Mi történik, ha egy fertőzött program elkezd működni? Számítógépes vírusok. Mi az a számítógépes vírus

A számítógépes vírus egy kis program, amely kifejezetten más programok megfertőzésére (azaz önmagának „tulajdonítására”) készült, és különféle típusú nem kívánt műveleteket hajt végre a számítógépen. A fertőzött program egy vírust tartalmazó program. Amikor egy ilyen program elkezd működni, először a vírus veszi át az irányítást. A számítógépes vírusok más programokat találnak és fertőznek meg, és mindenféle káros tevékenységet is végrehajtanak (például megsértik a merevlemez fájltáblázatát, vagy magukat a fájlokat, eltömítik a RAM-ot stb.).

Az álcázás közben a vírus nem mindig hajt végre semmilyen olyan műveletet, amely más programokat megfertőz és kárt okoz bennük, és amikor bizonyos műveleteket végrehajtanak a számítógépen, a vírus megkezdheti munkáját. A szükséges manipulációk elvégzése után a vírus átadja az irányítást arra a programra, amelyben található, és ez a program továbbra is a megszokott módon működik. Így kifelé a fertőzött program munkája semmilyen módon nem mutatkozik meg, és úgy néz ki, mintha nem lenne fertőzött.

Sok vírustípust úgy terveztek, hogy egy fertőzött program indításakor a vírus a számítógép memóriájában marad (amíg az operációs rendszert újra nem indítják), és lehetőség szerint megfertőzi a futó programokat vagy rosszindulatú műveleteket hajt végre a számítógépen.

A vírus minden művelete meglehetősen gyorsan, előzetes üzenetek kiadása nélkül történik, így a felhasználó nem veszi észre, hogy bármi szokatlan történik a számítógépén. Ha egy számítógépen kevés program fertőződik meg, a vírus jelenléte szinte láthatatlan lehet. De egy idő után valami furcsa dolog kezd történni a számítógépen, például:

  • egyes programok hibásan kezdenek működni, vagy teljesen leállnak;
  • idegen karakterek, üzenetek stb. jelennek meg a képernyőn;
  • A számítógép jelentősen lelassul;
  • egyes fájlokról kiderül, hogy sérültek stb.

Általános szabály, hogy ekkorra a legtöbb használt program vírussal fertőzött, és egyes lemezek és fájlok megsérültek. Ezenkívül előfordulhat, hogy a fertőzött programokat már átvitték az Ön számítógépéről más számítógépekre a hálózaton vagy külső adathordozón keresztül.

Egyes számítógépes vírusok és változataik még alattomosabbak. Csendesen megfertőznek nagyszámú programot egyszerre, majd komoly károkat okoznak, például a számítógép teljes merevlemezének formázásával. És vannak olyan számítógépes vírusok, amelyek igyekeznek minél észrevétlenül viselkedni, de apránként és fokozatosan elrontják a számítógép merevlemezén tárolt adatokat.

A fentiekből az következik, hogy ha nem tesz lépéseket a vírusok elleni védelem érdekében, a fertőzött számítógép következményei nagyon súlyosak lesznek. Például 1989-ben Morris amerikai diák írt egy vírust, amely számítógépek ezreit fertőzte meg és tiltotta le, köztük az Egyesült Államok Védelmi Minisztériumához tartozókat is. A bíróság 270 000 dollár pénzbírsággal és három hónap börtönbüntetéssel sújtotta a vírus szerzőjét. A büntetés lehetett volna súlyosabb is, de a bíróság figyelembe vette, hogy a vírus csak szaporodott, és nem volt ideje megrontani az adatokat.

A vírusprogram kis méretű, ezért láthatatlan. Egyes szerzők huncutságból hoznak létre ilyen programokat, mások – megpróbálnak ártani valakinek, vagy hozzáférni információhoz vagy számítógépes erőforrásokhoz. Mindenesetre a létrehozott vírusprogram minden olyan számítógépre átterjedhet, amely kompatibilis azzal, amelyre írták, és nagyon nagy pusztítást okozhat.

Meg kell jegyezni, hogy a vírusírás nem olyan nehéz feladat, és egy programozást tanuló hallgató számára könnyen elérhető. Ezért napról napra egyre több új számítógépes vírus jelenik meg az interneten.


(9 szavazat)

Számítógépes vírusok

Számítógépes vírus - koncepció és osztályozás.


Számítógépes vírus egy speciálisan megírt, kis méretű program (azaz egy bizonyos végrehajtható kódkészlet), amely képes „tulajdonítani” magát más programoknak („megfertőzni” azokat), másolatokat készíteni magáról és beszúrni azokat fájlokba, a számítógép rendszerterületeibe. stb. .d., és különféle nem kívánt műveleteket hajt végre a számítógépen.
A vírust tartalmazó programot „fertőzöttnek” nevezzük. Amikor egy ilyen program elkezd működni, először a vírus veszi át az irányítást. A vírus más programokat talál és „megfertőz”, valamint néhány káros műveletet is végrehajt (például elrontja a fájlokat vagy a lemezen lévő fájlkiosztási táblát, „eltömíti” a RAM-ot stb.). A vírus álcázására nem mindig lehet végrehajtani más programokat megfertőzni és kárt okozni, de például bizonyos feltételek teljesülése esetén.

Például az Anti-MIT vírus minden év december 1-jén megsemmisíti a merevlemezen lévő összes információt, a Tea Time vírus 15:10 és 15:13 között megakadályozza, hogy információkat vigyen be a billentyűzetről, és a híres One Half, amely egész évben „járkált” városunkban , csendesen titkosítja az adatokat a merevlemezén. 1989-ben egy amerikai diáknak sikerült létrehoznia egy vírust, amely letiltotta az Egyesült Államok Védelmi Minisztériumának mintegy 6000 számítógépét. A híres Dir-II vírus járványa 1991-ben tört ki. A vírus valóban eredeti, alapvetően új technológiát alkalmazott, és eleinte a hagyományos vírusirtó eszközök tökéletlensége miatt sikerült széles körben elterjednie. Christopher Pyne-nek sikerült létrehoznia a Pathogen és Queeq vírusokat, valamint a Smeg vírust. Ez az utolsó volt a legveszélyesebb, az első két vírusra rá lehetett rakni, és emiatt minden egyes programfutás után megváltoztatták a konfigurációt. Ezért lehetetlen volt elpusztítani őket. A vírusok terjesztésére a Pine számítógépes játékokat és programokat másolt, megfertőzte, majd visszaküldte a hálózatra. A felhasználók fertőzött programokat töltöttek le számítógépükre, és megfertőzték lemezeiket. A helyzetet súlyosbította, hogy a Pine-nek sikerült vírusokat bevinnie az ellenük küzdő programba. Az elindításával a felhasználók a vírusok elpusztítása helyett egy másikat kaptak. Ennek eredményeként számos cég aktája megsemmisült, ami több millió font veszteséget okozott.

