Міністерство Охорони Здоров'я України
Одеський Державний Медичний Університет
Кафедра біофізики, інформатики та медичної апаратури
Курсова робота за темою
«Комп'ютерні віруси»
Студентки 2-го курсу 2-ої групи
Фармацевтичного факультету
Сокирне Ольги
Одеса 2009
ЗМІСТ
ВСТУП
РОЗДІЛ 1. ВЛАСТИВОСТІ КОМП'ЮТЕРНИХ ВІРУСІВ
1.1 Що таке комп'ютерний вірус?
РОЗДІЛ 2. КЛАСИФІКАЦІЯ КОМП'ЮТЕРНИХ ВІРУСІВ
2.1 Навколишнє середовище
2.2 Спосіб зараження
2.3 Ступінь впливі
2.4 Особливості алгоритму
РОЗДІЛ 3. ОСНОВНІ ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ
3.1 Основні шляхи проникнення вірусів
3.2 Виявлення вірусів
РОЗДІЛ 4. МЕТОДИ ЗАХИСТУ ВІД ВІРУСІВ
4.1 Загальні засоби захисту інформації
РОЗДІЛ 5. Характеристиках антивірусна програма
ВИСНОВОК
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
ВСТУП
Комп'ютери стали справжніми помічниками людини і без них вже не може обійтися ні комерційна фірма, ні державна організація. Однак у зв'язку з цим особливо загострилася проблема захисту інформації.
Віруси, що набули широкого поширення в комп'ютерній техніці, розбурхали весь світ. Багато користувачів комп'ютерів стурбовані чутками про те, що за допомогою комп'ютерних вірусів зловмисники зламують мережі, грабують банки, крадуть інтелектуальну власність.
Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди зберiгається в комп'ютері інформації.
Все частіше в засобах масової інформації з'являються повідомлення про різного роду піратських витівках комп'ютерних хуліганів, про появу все більш досконалих саморозмножуються програм. Зовсім недавно зараження вірусом текстових файлів вважалося абсурдом - цим вже нікого не здивуєш. Досить згадати появу "першої ластівки", наробила багато шуму - вірусу WinWord. Concept, який уражує документи у форматі текстового процесора Microsoft Word for Windows 6.0 і 7.0. Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.
Хто ж пише віруси? Основну їх масу створюють студенти та школярі, які тільки що вивчили мову асемблера, хочуть спробувати свої сили, але не можуть знайти для них більш гідного застосування. Тішить той факт, що значна частина таких вірусів їх авторами часто не поширюється, і віруси через деякий час «вмирають» разом з дискетами, на яких зберігаються. Такі віруси пишуться, швидше за все, тільки для самоствердження.
Другу групу складають також молоді люди (частіше - студенти), які ще не повністю оволоділи мистецтвом програмування, але вже вирішили присвятити себе написанню та розповсюдженню вірусів. Єдина причина, що штовхає подібних людей на написання вірусів, це комплекс меншовартості, який проявляє себе в комп'ютерному хуліганстві.
З-під пера подібних «умільців» часто виходять або численні модифікації «класичних» вірусів, або віруси вкрай примітивні і з великою кількістю помилок. Значно полегшилася життя подібних вірусописьменників після виходу конструкторів вірусів, за допомогою яких можна створювати нові віруси навіть при мінімальних знаннях про операційну систему та асемблері, або навіть взагалі не маючи про це жодного уявлення. Їх життя стало ще легше після появи макро-вірусів, оскільки замість складного мови Асемблер для написання 10макро-вірусів досить вивчити досить простий Бейсік.
Ставши старше і досвідченіше, але, так і не подорослішавши, багато хто з подібних вірусописьменників потрапляють у третю, найбільш небезпечну групу, яка створює і запускає в світ «професійні» віруси. Ці дуже ретельно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументовані і мало кому відомі способи проникнення в системні області даних. «Професійні» віруси часто виконані за технологією «стелс» і (або) є поліморфік-вірусами, заражають не тільки файли, але і завантажувальні сектори дисків, а іноді і виконувані файли Windows і OS / 2.
Дещо окремо стоїть четверта група авторів вірусів - «дослідники». Ця група складається з досить кмітливих програмістів, які займаються винаходом принципово нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж придумують способи впровадження в нові операційні системи, конструктори вірусів і поліморфік-генератори. Ці програмісти пишуть віруси не заради власне вірусів, а швидше ради «дослідження» потенціалів «комп'ютерної фауни».
