Hva skjer når et infisert program begynner å fungere. Datavirus. Hva er et datavirus

Et datavirus er et lite program spesielt skrevet for å infisere andre programmer (dvs. "tilskrive" seg selv til dem) og utføre uønskede handlinger av forskjellige typer på datamaskinen. Et infisert program er et program med et virus inni. Når et slikt program begynner å fungere, tar viruset først kontroll. Datavirus finner og infiserer andre programmer, og utfører også alle slags skadelige handlinger (for eksempel ødelegger de filtabellen på harddisken, eller selve filene, tetter RAM osv.).

Mens det maskerer, utfører ikke viruset alltid noen handlinger for å infisere andre programmer og forårsake skade på dem, og når visse handlinger utføres på datamaskinen, kan viruset begynne arbeidet. Etter å ha utført de nødvendige manipulasjonene, overfører viruset kontrollen til programmet det er plassert i, og dette programmet fortsetter å fungere som vanlig. Så utad viser ikke arbeidet til det infiserte programmet seg på noen måte, og ser ut som det ikke er infisert.

Mange typer virus er utformet på en slik måte at når et infisert program startes, forblir viruset i datamaskinens minne (til operativsystemet startes på nytt) og, hvis mulig, infiserer kjørende programmer eller utfører ondsinnede handlinger på datamaskinen.

Alle handlingene til viruset utføres ganske raskt, uten å gi noen foreløpige meldinger, slik at brukeren kanskje ikke legger merke til at noe uvanlig skjer på datamaskinen hans. Når et lite antall programmer er infisert på en datamaskin, kan tilstedeværelsen av viruset være nesten usynlig. Men etter en stund begynner det å skje noe merkelig på datamaskinen, for eksempel:

  • noen programmer begynner å fungere feil eller slutter å fungere helt;
  • fremmedtegn, meldinger osv. vises på skjermen;
  • Datamaskinen bremser betydelig ned;
  • noen filer viser seg å være ødelagt osv.

Som regel, på dette tidspunktet, er de fleste programmene du bruker infisert med et virus, og noen disker og filer er ødelagt. I tillegg kan infiserte programmer allerede ha blitt overført fra datamaskinen til andre datamaskiner over nettverket eller eksterne medier.

Noen datavirus og deres varianter er enda mer lumske. De infiserer stille et stort antall programmer på en gang, og forårsaker deretter ganske alvorlig skade, for eksempel ved å formatere hele harddisken på datamaskinen. Og det er datavirus som prøver å oppføre seg så ubemerket som mulig, men litt etter litt og gradvis ødelegger dataene som er lagret på datamaskinens harddisk.

Av alt det ovennevnte følger det at hvis du ikke tar tiltak for å beskytte mot virus, vil konsekvensene av en infisert datamaskin være svært alvorlige. For eksempel, i 1989, skrev den amerikanske studenten Morris et virus som infiserte og deaktiverte tusenvis av datamaskiner, inkludert de som tilhører det amerikanske forsvarsdepartementet. Retten bøtelagt forfatteren av viruset med $270 000 og dømte ham til tre måneders fengsel. Straffen kunne vært strengere, men retten tok hensyn til at viruset bare formerte seg og ikke hadde tid til å ødelegge dataene.

Virusprogrammet er lite i størrelse og derfor usynlig. Noen forfattere lager slike programmer av ugagn, andre - prøver å skade noen, eller få tilgang til informasjon eller dataressurser. I alle fall kan det opprettede virusprogrammet spre seg til alle datamaskiner som er kompatible med den det ble skrevet for og forårsake svært store ødeleggelser.

Det skal bemerkes at å skrive et virus ikke er en så vanskelig oppgave, og er ganske tilgjengelig for en student som studerer programmering. Derfor dukker det opp flere og flere nye datavirus på Internett hver dag.


(9 stemmer)

Datavirus

Datavirus - konsept og klassifisering.


Datavirus er et spesialskrevet, lite program (dvs. et visst sett med kjørbar kode) som kan "tilskrive" seg selv til andre programmer ("infisere" dem), lage kopier av seg selv og injisere dem i filer, systemområder på datamaskinen , etc. .d., og også utføre ulike uønskede handlinger på datamaskinen.
Et program som inneholder et virus kalles "infisert". Når et slikt program begynner å fungere, tar viruset først kontroll. Viruset finner og "infiserer" andre programmer, og utfører også noen skadelige handlinger (for eksempel ødelegger det filer eller filallokeringstabellen på disken, "tetter" RAM osv.). For å skjule et virus kan det hende at handlinger for å infisere andre programmer og forårsake skade ikke alltid utføres, men for eksempel når visse betingelser er oppfylt.

For eksempel ødelegger Anti-MIT-viruset all informasjon på harddisken hvert år 1. desember, Tea Time-viruset hindrer deg i å legge inn informasjon fra tastaturet fra 15:10 til 15:13, og den berømte One Half, som har har "vandret" gjennom byen vår i løpet av det siste året , krypterer stille data på harddisken din. I 1989 klarte en amerikansk student å lage et virus som deaktiverte rundt 6000 datamaskiner i det amerikanske forsvarsdepartementet. Epidemien av det berømte Dir-II-viruset brøt ut i 1991. Viruset brukte en virkelig original, fundamentalt ny teknologi og klarte først å spre seg mye på grunn av ufullkommenheten til tradisjonelle antivirusverktøy. Christopher Pyne lyktes i å skape virusene Pathogen og Queeq, samt Smeg-viruset. Det var den siste som var den farligste; den kunne legges over de to første virusene, og på grunn av dette endret de konfigurasjonen etter hver kjøring av programmet. Derfor var det umulig å ødelegge dem. For å spre virus kopierte Pine dataspill og programmer, infiserte dem og sendte dem deretter tilbake til nettverket. Brukere lastet ned infiserte programmer til datamaskinene sine og infiserte diskene deres. Situasjonen ble forverret av det faktum at Pine klarte å introdusere virus i programmet som bekjemper dem. Ved å lansere det, i stedet for å ødelegge virus, fikk brukerne et nytt. Som et resultat ble filene til mange selskaper ødelagt, noe som forårsaket tap på millioner av pund.

