Hva skjer når et infisert program begynner å fungere. Datavirus. Hva er et datavirus
Et datavirus er et lite program spesielt skrevet for å infisere andre programmer (dvs. "tilskrive" seg selv til dem) og utføre uønskede handlinger av forskjellige typer på datamaskinen. Et infisert program er et program med et virus inni. Når et slikt program begynner å fungere, tar viruset først kontroll. Datavirus finner og infiserer andre programmer, og utfører også alle slags skadelige handlinger (for eksempel ødelegger de filtabellen på harddisken, eller selve filene, tetter RAM osv.).
Mens det maskerer, utfører ikke viruset alltid noen handlinger for å infisere andre programmer og forårsake skade på dem, og når visse handlinger utføres på datamaskinen, kan viruset begynne arbeidet. Etter å ha utført de nødvendige manipulasjonene, overfører viruset kontrollen til programmet det er plassert i, og dette programmet fortsetter å fungere som vanlig. Så utad viser ikke arbeidet til det infiserte programmet seg på noen måte, og ser ut som det ikke er infisert.
Mange typer virus er utformet på en slik måte at når et infisert program startes, forblir viruset i datamaskinens minne (til operativsystemet startes på nytt) og, hvis mulig, infiserer kjørende programmer eller utfører ondsinnede handlinger på datamaskinen.
Alle handlingene til viruset utføres ganske raskt, uten å gi noen foreløpige meldinger, slik at brukeren kanskje ikke legger merke til at noe uvanlig skjer på datamaskinen hans. Når et lite antall programmer er infisert på en datamaskin, kan tilstedeværelsen av viruset være nesten usynlig. Men etter en stund begynner det å skje noe merkelig på datamaskinen, for eksempel:
- noen programmer begynner å fungere feil eller slutter å fungere helt;
- fremmedtegn, meldinger osv. vises på skjermen;
- Datamaskinen bremser betydelig ned;
- noen filer viser seg å være ødelagt osv.
Som regel, på dette tidspunktet, er de fleste programmene du bruker infisert med et virus, og noen disker og filer er ødelagt. I tillegg kan infiserte programmer allerede ha blitt overført fra datamaskinen til andre datamaskiner over nettverket eller eksterne medier.
Noen datavirus og deres varianter er enda mer lumske. De infiserer stille et stort antall programmer på en gang, og forårsaker deretter ganske alvorlig skade, for eksempel ved å formatere hele harddisken på datamaskinen. Og det er datavirus som prøver å oppføre seg så ubemerket som mulig, men litt etter litt og gradvis ødelegger dataene som er lagret på datamaskinens harddisk.
Av alt det ovennevnte følger det at hvis du ikke tar tiltak for å beskytte mot virus, vil konsekvensene av en infisert datamaskin være svært alvorlige. For eksempel, i 1989, skrev den amerikanske studenten Morris et virus som infiserte og deaktiverte tusenvis av datamaskiner, inkludert de som tilhører det amerikanske forsvarsdepartementet. Retten bøtelagt forfatteren av viruset med $270 000 og dømte ham til tre måneders fengsel. Straffen kunne vært strengere, men retten tok hensyn til at viruset bare formerte seg og ikke hadde tid til å ødelegge dataene.
Virusprogrammet er lite i størrelse og derfor usynlig. Noen forfattere lager slike programmer av ugagn, andre - prøver å skade noen, eller få tilgang til informasjon eller dataressurser. I alle fall kan det opprettede virusprogrammet spre seg til alle datamaskiner som er kompatible med den det ble skrevet for og forårsake svært store ødeleggelser.
Det skal bemerkes at å skrive et virus ikke er en så vanskelig oppgave, og er ganske tilgjengelig for en student som studerer programmering. Derfor dukker det opp flere og flere nye datavirus på Internett hver dag.
(9 stemmer)
Datavirus
Datavirus - konsept og klassifisering.
Datavirus er et spesialskrevet, lite program (dvs. et visst sett med kjørbar kode) som kan "tilskrive" seg selv til andre programmer ("infisere" dem), lage kopier av seg selv og injisere dem i filer, systemområder på datamaskinen , etc. .d., og også utføre ulike uønskede handlinger på datamaskinen.
