiziert sind. Bei infizierten Dateien können die Sekunden beispielsweise 62 betragen und das Erstellungsjahr kann um 100 Jahre erhöht werden. Im Antivirenprogramm enthalten Dr.Web kann auch Zusatzdateien zur Hauptvirendatenbank des Programms hinzufügen und so dessen Fähigkeiten erweitern. Arbeiten Sie mit dem Programm DR. Netz in zwei Modi möglich:
  • im Vollbild-Schnittstellenmodus mit Menüs und Dialogfeldern;
  • im Befehlszeilensteuerungsmodus.
Für den einmaligen, unregelmäßigen Gebrauch ist der erste Modus bequemer, für den regelmäßigen Gebrauch zum Zweck der systematischen Eingabekontrolle von Disketten ist es jedoch besser, den zweiten Modus zu verwenden. Bei Verwendung des zweiten Modus der entsprechende Startbefehl DR. Netz muss entweder im Benutzermenü der Norton Commander-Betriebssystem-Shell oder in einer speziellen Batch-Datei enthalten sein. Befehlszeile zum Starten von Dr. Web sieht so aus: DrWeb [Laufwerk: [Pfad] ] [Schlüssel] wobei Laufwerk:X: ein logisches Gerät einer Festplatte oder ein physisches Gerät einer Diskette ist, zum Beispiel F: oder A:, * – alles logisch Geräte auf einer Festplatte, Pfad – Dies ist der Pfad oder die Maske der erforderlichen Dateien. Die wichtigsten Schlüssel: /AL – Diagnose aller Dateien auf einem bestimmten Gerät; /CU[P] – „Desinfektion“ von Festplatten und Dateien, Entfernung erkannter Viren; P – Entfernung von Viren mit Benutzerbestätigung; /DL – Entfernung von Dateien, deren korrekte Behandlung nicht möglich ist; /NA[level] – heuristische Analyse von Dateien und Suche nach unbekannten Viren in ihnen, wobei die Ebene annehmen kann Werte 0, 1, 2; /RP[Dateiname] – Aufzeichnen des Arbeitsprotokolls in einer Datei (standardmäßig in der Datei REPORT. WEB);/CL – Starten des Programms im Befehlszeilenmodus; beim Testen von Dateien und Systembereichen , die Vollbildschnittstelle wird nicht verwendet;/QU - Beenden Sie DOS sofort nach dem Testen;/? - Anzeige einer kurzen Hilfe auf dem Bildschirm. Wenn in der Dr.Web-Befehlszeile kein Schlüssel angegeben wird, werden alle Informationen für den aktuellen Start aus der Konfigurationsdatei DRWEB.INI gelesen, die sich im selben Verzeichnis wie die Datei DRWEB.EXE befindet . Die Konfigurationsdatei wird während der Arbeit mit dem Programm erstellt Dr.Web Verwenden Sie den Befehl, um die zum Testen erforderlichen Parameter zu speichern. Beispiel 11.28. Ausführen eines Antivirenprogramms Dr.Web zur Kontrolle und Behandlung der Bandscheibe IN:. Erkannte infizierte Dateien werden „geheilt“. Alle Dateien auf der Festplatte werden gescannt. Wenn die Datei nicht „geheilt“ werden kann, bittet das Programm um Erlaubnis, sie löschen zu dürfen. Zur Suche nach Viren sollte die heuristische Analysestufe 1 verwendet werden. Das Programm sollte nur im Befehlszeilenmodus mit Ausgang zu DOS nach Abschluss des Tests ausgeführt werden: DrWeb In: /AL /CUP /HA1 /QU / CL Technologie für die Arbeit mit dem Dr.-Programm. Web im Vollbild-Schnittstellenmodus. Um im Vollbildmodus zu starten, geben Sie einfach nur den Programmnamen in die Befehlszeile ein. Unmittelbar nach dem Laden des Programms beginnt der Test des Arbeitsspeichers des Computers, sofern dieser nicht durch die vorherigen Einstellungen deaktiviert wurde. Der Testfortschritt wird im Testfenster angezeigt. Sobald der Speichertest abgeschlossen ist, wird er beendet. Sie können das Programm weiter ausführen, wenn Sie das Hauptmenü in der oberen Zeile des Bildschirms verwenden. Um das Menü zu aktivieren, drücken Sie die Taste .Das Hauptmenü enthält die folgenden Modi: Dr.WebTest-Einstellungen Add-onsWenn Sie einen beliebigen Modus auswählen, wird das entsprechende Untermenü geöffnet.Untermenü Dr.Web ermöglicht Ihnen, vorübergehend zu DOS zu wechseln, kurze Informationen über das Dr.Web-Programm und seinen Autor zu erhalten oder das Programm zu verlassen. Im Untermenü „Test“ können Sie grundlegende Vorgänge zum Testen und Desinfizieren von Dateien und Datenträgern durchführen sowie Berichte darüber anzeigen durchgeführte Aktionen. Das Untermenü „Einstellungen“ dient zur Installation mithilfe von Dialogfeldern für Programmeinstellungen, zum Festlegen von Suchpfaden und Masken sowie zum Speichern von Parametern in der Konfigurationsdatei DRWEB.INI. Zum Verbinden von Add-on-Dateien mit der Hauptvirendatenbank des Programms, Erweitern seine Fähigkeiten, der Modus Add-ons.Anti-Virus Disk Auditor ADinf. Mit dem ADinf-Inspektor können Sie das Auftreten jedes Virus erkennen, einschließlich Stealth-Viren, mutierten Viren und derzeit unbekannten Viren. Programm ADinf erinnert sich:
  • Informationen zu Bootsektoren;
  • Informationen über ausgefallene Cluster;
  • Länge und Prüfsummen von Dateien;
  • Datum und Uhrzeit der Erstellung der Dateien.
