Mi történik, ha egy fertőzött program elkezd működni? Számítógépes vírusok. Mi az a számítógépes vírus
A számítógépes vírus egy kis program, amely kifejezetten más programok megfertőzésére (azaz önmagának „tulajdonítására”) készült, és különféle típusú nem kívánt műveleteket hajt végre a számítógépen. A fertőzött program egy vírust tartalmazó program. Amikor egy ilyen program elkezd működni, először a vírus veszi át az irányítást. A számítógépes vírusok más programokat találnak és fertőznek meg, és mindenféle káros tevékenységet is végrehajtanak (például megsértik a merevlemez fájltáblázatát, vagy magukat a fájlokat, eltömítik a RAM-ot stb.).
Az álcázás közben a vírus nem mindig hajt végre semmilyen olyan műveletet, amely más programokat megfertőz és kárt okoz bennük, és amikor bizonyos műveleteket végrehajtanak a számítógépen, a vírus megkezdheti munkáját. A szükséges manipulációk elvégzése után a vírus átadja az irányítást arra a programra, amelyben található, és ez a program továbbra is a megszokott módon működik. Így kifelé a fertőzött program munkája semmilyen módon nem mutatkozik meg, és úgy néz ki, mintha nem lenne fertőzött.
Sok vírustípust úgy terveztek, hogy egy fertőzött program indításakor a vírus a számítógép memóriájában marad (amíg az operációs rendszert újra nem indítják), és lehetőség szerint megfertőzi a futó programokat vagy rosszindulatú műveleteket hajt végre a számítógépen.
A vírus minden művelete meglehetősen gyorsan, előzetes üzenetek kiadása nélkül történik, így a felhasználó nem veszi észre, hogy bármi szokatlan történik a számítógépén. Ha egy számítógépen kevés program fertőződik meg, a vírus jelenléte szinte láthatatlan lehet. De egy idő után valami furcsa dolog kezd történni a számítógépen, például:
- egyes programok hibásan kezdenek működni, vagy teljesen leállnak;
- idegen karakterek, üzenetek stb. jelennek meg a képernyőn;
- A számítógép jelentősen lelassul;
- egyes fájlokról kiderül, hogy sérültek stb.
Általános szabály, hogy ekkorra a legtöbb használt program vírussal fertőzött, és egyes lemezek és fájlok megsérültek. Ezenkívül előfordulhat, hogy a fertőzött programokat már átvitték az Ön számítógépéről más számítógépekre a hálózaton vagy külső adathordozón keresztül.
Egyes számítógépes vírusok és változataik még alattomosabbak. Csendesen megfertőznek nagyszámú programot egyszerre, majd komoly károkat okoznak, például a számítógép teljes merevlemezének formázásával. És vannak olyan számítógépes vírusok, amelyek igyekeznek minél észrevétlenül viselkedni, de apránként és fokozatosan elrontják a számítógép merevlemezén tárolt adatokat.
A fentiekből az következik, hogy ha nem tesz lépéseket a vírusok elleni védelem érdekében, a fertőzött számítógép következményei nagyon súlyosak lesznek. Például 1989-ben Morris amerikai diák írt egy vírust, amely számítógépek ezreit fertőzte meg és tiltotta le, köztük az Egyesült Államok Védelmi Minisztériumához tartozókat is. A bíróság 270 000 dollár pénzbírsággal és három hónap börtönbüntetéssel sújtotta a vírus szerzőjét. A büntetés lehetett volna súlyosabb is, de a bíróság figyelembe vette, hogy a vírus csak szaporodott, és nem volt ideje megrontani az adatokat.
A vírusprogram kis méretű, ezért láthatatlan. Egyes szerzők huncutságból hoznak létre ilyen programokat, mások – megpróbálnak ártani valakinek, vagy hozzáférni információhoz vagy számítógépes erőforrásokhoz. Mindenesetre a létrehozott vírusprogram minden olyan számítógépre átterjedhet, amely kompatibilis azzal, amelyre írták, és nagyon nagy pusztítást okozhat.
Meg kell jegyezni, hogy a vírusírás nem olyan nehéz feladat, és egy programozást tanuló hallgató számára könnyen elérhető. Ezért napról napra egyre több új számítógépes vírus jelenik meg az interneten.