Morris amerikai programozó széles körben ismertté vált. A vírus megalkotójaként ismert, amely 1988 novemberében mintegy 7 ezer, internetre csatlakozó személyi számítógépet fertőzött meg.
Az önszaporodó mesterséges struktúrák első vizsgálatait e század közepén végezték. Term "Számítógépes vírus" később jelent meg – hivatalosan a Lehigh Egyetem (USA) F. Cohen munkatársaként tartják számon 1984-ben a hetedik információbiztonsági konferencián.

Szakértők úgy vélik, hogy mára a meglévő vírusok száma meghaladta a 20 ezret, naponta 6-9 új jelenik meg. Jelenleg mintegy 260 „vad”, azaz ténylegesen keringő vírus létezik.


Az ország egyik legtekintélyesebb „virológusa”, Jevgenyij Kasperszkij a vírusok feltételes osztályozását javasolja a következő kritériumok szerint:

  1. a vírus élőhelyének megfelelően

  2. az élőhely fertőzésének módja szerint

  3. romboló lehetőségek szerint

  4. a vírusalgoritmus jellemzői szerint.

Az ezeken a csoportokon belüli részletesebb besorolás a következőképpen mutatható be:


hálózat

számítógépes hálózaton elterjedt

Élőhely:

fájlt

futtatható fájlokba fecskendezve

csomagtartó

be vannak ágyazva a lemez indító szektorába (Boot szektor)

Mód

lakos

memóriában vannak, aktívak, amíg a számítógépet ki nem kapcsolják

fertőzések:

nem rezidens

nem fertőzik meg a memóriát, korlátozott ideig aktívak

ártalmatlan

gyakorlatilag nem befolyásolja a munkát; terjedésük következtében csökkenti a szabad lemezterületet

Pusztító

nem veszélyes

csökkentse a szabad memóriát, hozzon létre hangot, grafikus és egyéb effektusokat

lehetőségek:

veszélyes

súlyos meghibásodásokhoz vezethet

nagyon veszélyes

programok vagy rendszeradatok elvesztését eredményezheti

"műholdas" vírusok

azok a vírusok, amelyek nem változtatnak fájlokat, szatellit fájlokat hoznak létre az EXE fájlokhoz COM kiterjesztéssel

féregvírusok

szétterjednek a hálózaton, másolatokat küldenek magukról, és kiszámítják a hálózati címeket

Sajátosságok

"diák"

primitív, nagyszámú hibát tartalmaznak

vírus:

lopakodó vírusok

(láthatatlan)
elfogják a fertőzött fájlok vagy szektorok DOS-hívásait, és a nem fertőzött területeket helyettesítik helyettük

szellemvírusok

nem rendelkeznek egyetlen állandó kóddal, nehezen észlelhetők, a vírus törzse titkosított

makrovírusok

nem gépi kódokban íródnak, hanem WordBasicben, Word dokumentumokban élnek, átírják magukat a Normal.dot-ban

A vírusok számítógépbe való bejutásának fő módjai a cserélhető lemezek (floppy és lézer), valamint a számítógépes hálózatok. A merevlemez megfertőződhet vírusokkal, amikor egy programot betölt egy vírust tartalmazó hajlékonylemezről. Az ilyen fertőzés véletlenül is előfordulhat, például ha a hajlékonylemezt nem távolították el az A meghajtóból, és újraindították a számítógépet, és előfordulhat, hogy a hajlékonylemez nem rendszerlemez. Sokkal könnyebb megfertőzni egy hajlékonylemezt. Vírus akkor is rákerülhet, ha a hajlékonylemezt egyszerűen behelyezik egy fertőzött számítógép meghajtójába, és például elolvassák a tartalomjegyzékét.


Hogyan működik a vírus.
Nézzük meg egy nagyon egyszerű indítóvírus működését, amely megfertőzi a hajlékonylemezeket.

Mi történik, ha bekapcsolja a számítógépet? Először a vezérlés átkerül a rendszerindító programra, amely a csak olvasható memóriában (ROM) tárolódik, azaz. PNZ ROM.

Ez a program teszteli a hardvert, és ha a tesztek sikeresek, megpróbálja megtalálni az A meghajtóban lévő hajlékonylemezt:

Minden floppy lemezen ún. szektorok és pályák. A szektorok klaszterekbe tömörülnek, de ez számunkra nem jelentős.

A szektorok között több szolgáltatás is található, amelyeket az operációs rendszer saját igényeire használ (ezek a szektorok nem tartalmazhatják az Ön adatait). A szolgáltató szektorok közül jelenleg egy - az ún. rendszerindító szektor (boot-sector).

A rendszerindító szektor információkat tárol a hajlékonylemezről - a felületek számát, a sávok számát, a szektorok számát stb. De most nem ezek az információk érdekelnek minket, hanem egy kis rendszerindító program (BLP), aminek kötelező töltse be magát az operációs rendszert, és adja át neki a vezérlést.

Tehát a normál bootstrap séma a következő:

Most pedig nézzük a vírust. A rendszerindító vírusok két részből állnak - az ún. fej stb. farok. A farok általában üres lehet.

Tegyük fel, hogy van egy tiszta hajlékonylemeze és egy fertőzött számítógépe, ami alatt egy olyan számítógépet értünk, amelyben aktív rezidens vírus található. Amint ez a vírus észleli, hogy megfelelő áldozat jelent meg a meghajtóban - esetünkben egy írásvédett és még nem fertőzött hajlékonylemez, azonnal elkezd fertőzni. Hajlékonylemez megfertőzésekor a vírus a következő műveleteket hajtja végre:


  1. lefoglal egy bizonyos területet a lemezről, és elérhetetlennek jelöli az operációs rendszer számára, ez többféleképpen is megtehető, a legegyszerűbb és hagyományos esetben a vírus által elfoglalt szektorok rossznak (rossznak) vannak jelölve.