Часто автори подібних вірусів не запускають свої роботи у життя, проте дуже активно пропагують свої ідеї через численні електронні видання, присвячені створенню вірусів. При цьому небезпека від таких «дослідницьких» вірусів не падає - потрапивши до рук «професіоналів» з третьої групи, нові ідеї дуже швидко реалізуються в нові віруси.
Ставлення до авторів вірусів потрійне. По-перше, всі, хто пише віруси або сприяє їх поширенню, є «годувальниками» антивірусної індустрії, річний оборот якої оцінюється як мінімум дві сотні мільйонів доларів або навіть більше того (при цьому не варто забувати, що збитки від вірусів становлять кілька сотень мільйонів доларів щорічно і в рази перевищують витрати на антивірусні програми). Якщо загальна кількість вірусів до кінця 1997 року, швидше за все, досягне 20.000, то неважко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічно складає мінімум 10 тисяч доларів. Звичайно ж, авторам вірусів не слід сподіватися на матеріальну винагороду: як показує практика, їх праця була і залишається безкоштовним. До того ж на сьогоднішній день пропозиція (нові віруси) цілком задовольняє попит (можливості антивірусних фірм з обробки нових вірусів). По-друге, кілька шкода авторів вірусів, особливо «професіоналів». Адже для того, щоб написати подібний вірус, необхідно: a) затратити досить багато сил і часу, причому набагато більше, ніж потрібно для того, щоб розібратися у вірусі, занести його до бази даних або навіть написати спеціальний антивірус; і б) не мати іншого, більш привабливого, заняття. Отже, вирусописатели - «професіонали» досить працездатні і одночасно з цим маються від неробства - ситуація досить сумна.
РОЗДІЛ 1. ВЛАСТИВОСТІ КОМП'ЮТЕРНИХ ВІРУСІВ
1.1 Що таке комп'ютерний вірус
Зараз застосовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка отримала назву комп'ютерного вірусу.
Що таке комп'ютерний вірус? Формальне визначення цього поняття досі не придумано, і є серйозні сумніви, що воно взагалі може бути дано. Численні спроби дати «сучасне» визначення вірусу не привели до успіху. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як про деяке певному класі програм.
Перш за все, вірус - це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на вашому моніторі, але не може перевернути сам монітор. До легенд про віруси-убивць, «знищують операторів за допомогою виводу на екран смертельної кольорової гами 25-м кадром» також не варто ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують «найсвіжіші новини з комп'ютерних фронтів», які при ближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.
Вірус - програма, здатна до самовідтворення. Така здатність є єдиним засобом, властивим всім типам вірусів. Але не тільки віруси здатні до самовідтворення. Будь-яка операційна система і ще безліч програм здатні створювати власні копії. Копії ж вірусу не тільки не зобов'язані повністю збігатися з оригіналом, але, і може взагалі з ним не збігатися! Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус повинен якимось способом забезпечити передачу собі управління.
РОЗДІЛ 2. КЛАСИФІКАЦІЯ КОМП'ЮТЕРНИХ ВІРУСІВ
В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:
-Середовищі існування,
-Способу зараження довкілля,
-Впливу,
-Особливостями алгоритму.
2.1 Навколишнє середовище
У залежності від середовища перебування віруси можна розділити на:
-Мережеві,
-Файлові,
-Завантажувальні,
-Файлово-завантажувальні.
Мережні віруси поширюються по різних комп'ютерних мереж.
Файлові віруси впроваджуються головним чином у виконавчі модулі, тобто у файли, що мають розширення COM та EXE. Файлові віруси можуть впроваджуватися й інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здатність до розмноження.
Завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Re-cord).
Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
2.2 Спосіб зараження
За способом зараження віруси поділяються на:
-Резидентні,
-Нерезидентні.
Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення ОС до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера.
Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.
2.3 Ступінь впливу
За ступенем впливу віруси можна розділити на такі види:
Безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах.
Небезпечні віруси, які можуть призвести до різних порушень в роботі комп'ютера дуже небезпечні, вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.
2.4 Особливості алгоритму
За особливостями алгоритму віруси важко класифікувати за великої різноманітності.
Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені.
Можна відзначити віруси-реплікатори, звані хробаками, які поширюються по комп'ютерних мережах, обчислюють адреси мережних комп'ютерів і записують за цими адресами свої копії.
Відомі віруси-невидимки, звані стелс-вірусами, які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска.