(9 szavazat)
Számítógépes vírusok
Számítógépes vírus - koncepció és osztályozás.
Számítógépes vírus egy speciálisan megírt, kis méretű program (azaz egy bizonyos végrehajtható kódkészlet), amely képes „tulajdonítani” magát más programoknak („megfertőzni” azokat), másolatokat készíteni magáról és beszúrni azokat fájlokba, a számítógép rendszerterületeibe. stb. .d., és különféle nem kívánt műveleteket hajt végre a számítógépen.
A vírust tartalmazó programot „fertőzöttnek” nevezzük. Amikor egy ilyen program elkezd működni, először a vírus veszi át az irányítást. A vírus más programokat talál és „megfertőz”, valamint néhány káros műveletet is végrehajt (például elrontja a fájlokat vagy a lemezen lévő fájlkiosztási táblát, „eltömíti” a RAM-ot stb.). A vírus álcázására nem mindig lehet végrehajtani más programokat megfertőzni és kárt okozni, de például bizonyos feltételek teljesülése esetén.
Például az Anti-MIT vírus minden év december 1-jén megsemmisíti a merevlemezen lévő összes információt, a Tea Time vírus 15:10 és 15:13 között megakadályozza, hogy információkat vigyen be a billentyűzetről, és a híres One Half, amely egész évben „járkált” városunkban , csendesen titkosítja az adatokat a merevlemezén. 1989-ben egy amerikai diáknak sikerült létrehoznia egy vírust, amely letiltotta az Egyesült Államok Védelmi Minisztériumának mintegy 6000 számítógépét. A híres Dir-II vírus járványa 1991-ben tört ki. A vírus valóban eredeti, alapvetően új technológiát alkalmazott, és eleinte a hagyományos vírusirtó eszközök tökéletlensége miatt sikerült széles körben elterjednie. Christopher Pyne-nek sikerült létrehoznia a Pathogen és Queeq vírusokat, valamint a Smeg vírust. Ez az utolsó volt a legveszélyesebb, az első két vírusra rá lehetett rakni, és emiatt minden egyes programfutás után megváltoztatták a konfigurációt. Ezért lehetetlen volt elpusztítani őket. A vírusok terjesztésére a Pine számítógépes játékokat és programokat másolt, megfertőzte, majd visszaküldte a hálózatra. A felhasználók fertőzött programokat töltöttek le számítógépükre, és megfertőzték lemezeiket. A helyzetet súlyosbította, hogy a Pine-nek sikerült vírusokat bevinnie az ellenük küzdő programba. Az elindításával a felhasználók a vírusok elpusztítása helyett egy másikat kaptak. Ennek eredményeként számos cég aktája megsemmisült, ami több millió font veszteséget okozott.
Morris amerikai programozó széles körben ismertté vált. A vírus megalkotójaként ismert, amely 1988 novemberében mintegy 7 ezer, internetre csatlakozó személyi számítógépet fertőzött meg.
Az önszaporodó mesterséges struktúrák első vizsgálatait e század közepén végezték. Term "Számítógépes vírus"
később jelent meg – hivatalosan a Lehigh Egyetem (USA) F. Cohen munkatársaként tartják számon 1984-ben a hetedik információbiztonsági konferencián.
Szakértők úgy vélik, hogy mára a meglévő vírusok száma meghaladta a 20 ezret, naponta 6-9 új jelenik meg. Jelenleg mintegy 260 „vad”, azaz ténylegesen keringő vírus létezik.
Az ország egyik legtekintélyesebb „virológusa”, Jevgenyij Kasperszkij a vírusok feltételes osztályozását javasolja a következő kritériumok szerint:
a vírus élőhelyének megfelelően
az élőhely fertőzésének módja szerint
romboló lehetőségek szerint
a vírusalgoritmus jellemzői szerint.