Et program som inneholder et virus kalles "infisert". Når et slikt program begynner å fungere, tar viruset først kontroll. Viruset finner og "infiserer" andre programmer, og utfører også noen skadelige handlinger (for eksempel ødelegger det filer eller filallokeringstabellen på disken, "tetter" RAM osv.). For å skjule et virus kan det hende at handlinger for å infisere andre programmer og forårsake skade ikke alltid utføres, men for eksempel når visse betingelser er oppfylt.
For eksempel ødelegger Anti-MIT-viruset all informasjon på harddisken hvert år 1. desember, Tea Time-viruset hindrer deg i å legge inn informasjon fra tastaturet fra 15:10 til 15:13, og den berømte One Half, som har har "vandret" gjennom byen vår i løpet av det siste året , krypterer stille data på harddisken din. I 1989 klarte en amerikansk student å lage et virus som deaktiverte rundt 6000 datamaskiner i det amerikanske forsvarsdepartementet. Epidemien av det berømte Dir-II-viruset brøt ut i 1991. Viruset brukte en virkelig original, fundamentalt ny teknologi og klarte først å spre seg mye på grunn av ufullkommenheten til tradisjonelle antivirusverktøy. Christopher Pyne lyktes i å skape virusene Pathogen og Queeq, samt Smeg-viruset. Det var den siste som var den farligste; den kunne legges over de to første virusene, og på grunn av dette endret de konfigurasjonen etter hver kjøring av programmet. Derfor var det umulig å ødelegge dem. For å spre virus kopierte Pine dataspill og programmer, infiserte dem og sendte dem deretter tilbake til nettverket. Brukere lastet ned infiserte programmer til datamaskinene sine og infiserte diskene deres. Situasjonen ble forverret av det faktum at Pine klarte å introdusere virus i programmet som bekjemper dem. Ved å lansere det, i stedet for å ødelegge virus, fikk brukerne et nytt. Som et resultat ble filene til mange selskaper ødelagt, noe som forårsaket tap på millioner av pund.
Den amerikanske programmereren Morris ble viden kjent. Han er kjent som skaperen av viruset, som i november 1988 infiserte rundt 7 tusen personlige datamaskiner koblet til Internett.
De første studiene av selvreplikerende kunstige strukturer ble utført i midten av dette århundret. Begrep "datavirus"
dukket opp senere - offisielt anses forfatteren for å være ansatt ved Lehigh University (USA) F. Cohen i 1984 på den syvende konferansen om informasjonssikkerhet.
Eksperter mener at antallet eksisterende virus i dag har overskredet 20 tusen, med 6 til 9 nye som dukker opp hver dag. Det er for tiden rundt 260 "ville", det vil si faktisk sirkulerende virus.
En av de mest autoritative "virologene" i landet, Evgeny Kaspersky, foreslår å betinget klassifisere virus i henhold til følgende kriterier:
i henhold til habitatet til viruset
i henhold til metoden for infeksjon av habitatet
i henhold til destruktive muligheter
i henhold til egenskapene til virusalgoritmen.