Найбільш важко знайти віруси-мутанти, що містять алгоритми шифрування-розшифрування, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів.
Є й так звані квазівірусние або «троянські» програми, які хоча і не здатні до самопоширення, але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.
РОЗДІЛ 3. ОСНОВНІ ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ
3.1 Основні шляхи проникнення вірусів
Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі й лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може відбутися при завантаженні програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.
Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх його команд знову повернулося до робочої програми. Отримавши доступ до управління, вірус, перш за все, переписує сам себе в іншу робочу програму і заражає її.
Після запуску програми, що містить вірус, стає можливим зараження інших файлів.
Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли.
Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги.
І, нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну.
Таким чином, заразиться все програмне забезпечення.
3.2 Виявлення вірусів
При зараженні комп'ютера вірусом важливо його знайти. Для цього слід знати про основні ознаки прояву вірусів.
До них можна віднести наступні:
-Припинення роботи або неправильна робота раніше успішно функціонуючих програм;
-Повільна робота комп'ютера;
-Неможливість завантаження операційної системи;
-Зникнення файлів і каталогів або перекручування їхнього вмісту;
-Зміна дати і часу модифікації файлів;
-Зміна розмірів файлів;
-Несподіване значне збільшення кількості файлів на диску;
-Істотне зменшення розміру вільної оперативної пам'яті;
-Висновок на екран непередбачених повідомлень або зображень;
-Подача непередбачених звукових сигналів;
-Часті зависання і збої в роботі комп'ютера.
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
Яким би не був вірус, користувачеві необхідно знати основні методи захисту від комп'ютерних вірусів.
РОЗДІЛ 4. МЕТОДИ ЗАХИСТУ ВІД ВІРУСІВ
Для захисту від вірусів можна використовувати:
-Загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм чи хибних дій користувача;
-Профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
-Спеціалізовані програми для захисту від вірусів.
4.1 Загальні засоби захисту інформації
Загальні засоби захисту інформації корисні не тільки для захисту від вірусів. Є дві основні різновиди цих коштів:
а) копіювання інформації - створення копій файлів і системних областей дисків;
б) розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все ж їх недостатньо. Необхідно і застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів: детектори, доктора (фаги), ревізори, доктора-ревізори, фільтри та вакцини (іммунізатори).
ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним з кількох відомих вірусів. Ці програми перевіряють, чи є у файлах на зазначеному користувачем диску специфічна для цього вірусу комбінація байтів. При її виявленні в якомусь файлі на екран виводиться відповідне повідомлення. Багато детектори мають режими лікування або знищення заражених файлів. Слід підкреслити, що програми-детектори можуть виявляти ті віруси, які їй "відомі". Деякі програми-детектори можуть налаштовувати на нові типи вірусів, їм необхідно лише вказати комбінації байтів, властиві цим вірусам. Тим не міння неможливо розробити таку програму, яка могла б виявляти будь-який заздалегідь невідомий вірус.
Одеський Державний Медичний Університет
Кафедра біофізики, інформатики та медичної апаратури
Курсова робота за темою
«Комп'ютерні віруси»
Студентки 2-го курсу 2-ої групи
Фармацевтичного факультету
Сокирне Ольги
Одеса 2009
ЗМІСТ
ВСТУП
РОЗДІЛ 1. ВЛАСТИВОСТІ КОМП'ЮТЕРНИХ ВІРУСІВ
1.1 Що таке комп'ютерний вірус?
РОЗДІЛ 2. КЛАСИФІКАЦІЯ КОМП'ЮТЕРНИХ ВІРУСІВ
2.1 Навколишнє середовище
2.2 Спосіб зараження
2.3 Ступінь впливі
2.4 Особливості алгоритму
РОЗДІЛ 3. ОСНОВНІ ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ
3.1 Основні шляхи проникнення вірусів
3.2 Виявлення вірусів
РОЗДІЛ 4. МЕТОДИ ЗАХИСТУ ВІД ВІРУСІВ
4.1 Загальні засоби захисту інформації
РОЗДІЛ 5. Характеристиках антивірусна програма
ВИСНОВОК
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
ВСТУП
Комп'ютери стали справжніми помічниками людини і без них вже не може обійтися ні комерційна фірма, ні державна організація. Однак у зв'язку з цим особливо загострилася проблема захисту інформації.
Віруси, що набули широкого поширення в комп'ютерній техніці, розбурхали весь світ. Багато користувачів комп'ютерів стурбовані чутками про те, що за допомогою комп'ютерних вірусів зловмисники зламують мережі, грабують банки, крадуть інтелектуальну власність.
Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди зберiгається в комп'ютері інформації.
Все частіше в засобах масової інформації з'являються повідомлення про різного роду піратських витівках комп'ютерних хуліганів, про появу все більш досконалих саморозмножуються програм. Зовсім недавно зараження вірусом текстових файлів вважалося абсурдом - цим вже нікого не здивуєш. Досить згадати появу "першої ластівки", наробила багато шуму - вірусу WinWord. Concept, який уражує документи у форматі текстового процесора Microsoft Word for Windows 6.0 і 7.0. Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.
Хто ж пише віруси? Основну їх масу створюють студенти та школярі, які тільки що вивчили мову асемблера, хочуть спробувати свої сили, але не можуть знайти для них більш гідного застосування. Тішить той факт, що значна частина таких вірусів їх авторами часто не поширюється, і віруси через деякий час «вмирають» разом з дискетами, на яких зберігаються. Такі віруси пишуться, швидше за все, тільки для самоствердження.
Другу групу складають також молоді люди (частіше - студенти), які ще не повністю оволоділи мистецтвом програмування, але вже вирішили присвятити себе написанню та розповсюдженню вірусів. Єдина причина, що штовхає подібних людей на написання вірусів, це комплекс меншовартості, який проявляє себе в комп'ютерному хуліганстві.
З-під пера подібних «умільців» часто виходять або численні модифікації «класичних» вірусів, або віруси вкрай примітивні і з великою кількістю помилок. Значно полегшилася життя подібних вірусописьменників після виходу конструкторів вірусів, за допомогою яких можна створювати нові віруси навіть при мінімальних знаннях про операційну систему та асемблері, або навіть взагалі не маючи про це жодного уявлення. Їх життя стало ще легше після появи макро-вірусів, оскільки замість складного мови Асемблер для написання 10макро-вірусів досить вивчити досить простий Бейсік.
Ставши старше і досвідченіше, але, так і не подорослішавши, багато хто з подібних вірусописьменників потрапляють у третю, найбільш небезпечну групу, яка створює і запускає в світ «професійні» віруси. Ці дуже ретельно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументовані і мало кому відомі способи проникнення в системні області даних. «Професійні» віруси часто виконані за технологією «стелс» і (або) є поліморфік-вірусами, заражають не тільки файли, але і завантажувальні сектори дисків, а іноді і виконувані файли Windows і OS / 2.
Дещо окремо стоїть четверта група авторів вірусів - «дослідники». Ця група складається з досить кмітливих програмістів, які займаються винаходом принципово нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж придумують способи впровадження в нові операційні системи, конструктори вірусів і поліморфік-генератори. Ці програмісти пишуть віруси не заради власне вірусів, а швидше ради «дослідження» потенціалів «комп'ютерної фауни».
Часто автори подібних вірусів не запускають свої роботи у життя, проте дуже активно пропагують свої ідеї через численні електронні видання, присвячені створенню вірусів. При цьому небезпека від таких «дослідницьких» вірусів не падає - потрапивши до рук «професіоналів» з третьої групи, нові ідеї дуже швидко реалізуються в нові віруси.
Ставлення до авторів вірусів потрійне. По-перше, всі, хто пише віруси або сприяє їх поширенню, є «годувальниками» антивірусної індустрії, річний оборот якої оцінюється як мінімум дві сотні мільйонів доларів або навіть більше того (при цьому не варто забувати, що збитки від вірусів становлять кілька сотень мільйонів доларів щорічно і в рази перевищують витрати на антивірусні програми). Якщо загальна кількість вірусів до кінця 1997 року, швидше за все, досягне 20.000, то неважко підрахувати, що дохід антивірусних фірм від кожного вірусу щорічно складає мінімум 10 тисяч доларів. Звичайно ж, авторам вірусів не слід сподіватися на матеріальну винагороду: як показує практика, їх праця була і залишається безкоштовним. До того ж на сьогоднішній день пропозиція (нові віруси) цілком задовольняє попит (можливості антивірусних фірм з обробки нових вірусів). По-друге, кілька шкода авторів вірусів, особливо «професіоналів». Адже для того, щоб написати подібний вірус, необхідно: a) затратити досить багато сил і часу, причому набагато більше, ніж потрібно для того, щоб розібратися у вірусі, занести його до бази даних або навіть написати спеціальний антивірус; і б) не мати іншого, більш привабливого, заняття. Отже, вирусописатели - «професіонали» досить працездатні і одночасно з цим маються від неробства - ситуація досить сумна.