Az ezeken a csoportokon belüli részletesebb besorolás a következőképpen mutatható be:
hálózat |
számítógépes hálózaton elterjedt |
||
Élőhely: |
fájlt |
futtatható fájlokba fecskendezve |
|
csomagtartó |
be vannak ágyazva a lemez indító szektorába (Boot szektor) |
||
Mód |
lakos |
memóriában vannak, aktívak, amíg a számítógépet ki nem kapcsolják |
|
fertőzések: |
nem rezidens |
nem fertőzik meg a memóriát, korlátozott ideig aktívak |
|
ártalmatlan |
gyakorlatilag nem befolyásolja a munkát; terjedésük következtében csökkenti a szabad lemezterületet |
||
Pusztító |
nem veszélyes |
csökkentse a szabad memóriát, hozzon létre hangot, grafikus és egyéb effektusokat |
|
lehetőségek: |
veszélyes |
súlyos meghibásodásokhoz vezethet |
|
nagyon veszélyes |
programok vagy rendszeradatok elvesztését eredményezheti |
||
"műholdas" vírusok |
azok a vírusok, amelyek nem változtatnak fájlokat, szatellit fájlokat hoznak létre az EXE fájlokhoz COM kiterjesztéssel |
||
féregvírusok |
szétterjednek a hálózaton, másolatokat küldenek magukról, és kiszámítják a hálózati címeket |
||
Sajátosságok |
"diák" |
primitív, nagyszámú hibát tartalmaznak |
|
vírus: |
lopakodó vírusok (láthatatlan) |
elfogják a fertőzött fájlok vagy szektorok DOS-hívásait, és a nem fertőzött területeket helyettesítik helyettük |
|
szellemvírusok |
nem rendelkeznek egyetlen állandó kóddal, nehezen észlelhetők, a vírus törzse titkosított |
||
makrovírusok |
nem gépi kódokban íródnak, hanem WordBasicben, Word dokumentumokban élnek, átírják magukat a Normal.dot-ban |
A vírusok számítógépbe való bejutásának fő módjai a cserélhető lemezek (floppy és lézer), valamint a számítógépes hálózatok. A merevlemez megfertőződhet vírusokkal, amikor egy programot betölt egy vírust tartalmazó hajlékonylemezről. Az ilyen fertőzés véletlenül is előfordulhat, például ha a hajlékonylemezt nem távolították el az A meghajtóból, és újraindították a számítógépet, és előfordulhat, hogy a hajlékonylemez nem rendszerlemez. Sokkal könnyebb megfertőzni egy hajlékonylemezt. Vírus akkor is rákerülhet, ha a hajlékonylemezt egyszerűen behelyezik egy fertőzött számítógép meghajtójába, és például elolvassák a tartalomjegyzékét.
Hogyan működik a vírus.
Nézzük meg egy nagyon egyszerű indítóvírus működését, amely megfertőzi a hajlékonylemezeket.
Mi történik, ha bekapcsolja a számítógépet? Először a vezérlés átkerül a rendszerindító programra, amely a csak olvasható memóriában (ROM) tárolódik, azaz. PNZ ROM.
Ez a program teszteli a hardvert, és ha a tesztek sikeresek, megpróbálja megtalálni az A meghajtóban lévő hajlékonylemezt:
Minden floppy lemezen ún. szektorok és pályák. A szektorok klaszterekbe tömörülnek, de ez számunkra nem jelentős.
A szektorok között több szolgáltatás is található, amelyeket az operációs rendszer saját igényeire használ (ezek a szektorok nem tartalmazhatják az Ön adatait). A szolgáltató szektorok közül jelenleg egy - az ún. rendszerindító szektor (boot-sector).
A rendszerindító szektor információkat tárol a hajlékonylemezről - a felületek számát, a sávok számát, a szektorok számát stb. De most nem ezek az információk érdekelnek minket, hanem egy kis rendszerindító program (BLP), aminek kötelező töltse be magát az operációs rendszert, és adja át neki a vezérlést.
Tehát a normál bootstrap séma a következő:
Most pedig nézzük a vírust. A rendszerindító vírusok két részből állnak - az ún. fej stb. farok. A farok általában üres lehet.