Während des gesamten Betriebs des Computers läuft das Programm ADinfüberwacht den Erhalt dieser Eigenschaften. Im täglichen Kontrollmodus ADinf startet jeden Tag automatisch, wenn Sie Ihren Computer zum ersten Mal einschalten. Virenähnliche Veränderungen werden besonders überwacht und es erfolgt eine sofortige Warnung. Zusätzlich zur Überwachung der Dateiintegrität ADinfÜberwacht das Erstellen und Löschen von Unterverzeichnissen, das Erstellen, Löschen, Verschieben und Umbenennen von Dateien, das Entstehen neuer ausgefallener Cluster, die Sicherheit von Bootsektoren und vieles mehr. Alle möglichen Orte, an denen der Virus in das System eindringen kann, werden blockiert. AdinfÜberprüft Festplatten ohne Verwendung von DOS und liest sie Sektor für Sektor durch direkten Zugriff auf das BIOS. Dank dieser Verifizierungsmethode ADinf Erkennt getarnte Stealth-Viren und bietet Hochgeschwindigkeits-Festplattenscans. Behandlungsblock ADinfCure-Modul. ADinfCure-Modul - Dies ist ein Programm, das dabei hilft, Ihren Computer von einem neuen Virus zu „heilen“, ohne auf die neuesten Versionen von Aidstest oder warten zu müssen Dr.Web, wem dieser Virus bekannt sein wird. Programm ADinfCure-Modul macht sich die Tatsache zunutze, dass es trotz der großen Vielfalt an Viren nur sehr wenige unterschiedliche Methoden gibt, sie in Dateien einzuschleusen. Während des normalen Betriebs, wenn der Adinf-Prüfer regelmäßig gestartet wird, meldet er sich ADinf Cure-Modul darüber, welche Dateien sich seit dem letzten Start geändert haben. Adinf Cure-Modul analysiert diese Dateien und zeichnet in seinen Tabellen Informationen auf, die möglicherweise zur Wiederherstellung der Datei erforderlich sind, wenn sie mit einem Virus infiziert ist. Wenn eine Infektion aufgetreten ist, bemerkt ADinf die Änderungen und ruft erneut an Adinf Cure-Modul, Basierend auf der Analyse der infizierten Datei und dem Vergleich mit den aufgezeichneten Informationen wird versucht, den ursprünglichen Zustand der Datei wiederherzustellen. Grundlegende Maßnahmen zum Schutz vor Viren Um zu vermeiden, dass Ihr Computer Viren ausgesetzt wird und um eine zuverlässige Speicherung von Informationen auf Datenträgern zu gewährleisten, müssen Sie die folgenden Regeln befolgen:
  • Statten Sie Ihren Computer mit aktueller Antivirensoftware aus, z Aidstest oder Doktor Web, und ihre Versionen ständig aktualisieren;
  • Bevor Sie auf anderen Computern aufgezeichnete Informationen von Disketten lesen, überprüfen Sie diese Disketten immer auf Viren, indem Sie Antivirenprogramme auf Ihrem Computer ausführen.
  • Wenn Sie Dateien in archivierter Form auf Ihren Computer übertragen, überprüfen Sie diese sofort nach dem Entpacken auf Ihrer Festplatte und beschränken Sie den Scanbereich nur auf neu aufgezeichnete Dateien.
  • Überprüfen Sie die Festplatten Ihres Computers regelmäßig auf Viren, indem Sie Antivirenprogramme ausführen, um Dateien, Speicher und Systembereiche von Festplatten von einer schreibgeschützten Diskette zu testen, nach dem Laden des Betriebssystems auch von einer schreibgeschützten Systemdiskette;
  • Schützen Sie Ihre Disketten immer vor dem Beschreiben, wenn Sie an anderen Computern arbeiten, wenn keine Informationen darauf aufgezeichnet werden.
  • Erstellen Sie unbedingt Sicherungskopien der für Sie wertvollen Informationen auf Disketten.
  • Lassen Sie keine Disketten in der Tasche von Laufwerk A: beim Einschalten oder Neustarten des Betriebssystems, um zu verhindern, dass der Computer mit Bootviren infiziert wird;
  • Verwenden Sie Antivirenprogramme zur Eingabekontrolle aller aus Computernetzwerken empfangenen ausführbaren Dateien.
  • um eine höhere Nutzungssicherheit zu gewährleisten Aidstest Und Doktor Web muss mit der täglichen Verwendung von Disk Auditor kombiniert werden ADinf.


Verwandte Veröffentlichungen