  2. a farkát és az eredeti (egészséges) rendszerindító szektort a lemez kiválasztott területére másolja

  3. lecseréli a rendszerindító programot a boot szektorban (az igazit) a fejével

  4. séma szerint szervezi meg az irányítás átadás láncolatát.
Így most először a vírus feje kapja meg az irányítást, a vírus a memóriába kerül, és átadja az irányítást az eredeti rendszerindító szektornak. Egy láncban

PNZ (ROM) - PNZ (lemez) - RENDSZER

megjelenik egy új link:

PNZ (ROM) - VÍRUS - PNZ (lemez) - RENDSZER

Megvizsgáltuk egy egyszerű rendszerindító vírus működési sémáját, amely a hajlékonylemezek rendszerindító szektoraiban él. A vírusok általában nem csak a hajlékonylemezek rendszerindító szektorait, hanem a merevlemezek rendszerindító szektorait is megfertőzhetik. Ezenkívül a hajlékonylemezekkel ellentétben a merevlemezen kétféle rendszerindító szektor található, amelyek az irányítást átvevő rendszerindító programokat tartalmazzák. Amikor a számítógép a merevlemezről indul, először az MBR (Master Boot Record) rendszerindító programja veszi át az irányítást. Ha a merevlemez több partícióra van osztva, akkor ezek közül csak az egyik van megjelölve rendszerindításként. Az MBR rendszerindító programja megkeresi a merevlemez rendszerindító partícióját, és átadja a vezérlést ennek a partíciónak a rendszerindító programjához. Ez utóbbi kódja egybeesik a közönséges hajlékonylemezeken található rendszerindító program kódjával, és a megfelelő rendszerindító szektorok csak a paramétertáblázatokban térnek el egymástól. Így a merevlemezen két támadási objektum található a rendszerindító vírusok által - a rendszerindító program az MBR-ben és a rendszerindító program a rendszerindító lemez indító szektorában.

A vírus jelei.


Ha számítógépét vírus fertőzte meg, fontos, hogy észlelje azt. Ehhez ismernie kell a vírusok fő jeleit. Ezek a következők:

  1. a korábban sikeresen működő programok működésének leállása vagy hibás működése

  2. lassú számítógép

  3. képtelenség betölteni az operációs rendszert

  4. fájlok és könyvtárak eltűnése vagy tartalmuk megsérülése

  5. módosítja a fájl módosításának dátumát és időpontját

  6. fájlok átméretezése

  7. a lemezen lévő fájlok számának váratlan jelentős növekedése

  8. a szabad RAM méretének jelentős csökkentése

  9. Váratlan üzenetek vagy képek megjelenítése a képernyőn

  10. váratlan hangjelzéseket adva

  11. Gyakori lefagyások és összeomlások a számítógépben
Meg kell jegyezni, hogy a fenti jelenségeket nem feltétlenül vírus jelenléte okozza, hanem más okok eredménye is lehet. Ezért mindig nehéz helyesen diagnosztizálni a számítógép állapotát.
Védelmi módszerek. Antivírusok.

Bármi is legyen a vírus, a felhasználónak ismernie kell a számítógépes vírusok elleni védekezés alapvető módszereit.

A vírusok elleni védekezéshez használhatja:


  1. általános információvédelmi eszközök, amelyek biztosításként is hasznosak a lemezek fizikai sérülése, hibásan működő programok vagy hibás felhasználói műveletek ellen;

  2. megelőző intézkedések a vírusfertőzés valószínűségének csökkentésére;

  3. speciális vírusvédelmi programok.

Az általános információbiztonsági eszközök nem csak a vírusvédelemben használhatók. Ezeknek az alapoknak két fő típusa van:


  1. információk másolása - fájlok és lemezek rendszerterületeinek másolatainak létrehozása;

  2. A hozzáférés-szabályozás megakadályozza az információk jogosulatlan felhasználását, különösen a programok és adatok vírusok általi megváltoztatása, hibásan működő programok és hibás felhasználói műveletek ellen.

A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat ún vírusirtó. A következő típusú víruskereső programok léteznek:


  1. detektor programok

  2. orvosi programok vagy fágok

  3. audit programok

  4. szűrőprogramok

  5. vakcina vagy immunizáló programok
Detektor programok Egy adott vírusra jellemző aláírást keresnek a RAM-ban és a fájlokban, és ha találnak, megfelelő üzenetet adnak ki. Az ilyen vírusirtó programok hátránya, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek.

Orvosi programok vagy fágok, és oltási programok nem csak megtalálni a vírusokkal fertőzött fájlokat, hanem „kezelni” is, pl. távolítsa el a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „tisztítását”. A fágok közül megkülönböztetünk polifágokat, azaz. Orvosi programok nagyszámú vírus felkutatására és megsemmisítésére. A leghíresebbek közülük: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, a detektor- és orvosprogramok gyorsan elavulnak, és rendszeres verziófrissítésekre van szükség.

Könyvvizsgálói programok a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a monitor képernyőjén. Az állapotok összehasonlítása általában közvetlenül az operációs rendszer betöltése után történik. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az ellenőrző programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött programverzió változásait is meg tudják tisztítani a vírus által végrehajtott változtatásoktól. Az ellenőrzési programok közé tartozik az Oroszországban széles körben használt Adinf program.

Szűrő programok vagy "őr" kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak. Ilyen műveletek lehetnek:


  1. megpróbálja kijavítani a COM, EXE kiterjesztésű fájlokat

  2. fájlattribútumok megváltoztatása

  3. közvetlen írás a lemezre abszolút címen

  4. írás a lemez indító szektoraiba
Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, az „őr” üzenetet küld a felhasználónak, és felajánlja, hogy tiltja vagy engedélyezi a megfelelő műveletet. A szűrőprogramok nagyon hasznosak, mert képesek a vírust a replikáció előtt a létezés legkorábbi szakaszában észlelni. Azonban nem „tisztítják” a fájlokat és a lemezeket. A vírusok elpusztításához más programokat, például fágokat kell használnia. A watchdog programok hátrányai közé tartozik a „tolakodóság” (például folyamatosan figyelmeztetnek a végrehajtható fájl másolására tett kísérletre), valamint az esetleges konfliktusok más szoftverekkel. Szűrőprogramra példa a Vsafe program, amely az MS DOS segédprogramcsomag része.

Védőoltások vagy immunizálók- Ezek rezidens programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek „kezelnék” ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a működését, és a vírus fertőzöttnek fogja fel, ezért nem tud gyökeret verni. Jelenleg az oltóprogramok használata korlátozott.

A vírussal fertőzött fájlok és lemezek időben történő észlelése, valamint az észlelt vírusok teljes megsemmisítése az egyes számítógépeken segít elkerülni a vírusjárvány más számítógépekre való átterjedését.


Annak érdekében, hogy ne tegye ki számítógépét vírusoknak, és biztosítsa az információk megbízható tárolását a lemezeken, kövesse az alábbi szabályokat:

  1. szerelje fel számítógépét modern vírusirtó programokkal, mint például az Aidstest, a Doctor Web, és folyamatosan frissítse azok verzióit

  2. Mielőtt más számítógépeken tárolt információkat olvasna le a hajlékonylemezekről, mindig ellenőrizze, hogy ezeken a hajlékonylemezeken vannak-e vírusok a számítógép víruskereső programjainak futtatásával.

  3. Ha archivált fájlokat visz át a számítógépre, azonnal olvassa be azokat, miután kicsomagolta őket a merevlemezen, és korlátozza a beolvasási területet az újonnan rögzített fájlokra.