En mer detaljert klassifisering innenfor disse gruppene kan presenteres omtrent slik:
Nettverk |
spredt over et datanettverk |
||
Habitat: |
fil |
injisert i kjørbare filer |
|
støvel |
er innebygd i oppstartssektoren på disken (oppstartssektoren) |
||
Metoder |
beboer |
er i minnet, aktive til datamaskinen slås av |
|
infeksjoner: |
ikke-bosatt |
ikke infisere minne, er aktive i en begrenset tid |
|
harmløs |
praktisk talt ikke påvirke arbeidet; redusere ledig diskplass som et resultat av deres spredning |
||
Destruktiv |
ufarlig |
redusere ledig minne, lage lyd, grafikk og andre effekter |
|
muligheter: |
farlig |
kan føre til alvorlige funksjonsfeil |
|
veldig farlig |
kan føre til tap av programmer eller systemdata |
||
"satellitt"-virus |
virus som ikke endrer filer lager satellittfiler for EXE-filer med utvidelsen COM |
||
ormevirus |
spredt over nettverket, sende ut kopier av seg selv, beregne nettverksadresser |
||
Egendommer |
"student" |
primitiv, inneholder et stort antall feil |
|
virus: |
stealth-virus (usynlig) |
fange opp DOS-anrop til infiserte filer eller sektorer og erstatte uinfiserte områder i stedet |
|
spøkelsesvirus |
ikke har et eneste permanent stykke kode, er vanskelig å oppdage, er hoveddelen av viruset kryptert |
||
makrovirus |
skrives ikke i maskinkoder, men i WordBasic, lever i Word-dokumenter, omskriver seg selv i Normal.dot |
De viktigste måtene virus kommer inn på en datamaskin på er flyttbare disker (diskett og laser), samt datanettverk. En harddisk kan bli infisert med virus når du laster et program fra en diskett som inneholder et virus. En slik infeksjon kan også være tilfeldig, for eksempel hvis disketten ikke ble fjernet fra stasjon A og datamaskinen ble startet på nytt, og disketten kanskje ikke er en systemdiskett. Det er mye lettere å infisere en diskett. Et virus kan komme inn på den selv om disketten bare settes inn i diskstasjonen til en infisert datamaskin og for eksempel innholdsfortegnelsen leses.
Hvordan viruset virker.
La oss se på driften av et veldig enkelt oppstartsvirus som infiserer disketter.
Hva skjer når du slår på datamaskinen? Først overføres kontrollen til oppstartsprogrammet, som er lagret i skrivebeskyttet minne (ROM), dvs. PNZ ROM.
Dette programmet tester maskinvaren og, hvis testene er vellykkede, prøver å finne disketten i stasjon A:
Hver diskett er merket med den såkalte. sektorer og spor. Sektorer er slått sammen til klynger, men dette er ikke vesentlig for oss.
Blant sektorene er det flere tjenester som brukes av operativsystemet til egne behov (disse sektorene kan ikke inneholde dataene dine). Blant tjenestesektorene er vi for tiden interessert i en - den såkalte. boot-sektor (boot-sector).
Oppstartssektoren lagrer informasjon om disketten - antall flater, antall spor, antall sektorer osv. Men det vi er interessert i nå er ikke denne informasjonen, men et lite oppstartsprogram (BLP), som må last selve operativsystemet og overføre kontrollen til det.
Så det normale bootstrap-skjemaet er som følger:
La oss nå se på viruset. Boot virus har to deler - den såkalte. hode etc. hale. Halen kan generelt sett være tom.
Anta at du har en ren diskett og en infisert datamaskin, som vi mener en datamaskin med et aktivt virus. Så snart dette viruset oppdager at et passende offer har dukket opp i stasjonen - i vårt tilfelle, en diskett som ikke er skrivebeskyttet og ennå ikke er infisert, begynner den å infisere. Når du infiserer en diskett, utfører viruset følgende handlinger:
tildeler et bestemt område av disken og merker det som utilgjengelig for operativsystemet, dette kan gjøres på forskjellige måter, i det enkleste og tradisjonelle tilfellet er sektorene okkupert av viruset merket som dårlige (dårlige)
kopierer halen og den originale (sunne) oppstartssektoren til det valgte området på disken
erstatter oppstartsprogrammet i oppstartssektoren (den ekte) med hodet
organiserer kontrollkjeden i henhold til ordningen.
PNZ (ROM) - PNZ (disk) - SYSTEM
en ny lenke vises:
PNZ (ROM) - VIRUS - PNZ (disk) - SYSTEM
Vi undersøkte funksjonsskjemaet til et enkelt oppstartsvirus som lever i oppstartssektorene til disketter. Som regel kan virus infisere ikke bare oppstartssektorene til disketter, men også oppstartssektorene til harddisker. Dessuten, i motsetning til disketter, har harddisken to typer oppstartssektorer som inneholder oppstartsprogrammer som mottar kontroll. Når datamaskinen starter opp fra harddisken, tar oppstartsprogrammet i MBR (Master Boot Record) kontrollen først. Hvis harddisken din er delt inn i flere partisjoner, er bare én av dem merket som oppstart. Oppstartsprogrammet i MBR finner oppstartspartisjonen til harddisken og overfører kontrollen til oppstartsprogrammet til denne partisjonen. Koden til sistnevnte faller sammen med koden til oppstartsprogrammet på vanlige disketter, og de tilsvarende oppstartssektorene er bare forskjellige i parametertabellene. På harddisken er det således to objekter for angrep av oppstartsvirus - oppstartsprogrammet i MBR og oppstartsprogrammet i oppstartssektoren til oppstartsdisken.