Tegyük fel, hogy van egy tiszta hajlékonylemeze és egy fertőzött számítógépe, ami alatt egy olyan számítógépet értünk, amelyben aktív rezidens vírus található. Amint ez a vírus észleli, hogy megfelelő áldozat jelent meg a meghajtóban - esetünkben egy írásvédett és még nem fertőzött hajlékonylemez, azonnal elkezd fertőzni. Hajlékonylemez megfertőzésekor a vírus a következő műveleteket hajtja végre:
lefoglal egy bizonyos területet a lemezről, és elérhetetlennek jelöli az operációs rendszer számára, ez többféleképpen is megtehető, a legegyszerűbb és hagyományos esetben a vírus által elfoglalt szektorok rossznak (rossznak) vannak jelölve.
a farkát és az eredeti (egészséges) rendszerindító szektort a lemez kiválasztott területére másolja
lecseréli a rendszerindító programot a boot szektorban (az igazit) a fejével
séma szerint szervezi meg az irányítás átadás láncolatát.
PNZ (ROM) - PNZ (lemez) - RENDSZER
megjelenik egy új link:
PNZ (ROM) - VÍRUS - PNZ (lemez) - RENDSZER
Megvizsgáltuk egy egyszerű rendszerindító vírus működési sémáját, amely a hajlékonylemezek rendszerindító szektoraiban él. A vírusok általában nem csak a hajlékonylemezek rendszerindító szektorait, hanem a merevlemezek rendszerindító szektorait is megfertőzhetik. Ezenkívül a hajlékonylemezekkel ellentétben a merevlemezen kétféle rendszerindító szektor található, amelyek az irányítást átvevő rendszerindító programokat tartalmazzák. Amikor a számítógép a merevlemezről indul, először az MBR (Master Boot Record) rendszerindító programja veszi át az irányítást. Ha a merevlemez több partícióra van osztva, akkor ezek közül csak az egyik van megjelölve rendszerindításként. Az MBR rendszerindító programja megkeresi a merevlemez rendszerindító partícióját, és átadja a vezérlést ennek a partíciónak a rendszerindító programjához. Ez utóbbi kódja egybeesik a közönséges hajlékonylemezeken található rendszerindító program kódjával, és a megfelelő rendszerindító szektorok csak a paramétertáblázatokban térnek el egymástól. Így a merevlemezen két támadási objektum található a rendszerindító vírusok által - a rendszerindító program az MBR-ben és a rendszerindító program a rendszerindító lemez indító szektorában.
A vírus jelei.
Ha számítógépét vírus fertőzte meg, fontos, hogy észlelje azt. Ehhez ismernie kell a vírusok fő jeleit. Ezek a következők:
a korábban sikeresen működő programok működésének leállása vagy hibás működése
lassú számítógép
képtelenség betölteni az operációs rendszert
fájlok és könyvtárak eltűnése vagy tartalmuk megsérülése
módosítja a fájl módosításának dátumát és időpontját
fájlok átméretezése
a lemezen lévő fájlok számának váratlan jelentős növekedése
a szabad RAM méretének jelentős csökkentése
Váratlan üzenetek vagy képek megjelenítése a képernyőn
váratlan hangjelzéseket adva
Gyakori lefagyások és összeomlások a számítógépben
Védelmi módszerek. Antivírusok.
Bármi is legyen a vírus, a felhasználónak ismernie kell a számítógépes vírusok elleni védekezés alapvető módszereit.
A vírusok elleni védekezéshez használhatja:
általános információvédelmi eszközök, amelyek biztosításként is hasznosak a lemezek fizikai sérülése, hibásan működő programok vagy hibás felhasználói műveletek ellen;
megelőző intézkedések a vírusfertőzés valószínűségének csökkentésére;
speciális vírusvédelmi programok.
Az általános információbiztonsági eszközök nem csak a vírusvédelemben használhatók. Ezeknek az alapoknak két fő típusa van:
információk másolása - fájlok és lemezek rendszerterületeinek másolatainak létrehozása;
A hozzáférés-szabályozás megakadályozza az információk jogosulatlan felhasználását, különösen a programok és adatok vírusok általi megváltoztatása, hibásan működő programok és hibás felhasználói műveletek ellen.
A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat ún vírusirtó. A következő típusú víruskereső programok léteznek:
detektor programok
orvosi programok vagy fágok
audit programok
szűrőprogramok
vakcina vagy immunizáló programok
Orvosi programok vagy fágok, és oltási programok nem csak megtalálni a vírusokkal fertőzött fájlokat, hanem „kezelni” is, pl. távolítsa el a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „tisztítását”. A fágok közül megkülönböztetünk polifágokat, azaz. Orvosi programok nagyszámú vírus felkutatására és megsemmisítésére. A leghíresebbek közülük: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, a detektor- és orvosprogramok gyorsan elavulnak, és rendszeres verziófrissítésekre van szükség.