РОЗДІЛ 1. ВЛАСТИВОСТІ КОМП'ЮТЕРНИХ ВІРУСІВ
1.1 Що таке комп'ютерний вірус
Зараз застосовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка отримала назву комп'ютерного вірусу.
Що таке комп'ютерний вірус? Формальне визначення цього поняття досі не придумано, і є серйозні сумніви, що воно взагалі може бути дано. Численні спроби дати «сучасне» визначення вірусу не привели до успіху. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як про деяке певному класі програм.
Перш за все, вірус - це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на вашому моніторі, але не може перевернути сам монітор. До легенд про віруси-убивць, «знищують операторів за допомогою виводу на екран смертельної кольорової гами 25-м кадром» також не варто ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують «найсвіжіші новини з комп'ютерних фронтів», які при ближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.
Вірус - програма, здатна до самовідтворення. Така здатність є єдиним засобом, властивим всім типам вірусів. Але не тільки віруси здатні до самовідтворення. Будь-яка операційна система і ще безліч програм здатні створювати власні копії. Копії ж вірусу не тільки не зобов'язані повністю збігатися з оригіналом, але, і може взагалі з ним не збігатися! Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус повинен якимось способом забезпечити передачу собі управління.
РОЗДІЛ 2. КЛАСИФІКАЦІЯ КОМП'ЮТЕРНИХ ВІРУСІВ
В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:
-Середовищі існування,
-Способу зараження довкілля,
-Впливу,
-Особливостями алгоритму.
2.1 Навколишнє середовище
У залежності від середовища перебування віруси можна розділити на:
-Мережеві,
-Файлові,
-Завантажувальні,
-Файлово-завантажувальні.
Мережні віруси поширюються по різних комп'ютерних мереж.
Файлові віруси впроваджуються головним чином у виконавчі модулі, тобто у файли, що мають розширення COM та EXE. Файлові віруси можуть впроваджуватися й інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не одержують управління і, отже, втрачають здатність до розмноження.
Завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Re-cord).
Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
2.2 Спосіб зараження
За способом зараження віруси поділяються на:
-Резидентні,
-Нерезидентні.
Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення ОС до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера.
Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.
2.3 Ступінь впливу
За ступенем впливу віруси можна розділити на такі види:
Безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах.
Небезпечні віруси, які можуть призвести до різних порушень в роботі комп'ютера дуже небезпечні, вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.
2.4 Особливості алгоритму
За особливостями алгоритму віруси важко класифікувати за великої різноманітності.
Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені.
Можна відзначити віруси-реплікатори, звані хробаками, які поширюються по комп'ютерних мережах, обчислюють адреси мережних комп'ютерів і записують за цими адресами свої копії.
Відомі віруси-невидимки, звані стелс-вірусами, які дуже важко виявити і знешкодити, так як вони перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска.
Найбільш важко знайти віруси-мутанти, що містять алгоритми шифрування-розшифрування, завдяки яким копії одного і того ж вірусу не мають ні одного повторюється ланцюжка байтів.
Є й так звані квазівірусние або «троянські» програми, які хоча і не здатні до самопоширення, але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків.
РОЗДІЛ 3. ОСНОВНІ ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ
3.1 Основні шляхи проникнення вірусів
Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі й лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може відбутися при завантаженні програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.
Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх його команд знову повернулося до робочої програми. Отримавши доступ до управління, вірус, перш за все, переписує сам себе в іншу робочу програму і заражає її.
Після запуску програми, що містить вірус, стає можливим зараження інших файлів.
Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли.
Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги.
І, нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну.
Таким чином, заразиться все програмне забезпечення.
3.2 Виявлення вірусів
При зараженні комп'ютера вірусом важливо його знайти. Для цього слід знати про основні ознаки прояву вірусів.
До них можна віднести наступні:
-Припинення роботи або неправильна робота раніше успішно функціонуючих програм;
-Повільна робота комп'ютера;
-Неможливість завантаження операційної системи;
-Зникнення файлів і каталогів або перекручування їхнього вмісту;
-Зміна дати і часу модифікації файлів;
-Зміна розмірів файлів;
-Несподіване значне збільшення кількості файлів на диску;
-Істотне зменшення розміру вільної оперативної пам'яті;
-Висновок на екран непередбачених повідомлень або зображень;
-Подача непередбачених звукових сигналів;
-Часті зависання і збої в роботі комп'ютера.