Tegn på viruset.
Når datamaskinen din er infisert med et virus, er det viktig å oppdage det. For å gjøre dette, bør du vite om hovedtegnene på virus. Disse inkluderer følgende:
driftsstans eller feil drift av tidligere velfungerende programmer
treg datamaskin
manglende evne til å laste operativsystemet
forsvinning av filer og kataloger eller korrupsjon av innholdet
endre dato og klokkeslett for filendring
endre størrelse på filer
uventet betydelig økning i antall filer på disken
betydelig reduksjon i størrelsen på ledig RAM
Viser uventede meldinger eller bilder på skjermen
gir uventede lydsignaler
Hyppig fryser og krasjer i datamaskinen
Beskyttelsesmetoder. Antivirus.
Uansett virus, må brukeren kjenne til de grunnleggende metodene for å beskytte mot datavirus.
For å beskytte mot virus kan du bruke:
generelle informasjonsbeskyttelsesverktøy, som også er nyttige som forsikring mot fysisk skade på disker, funksjonsfeil i programmer eller feilaktige brukerhandlinger;
forebyggende tiltak for å redusere sannsynligheten for å få viruset;
spesialiserte programmer for virusbeskyttelse.
Generelle informasjonssikkerhetsverktøy er nyttige for mer enn bare virusbeskyttelse. Det er to hovedtyper av disse midlene:
kopiere informasjon - lage kopier av filer og systemområder på disker;
tilgangskontroll forhindrer uautorisert bruk av informasjon, spesielt beskyttelse mot endringer i programmer og data fra virus, programmer som ikke fungerer og feilaktige brukerhandlinger.
For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirus. Det finnes følgende typer antivirusprogrammer:
detektorprogrammer
legeprogrammer eller fager
revisjonsprogrammer
filterprogrammer
vaksine- eller immuniseringsprogrammer
Legeprogrammer eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene skilles polyfager, dvs. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. Den mest kjente av dem: Aidstest, Scan, Norton AntiVirus, Doctor Web.
Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og regelmessige versjonsoppdateringer kreves.
Revisorprogrammer er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med et virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på LCD-skjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med rydde opp i endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset. Blant revisjonsprogrammene er Adinf-programmet, mye brukt i Russland.
Filtrer programmer eller "vaktmann" er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:
forsøker å korrigere filer med COM, EXE-utvidelser
endre filattributter
direkte skriving til disk på absolutt adresse
skrive til diskoppstartssektorer
Vaksiner eller immunisatorer– Dette er residente programmer som forhindrer filinfeksjon. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.
Rettidig oppdagelse av virusinfiserte filer og disker og fullstendig ødeleggelse av oppdagede virus på hver datamaskin bidrar til å unngå spredning av en virusepidemi til andre datamaskiner.