Den amerikanske programmereren Morris ble viden kjent. Han er kjent som skaperen av viruset, som i november 1988 infiserte rundt 7 tusen personlige datamaskiner koblet til Internett.
De første studiene av selvreplikerende kunstige strukturer ble utført i midten av dette århundret. Begrep "datavirus" dukket opp senere - offisielt anses forfatteren for å være ansatt ved Lehigh University (USA) F. Cohen i 1984 på den syvende konferansen om informasjonssikkerhet.

Eksperter mener at antallet eksisterende virus i dag har overskredet 20 tusen, med 6 til 9 nye som dukker opp hver dag. Det er for tiden rundt 260 "ville", det vil si faktisk sirkulerende virus.


En av de mest autoritative "virologene" i landet, Evgeny Kaspersky, foreslår å betinget klassifisere virus i henhold til følgende kriterier:

  1. i henhold til habitatet til viruset

  2. i henhold til metoden for infeksjon av habitatet

  3. i henhold til destruktive muligheter

  4. i henhold til egenskapene til virusalgoritmen.

En mer detaljert klassifisering innenfor disse gruppene kan presenteres omtrent slik:


Nettverk

spredt over et datanettverk

Habitat:

fil

injisert i kjørbare filer

støvel

er innebygd i oppstartssektoren på disken (oppstartssektoren)

Metoder

beboer

er i minnet, aktive til datamaskinen slås av

infeksjoner:

ikke-bosatt

ikke infisere minne, er aktive i en begrenset tid

harmløs

praktisk talt ikke påvirke arbeidet; redusere ledig diskplass som et resultat av deres spredning

Destruktiv

ufarlig

redusere ledig minne, lage lyd, grafikk og andre effekter

muligheter:

farlig

kan føre til alvorlige funksjonsfeil

veldig farlig

kan føre til tap av programmer eller systemdata

"satellitt"-virus

virus som ikke endrer filer lager satellittfiler for EXE-filer med utvidelsen COM

ormevirus

spredt over nettverket, sende ut kopier av seg selv, beregne nettverksadresser

Egendommer

"student"

primitiv, inneholder et stort antall feil

virus:

stealth-virus

(usynlig)
fange opp DOS-anrop til infiserte filer eller sektorer og erstatte uinfiserte områder i stedet

spøkelsesvirus

ikke har et eneste permanent stykke kode, er vanskelig å oppdage, er hoveddelen av viruset kryptert

makrovirus

skrives ikke i maskinkoder, men i WordBasic, lever i Word-dokumenter, omskriver seg selv i Normal.dot

De viktigste måtene virus kommer inn på en datamaskin på er flyttbare disker (diskett og laser), samt datanettverk. En harddisk kan bli infisert med virus når du laster et program fra en diskett som inneholder et virus. En slik infeksjon kan også være tilfeldig, for eksempel hvis disketten ikke ble fjernet fra stasjon A og datamaskinen ble startet på nytt, og disketten kanskje ikke er en systemdiskett. Det er mye lettere å infisere en diskett. Et virus kan komme inn på den selv om disketten bare settes inn i diskstasjonen til en infisert datamaskin og for eksempel innholdsfortegnelsen leses.


Hvordan viruset virker.
La oss se på driften av et veldig enkelt oppstartsvirus som infiserer disketter.

Hva skjer når du slår på datamaskinen? Først overføres kontrollen til oppstartsprogrammet, som er lagret i skrivebeskyttet minne (ROM), dvs. PNZ ROM.

Dette programmet tester maskinvaren og, hvis testene er vellykkede, prøver å finne disketten i stasjon A:

Hver diskett er merket med den såkalte. sektorer og spor. Sektorer er slått sammen til klynger, men dette er ikke vesentlig for oss.

Blant sektorene er det flere tjenester som brukes av operativsystemet til egne behov (disse sektorene kan ikke inneholde dataene dine). Blant tjenestesektorene er vi for tiden interessert i en - den såkalte. boot-sektor (boot-sector).

Oppstartssektoren lagrer informasjon om disketten - antall flater, antall spor, antall sektorer osv. Men det vi er interessert i nå er ikke denne informasjonen, men et lite oppstartsprogram (BLP), som må last selve operativsystemet og overføre kontrollen til det.

Så det normale bootstrap-skjemaet er som følger:

La oss nå se på viruset. Boot virus har to deler - den såkalte. hode etc. hale. Halen kan generelt sett være tom.