  4. rendszeres időközönként ellenőrizze a számítógép merevlemezeit vírusok szempontjából víruskereső programokkal, hogy tesztelje a fájlokat, a memóriát és a lemezek rendszerterületeit egy írásvédett hajlékonylemezről, miután az operációs rendszert írásvédett rendszer hajlékonylemezről betölti.

  5. Mindig védje írásvédelmét hajlékonylemezein, ha más számítógépeken dolgozik, kivéve, ha információkat ír rájuk

  6. Ügyeljen arra, hogy az Ön számára értékes információkról készítsen biztonsági másolatot hajlékonylemezre

  7. ne hagyjon hajlékonylemezeket az A meghajtó zsebében, amikor bekapcsolja vagy újraindítja az operációs rendszert, hogy megakadályozza a számítógép megfertőződését rendszerindító vírusokkal

  8. használjon vírusirtó programokat a számítógépes hálózatokról kapott összes végrehajtható fájl bemeneti vezérlésére

  9. A nagyobb biztonság érdekében az Aidstestet és a Doctor Webet kombinálni kell az Adinf lemezauditor napi használatával.

Víruskereső program AntiViral Toolkit Pro.

Az AVP víruskereső programot a vezető orosz Kaspersky Lab cég fejlesztette ki. A program belépett a globális piacra, és számos országban meglehetősen aktívan értékesítik.
Indításkor az AVP betölti a víruskereső adatbázisokat, teszteli a RAM-ot a vírusok jelenlétére, és ellenőrzi magát vírusfertőzés szempontjából. Sikeres letöltés után egy üzenet jelenik meg az állapotsorban " Utolsó frissítés: dátum> , mennyiség> vírusok » , ahol az utolsó frissítés dátuma és az ismert vírusok száma (a vírusokkal kapcsolatos adatok az .AVC kiterjesztésű fájlokban találhatók)

A program főablakában négy menüpont található:


  1. fájlt

  2. víruskeresés

  3. szolgáltatás
öt lap:

  1. vidék

  2. tárgyakat

  3. akciókat

  4. beállítások

  5. statisztika
gombokat « P usk" (" Száz P » a lemez beolvasása közben) és a megtekintési ablakot "Tárgy - Eredmény" . Betöltéskor automatikusan megnyílik egy lap "Terület" (1. ábra.) A szkennelés elindításához ki kell választania a lapon "Terület" meghajtókat és/vagy mappákat, amelyeket ellenőrizni szeretne, és kattintson a gombra « P usk" (vagy menüpontot "Víruskeresés indítása" ). Az ellenőrizni kívánt lemezt és/vagy mappákat úgy választhatja ki, hogy a kívánt objektumra duplán kattint a bal egérgombbal. A lemezek gyors kiválasztásához be kell jelölnie a megfelelő négyzeteket « L okális lemezek » és/vagy " VAL VEL e te lemezek » és/vagy „Flopp És -lemez meghajtók " . Ha ki szeretne választani egy mappát a beolvasáshoz, meg kell nyomnia a gombot "Mappa kiválasztása" , amely után megjelenik egy szabványos Windows 95 párbeszédpanel, amelyben ki kell választania a tesztelési területhez hozzáadni kívánt mappa nevét. Ha a „Start” gombra kattint anélkül, hogy kiválasztotta volna a vizsgálandó objektumot, az AVP a következő üzenetet jeleníti meg: A szkennelési terület nincs megadva. Kérjük, jelölje meg a meghajtókat a "Terület" fülön. Ha sürgősen le szeretné állítani a tesztelést, kattintson a gombra " Állj meg " vagy válassza ki a menüpontot "Stop Virus Scan" .
Tab "tárgyak" , meghatározza a vizsgálandó objektumok listáját és a tesztelni kívánt fájlok típusát.

Az Objektumok lapon a következő jelölőnégyzeteket jelölheti be:


  1. memória- engedélyezze a rendszermemória szkennelési eljárását (beleértve a nagy memóriaterületet is)

  2. Szektorok - tartalmazza a rendszer szektorok ellenőrzését a szkennelési eljárásban

  3. Fájlok- tartalmazza a fájlellenőrzést a vizsgálati eljárásban (beleértve a Rejtett, Rendszer, Csak olvasható attribútumokkal rendelkező fájlokat is)

  4. Csomagolt tárgyak- Engedélyezze az Unpack Engine-t, amely kicsomagolja a fájlokat tesztelés céljából
Levéltár- Engedélyezze az Extract Engine-t, amely lehetővé teszi vírusok keresését az archívumban.

"Fájltípus" négy kapcsolót tartalmaz:

Programok formátum szerint - szkennelő programok (Files.com, .exe, .vxd, .dll és Microsoft Office formátumok). Így a formátum szerinti vizsgálat során minden olyan fájlt ellenőriz, amely víruskódot tartalmazhat.

Bővítési programok- minden *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG kiterjesztésű fájl vizsgálata.

Minden fájl- az összes fájl beolvasása.

Maszk által- szkennelés a felhasználó által a beviteli sorban megadott maszk használatával.


Tab "Cselekvések" lehetővé teszi a műveletek beállítását arra az esetre, ha a tesztelés során fertőzött vagy gyanús objektumokat észlel.

A lap négy gombot és két jelölőnégyzetet tartalmaz.

Kérésére a program vagy csak az észlelt vírusokról tájékoztat, megnyitás után kezeli a fertőzött objektumot, vagy automatikusan kezeli. A gyanús objektumok vagy egy Ön által megadott mappába, vagy a program munkamappájába másolhatók.


Tab "Beállítások" lehetővé teszi a program különböző módokhoz való konfigurálását.

Figyelmeztetések – Lehetővé tesz egy további ellenőrző mechanizmust.

Kódelemző – tartalmaz egy olyan mechanizmust, amely képes a még ismeretlen vírusok kimutatására a vizsgált objektumokban.

Redundáns vizsgálat – lehetővé teszi a fájl tartalmának teljes átvizsgálását. Javasoljuk, hogy engedélyezze ezt az üzemmódot, ha a rendszer nem észlel vírust, de furcsa jelenségek figyelhetők meg a számítógép működésében - lassulás, gyakori spontán újraindítás stb. Más esetekben ennek a módnak a használata nem javasolt, mivel a tiszta fájlok vizsgálatakor téves pozitív eredmények adódhatnak.