For å unngå å utsette datamaskinen for virus og sikre pålitelig lagring av informasjon på disker, må du følge følgende regler:
utstyr datamaskinen din med moderne antivirusprogrammer, som Aidstest, Doctor Web, og oppdater stadig versjonene deres
Før du leser informasjon som er lagret på andre datamaskiner fra disketter, sjekk alltid disse diskettene for virus ved å kjøre datamaskinens antivirusprogrammer
Når du overfører filer i arkivert form til datamaskinen din, skann dem umiddelbart etter at du har pakket dem ut på harddisken, og begrense skanneområdet til bare nylig innspilte filer
sjekk med jevne mellomrom datamaskinens harddisker for virus ved å kjøre antivirusprogrammer for å teste filer, minne og systemområder på disker fra en skrivebeskyttet diskett etter å ha lastet operativsystemet fra en skrivebeskyttet systemdiskett
Skrivebeskytt alltid diskettene dine når du arbeider på andre datamaskiner med mindre informasjon vil bli skrevet til dem
Sørg for å lage sikkerhetskopier på disketter av informasjon som er verdifull for deg
ikke la disketter ligge i stasjon A-lommen når du slår på eller starter operativsystemet på nytt for å forhindre at datamaskinen din blir infisert med oppstartsvirus
bruk antivirusprogrammer for inndatakontroll av alle kjørbare filer mottatt fra datanettverk
For å sikre større sikkerhet må Aidstest og Doctor Web kombineres med daglig bruk av Adinf diskrevisor.
Antivirusprogram AntiViral Toolkit Pro.
AVP-antivirusprogrammet ble utviklet av det ledende russiske selskapet Kaspersky Lab. Programmet har kommet inn på det globale markedet og selges ganske aktivt i mange land.
Når den lanseres, laster AVP antivirusdatabaser, tester RAM for tilstedeværelse av faste virus og sjekker seg selv for virusinfeksjon. Etter en vellykket nedlasting vises en melding i statuslinjen " Siste oppdatering:
dato> ,
mengde> virus »
, hvor er datoen for siste oppdatering, og er antall kjente virus (data om virus er i filer med filtypen .AVC)
Hovedprogramvinduet inneholder fire menyelementer:
fil
virus søk
service
region
gjenstander
handlinger
innstillinger
statistikk
Tab "Objekter" , spesifiserer listen over objekter som skal skannes og filtypene som skal testes.
På fanen Objekter kan du velge følgende avmerkingsbokser:
Hukommelse- aktiver skanningsprosedyren for systemminne (inkludert høyt minneområde)
Sektorer - inkludere en sjekk av systemsektorer i skanneprosedyren
Filer- inkludere filsjekking i skanneprosedyren (inkludert filer med Skjult, System, Skrivebeskyttet-attributter)
Pakkede gjenstander- aktiver Unpack Engine, som pakker ut filer for testing
"Filtype" inneholder fire brytere:
Programmer etter format - skanneprogrammer (Files.com, .exe, .vxd, .dll og Microsoft Office-formater). Ved skanning etter format blir derfor alle filer som kan inneholde viruskode sjekket.
Utvidelsesprogrammer- skann alle filer med filtypen *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.
Alle filer- skann alle filer.
Med maske- skann med en maske spesifisert av brukeren i inndatalinjen.
Tab "Handlinger" lar deg angi handlinger i tilfelle infiserte eller mistenkelige gjenstander oppdages under testing.
Fanen inneholder fire knapper og to avmerkingsbokser.
På din forespørsel vil programmet enten bare informere deg om oppdagede virus, behandle det infiserte objektet etter å ha åpnet det, eller behandle det automatisk. Mistenkelige objekter kan kopieres enten til en mappe du spesifiserer eller til programmets arbeidsmappe.
Tab "Innstillinger" lar deg konfigurere programmet for forskjellige moduser.
Advarsler – Aktiverer en ekstra kontrollmekanisme.
Kodeanalysator - inkluderer en mekanisme som er i stand til å oppdage ennå ukjente virus i objektene som undersøkes.
Redundant skanning - muliggjør en mekanisme for å fullstendig skanne innholdet i en fil. Det anbefales å aktivere denne modusen når et virus ikke oppdages, men merkelige fenomener er observert i datamaskinens drift - nedganger, hyppige spontane omstarter, etc. I andre tilfeller anbefales ikke bruk av denne modusen, da det er en mulighet for falske positiver ved skanning av rene filer.