Anta at du har en ren diskett og en infisert datamaskin, som vi mener en datamaskin med et aktivt virus. Så snart dette viruset oppdager at et passende offer har dukket opp i stasjonen - i vårt tilfelle, en diskett som ikke er skrivebeskyttet og ennå ikke er infisert, begynner den å infisere. Når du infiserer en diskett, utfører viruset følgende handlinger:


  1. tildeler et bestemt område av disken og merker det som utilgjengelig for operativsystemet, dette kan gjøres på forskjellige måter, i det enkleste og tradisjonelle tilfellet er sektorene okkupert av viruset merket som dårlige (dårlige)

  2. kopierer halen og den originale (sunne) oppstartssektoren til det valgte området på disken

  3. erstatter oppstartsprogrammet i oppstartssektoren (den ekte) med hodet

  4. organiserer kontrollkjeden i henhold til ordningen.
Dermed er lederen av viruset nå den første som mottar kontroll, viruset er installert i minnet og overfører kontrollen til den opprinnelige oppstartssektoren. I en kjede

PNZ (ROM) - PNZ (disk) - SYSTEM

en ny lenke vises:

PNZ (ROM) - VIRUS - PNZ (disk) - SYSTEM

Vi undersøkte funksjonsskjemaet til et enkelt oppstartsvirus som lever i oppstartssektorene til disketter. Som regel kan virus infisere ikke bare oppstartssektorene til disketter, men også oppstartssektorene til harddisker. Dessuten, i motsetning til disketter, har harddisken to typer oppstartssektorer som inneholder oppstartsprogrammer som mottar kontroll. Når datamaskinen starter opp fra harddisken, tar oppstartsprogrammet i MBR (Master Boot Record) kontrollen først. Hvis harddisken din er delt inn i flere partisjoner, er bare én av dem merket som oppstart. Oppstartsprogrammet i MBR finner oppstartspartisjonen til harddisken og overfører kontrollen til oppstartsprogrammet til denne partisjonen. Koden til sistnevnte faller sammen med koden til oppstartsprogrammet på vanlige disketter, og de tilsvarende oppstartssektorene er bare forskjellige i parametertabellene. På harddisken er det således to objekter for angrep av oppstartsvirus - oppstartsprogrammet i MBR og oppstartsprogrammet i oppstartssektoren til oppstartsdisken.

Tegn på viruset.


Når datamaskinen din er infisert med et virus, er det viktig å oppdage det. For å gjøre dette, bør du vite om hovedtegnene på virus. Disse inkluderer følgende:

  1. driftsstans eller feil drift av tidligere velfungerende programmer

  2. treg datamaskin

  3. manglende evne til å laste operativsystemet

  4. forsvinning av filer og kataloger eller korrupsjon av innholdet

  5. endre dato og klokkeslett for filendring

  6. endre størrelse på filer

  7. uventet betydelig økning i antall filer på disken

  8. betydelig reduksjon i størrelsen på ledig RAM

  9. Viser uventede meldinger eller bilder på skjermen

  10. gir uventede lydsignaler

  11. Hyppig fryser og krasjer i datamaskinen
Det skal bemerkes at ovennevnte fenomener ikke nødvendigvis er forårsaket av tilstedeværelsen av et virus, men kan være et resultat av andre årsaker. Derfor er det alltid vanskelig å diagnostisere tilstanden til en datamaskin riktig.
Beskyttelsesmetoder. Antivirus.

Uansett virus, må brukeren kjenne til de grunnleggende metodene for å beskytte mot datavirus.

For å beskytte mot virus kan du bruke:


  1. generelle informasjonsbeskyttelsesverktøy, som også er nyttige som forsikring mot fysisk skade på disker, funksjonsfeil i programmer eller feilaktige brukerhandlinger;

  2. forebyggende tiltak for å redusere sannsynligheten for å få viruset;

  3. spesialiserte programmer for virusbeskyttelse.

Generelle informasjonssikkerhetsverktøy er nyttige for mer enn bare virusbeskyttelse. Det er to hovedtyper av disse midlene:


  1. kopiere informasjon - lage kopier av filer og systemområder på disker;

  2. tilgangskontroll forhindrer uautorisert bruk av informasjon, spesielt beskyttelse mot endringer i programmer og data fra virus, programmer som ikke fungerer og feilaktige brukerhandlinger.

For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirus. Det finnes følgende typer antivirusprogrammer:


  1. detektorprogrammer

  2. legeprogrammer eller fager

  3. revisjonsprogrammer

  4. filterprogrammer

  5. vaksine- eller immuniseringsprogrammer
Detektorprogrammer De søker etter en signatur som er karakteristisk for et bestemt virus i RAM og filer, og sender en tilsvarende melding hvis de blir funnet. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

Legeprogrammer eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene skilles polyfager, dvs. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. Den mest kjente av dem: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og regelmessige versjonsoppdateringer kreves.

Revisorprogrammer er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med et virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på LCD-skjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med rydde opp i endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset. Blant revisjonsprogrammene er Adinf-programmet, mye brukt i Russland.

Filtrer programmer eller "vaktmann" er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:


  1. forsøker å korrigere filer med COM, EXE-utvidelser

  2. endre filattributter

  3. direkte skriving til disk på absolutt adresse

  4. skrive til diskoppstartssektorer
Når et program prøver å utføre de spesifiserte handlingene, sender "vakten" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med watchdog-programmer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med annen programvare. Et eksempel på et filterprogram er Vsafe-programmet, som er en del av MS DOS-verktøypakken.

Vaksiner eller immunisatorer– Dette er residente programmer som forhindrer filinfeksjon. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.

Rettidig oppdagelse av virusinfiserte filer og disker og fullstendig ødeleggelse av oppdagede virus på hver datamaskin bidrar til å unngå spredning av en virusepidemi til andre datamaskiner.