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
Яким би не був вірус, користувачеві необхідно знати основні методи захисту від комп'ютерних вірусів.
РОЗДІЛ 4. МЕТОДИ ЗАХИСТУ ВІД ВІРУСІВ
Для захисту від вірусів можна використовувати:
-Загальні засоби захисту інформації, які корисні також і як страховка від фізичного псування дисків, неправильно працюючих програм чи хибних дій користувача;
-Профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;
-Спеціалізовані програми для захисту від вірусів.
4.1 Загальні засоби захисту інформації
Загальні засоби захисту інформації корисні не тільки для захисту від вірусів. Є дві основні різновиди цих коштів:
а) копіювання інформації - створення копій файлів і системних областей дисків;
б) розмежування доступу запобігає несанкціоноване використання інформації, зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.
Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все ж їх недостатньо. Необхідно і застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів: детектори, доктора (фаги), ревізори, доктора-ревізори, фільтри та вакцини (іммунізатори).
ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним з кількох відомих вірусів. Ці програми перевіряють, чи є у файлах на зазначеному користувачем диску специфічна для цього вірусу комбінація байтів. При її виявленні в якомусь файлі на екран виводиться відповідне повідомлення. Багато детектори мають режими лікування або знищення заражених файлів. Слід підкреслити, що програми-детектори можуть виявляти ті віруси, які їй "відомі". Деякі програми-детектори можуть налаштовувати на нові типи вірусів, їм необхідно лише вказати комбінації байтів, властиві цим вірусам. Тим не міння неможливо розробити таку програму, яка могла б виявляти будь-який заздалегідь невідомий вірус.
Таким чином, з того, що програма не орієнтується детекторами як заражена, не випливає, що вона здорова - у ній можуть сидіти який-небудь новий вірус чи злегка модифікована версія старого вірусу, невідомі програмами-детекторів.
Багато програм-детектори не вміють виявляти зараження "невидимими" вірусами, якщо такий вірус активний в пам'яті комп'ютера. Справа в тому, що для читання диска вони використовують функції DOS, що перехоплюються вірусом, який говорить, що все добре. Правда детектори намагаються виявити вірус шляхом перегляду оперативної пам'яті, але проти деяких "хитрих" вірусів це не допомагає. Так що надійний діагноз програми-детектори дають лише під час завантаження DOS з "чистою", захищеної від запису дискети, при цьому копія програми-детектора повинен бути запущена з цієї дискети.
Деякі детектори вміють ловити "невидимі" віруси, навіть коли вони активні. Для цього вони читають диск, не використовуючи виклики DOS. Щоправда, цей метод працює не на всіх дисководах.
Більшість програм-детекторів мають функцію "доктора", тобто вони намагаються повернути заражені файли або області диска у тому початковий стан. Ті файли, які не вдалося відновити, як правило, робляться непрацездатними або видаляються.
Більшість програм-докторів вміють "лікувати" тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Але деякі програми можуть навчатися тільки способам виявлення, а й способам лікування нових вірусів.
ПРОГРАМИ-РЕВІЗОРИ мають стадії роботи. Спочатку вони запам'ятовують відомості про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбивки жорсткого диска). Передбачається, що в цей момент програми та системні області дисків не заражені. Після цього за допомогою програми-ревізора можна в будь-який момент порівняти стан програм і системних областей дисків з вихідним. Про виявлені невідповідності повідомляється користувачеві.
Щоб перевірка стану програм і дисків відбувалася за кожної завантаженні операційної системи, необхідно включити команду запуску програми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг завдати великої шкоди. Більш того, та ж програма-ревізор зможе знайти пошкоджені вірусом файли.
Багато програм-ревізори є досить "інтелектуальними" - вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, змін, внесених вірусом, і не піднімають помилкової тривоги. Справа в тому, що віруси зазвичай змінюють файли дуже специфічним чином і виробляють однакові зміни в різних програмних файлах. Зрозуміло, що в нормальній ситуації такі зміни практично ніколи не зустрічаються, тому програма-ревізор, зафіксувавши факт таких змін, можна з упевненістю повідомити, що вони викликані саме вірусом.
Інші програми часто використовують різні напівзаходи - намагаються виявити вірус в оперативній пам'яті, вимагають виклики з першого рядка файлу AUTOEXEC.BAT, сподіваючись працювати на "чистому" комп'ютері, і т.д. На жаль, проти деяких "хитрих" вірусів все це марно.