Innstillingene lar brukeren vise navnet på objektet som skannes i "Objekt"-kolonnen under skanning; i "Resultat"-vinduet vil en "ok"-melding vises på motsatt side av objektnavnet hvis objektet er rent. Du kan også stille inn et lydsignal til å høres når et virus oppdages, noe som er veldig nyttig i praksis, siden skanningsprosessen er ganske lang og monoton. Du kan også overvåke skannesekvensen (avmerkingsboks Rapportsporing) eller skriv en rapportfil, og spesifiser navnet på den resulterende filen (avmerkingsboks Fil rapportere). Ved å merke av i denne avmerkingsboksen får brukeren tilgang til to tilleggsavmerkingsbokser:
Legg til- den nye rapporten vil bli lagt til strengt tatt på slutten av den gamle
Størrelsesbegrensning- begrense størrelsen på rapportfilen på brukerens forespørsel (som standard - 500 kilobyte)
Etter å ha sjekket de angitte objektene, aktiveres fanen automatisk "Statistikk"
Denne fanen inneholder resultatene av programmet. Fanen er delt inn i to deler som inneholder informasjon om antall skannede objekter, filer, mapper og antall virus, advarsler, ødelagte objekter osv. funnet.
AVP-signaturdatabasen er en av de største - den nyeste versjonen av programmet inneholder mer enn 25 000 virus. Det skal bemerkes at det å jobbe med programmet ikke forårsaker problemer selv for en uerfaren bruker, og du kan enkelt få en ny versjon fra Internett.
LISTE OVER BRUKTE REFERANSER
Akhmetov K. Kurs av en ung jagerfly. Moskva, Datapresse, 1997.
Kaspersky E. Datavirus i MS-DOS. Moskva, Edel-renessanse, 1992.
PC World. nr. 4,1998.
Kjennetegn på datavirus
Essensen og manifestasjonen av datavirus
Den utbredte bruken av personlige datamaskiner viste seg dessverre å være assosiert med fremveksten av selvreplikerende virusprogrammer som forstyrrer den normale driften av datamaskinen, ødelegger filstrukturen til disker og skader informasjonen som er lagret på datamaskinen. Når et datavirus trenger inn i én datamaskin, kan det spre seg til andre datamaskiner. Datavirus er et spesialskrevet program som er i stand til spontant å koble seg til andre programmer, lage kopier av seg selv og introdusere dem i filer, systemområder på datamaskinen og i datanettverk for å forstyrre driften av programmer, skade filer og kataloger, og lage alle slags forstyrrelser med arbeid på datamaskinen. Årsaker til utseendet og spredningen av datavirus er på den ene siden skjult i psykologien til den menneskelige personligheten og dens skyggesider (misunnelse, hevn, forfengelighet til ukjente skapere, manglende evne til konstruktivt å bruke sine evner), på den annen side, på grunn av mangel på maskinvarebeskyttelse og motvirkning fra operativsystemet til en personlig datamaskin .Til tross for lovene som er vedtatt i mange land for å bekjempe datakriminalitet og utviklingen av spesielle programvareverktøy for å beskytte mot virus, øker antallet nye programvarevirus stadig. Dette krever at brukeren av en personlig datamaskin har kunnskap om viruss natur, metoder for infeksjon av virus og beskyttelse mot dem. Hovedveiene for virus å komme inn i en datamaskin er flyttbare disker (diskett og laser), samt datanettverk . Harddisken din kan bli infisert med virus når du starter datamaskinen fra en diskett som inneholder et virus. En slik infeksjon kan også være tilfeldig, for eksempel hvis disketten ikke ble fjernet fra stasjon A: og datamaskinen ble startet på nytt, mens disketten kanskje ikke er systemdisketten. Det er mye lettere å infisere en diskett. Et virus kan komme inn på den selv om disketten bare settes inn i diskstasjonen til en infisert datamaskin og for eksempel innholdsfortegnelsen leses. Infisert disk- dette er en disk i oppstartssektoren som det er et program av - et virus Etter å ha kjørt et program som inneholder et virus, blir det mulig å infisere andre filer. Oftest er oppstartssektoren på disken og kjørbare filer med utvidelsene EXE, .COM, SYS eller BAT infisert med et virus. Det er ekstremt sjeldent at tekst- og grafikkfiler blir infisert. Infisert program er et program som inneholder et virusprogram innebygd i. Når en datamaskin er infisert med et virus, er det svært viktig å oppdage det i tide. For å gjøre dette, bør du vite om hovedtegnene på virus. Disse inkluderer følgende:- opphør av drift eller feil drift av tidligere vellykkede programmer;
- treg datamaskinytelse;
- manglende evne til å laste operativsystemet;
- forsvinning av filer og kataloger eller korrupsjon av innholdet deres;
- endre dato og klokkeslett for filendring;
- endre størrelse på filer;
- uventet betydelig økning i antall filer på disken;
- en betydelig reduksjon i størrelsen på gratis RAM;
- vise uventede meldinger eller bilder på skjermen;
- gir uventede lydsignaler;
- Hyppig fryser og krasjer i datamaskinen.