For å unngå å utsette datamaskinen for virus og sikre pålitelig lagring av informasjon på disker, må du følge følgende regler:

  1. utstyr datamaskinen din med moderne antivirusprogrammer, som Aidstest, Doctor Web, og oppdater stadig versjonene deres

  2. Før du leser informasjon som er lagret på andre datamaskiner fra disketter, sjekk alltid disse diskettene for virus ved å kjøre datamaskinens antivirusprogrammer

  3. Når du overfører filer i arkivert form til datamaskinen din, skann dem umiddelbart etter at du har pakket dem ut på harddisken, og begrense skanneområdet til bare nylig innspilte filer

  4. sjekk med jevne mellomrom datamaskinens harddisker for virus ved å kjøre antivirusprogrammer for å teste filer, minne og systemområder på disker fra en skrivebeskyttet diskett etter å ha lastet operativsystemet fra en skrivebeskyttet systemdiskett

  5. Skrivebeskytt alltid diskettene dine når du arbeider på andre datamaskiner med mindre informasjon vil bli skrevet til dem

  6. Sørg for å lage sikkerhetskopier på disketter av informasjon som er verdifull for deg

  7. ikke la disketter ligge i stasjon A-lommen når du slår på eller starter operativsystemet på nytt for å forhindre at datamaskinen din blir infisert med oppstartsvirus

  8. bruk antivirusprogrammer for inndatakontroll av alle kjørbare filer mottatt fra datanettverk

  9. For å sikre større sikkerhet må Aidstest og Doctor Web kombineres med daglig bruk av Adinf diskrevisor.

Antivirusprogram AntiViral Toolkit Pro.

AVP-antivirusprogrammet ble utviklet av det ledende russiske selskapet Kaspersky Lab. Programmet har kommet inn på det globale markedet og selges ganske aktivt i mange land.
Når den lanseres, laster AVP antivirusdatabaser, tester RAM for tilstedeværelse av faste virus og sjekker seg selv for virusinfeksjon. Etter en vellykket nedlasting vises en melding i statuslinjen " Siste oppdatering: dato> , mengde> virus » , hvor er datoen for siste oppdatering, og er antall kjente virus (data om virus er i filer med filtypen .AVC)

Hovedprogramvinduet inneholder fire menyelementer:


  1. fil

  2. virus søk

  3. service
fem faner:

  1. region

  2. gjenstander

  3. handlinger

  4. innstillinger

  5. statistikk
knapper « P usk" (" Ett hundre P » mens du skanner disken) og visningsvinduet "Objekt - Resultat" . Når du laster inn, åpnes en fane automatisk "Område" (Figur 1.) For å starte skanningen må du velge på fanen "Område" stasjoner og/eller mapper du vil sjekke og klikk på knappen « P usk" (eller menyelement "Start virusskanning" ). Du kan velge disken og/eller mappene som skal sjekkes ved å dobbeltklikke på ønsket objekt med venstre museknapp. For raskt å velge disker, må du merke av i de aktuelle boksene « L okale plater » og/eller " MED e te disker » og/eller «Flopp Og -harddisker " . Hvis du vil velge en mappe å skanne, må du trykke på tasten "Velg mappe" , hvoretter du vil se en standard Windows 95-dialogboks der du må velge navnet på mappen du vil legge til i testområdet. Hvis du klikker på "Start"-knappen uten å velge et objekt å skanne, vil AVP vise følgende melding: Skanneområdet er ikke spesifisert. Merk stasjonene i "Area"-fanen. Hvis du vil stoppe testingen raskt, klikker du på knappen " Stoppe " eller velg menyelement "Stopp virusskanning" .
Tab "Objekter" , spesifiserer listen over objekter som skal skannes og filtypene som skal testes.

På fanen Objekter kan du velge følgende avmerkingsbokser:


  1. Hukommelse- aktiver skanningsprosedyren for systemminne (inkludert høyt minneområde)

  2. Sektorer - inkludere en sjekk av systemsektorer i skanneprosedyren

  3. Filer- inkludere filsjekking i skanneprosedyren (inkludert filer med Skjult, System, Skrivebeskyttet-attributter)

  4. Pakkede gjenstander- aktiver Unpack Engine, som pakker ut filer for testing
Arkiv- aktiver Extract Engine, som lar deg søke etter virus i arkiver.

"Filtype" inneholder fire brytere:

Programmer etter format - skanneprogrammer (Files.com, .exe, .vxd, .dll og Microsoft Office-formater). Ved skanning etter format blir derfor alle filer som kan inneholde viruskode sjekket.

Utvidelsesprogrammer- skann alle filer med filtypen *.BAT, *.COM, *.EXE, *.OV*, *.SYS, *.BIN, *PRG.

Alle filer- skann alle filer.

Med maske- skann med en maske spesifisert av brukeren i inndatalinjen.


Tab "Handlinger" lar deg angi handlinger i tilfelle infiserte eller mistenkelige gjenstander oppdages under testing.

Fanen inneholder fire knapper og to avmerkingsbokser.

På din forespørsel vil programmet enten bare informere deg om oppdagede virus, behandle det infiserte objektet etter å ha åpnet det, eller behandle det automatisk. Mistenkelige objekter kan kopieres enten til en mappe du spesifiserer eller til programmets arbeidsmappe.


Tab "Innstillinger" lar deg konfigurere programmet for forskjellige moduser.

Advarsler – Aktiverer en ekstra kontrollmekanisme.

Kodeanalysator - inkluderer en mekanisme som er i stand til å oppdage ennå ukjente virus i objektene som undersøkes.

Redundant skanning - muliggjør en mekanisme for å fullstendig skanne innholdet i en fil. Det anbefales å aktivere denne modusen når et virus ikke oppdages, men merkelige fenomener er observert i datamaskinens drift - nedganger, hyppige spontane omstarter, etc. I andre tilfeller anbefales ikke bruk av denne modusen, da det er en mulighet for falske positiver ved skanning av rene filer.