A beállítások lehetővé teszik a felhasználó számára, hogy a szkennelés során az „Object” oszlopban megjelenítse a vizsgált objektum nevét, az „Eredmény” ablakban pedig az „ok” üzenet jelenik meg az objektumnévvel szemben, ha az objektum tiszta. Hangjelzést is beállíthat, hogy vírus észlelésekor megszólaljon, ami a gyakorlatban nagyon hasznos, mivel a vizsgálati folyamat meglehetősen hosszú és monoton. A szkennelési sorrendet is figyelemmel kísérheti (jelölőnégyzet Jelentéskövetés), vagy írjon jelentésfájlt, megadva az eredményül kapott fájl nevét (jelölőnégyzet Fájl jelentés). A jelölőnégyzet bejelölésével a felhasználó két kiegészítő jelölőnégyzethez fér hozzá:

  1. Hozzáadás- az új jelentés szigorúan a régi végére kerül

  2. Méretkorlátozás- korlátozza a jelentésfájl méretét a felhasználó kérésére (alapértelmezés szerint 500 kilobájt)

A megadott objektumok ellenőrzése után a fül automatikusan aktiválódik "Statisztika"




Ez a lap a program eredményeit tartalmazza. A lap két részre oszlik, amely információkat tartalmaz a vizsgált objektumok, fájlok, mappák számáról, valamint a talált vírusok, figyelmeztetések, sérült objektumok stb. számáról.
Az AVP aláírási adatbázisa az egyik legnagyobb - a program legújabb verziója több mint 25 000 vírust tartalmaz. Meg kell jegyezni, hogy a programmal való munka még egy tapasztalatlan felhasználó számára sem okoz nehézséget, és könnyen beszerezhet egy új verziót az internetről.

A HASZNÁLT HIVATKOZÁSOK JEGYZÉKE


Akhmetov K. Egy fiatal harcos pályája. Moszkva, Számítógépes sajtó, 1997.
Kaspersky E. Számítógépes vírusok MS-DOS-ban. Moszkva, Edel-Reneszánsz, 1992.
PC világ. 4,1998.

A számítógépes vírusok jellemzői

A számítógépes vírusok lényege és megnyilvánulása

A személyi számítógépek széleskörű elterjedése sajnos összefüggésbe hozható az önreplikálódó vírusprogramok megjelenésével, amelyek zavarják a számítógép normál működését, tönkreteszik a lemezek fájlszerkezetét és károsítják a számítógépen tárolt információkat. Ha egy számítógépes vírus behatol egy számítógépbe, átterjedhet más számítógépekre is. Számítógépes vírus egy speciálisan megírt program, amely képes spontán módon kapcsolódni más programokhoz, másolatokat készíteni magáról, és azokat bevinni a fájlokba, a számítógép rendszerterületeibe és a számítógépes hálózatokba a programok működésének megzavarása, fájlok és könyvtárak sérülése, valamint a számítógépen végzett munka mindennemű beavatkozása A számítógépes vírusok megjelenésének és terjedésének okai egyrészt az emberi személyiség pszichológiájában és annak árnyoldalaiban (irigység, bosszúállás, fel nem ismert alkotók hiúsága, a képességeinek konstruktív kihasználásának képtelensége), másrészt a személyi számítógép operációs rendszeréből származó hardveres védelem és ellenhatás hiánya miatt .Annak ellenére, hogy számos országban elfogadott a számítógépes bűncselekmények elleni küzdelemre vonatkozó törvények és a speciális szoftvereszközök fejlesztése, vírusok elleni védelmet, az új szoftvervírusok száma folyamatosan növekszik. Ez megköveteli, hogy a személyi számítógép használója ismerje a vírusok természetét, a vírusfertőzés módjait és az ellenük való védekezést.A vírusok számítógépbe jutásának fő útvonalai a cserélhető lemezek (floppy és lézer), valamint a számítógépes hálózatok . A merevlemez megfertőződhet vírusokkal, ha a számítógépet vírust tartalmazó hajlékonylemezről indítja el. Az ilyen fertőzés véletlenül is előfordulhat, például ha a hajlékonylemezt nem távolították el az A: meghajtóból, és újraindították a számítógépet, miközben előfordulhat, hogy nem a floppy a rendszer. Sokkal könnyebb megfertőzni egy hajlékonylemezt. Vírus akkor is rákerülhet, ha a hajlékonylemezt egyszerűen behelyezik egy fertőzött számítógép meghajtójába, és például elolvassák a tartalomjegyzékét. Fertőzött lemez- ez egy lemez, amelynek a rendszerindító szektorában van egy program - vírus. Egy vírust tartalmazó program futtatása után lehetővé válik más fájlok megfertőzése. Leggyakrabban a lemez indító szektora és az EXE, .COM, SYS vagy BAT kiterjesztésű futtatható fájlok fertőzöttek vírussal. Rendkívül ritka, hogy a szöveges és grafikus fájlok megfertőződjenek. Fertőzött program egy olyan program, amely vírusprogramot tartalmaz beágyazottan.Amikor a számítógép vírussal fertőzött, nagyon fontos, hogy azt időben észleljük. Ehhez ismernie kell a vírusok fő jeleit. Ezek a következők:
  • a korábban sikeresen működő programok működésének leállítása vagy hibás működése;
  • lassú számítógép teljesítmény;
  • képtelenség betölteni az operációs rendszert;
  • fájlok és könyvtárak eltűnése vagy tartalmuk megsérülése;
  • a fájl módosításának dátumának és időpontjának módosítása;
  • fájlok átméretezése;
  • a lemezen lévő fájlok számának váratlan jelentős növekedése;
  • a szabad RAM méretének jelentős csökkentése;
  • váratlan üzenetek vagy képek megjelenítése a képernyőn;
  • váratlan hangjelzések adása;
  • Gyakori lefagyások és összeomlások a számítógépben.
Megjegyzendő, hogy a fenti jelenségeket nem feltétlenül vírus jelenléte okozza, hanem más okok következményei lehetnek. Ezért mindig nehéz helyesen diagnosztizálni a számítógép állapotát. A vírusok fő típusai Jelenleg több mint 5000 ismert szoftver létezik vírusok, a következő szempontok szerint osztályozhatók (11.10. ábra): Fig. 11.10. A számítógépes vírusok osztályozása: a - élőhely szerint; b - fertőzés módszerével; c - a hatás mértéke szerint; g - az algoritmusok jellemzői szerint, attól függően az élőhelyről A vírusok hálózati, fájlrendszerű, rendszerindító és fájlrendszerindító vírusokra oszthatók. Hálózati vírusok különféle számítógépes hálózatokon elosztva. Fájlvírusok főként végrehajtható modulokba vannak beágyazva, pl. COM és EXE kiterjesztésű fájlokhoz. A fájlvírusok más típusú fájlokba is beágyazhatók, de általában ilyen fájlba írva soha nem nyerik el az irányítást, és ezért elveszítik a reprodukálási képességüket. Boot vírusok be vannak ágyazva a lemez indító szektorába (Boot szektor) vagy a rendszerlemez indítóprogramját tartalmazó szektorba (Master Boot Record). Fájl indító vírusok megfertőzi mind a fájlokat, mind a lemezek rendszerindító szektorait. Által fertőzés módja A vírusokat rezidens és nem rezidens vírusokra osztják. Rezidens vírus ha egy számítógép megfertőződik (fertőzött), akkor a RAM-ban hagyja a benne lévő rezidens részét, amely aztán elfogja az operációs rendszer hozzáférését a fertőzési objektumokhoz (fájlok, lemezindító szektorok stb.), és beléjük fecskendezi magát. Az állandó vírusok a memóriában vannak, és a számítógép kikapcsolásáig vagy újraindításáig aktívak. Nem rezidens vírusok ne fertőzzék meg a számítógép memóriáját, és korlátozott ideig aktívak. hatás mértéke A vírusok a következő típusokra oszthatók:
  • nem veszélyes, nem zavarja a számítógép működését, de csökkenti a szabad RAM és a lemezmemória mennyiségét, az ilyen vírusok hatásai bizonyos grafikai vagy hanghatásokban nyilvánulnak meg;
  • veszélyes vírusok, amelyek különféle problémákat okozhatnak a számítógépen;
  • nagyon veszélyes amelyek hatása programok elvesztéséhez, adatok megsemmisüléséhez és információk törléséhez vezethet a lemez rendszerterületein.
Által az algoritmus jellemzői A vírusokat sokféleségük miatt nehéz osztályozni. A legegyszerűbb vírusok - parazita, megváltoztatják a fájlok és a lemezszektorok tartalmát, és meglehetősen könnyen észlelhetők és megsemmisíthetők. Megjegyezheti replikátor vírusok, férgeknek nevezett férgek, amelyek a számítógépes hálózatokon terjednek, kiszámítják a hálózati számítógépek címét, és ezekre a címekre írják maguknak másolatait. Ismert láthatatlan vírusok, hívott lopakodó vírusok, amelyeket nagyon nehéz észlelni és semlegesíteni, mivel elfogják az operációs rendszertől a fertőzött fájlokhoz és lemezszektorokhoz érkezett hívásokat, és helyettük a lemez nem fertőzött területeit helyettesítik. A legnehezebben kimutatható mutáns vírusok, amelyek titkosító-dekódoló algoritmusokat tartalmaznak, amelyeknek köszönhetően ugyanazon vírus másolataiban egyetlen ismétlődő bájtsor sem található. Vannak még úgynevezett kvázi vírusos ill "Trójai" olyan programok, amelyek bár nem képesek önszaporításra, nagyon veszélyesek, mert hasznos programnak álcázva magukat, tönkreteszik a lemezek rendszerindító szektorát és fájlrendszerét.