- ufarlig, ikke forstyrre driften av datamaskinen, men redusere mengden ledig RAM og diskminne, handlingene til slike virus manifesteres i noen grafiske eller lydeffekter;
- farlig virus som kan føre til ulike problemer med datamaskinen din;
- veldig farlig hvis virkning kan føre til tap av programmer, ødeleggelse av data og sletting av informasjon i systemområder på disken.
PROGRAMMER FOR VIRUSDETEKSJON OG BESKYTTELSE
Kjennetegn på antivirusprogrammer For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirus. Det finnes følgende typer antivirusprogrammer (fig. 11.11): Detektorprogrammer De søker etter en sekvens av byte (virussignatur) som er karakteristisk for et bestemt virus i RAM og filer, og, når de blir funnet, gir de en tilsvarende melding. Ulempen med et slikt antivirus pro-Fig. 11.11. Typer antivirusprogrammergram er at de bare kan finne virus som er kjent for utviklerne av slike programmer. Legeprogrammer eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene er det polyfager, de. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. De mest kjente polyfagene er Aidstest-programmene , Scan, Norton AntiVirus og Doctor Web . Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige oppdateringer av deres versjoner. Revisorprogram er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med et virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på videoskjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med skille endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset. Blant revisjonsprogrammene er Adinf-programmet fra Dialog-Science, som er mye brukt i Russland. Filtrer programmer eller "vaktmenn" er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:
- forsøker å korrigere filer med COM- og EXE-utvidelser;
- endre filattributter;
- direkte skriving til disk på absolutt adresse;
- skrive til oppstartssektorer på disken.
- i fullskjermsgrensesnittmodus ved hjelp av menyer og dialogbokser;
- i kommandolinjekontrollmodus.
- informasjon om oppstartssektorer;
- informasjon om mislykkede klynger;
- lengde og kontrollsummer for filer;
- dato og klokkeslett filene ble opprettet.
- utstyr datamaskinen med oppdatert antivirusprogramvare, som f.eks Aidstest eller Doktor Web, og stadig oppdatere versjonene deres;
- Før du leser informasjon som er registrert på andre datamaskiner fra disketter, må du alltid sjekke disse diskettene for virus ved å kjøre antivirusprogrammer på datamaskinen.
- når du overfører filer i arkivert form til datamaskinen din, må du sjekke dem umiddelbart etter at du har pakket dem ut på harddisken, og begrense skanneområdet til bare nylig innspilte filer;
- sjekk med jevne mellomrom datamaskinens harddisker for virus ved å kjøre antivirusprogrammer for å teste filer, minne og systemområder på disker fra en skrivebeskyttet diskett, etter å ha lastet operativsystemet også fra en skrivebeskyttet systemdiskett;
- Beskytt alltid diskettene dine fra å skrive når du arbeider på andre datamaskiner hvis informasjon ikke vil bli registrert på dem;
- sørg for å lage sikkerhetskopier på disketter av informasjon som er verdifull for deg;
- ikke la disketter ligge i lommen på stasjon A: når du slår på eller starter operativsystemet på nytt for å forhindre at datamaskinen blir infisert med oppstartsvirus;
- bruke antivirusprogrammer for inndatakontroll av alle kjørbare filer mottatt fra datanettverk;
- for å sikre større brukssikkerhet Aidstest Og Doktor Web må kombineres med daglig bruk av Disk Auditor ADinf.