Innstillingene lar brukeren vise navnet på objektet som skannes i "Objekt"-kolonnen under skanning; i "Resultat"-vinduet vil en "ok"-melding vises på motsatt side av objektnavnet hvis objektet er rent. Du kan også stille inn et lydsignal til å høres når et virus oppdages, noe som er veldig nyttig i praksis, siden skanningsprosessen er ganske lang og monoton. Du kan også overvåke skannesekvensen (avmerkingsboks Rapportsporing) eller skriv en rapportfil, og spesifiser navnet på den resulterende filen (avmerkingsboks Fil rapportere). Ved å merke av i denne avmerkingsboksen får brukeren tilgang til to tilleggsavmerkingsbokser:

  1. Legg til- den nye rapporten vil bli lagt til strengt tatt på slutten av den gamle

  2. Størrelsesbegrensning- begrense størrelsen på rapportfilen på brukerens forespørsel (som standard - 500 kilobyte)

Etter å ha sjekket de angitte objektene, aktiveres fanen automatisk "Statistikk"




Denne fanen inneholder resultatene av programmet. Fanen er delt inn i to deler som inneholder informasjon om antall skannede objekter, filer, mapper og antall virus, advarsler, ødelagte objekter osv. funnet.
AVP-signaturdatabasen er en av de største - den nyeste versjonen av programmet inneholder mer enn 25 000 virus. Det skal bemerkes at det å jobbe med programmet ikke forårsaker problemer selv for en uerfaren bruker, og du kan enkelt få en ny versjon fra Internett.

LISTE OVER BRUKTE REFERANSER


Akhmetov K. Kurs av en ung jagerfly. Moskva, Datapresse, 1997.
Kaspersky E. Datavirus i MS-DOS. Moskva, Edel-renessanse, 1992.
PC World. nr. 4,1998.

Kjennetegn på datavirus

Essensen og manifestasjonen av datavirus

Den utbredte bruken av personlige datamaskiner viste seg dessverre å være assosiert med fremveksten av selvreplikerende virusprogrammer som forstyrrer den normale driften av datamaskinen, ødelegger filstrukturen til disker og skader informasjonen som er lagret på datamaskinen. Når et datavirus trenger inn i én datamaskin, kan det spre seg til andre datamaskiner. Datavirus er et spesialskrevet program som er i stand til spontant å koble seg til andre programmer, lage kopier av seg selv og introdusere dem i filer, systemområder på datamaskinen og i datanettverk for å forstyrre driften av programmer, skade filer og kataloger, og lage alle slags forstyrrelser med arbeid på datamaskinen. Årsaker til utseendet og spredningen av datavirus er på den ene siden skjult i psykologien til den menneskelige personligheten og dens skyggesider (misunnelse, hevn, forfengelighet til ukjente skapere, manglende evne til konstruktivt å bruke sine evner), på den annen side, på grunn av mangel på maskinvarebeskyttelse og motvirkning fra operativsystemet til en personlig datamaskin .Til tross for lovene som er vedtatt i mange land for å bekjempe datakriminalitet og utviklingen av spesielle programvareverktøy for å beskytte mot virus, øker antallet nye programvarevirus stadig. Dette krever at brukeren av en personlig datamaskin har kunnskap om viruss natur, metoder for infeksjon av virus og beskyttelse mot dem. Hovedveiene for virus å komme inn i en datamaskin er flyttbare disker (diskett og laser), samt datanettverk . Harddisken din kan bli infisert med virus når du starter datamaskinen fra en diskett som inneholder et virus. En slik infeksjon kan også være tilfeldig, for eksempel hvis disketten ikke ble fjernet fra stasjon A: og datamaskinen ble startet på nytt, mens disketten kanskje ikke er systemdisketten. Det er mye lettere å infisere en diskett. Et virus kan komme inn på den selv om disketten bare settes inn i diskstasjonen til en infisert datamaskin og for eksempel innholdsfortegnelsen leses. Infisert disk- dette er en disk i oppstartssektoren som det er et program av - et virus Etter å ha kjørt et program som inneholder et virus, blir det mulig å infisere andre filer. Oftest er oppstartssektoren på disken og kjørbare filer med utvidelsene EXE, .COM, SYS eller BAT infisert med et virus. Det er ekstremt sjeldent at tekst- og grafikkfiler blir infisert. Infisert program er et program som inneholder et virusprogram innebygd i. Når en datamaskin er infisert med et virus, er det svært viktig å oppdage det i tide. For å gjøre dette, bør du vite om hovedtegnene på virus. Disse inkluderer følgende:
  • opphør av drift eller feil drift av tidligere vellykkede programmer;
  • treg datamaskinytelse;
  • manglende evne til å laste operativsystemet;
  • forsvinning av filer og kataloger eller korrupsjon av innholdet deres;
  • endre dato og klokkeslett for filendring;
  • endre størrelse på filer;
  • uventet betydelig økning i antall filer på disken;
  • en betydelig reduksjon i størrelsen på gratis RAM;
  • vise uventede meldinger eller bilder på skjermen;
  • gir uventede lydsignaler;
  • Hyppig fryser og krasjer i datamaskinen.
Det skal bemerkes at ovennevnte fenomener ikke nødvendigvis er forårsaket av tilstedeværelsen av et virus, men kan være en konsekvens av andre årsaker. Derfor er det alltid vanskelig å diagnostisere tilstanden til en datamaskin riktig. Hovedtyper av virus Det er for tiden mer enn 5000 kjent programvare virus, de kan klassifiseres etter følgende kriterier (Fig. 11.10): Fig. 11.10. Klassifisering av datavirus: a - etter habitat; b - ved infeksjonsmetode; c - i henhold til graden av påvirkning; g - i henhold til funksjonene til algoritmene, avhengig fra habitatet Virus kan deles inn i nettverks-, fil-, oppstarts- og filoppstartvirus. Nettverksvirus distribuert over ulike datanettverk. Fil virus er hovedsakelig innebygd i kjørbare moduler, dvs. til filer med COM- og EXE-utvidelser. Filvirus kan være innebygd i andre typer filer, men som regel, skrevet i slike filer, får de aldri kontroll og mister derfor evnen til å reprodusere. Boot virus er innebygd i oppstartssektoren til disken (oppstartssektoren) eller i sektoren som inneholder systemdiskoppstartsprogrammet (Master Boot Record). Filoppstartsvirus infisere både filer og oppstartssektorer på disker. Av metode for infeksjon virus er delt inn i resident og non-resident. Resident virus når en datamaskin er infisert (infisert), forlater den sin faste del i RAM-en, som deretter avskjærer operativsystemets tilgang til infeksjonsobjekter (filer, diskoppstartssektorer, etc.) og injiserer seg selv i dem. Resident virus ligger i minnet og er aktive til datamaskinen slås av eller startes på nytt. Ikke-residente virus ikke infisere datamaskinens minne og er aktive i en begrenset tid. grad av påvirkning Virus kan deles inn i følgende typer:
  • ufarlig, ikke forstyrre driften av datamaskinen, men redusere mengden ledig RAM og diskminne, handlingene til slike virus manifesteres i noen grafiske eller lydeffekter;
  • farlig virus som kan føre til ulike problemer med datamaskinen din;
  • veldig farlig hvis virkning kan føre til tap av programmer, ødeleggelse av data og sletting av informasjon i systemområder på disken.
Av funksjonene til algoritmen Virus er vanskelige å klassifisere på grunn av deres store variasjon. De enkleste virusene - parasittisk, de endrer innholdet i filer og disksektorer og kan oppdages og ødelegges ganske enkelt. Du kan merke replikatorvirus, kalt ormer, som sprer seg over datanettverk, beregner adressene til nettverksdatamaskiner og skriver kopier av seg selv på disse adressene. Kjent usynlige virus, kalt stealth virus, som er svært vanskelig å oppdage og nøytralisere, siden de fanger opp samtaler fra operativsystemet til infiserte filer og disksektorer og erstatter uinfiserte områder på disken i stedet. Det vanskeligste å oppdage er mutante virus som inneholder krypterings-dekrypteringsalgoritmer, takket være hvilke kopier av det samme viruset ikke har en eneste repeterende streng med byte. Det finnes også såkalte kvasi-virale eller "Trojan" programmer som, selv om de ikke er i stand til selvutbredelse, er svært farlige fordi de, forklædt som et nyttig program, ødelegger oppstartssektoren og filsystemet til disker.