VÍRUSÉRZÉKELŐ ÉS VÉDELMI PROGRAMOK

A víruskereső programok jellemzői A számítógépes vírusok észlelésére, eltávolítására és az ellenük való védekezésre többféle speciális programot fejlesztettek ki, amelyek lehetővé teszik a vírusok észlelését és megsemmisítését. Az ilyen programokat ún vírusirtó. A következő típusú vírusirtó programok léteznek (11.11. ábra): Detektor programok Egy adott vírusra jellemző bájtsorozatot (vírusszignatúrát) keresnek a RAM-ban és a fájlokban, és ha megtalálják, megfelelő üzenetet adnak ki. Az ilyen antivírus pro-Fig. 11.11. A víruskereső programok típusai
gramm az, hogy csak olyan vírusokat találhatnak, amelyeket az ilyen programok fejlesztői ismernek. Orvosi programok vagy fágok,és oltási programok nem csak megtalálni a vírusokkal fertőzött fájlokat, hanem „kezelni” is, pl. távolítsa el a vírusprogram törzsét a fájlból, visszaállítva a fájlokat eredeti állapotukba. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik a fájlok „tisztítását”. A fágok között vannak polifágok, azok. Orvosi programok nagyszámú vírus felkutatására és megsemmisítésére. A leghíresebb polifágok az Aidstest programok , Scan, Norton AntiVirusés Doktor Web . Tekintettel arra, hogy folyamatosan jelennek meg az új vírusok, a detektor- és orvosprogramok gyorsan elavulnak, és rendszeres verziófrissítésre van szükség. Auditor program a vírusok elleni védekezés legmegbízhatóbb eszközei közé tartoznak. Az auditorok emlékeznek a programok, könyvtárak és a lemez rendszerterületeinek kezdeti állapotára, amikor a számítógép nem fertőzött vírussal, majd időszakonként vagy a felhasználó kérésére összehasonlítják az aktuális állapotot az eredeti állapottal. Az észlelt változások megjelennek a videomonitor képernyőjén. Az állapotok összehasonlítása általában közvetlenül az operációs rendszer betöltése után történik. Összehasonlításkor a fájl hosszát, a ciklikus vezérlőkódot (fájl ellenőrző összegét), a módosítás dátumát és időpontját, valamint egyéb paramétereket ellenőrzik. Az auditor programok meglehetősen fejlett algoritmusokkal rendelkeznek, észlelik a lopakodó vírusokat, és még az ellenőrzött program verziójában bekövetkezett változásokat is meg tudják különböztetni a vírus által végrehajtott módosításoktól. Az audit programok között szerepel a Dialog-Science Adinf programja, amelyet széles körben használnak Oroszországban. Szűrő programok vagy "őr" kis rezidens programok, amelyek a számítógép működése során a vírusokra jellemző gyanús műveletek észlelésére szolgálnak. Ilyen műveletek lehetnek:
  • megpróbálja kijavítani a COM és EXE kiterjesztésű fájlokat;
  • fájl attribútumok megváltoztatása;
  • közvetlen írás a lemezre abszolút címen;
  • írás a lemez indító szektoraiba.
Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, a „figyelő” üzenetet küld a felhasználónak, és felajánlja, hogy tiltja vagy engedélyezi a megfelelő műveletet. A szűrőprogramok nagyon hasznosak, mert képesek a vírust a replikáció előtt a létezés legkorábbi szakaszában észlelni. Azonban nem „tisztítják” a fájlokat és a lemezeket. A vírusok elpusztításához más programokat, például fágokat kell használnia. A watchdog programok hátrányai közé tartozik a „tolakodóság” (például folyamatosan figyelmeztetnek a végrehajtható fájl másolására tett kísérletre), valamint az esetleges konfliktusok más szoftverekkel. A szűrőprogramra példa a program Vsafe, az MS DOS operációs rendszer segédprogramjainak csomagjában található. Védőoltások vagy immunizálók- Ezek rezidens programok, amelyek megakadályozzák a fájlfertőzést. Vakcinákat alkalmaznak, ha nincsenek orvosi programok, amelyek „kezelnék” ezt a vírust. A védőoltás csak ismert vírusok ellen lehetséges. A vakcina úgy módosítja a programot vagy a lemezt, hogy az ne befolyásolja a működését, és a vírus fertőzöttnek fogja fel, ezért nem tud gyökeret verni. Jelenleg az oltóprogramok korlátozottan használhatók.A vírussal fertőzött fájlok és lemezek időben történő észlelése, valamint az észlelt vírusok teljes megsemmisítése minden számítógépen segít elkerülni a vírusjárvány átterjedését más számítógépekre. JSC "Dialog-Science" víruskereső készlet A számítógépes vírusok leküzdésére szolgáló modern szoftvereszközök bősége közül előnyben kell részesíteni a Dialog-Science JSC vírusirtó készletét, amely négy szoftverterméket tartalmaz: Aidstest és Doctor Web polyphage (röviden Dr.Web), ADinf lemezaudit. és ADinf Cure Module kezelőegység. Vessünk egy rövid pillantást arra, hogyan és mikor kell használni ezeket a víruskereső programokat. Aidstest polifág program . Segédteszt - Ez egy olyan program, amely több mint 1300, Oroszországban legelterjedtebb számítógépes vírust képes észlelni és megsemmisíteni. Verziók Aidstest rendszeresen frissítik és kiegészítik az új vírusokkal kapcsolatos információkkal. Hívni Aidstest be kell írnia a következő parancsot: AIDSTEST []ahol az elérési út a meghajtó neve, a teljes név vagy a fájl specifikációja, a fájlcsoport maszkja:* - minden merevlemez-partíció,** - minden meghajtó, beleértve a hálózati és a CD-ROM-meghajtókat; opciók - a következő kulcsok tetszőleges kombinációja: /F - a fertőzött programok kijavítása és a sérültek törlése; /G - az összes fájl ellenőrzése egymás után (nem csak a COM, EXE és SYS); /S - lassú munka a sérült vírusok keresésében; /X - törli az összes fájlt, amely megsérti a a vírus; /Q - engedélyt kér a sérült fájlok törlésére; /B - nem ajánlja fel a következő hajlékonylemez feldolgozását. 