Для перевірки того, чи не змінився файл, деякі програми-ревізори перевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси не змінюють довжину заражених файлів. Більш надійна перевірка - прочитати весь файл і обчислити його контрольну суму. Змінити файл так, щоб його контрольна сума не змінилася, практично неможливо.
Останнім часом з'явилися дуже корисні гібриди ревізорів та докторів, тобто ДОКТОРА-РЕВІЗОРИ, - програми, які не тільки виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути їх у початковий стан. Такі програми можуть бути набагато більш універсальними, ніж програми-доктори, оскільки при лікуванні вони використовують заздалегідь збережену інформацію про стан файлів і областей дисків. Це дозволяє йому вилікувати файли навіть від тих вірусів, які не були створені на момент написання програми.
Але вони можуть лікувати не від всіх вірусів, а тільки від тих, які використовують "стандартні", відомі на момент написання програми, механізми зараження файлів.
Існують також програми-фільтри, які розташовуються резидентно в оперативній пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, які використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про них користувача. Користувач може дозволити або заборонити виконання відповідної операції.
Деякі програми-фільтри не "ловлять" підозрілі дії, а перевіряють викликані виконання програми, на наявність вірусів. Це викликає уповільнення роботи комп'ютера.
Проте переваги використання програм-фільтрів дуже великі - вони дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися і щось зіпсувати. Тим самим можна звести збитки від вірусу до мінімуму.
ПРОГРАМИ-вакцини, або іммунізатори, модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми або диски вже зараженими. Ці програми вкрай неефективні.
РОЗДІЛ 5. Характеристиках антивірусна програма
Отже, що ж таке антивірус? Чомусь багато хто вважає, що антивірус може виявити будь-який вірус, тобто, запустивши антивірусну програму або монітор, можна бути абсолютно впевненим у їх надійності. Така точка зору не зовсім вірна. Справа в тому, що антивірус - це теж програма, звичайно, написана професіоналом. Але ці програми здатні розпізнавати і знищувати лише відомі віруси. Тобто антивірус проти конкретного вірусу може бути написаний лише в тому випадку, коли у програміста є в наявності хоча б один примірник цього вірусу. От і йде ця нескінченна війна між авторами вірусів і антивірусів, правда, перших у нашій країні чомусь завжди більше, ніж других. Але й у творців антивірусів є перевага! Справа в тому, що існує велика кількість вірусів, алгоритм яких практично скопійований з алгоритму інших вірусів. Як правило, такі варіації створюють непрофесійні програмісти, які з якихось причин вирішили написати вірус. Для боротьби з такими "копіями" придумано нову зброю - евристичні аналізатори. З їх допомогою антивірус здатний знаходити подібні аналоги відомих вірусів, повідомляючи користувачеві, що у нього, схоже, завівся вірус. Природно, надійність евристичного аналізатора не 100%, але все ж його коефіцієнт корисної дії більше 0,5. Таким чином, в цій інформаційній війні, як, втім, і в будь-який інший, залишаються найсильніші. Віруси, які не розпізнаються антивірусними детекторами, здатні написати тільки найбільш досвідчені й кваліфіковані програмісти.
Таким чином, на 100% захисту від вірусів практично неможливо (мається на увазі, що користувач змінюється дискетами з друзями і грає в ігри, а також отримує інформацію з інших джерел, наприклад з мереж). Якщо ж не вносити інформацію в комп'ютер ззовні, заразитися вірусом неможливо - він не народиться.
Останнім часом стрімко зростає популярність антивірусної програми - Doctor Web. Dr.Web відноситься до класу детекторів - докторів, має так званий "евристичний аналізатор" - алгоритм, що дозволяє виявляти невідомі віруси. "Лікувальна павутиння", як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вірусів-мутантів. Останні при розмноженні модифікують своє тіло так, що не залишається жодної характерною ланцюжка байт, присутня в вихідної версії вірусу.
Управління режимами здійснюється за допомогою ключів. Користувач може вказати програмі, тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, ще, ще і розширену (вказується з допомогою ключа / H). Doctor Web може створювати звіт про роботу (ключ / P), завантажувати знакогенератор Кирилиці (ключ / R), підтримує роботу з програмно-апаратним комплексом Sheriff (ключ / Z).