Könyvvizsgálói programok a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Az állapotok összehasonlítása általában közvetlenül az operációs rendszer betöltése után történik. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az ellenőrző programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött programverzió változásait is meg tudják tisztítani a vírus által végrehajtott változtatásoktól. Az ellenőrzési programok közé tartozik az Oroszországban széles körben használt Adinf program.
Szűrő programok vagy "őr" kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak. Ilyen műveletek lehetnek:
megpróbálja kijavítani a COM, EXE kiterjesztésű fájlokat
fájlattribútumok megváltoztatása
közvetlen írás a lemezre abszolút címen
írás a lemez indító szektoraiba
Védőoltások vagy immunizálók- Ezek rezidens programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek „kezelnék” ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a működését, és a vírus fertőzöttnek fogja fel, ezért nem tud gyökeret verni. Jelenleg az oltóprogramok használata korlátozott.
A vírussal fertőzött fájlok és lemezek időben történő észlelése, valamint az észlelt vírusok teljes megsemmisítése az egyes számítógépeken segít elkerülni a vírusjárvány más számítógépekre való átterjedését.
Annak érdekében, hogy ne tegye ki számítógépét vírusoknak, és biztosítsa az információk megbízható tárolását a lemezeken, kövesse az alábbi szabályokat:
szerelje fel számítógépét modern vírusirtó programokkal, mint például az Aidstest, a Doctor Web, és folyamatosan frissítse azok verzióit
Mielőtt más számítógépeken tárolt információkat olvasna le a hajlékonylemezekről, mindig ellenőrizze, hogy ezeken a hajlékonylemezeken vannak-e vírusok a számítógép víruskereső programjainak futtatásával.
Ha archivált fájlokat visz át a számítógépre, azonnal olvassa be azokat, miután kicsomagolta őket a merevlemezen, és korlátozza a beolvasási területet az újonnan rögzített fájlokra.
rendszeres időközönként ellenőrizze a számítógép merevlemezeit vírusok szempontjából víruskereső programokkal, hogy tesztelje a fájlokat, a memóriát és a lemezek rendszerterületeit egy írásvédett hajlékonylemezről, miután az operációs rendszert írásvédett rendszer hajlékonylemezről betölti.
Mindig védje írásvédelmét hajlékonylemezein, ha más számítógépeken dolgozik, kivéve, ha információkat ír rájuk
Ügyeljen arra, hogy az Ön számára értékes információkról készítsen biztonsági másolatot hajlékonylemezre
ne hagyjon hajlékonylemezeket az A meghajtó zsebében, amikor bekapcsolja vagy újraindítja az operációs rendszert, hogy megakadályozza a számítógép megfertőződését rendszerindító vírusokkal
használjon vírusirtó programokat a számítógépes hálózatokról kapott összes végrehajtható fájl bemeneti vezérlésére
A nagyobb biztonság érdekében az Aidstestet és a Doctor Webet kombinálni kell az Adinf lemezauditor napi használatával.
Víruskereső program AntiViral Toolkit Pro.
Az AVP víruskereső programot a vezető orosz Kaspersky Lab cég fejlesztette ki. A program belépett a globális piacra, és számos országban meglehetősen aktívan értékesítik.
Indításkor az AVP betölti a víruskereső adatbázisokat, teszteli a RAM-ot a vírusok jelenlétére, és ellenőrzi magát vírusfertőzés szempontjából. Sikeres letöltés után egy üzenet jelenik meg az állapotsorban " Utolsó frissítés:
dátum> ,
mennyiség> vírusok »
, ahol az utolsó frissítés dátuma és az ismert vírusok száma (a vírusokkal kapcsolatos adatok az .AVC kiterjesztésű fájlokban találhatók)
A program főablakában négy menüpont található:
fájlt
víruskeresés
szolgáltatás
vidék
tárgyakat
akciókat
beállítások
statisztika
Tab "tárgyak" , meghatározza a vizsgálandó objektumok listáját és a tesztelni kívánt fájlok típusát.