11.27. példa Aidstest a lemez ellenőrzésére és „kezelésére”. BAN BEN:. Az észlelt fertőzött programokat javítjuk. A lemezen lévő összes fájl vizsgálat alá esik. Ha a fájl nem javítható, a program engedélyt kér a törlésére: aidstest b: /f/g/q Doctor Web polifág program. Ezt a programot elsősorban a számítógépes világban viszonylag nemrégiben megjelent polimorf vírusok elleni küzdelemre tervezték. Használat Dr. Web lemezek vizsgálatához és az észlelt vírusok eltávolításához, általában a programhoz hasonlóan Aidstest. Ebben az esetben gyakorlatilag nincs párhuzamos ellenőrzés, hiszen AidstestÉs Dr.Web különböző víruskészleteken dolgoznak. Program Dr.Web hatékonyan képes felvenni a harcot az összetett mutáns vírusok ellen, amelyek meghaladják a program képességeit Aidstest. nem úgy mint Aidstest program Dr.Web képes felismerni saját programkódjában bekövetkezett változásokat, hatékonyan azonosítani az új, ismeretlen vírusokkal fertőzött fájlokat, behatolni a titkosított és csomagolt állományokba, és leküzdeni az „oltótakarót”. Ez egy meglehetősen erős heurisztikus analizátor jelenlétének köszönhetően érhető el. Heurisztikus elemzési módban a program Dr.Web a lemezek fájljait és rendszerterületeit vizsgálja, és a vírusokra jellemző kódszekvenciák segítségével próbálja felderíteni az új vagy ismeretlen vírusokat. Ha ilyeneket talál, figyelmeztetés jelenik meg, jelezve, hogy az objektum ismeretlen vírussal fertőzött lehet.A heurisztikus elemzés három szintje áll rendelkezésre. Heurisztikus elemzési módban hamis pozitív eredmények lehetségesek, pl. a nem fertőzött fájlok észlelése. A "heurisztika" szint a kódelemzés szintjét jelenti, hamis pozitívumok jelenléte nélkül. Minél magasabb a heurisztika szintje, annál nagyobb a hibák vagy hamis pozitívumok százalékos aránya. A heurisztikus elemző első két szintje ajánlott, a harmadik szint pedig a fájlok további ellenőrzését teszi lehetővé a létrehozásuk „gyanús” időpontjában. Egyes vírusok a fájlok megfertőzésekor helytelen létrehozási időt állítanak be, annak jeleként, hogy a fájlok fertőzöttek. Például a fertőzött fájlok esetében a másodperc 62 lehet, a létrehozás éve pedig 100 évvel megnövelhető. A víruskereső program része Dr.Web kiegészítő fájlokat is tartalmazhat a program fő vírusadatbázisához, bővítve a képességeit. Dolgozzon a programmal Dr. Web két módban lehetséges:
  • teljes képernyős interfész módban menük és párbeszédpanelek használatával;
  • parancssori vezérlési módban.
Egyszeri, rendszertelen használat esetén az első mód kényelmesebb, de a hajlékonylemezek szisztematikus bemeneti vezérlésére szolgáló rendszeres használathoz jobb a második mód használata. A második mód használatakor a megfelelő start parancs Dr. Web vagy a Norton Commander operációs rendszerhéj felhasználói menüjében, vagy egy speciális kötegfájlban kell szerepelnie Parancssor a Dr. A web így néz ki: DrWeb [meghajtó: [útvonal] ] [kulcsok] ahol meghajtó:X: - merevlemez logikai eszköze vagy hajlékonylemez fizikai eszköze, például F: vagy A:, * - minden logikai merevlemezen lévő eszközök, elérési út - ez a szükséges fájlok elérési útja vagy maszkja A legfontosabb kulcsok: /AL - egy adott eszközön lévő összes fájl diagnosztikája; /CU[P] - lemezek és fájlok „fertőtlenítése”, észlelt vírusok eltávolítása; P - vírusok eltávolítása felhasználói megerősítéssel; /DL - olyan fájlok eltávolítása, amelyeknél nem lehetséges a helyes kezelés; /NA[szint] - fájlok heurisztikus elemzése és ismeretlen vírusok keresése bennük, ahol a szint elérheti a értékek 0, 1, 2; /RP[fájlnév] - a munkanapló rögzítése fájlba (alapértelmezés szerint a REPORT. WEB fájlban);/CL - a program elindítása parancssori módban; fájlok és rendszerterületek tesztelésekor , a teljes képernyős felület nincs használatban;/QU - tesztelés után azonnal kilépés a DOS-ba;/? - rövid súgó megjelenítése a képernyőn Ha nincs megadva kulcs a Dr.Web parancssorban, akkor az aktuális indítás minden információja a DRWEB.INI konfigurációs fájlból lesz beolvasva, amely ugyanabban a könyvtárban található, mint a DRWEB.EXE fájl . A konfigurációs fájl a programmal való munka közben jön létre Dr.Web paranccsal mentse el a teszteléshez szükséges paramétereket. 