PROGRAMMER FOR VIRUSDETEKSJON OG BESKYTTELSE

Kjennetegn på antivirusprogrammer For å oppdage, fjerne og beskytte mot datavirus er det utviklet flere typer spesialprogrammer som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirus. Det finnes følgende typer antivirusprogrammer (fig. 11.11): Detektorprogrammer De søker etter en sekvens av byte (virussignatur) som er karakteristisk for et bestemt virus i RAM og filer, og, når de blir funnet, gir de en tilsvarende melding. Ulempen med et slikt antivirus pro-Fig. 11.11. Typer antivirusprogrammer
gram er at de bare kan finne virus som er kjent for utviklerne av slike programmer. Legeprogrammer eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene er det polyfager, de. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. De mest kjente polyfagene er Aidstest-programmene , Scan, Norton AntiVirus og Doctor Web . Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige oppdateringer av deres versjoner. Revisorprogram er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med et virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på videoskjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med skille endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset. Blant revisjonsprogrammene er Adinf-programmet fra Dialog-Science, som er mye brukt i Russland. Filtrer programmer eller "vaktmenn" er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:
  • forsøker å korrigere filer med COM- og EXE-utvidelser;
  • endre filattributter;
  • direkte skriving til disk på absolutt adresse;
  • skrive til oppstartssektorer på disken.
Når et program prøver å utføre de angitte handlingene, sender "vaktmannen" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med watchdog-programmer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med annen programvare. Et eksempel på et filterprogram er programmet Vsafe, inkludert i pakken med verktøy for MS DOS-operativsystemet. Vaksiner eller immunisatorer– Dette er residente programmer som forhindrer filinfeksjon. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.Rettidig oppdagelse av virusinfiserte filer og disker og fullstendig ødeleggelse av oppdagede virus på hver datamaskin bidrar til å unngå spredning av en virusepidemi til andre datamaskiner. Antivirussett JSC "Dialog-Science" Blant overfloden av moderne programvareverktøy for å bekjempe datavirus, bør antivirussettet til Dialog-Science JSC foretrekkes, som inkluderer fire programvareprodukter: Aidstest og Doctor Web polyphages (Dr.Web for kort), ADinf disk auditor og ADinf Cure Module behandlingsenhet. La oss ta en kort titt på hvordan og når du skal bruke disse antivirusprogrammene. Aidstest polyfagprogram . Aidstest - Dette er et program som kan oppdage og ødelegge mer enn 1300 datavirus som er mest utbredt i Russland. Versjoner Aidstest blir jevnlig oppdatert og supplert med informasjon om nye virus. Å ringe Aidstest du bør skrive inn kommandoen:AIDSTEST []der banen er stasjonsnavnet, fullt navn eller filspesifikasjon, filgruppemaske:* - alle harddiskpartisjoner,** - alle stasjoner, inkludert nettverks- og CD-ROM-stasjoner; alternativer - enhver kombinasjon av følgende nøkler: /F - fikse infiserte programmer og slette ødelagte; /G - skann alle filer på rad (ikke bare COM, EXE og SYS); /S - sakte arbeid for å søke etter korrupte virus; /X - slett alle filer med brudd i strukturen til viruset; /Q - be om tillatelse til å slette ødelagte filer; /B - ikke tilby å behandle neste diskett. Eksempel 11.27 Aidstest for å sjekke og "behandle" disken I:. Oppdagede infiserte programmer vil bli fikset. Alle filer på disken er gjenstand for skanning. Hvis filen ikke kan fikses, vil programmet be om tillatelse til å slette den: aidstest b: /f/g/q Doctor Web polyfagprogram. Dette programmet er først og fremst utviklet for å bekjempe polymorfe virus som har dukket opp relativt nylig i dataverdenen. Bruk Dr. Web for å skanne disker og fjerne oppdagede virus, vanligvis lik programmet Aidstest. I dette tilfellet er det praktisk talt ingen duplisering av kontroller, siden Aidstest Og Dr.Web arbeid med forskjellige sett med virus. Program Dr.Web kan effektivt bekjempe komplekse mutante virus som er utenfor programmets evner Aidstest. I motsetning til Aidstest program Dr.Web er i stand til å oppdage endringer i sin egen programkode, effektivt identifisere filer infisert med nye, ukjente virus, trenge inn i krypterte og pakkede filer, og også overvinne "vaksinedekselet". Dette oppnås takket være tilstedeværelsen av en ganske kraftig heuristisk analysator. I heuristisk analysemodus, programmet Dr.Web undersøker filer og systemområder på disker, og prøver å oppdage nye eller ukjente virus ved hjelp av kodesekvenser som er karakteristiske for virus. Hvis noen blir funnet, vises en advarsel som indikerer at objektet kan være infisert med et ukjent virus. Tre nivåer av heuristisk analyse er gitt. I heuristisk analysemodus er falske positive mulige, dvs. gjenkjenning av filer som ikke er infisert. "Heuristikk"-nivået innebærer et nivå av kodeanalyse uten tilstedeværelse av falske positiver. Jo høyere nivå av heuristikk, desto høyere prosentandel av feil eller falske positive. De to første nivåene av heuristisk analysator anbefales. Det tredje nivået av heuristisk analyse sørger for ytterligere kontroll av filer for det "mistenkelige" tidspunktet de ble opprettet. Noen virus, når de infiserer filer, angir feil opprettelsestidspunkt, som et tegn på at filene er infisert. For infiserte filer kan for eksempel sekundene være 62, og opprettelsesåret kan økes med 100 år. Inkludert i antivirusprogrammet Dr.Web kan også inkludere tilleggsfiler til hovedvirusdatabasen til programmet, og utvide dets muligheter. Arbeid med programmet Dr. Web mulig i to moduser:
  • i fullskjermsgrensesnittmodus ved hjelp av menyer og dialogbokser;
  • i kommandolinjekontrollmodus.