Az Objektumok lapon a következő jelölőnégyzeteket jelölheti be:
memória- engedélyezze a rendszermemória szkennelési eljárását (beleértve a nagy memóriaterületet is)
Szektorok - tartalmazza a rendszer szektorok ellenőrzését a szkennelési eljárásban
Fájlok- tartalmazza a fájlellenőrzést a vizsgálati eljárásban (beleértve a Rejtett, Rendszer, Csak olvasható attribútumokkal rendelkező fájlokat is)
Csomagolt tárgyak- Engedélyezze az Unpack Engine-t, amely kicsomagolja a fájlokat tesztelés céljából
"Fájltípus" négy kapcsolót tartalmaz:
Programok formátum szerint - szkennelő programok (Files.com, .exe, .vxd, .dll és Microsoft Office formátumok). Így a formátum szerinti vizsgálat során minden olyan fájlt ellenőriz, amely víruskódot tartalmazhat.
Bővítési programok- minden *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG kiterjesztésű fájl vizsgálata.
Minden fájl- az összes fájl beolvasása.
Maszk által- szkennelés a felhasználó által a beviteli sorban megadott maszk használatával.
Tab "Cselekvések" lehetővé teszi a műveletek beállítását arra az esetre, ha a tesztelés során fertőzött vagy gyanús objektumokat észlel.
A lap négy gombot és két jelölőnégyzetet tartalmaz.
Kérésére a program vagy csak az észlelt vírusokról tájékoztat, megnyitás után kezeli a fertőzött objektumot, vagy automatikusan kezeli. A gyanús objektumok vagy egy Ön által megadott mappába, vagy a program munkamappájába másolhatók.
Tab "Beállítások" lehetővé teszi a program különböző módokhoz való konfigurálását.
Figyelmeztetések – Lehetővé tesz egy további ellenőrző mechanizmust.
Kódelemző – tartalmaz egy olyan mechanizmust, amely képes a még ismeretlen vírusok kimutatására a vizsgált objektumokban.
Redundáns vizsgálat – lehetővé teszi a fájl tartalmának teljes átvizsgálását. Javasoljuk, hogy engedélyezze ezt az üzemmódot, ha a rendszer nem észlel vírust, de furcsa jelenségek figyelhetők meg a számítógép működésében - lassulás, gyakori spontán újraindítás stb. Más esetekben ennek a módnak a használata nem javasolt, mivel a tiszta fájlok vizsgálatakor téves pozitív eredmények adódhatnak.
A beállítások lehetővé teszik a felhasználó számára, hogy a szkennelés során az „Object” oszlopban megjelenítse a vizsgált objektum nevét, az „Eredmény” ablakban pedig az „ok” üzenet jelenik meg az objektumnévvel szemben, ha az objektum tiszta. Hangjelzést is beállíthat, hogy vírus észlelésekor megszólaljon, ami a gyakorlatban nagyon hasznos, mivel a vizsgálati folyamat meglehetősen hosszú és monoton. A szkennelési sorrendet is figyelemmel kísérheti (jelölőnégyzet Jelentéskövetés), vagy írjon jelentésfájlt, megadva az eredményül kapott fájl nevét (jelölőnégyzet Fájl jelentés). A jelölőnégyzet bejelölésével a felhasználó két kiegészítő jelölőnégyzethez fér hozzá:
Hozzáadás- az új jelentés szigorúan a régi végére kerül
Méretkorlátozás- korlátozza a jelentésfájl méretét a felhasználó kérésére (alapértelmezés szerint 500 kilobájt)
A megadott objektumok ellenőrzése után a fül automatikusan aktiválódik "Statisztika"
Ez a lap a program eredményeit tartalmazza. A lap két részre oszlik, amely információkat tartalmaz a vizsgált objektumok, fájlok, mappák számáról, valamint a talált vírusok, figyelmeztetések, sérült objektumok stb. számáról.
Az AVP aláírási adatbázisa az egyik legnagyobb - a program legújabb verziója több mint 25 000 vírust tartalmaz. Meg kell jegyezni, hogy a programmal való munka még egy tapasztalatlan felhasználó számára sem okoz nehézséget, és könnyen beszerezhet egy új verziót az internetről.