11.28. példa. Víruskereső program futtatása Dr.Web a lemez ellenőrzéséhez és kezeléséhez BAN BEN:. Az észlelt fertőzött fájlok „meggyógyulnak”. A lemezen lévő összes fájl vizsgálat alá esik. Ha a fájl nem gyógyítható, a program engedélyt kér a törlésére. A vírusok kereséséhez az 1. szintű heurisztikus elemzést kell használni. A programot csak parancssori módban szabad végrehajtani DOS-ból való kilépéssel a tesztelés befejezése után: DrWeb In: /AL /CUP /HA1 /QU / CL Technológia a Dr. programmal való munkavégzéshez. Web teljes képernyős felület módban. A teljes képernyős interfész módban való indításhoz csak a program nevét írja be a parancssorba. A program betöltése után azonnal megkezdődik a számítógép RAM-jának tesztelése, hacsak az előző beállítások nem tiltották le. A tesztelés folyamata megjelenik a tesztelési ablakban. A memóriateszt befejezése után leáll. A program futtatását a képernyő felső sorában található főmenü használatával folytathatja. A menü aktiválásához nyomja meg a gombot .A főmenü a következő módokat tartalmazza: Dr.WebTest Beállítások KiegészítőkHa bármelyik módot kiválasztja, megnyílik a megfelelő almenü.Almenü Dr.Web lehetővé teszi, hogy ideiglenesen kilépjen a DOS-ból, rövid tájékoztatást kapjon a Dr.Web programról és szerzőjéről, vagy elhagyja a programot A Teszt almenü lehetővé teszi a fájlok és lemezek tesztelésének és fertőtlenítésének alapvető műveleteinek elvégzését, valamint a végrehajtott műveletek A Beállítások almenü a programbeállítások párbeszédpaneleinek segítségével történő telepítésre, a keresési útvonalak és maszkok beállítására, valamint a paraméterek DRWEB.INI konfigurációs fájlba történő mentésére szolgál.. Kiegészítő fájlok csatlakoztatása a program fő vírusadatbázisához, bővítve képességei, a mód Kiegészítők.Anti-Virus Disk Auditor ADinf. Az ADinf ellenőr lehetővé teszi bármely vírus megjelenésének észlelését, beleértve a lopakodó vírusokat, a mutáns vírusokat és a jelenleg ismeretlen vírusokat is. Program ADinf emlékszik:
  • információk a rendszerindítási szektorokról;
  • információk a sikertelen klaszterekről;
  • fájlok hossza és ellenőrző összegei;
  • a fájlok létrehozásának dátuma és ideje.
A számítógép teljes működése során a program ADinf figyelemmel kíséri ezen jellemzők megőrzését. Napi szabályozási módban ADinf automatikusan elindul minden nap, amikor először kapcsolja be a számítógépet. A vírusszerű változásokat különösen figyelik, és azonnali figyelmeztetést adnak ki. A fájlok integritásának figyelése mellett ADinf figyeli az alkönyvtárak létrehozását és törlését, a fájlok létrehozását, törlését, mozgatását és átnevezését, új hibás fürtök megjelenését, a rendszerindító szektorok biztonságát és még sok mást. Minden olyan hely, ahol a vírus bejuthat a rendszerbe, le van tiltva. Adinf ellenőrzi a lemezeket DOS használata nélkül, szektoronként olvassa be őket közvetlenül a BIOS-hoz való hozzáféréssel. Ennek az ellenőrzési módszernek köszönhetően ADinfészleli az álcázott lopakodó vírusokat, és nagy sebességű lemezellenőrzést biztosít. Kezelési blokk ADinfCure Module. ADinfCure modul - ez egy olyan program, amely segít „meggyógyítani” számítógépét egy új vírustól anélkül, hogy megvárná az Aidstest vagy az Aidstest legújabb verzióit. Dr.Web, aki ezt a vírust megismeri. Program ADinfCure modul kihasználja azt a tényt, hogy a vírusok hatalmas változatossága ellenére nagyon kevés különböző módszer létezik a fájlokba való bejuttatásukra. A normál működés során, amikor az Adinf auditor rendszeresen elindul, jelentést készít ADinf gyógyító modul arról, hogy mely fájlok változtak a legutóbbi indítás óta. Adinf Cure Module elemzi ezeket a fájlokat, és táblázataiban rögzíti azokat az információkat, amelyekre szükség lehet a fájl helyreállításához, ha vírussal fertőzött. Ha fertőzés történt, az ADinf észreveszi a változásokat, és újra hívja Adinf gyógyító modul, amely a fertőzött fájl elemzése és a rögzített információkkal való összehasonlítása alapján megpróbálja visszaállítani a fájl eredeti állapotát. A vírusok elleni védekezés alapvető intézkedései Annak érdekében, hogy ne tegye ki számítógépét vírusoknak, és biztosítsa az információk megbízható tárolását a lemezeken, kövesse az alábbi szabályokat:
  • szerelje fel számítógépét naprakész vírusirtó szoftverekkel, mint pl Aidstest vagy Doktor Web,és folyamatosan frissítik a verzióikat;
  • Mielőtt más számítógépeken rögzített információkat olvasna le hajlékonylemezekről, mindig ellenőrizze, hogy ezeken a hajlékonylemezeken nincs-e vírus víruskereső programok futtatásával;
  • ha archivált fájlokat visz át a számítógépre, azonnal ellenőrizze azokat, miután kicsomagolta őket a merevlemezről, és korlátozza a beolvasási területet az újonnan rögzített fájlokra;
  • rendszeres időközönként ellenőrizze számítógépe merevlemezeit vírusok szempontjából víruskereső programok futtatásával, hogy a fájlokat, a memóriát és a lemezek rendszerterületeit írásvédett hajlékonylemezről tesztelje, miután az operációs rendszert írásvédett hajlékonylemezről is betölti;
  • Mindig óvja hajlékonylemezeit az írástól, amikor más számítógépeken dolgozik, ha az információ nem kerül rögzítésre;
  • ügyeljen arra, hogy az Ön számára értékes információkról készítsen biztonsági másolatot hajlékonylemezre;
  • ne hagyjon hajlékonylemezeket az A meghajtó zsebében: az operációs rendszer bekapcsolásakor vagy újraindításakor, hogy megakadályozza a számítógép megfertőződését rendszerindító vírusokkal;
  • vírusirtó programokat használjon a számítógépes hálózatokról kapott összes végrehajtható fájl bemeneti vezérlésére;
  • nagyobb biztonságos használat érdekében AidstestÉs Doktor Web kombinálni kell a Disk Auditor mindennapi használatával ADinf.


Kapcsolódó kiadványok