For engangsbruk, uregelmessig bruk, er den første modusen mer praktisk, men for vanlig bruk for systematisk inngangskontroll av disketter, er det bedre å bruke den andre modusen. Når du bruker den andre modusen, den tilsvarende startkommandoen Dr. Web må inkluderes enten i brukermenyen til Norton Commander-operativskallet, eller i en spesiell batch-fil. Kommandolinje for å starte Dr. Nettet ser slik ut: DrWeb [stasjon: [bane] ] [nøkler] hvor stasjon:X: - en logisk enhet på en harddisk eller en fysisk enhet på en diskett, for eksempel F: eller A:, * - alt logisk enheter på en harddisk, bane - dette er banen eller masken til de nødvendige filene. De viktigste nøklene: /AL - diagnostikk av alle filer på en gitt enhet; /CU[P] - "desinfeksjon" av disker og filer, fjerning av påviste virus; P - fjerning av virus med brukerbekreftelse; /DL - fjerningsfiler som er umulig å behandle korrekt; /NA[nivå] - heuristisk analyse av filer og søk etter ukjente virus i dem, hvor nivået kan ta verdier 0, 1, 2; /RP[filnavn] - registrerer arbeidsloggen til en fil (som standard i fil RAPPORT. WEB);/CL - start programmet i kommandolinjemodus; når du tester filer og systemområder , fullskjermsgrensesnittet brukes ikke;/QU - gå ut til DOS umiddelbart etter testing;/? - viser kort hjelp på skjermen Hvis ingen nøkkel er spesifisert på Dr.Web-kommandolinjen, vil all informasjon for gjeldende lansering bli lest fra DRWEB.INI-konfigurasjonsfilen, som ligger i samme katalog som DRWEB.EXE-filen . Konfigurasjonsfilen opprettes mens du arbeider med programmet Dr.Web ved å bruke kommandoen for å lagre parametrene som kreves for testing. Eksempel 11.28. Kjører et antivirusprogram Dr.Web for kontroll og behandling av disken I:. Oppdagede infiserte filer vil bli "kurert". Alle filer på disken er gjenstand for skanning. Hvis filen ikke kan "kureres", vil programmet be om tillatelse til å slette den. For å søke etter virus bør heuristisk analysenivå 1 brukes. Programmet skal kun kjøres i kommandolinjemodus med exit til DOS etter at testingen er fullført: DrWeb In: /AL /CUP /HA1 /QU / CL Teknologi for arbeid med Dr.-programmet. Web i fullskjermsgrensesnittmodus. For å starte i fullskjermsgrensesnittmodus, skriv bare inn programnavnet på kommandolinjen. Umiddelbart etter innlasting av programmet vil testing av datamaskinens RAM begynne, med mindre det ble deaktivert av de tidligere innstillingene. Testfremdriften vises i testvinduet. Når minnetesten er fullført, stopper den. Du kan fortsette å kjøre programmet hvis du bruker hovedmenyen på den øverste linjen på skjermen. For å aktivere menyen, trykk på tasten .Hovedmenyen inneholder følgende moduser: Dr.WebTest Innstillinger TilleggNår du velger en hvilken som helst modus, åpnes den tilsvarende undermenyen.Undermeny Dr.Web lar deg midlertidig gå ut til DOS, få kort informasjon om Dr.Web-programmet og dets forfatter, eller forlate programmet. Test-undermenyen lar deg utføre grunnleggende operasjoner for å teste og desinfisere filer og disker, samt se rapporter om handlinger utført. Innstillinger-undermenyen brukes til å installere ved å bruke dialogbokser for programinnstillinger, angi søkestier og masker, og lagre parametere i DRWEB.INI-konfigurasjonsfilen. For å koble tilleggsfiler til programmets hovedvirusdatabase, utvide dens evner, modusen Tillegg.Anti-Virus Disk Auditor ADinf. ADinf-inspektøren lar deg oppdage utseendet til et hvilket som helst virus, inkludert stealth-virus, mutantvirus og foreløpig ukjente virus. Program ADinf husker:
  • informasjon om oppstartssektorer;
  • informasjon om mislykkede klynger;
  • lengde og kontrollsummer for filer;
  • dato og klokkeslett filene ble opprettet.
Gjennom hele driften av datamaskinen, programmet ADinf overvåker bevaringen av disse egenskapene. I daglig kontrollmodus ADinf starter automatisk hver dag når du slår på datamaskinen for første gang. Viruslignende endringer er spesielt overvåket og en umiddelbar advarsel utstedes. I tillegg til å overvåke filens integritet ADinf overvåker oppretting og sletting av underkataloger, oppretting, sletting, flytting og omdøping av filer, fremveksten av nye mislykkede klynger, sikkerheten til oppstartssektorer og mye mer. Alle mulige steder for viruset å komme inn i systemet er blokkert. Adinf sjekker disker uten å bruke DOS, leser dem sektor for sektor ved direkte tilgang til BIOS. Takket være denne verifiseringsmetoden ADinf oppdager kamuflerte stealth-virus og gir høyhastighets diskskanning. Behandlingsblokk ADinfCure-modul. ADinfCure-modul - dette er et program som hjelper deg med å "kurere" datamaskinen din fra et nytt virus uten å vente på de nyeste versjonene av Aidstest eller Dr. Web, hvem dette viruset vil være kjent for. Program ADinfCure-modul utnytter det faktum at til tross for det store utvalget av virus, er det svært få forskjellige metoder for å injisere dem i filer. Under normal drift, når Adinf-revisoren lanseres regelmessig, rapporterer den ADinf Cure Module om hvilke filer som har endret seg siden forrige lansering. Adinf Cure Module analyserer disse filene og registrerer informasjon i tabellene som kan være nødvendig for å gjenopprette filen hvis den er infisert med et virus. Hvis en infeksjon har oppstått, vil ADinf legge merke til endringene og ringe igjen Adinf Cure Module, som, basert på å analysere den infiserte filen og sammenligne den med den registrerte informasjonen, vil prøve å gjenopprette den opprinnelige tilstanden til filen. Grunnleggende tiltak for å beskytte mot virus For å unngå å utsette datamaskinen for virus og sikre pålitelig lagring av informasjon på disker, må du følge følgende regler:
  • utstyr datamaskinen med oppdatert antivirusprogramvare, som f.eks Aidstest eller Doktor Web, og stadig oppdatere versjonene deres;
  • Før du leser informasjon som er registrert på andre datamaskiner fra disketter, må du alltid sjekke disse diskettene for virus ved å kjøre antivirusprogrammer på datamaskinen.
  • når du overfører filer i arkivert form til datamaskinen din, må du sjekke dem umiddelbart etter at du har pakket dem ut på harddisken, og begrense skanneområdet til bare nylig innspilte filer;
  • sjekk med jevne mellomrom datamaskinens harddisker for virus ved å kjøre antivirusprogrammer for å teste filer, minne og systemområder på disker fra en skrivebeskyttet diskett, etter å ha lastet operativsystemet også fra en skrivebeskyttet systemdiskett;
  • Beskytt alltid diskettene dine fra å skrive når du arbeider på andre datamaskiner hvis informasjon ikke vil bli registrert på dem;
  • sørg for å lage sikkerhetskopier på disketter av informasjon som er verdifull for deg;
  • ikke la disketter ligge i lommen på stasjon A: når du slår på eller starter operativsystemet på nytt for å forhindre at datamaskinen blir infisert med oppstartsvirus;
  • bruke antivirusprogrammer for inndatakontroll av alle kjørbare filer mottatt fra datanettverk;
  • for å sikre større brukssikkerhet Aidstest Og Doktor Web må kombineres med daglig bruk av Disk Auditor ADinf.


Relaterte publikasjoner