A HASZNÁLT HIVATKOZÁSOK JEGYZÉKE
Akhmetov K. Egy fiatal harcos pályája. Moszkva, Számítógépes sajtó, 1997.
Kaspersky E. Számítógépes vírusok MS-DOS-ban. Moszkva, Edel-Reneszánsz, 1992.
PC világ. 4,1998.
A számítógépes vírusok jellemzői
A számítógépes vírusok lényege és megnyilvánulása
A személyi számítógépek széleskörű elterjedése sajnos összefüggésbe hozható az önreplikálódó vírusprogramok megjelenésével, amelyek zavarják a számítógép normál működését, tönkreteszik a lemezek fájlszerkezetét és károsítják a számítógépen tárolt információkat. Ha egy számítógépes vírus behatol egy számítógépbe, átterjedhet más számítógépekre is. Számítógépes vírus egy speciálisan megírt program, amely képes spontán módon kapcsolódni más programokhoz, másolatokat készíteni magáról, és azokat bevinni a fájlokba, a számítógép rendszerterületeibe és a számítógépes hálózatokba a programok működésének megzavarása, fájlok és könyvtárak sérülése, valamint a számítógépen végzett munka mindennemű beavatkozása A számítógépes vírusok megjelenésének és terjedésének okai egyrészt az emberi személyiség pszichológiájában és annak árnyoldalaiban (irigység, bosszúállás, fel nem ismert alkotók hiúsága, a képességeinek konstruktív kihasználásának képtelensége), másrészt a személyi számítógép operációs rendszeréből származó hardveres védelem és ellenhatás hiánya miatt .Annak ellenére, hogy számos országban elfogadott a számítógépes bűncselekmények elleni küzdelemre vonatkozó törvények és a speciális szoftvereszközök fejlesztése, vírusok elleni védelmet, az új szoftvervírusok száma folyamatosan növekszik. Ez megköveteli, hogy a személyi számítógép használója ismerje a vírusok természetét, a vírusfertőzés módjait és az ellenük való védekezést.A vírusok számítógépbe jutásának fő útvonalai a cserélhető lemezek (floppy és lézer), valamint a számítógépes hálózatok . A merevlemez megfertőződhet vírusokkal, ha a számítógépet vírust tartalmazó hajlékonylemezről indítja el. Az ilyen fertőzés véletlenül is előfordulhat, például ha a hajlékonylemezt nem távolították el az A: meghajtóból, és újraindították a számítógépet, miközben előfordulhat, hogy nem a floppy a rendszer. Sokkal könnyebb megfertőzni egy hajlékonylemezt. Vírus akkor is rákerülhet, ha a hajlékonylemezt egyszerűen behelyezik egy fertőzött számítógép meghajtójába, és például elolvassák a tartalomjegyzékét. Fertőzött lemez- ez egy lemez, amelynek a rendszerindító szektorában van egy program - vírus. Egy vírust tartalmazó program futtatása után lehetővé válik más fájlok megfertőzése. Leggyakrabban a lemez indító szektora és az EXE, .COM, SYS vagy BAT kiterjesztésű futtatható fájlok fertőzöttek vírussal. Rendkívül ritka, hogy a szöveges és grafikus fájlok megfertőződjenek. Fertőzött program egy olyan program, amely vírusprogramot tartalmaz beágyazottan.Amikor a számítógép vírussal fertőzött, nagyon fontos, hogy azt időben észleljük. Ehhez ismernie kell a vírusok fő jeleit. Ezek a következők:- a korábban sikeresen működő programok működésének leállítása vagy hibás működése;
- lassú számítógép teljesítmény;
- képtelenség betölteni az operációs rendszert;
- fájlok és könyvtárak eltűnése vagy tartalmuk megsérülése;
- a fájl módosításának dátumának és időpontjának módosítása;
- fájlok átméretezése;
- a lemezen lévő fájlok számának váratlan jelentős növekedése;
- a szabad RAM méretének jelentős csökkentése;
- váratlan üzenetek vagy képek megjelenítése a képernyőn;
- váratlan hangjelzések adása;
- Gyakori lefagyások és összeomlások a számítógépben.
- nem veszélyes, nem zavarja a számítógép működését, de csökkenti a szabad RAM és a lemezmemória mennyiségét, az ilyen vírusok hatásai bizonyos grafikai vagy hanghatásokban nyilvánulnak meg;
- veszélyes vírusok, amelyek különféle problémákat okozhatnak a számítógépen;
- nagyon veszélyes amelyek hatása programok elvesztéséhez, adatok megsemmisüléséhez és információk törléséhez vezethet a lemez rendszerterületein.
VÍRUSÉRZÉKELŐ ÉS VÉDELMI PROGRAMOK
A víruskereső programok jellemzői A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat ún vírusirtó. A következő típusú vírusirtó programok léteznek (11.11. ábra): Detektor programok Egy adott vírusra jellemző bájtsorozatot (vírusszignatúrát) keresnek a RAM-ban és a fájlokban, és ha megtalálják, megfelelő üzenetet adnak ki. Az ilyen antivírus pro-Fig. 11.11. A víruskereső programok típusaigramm az, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek. Orvosi programok vagy fágok,és oltási programok nem csak megtalálni a vírusokkal fertőzött fájlokat, hanem „kezelni” is, pl. távolítsa el a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „tisztítását”. A fágok között vannak polifágok, azok. Orvosi programok nagyszámú vírus felkutatására és megsemmisítésére. A leghíresebb polifágok az Aidstest programok , Scan, Norton AntiVirusés Doktor Web . Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, a detektor- és orvosprogramok gyorsan elavulnak, és rendszeres verziófrissítésre van szükség. Auditor program a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a videomonitor képernyőjén. Az állapotok összehasonlítása általában közvetlenül az operációs rendszer betöltése után történik. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az auditor programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött program verziójában bekövetkezett változásokat is meg tudják különböztetni a vírus által végrehajtott módosításoktól. Az audit programok között szerepel a Dialog-Science Adinf programja, amelyet széles körben használnak Oroszországban. Szűrő programok vagy "őr" kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak. Ilyen műveletek lehetnek:
- megpróbálja kijavítani a COM és EXE kiterjesztésű fájlokat;
- fájl attribútumok megváltoztatása;
- közvetlen írás a lemezre abszolút címen;
- írás a lemez indító szektoraiba.
- teljes képernyős interfész módban menük és párbeszédpanelek használatával;
- parancssori vezérlési módban.
- információk a rendszerindítási szektorokról;
- információk a sikertelen klaszterekről;
- fájlok hossza és ellenőrző összegei;
- a fájlok létrehozásának dátuma és ideje.
- szerelje fel számítógépét naprakész vírusirtó szoftverekkel, mint pl Aidstest vagy Doktor Web,és folyamatosan frissítik a verzióikat;
- Mielőtt más számítógépeken rögzített információkat olvasna le hajlékonylemezekről, mindig ellenőrizze, hogy ezeken a hajlékonylemezeken nincs-e vírus víruskereső programok futtatásával;
- ha archivált fájlokat visz át a számítógépre, azonnal ellenőrizze azokat, miután kicsomagolta őket a merevlemezről, és korlátozza a beolvasási területet az újonnan rögzített fájlokra;
- rendszeres időközönként ellenőrizze számítógépe merevlemezeit vírusok szempontjából víruskereső programok futtatásával, hogy a fájlokat, a memóriát és a lemezek rendszerterületeit írásvédett hajlékonylemezről tesztelje, miután az operációs rendszert írásvédett hajlékonylemezről is betölti;
- Mindig óvja hajlékonylemezeit az írástól, amikor más számítógépeken dolgozik, ha az információ nem kerül rögzítésre;
- ügyeljen arra, hogy az Ön számára értékes információkról készítsen biztonsági másolatot hajlékonylemezre;
- ne hagyjon hajlékonylemezeket az A meghajtó zsebében: az operációs rendszer bekapcsolásakor vagy újraindításakor, hogy megakadályozza a számítógép megfertőződését rendszerindító vírusokkal;
- vírusirtó programokat használjon a számítógépes hálózatokról kapott összes végrehajtható fájl bemeneti vezérlésére;
- nagyobb biztonságos használat érdekében AidstestÉs Doktor Web kombinálni kell a Disk Auditor mindennapi használatával ADinf.