Але, звичайно, головною особливістю "Лікувальної павутиння" служить наявність евристичного аналізатора, який підключається ключем / S. Балансу між швидкістю і якістю можна домогтися, вказавши ключу рівень евристичного аналізу: 0 - мінімальний, 1 - оптимальний, 2 - максимальний; при цьому, природно, швидкість зменшується пропорційно збільшенню якості. До того ж Dr.Web дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET. Для цього слід вказати ключ / U (при цьому розпакування файлів проведуть на поточному устрої) або / U диск: (де диск: - пристрій, на якому буде здійснюватися розпакування), якщо дискета, з якої запущений Doctor Web захищена від запису. Багато програм упаковані у такий спосіб, хоча користувач може і не підозрювати про це. Якщо ключ / U не встановлено, то Doctor Web може пропустити вірус, заліз в запаковану програму.
Важливою функцією є контроль зараження тестованих файлів резидентним вірусом (ключ / V). При скануванні пам'яті немає стовідсоткової гарантії, що "Лікувальна павутиння" знайде всі віруси, які перебувають там. Так ось, при завданні функції / V Dr.Web намагається перешкодити які залишилися резидентним вірусам, заразити тестовані файли.
Тестування вінчестера Dr.Web-ом займає багато часу, тому кожен користувач може собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше (з опцією / S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки в такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), слід розпакувати його в окремий каталог на жорсткому диску і відразу ж, не відкладаючи, запустити Dr.Web, поставивши йому як параметра замість імені диска повний шлях до цього підкаталогу. І все ж потрібно хоча б раз на два тижні проводити повну перевірку "вінчестера" на віруси із завданням за максимальний рівень евристичного аналізу.
При початковому тестуванні годі вирішувати програмі лікувати файли, в яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, затверджена в антивірусі за шаблон може зіткнутися здорової програмі. Якщо по завершенні тестування Dr.Web видасть повідомлення про те, що знайшов віруси, потрібно запустити його з опцією / P (якщо ця опція була зазначена) для того, щоб подивитися, який файл заражений. Після цього необхідно скопіювати файл на дискету чи електронний диск і спробувати видалити, вказавши "Лікувальної павутинні" ключ / F.
ADinf відноситься до класу програм-ревізорів. Антивірус має високу швидкість роботи, здатний успішно протистояти вірусам, які у пам'яті. Він дозволяє контролювати диск, читаючи його по секторах через BIOS і використовуючи системні переривання DOS, що може перехопити вірус.
Для лікування заражених файлів застосовується модуль ADinf Cure Module, який не входить в пакет ADinf і поставляється окремо. Принцип роботи модуля - збереження невеликий бази даних, яка описує контрольовані файли. Працюючи спільно, ці програми дозволяють виявити і видалити близько 97% файлових вірусів і 100% вірусів у завантажувальному секторі. До прикладу, гучний вірус SatanBug був легко виявлено, і заражені їм файли автоматично відновлені. Причому, навіть ті користувачі, які придбали ADinf і ADinf Cure Module за кілька місяців до появи цього вірусу, змогли легко від нього позбавитися.
На відміну від інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, захищеної від запису дискети. При завантаженні з вінчестера надійність захисту не зменшується.
ADinf має добре виконаний дружній інтерфейс, що реалізований у графічному режимі. Програма працює безпосередньо з відеопам'яттю, минаючи BIOS, при цьому підтримуються всі графічні адаптери. Наявність великої кількості ключів дозволяє користувачеві створити максимально зручну для нього конфігурацію системи. Можна встановити, що саме потрібно контролювати: файли з заданими розширеннями, завантажувальні сектора, наявність збійних кластерів, нові файли на наявність Stealth-вірусів, файли зі списку незмінних і т.д. За своїм бажанням користувач може заборонити перевіряти деякі каталоги (це потрібно, якщо каталоги є робочими і в них весь час відбуваються зміни). Є можливість змінювати спосіб доступу до диска (BIOS, Int13h або Int25h/26h), редагувати список розширень файлів, що перевіряють, а також призначити кожному розширенню власний вьюер, за допомогою якого буде проглядатися файли з цим розширенням. У традиціях сучасного програмного забезпечення реалізована робота з мишею. Як і вся продукція фірми "ДіалогНаука", ADinf підтримує програмно-апаратний комплекс Sheriff.
При інсталяції ADinf до системи є можливість змінити ім'я основного файла ADINF.EXE і ім'я таблиць, при цьому користувач може задати будь-яке ім'я. Це дуже корисна функція, так як останнім часом з'явилося багато вірусів, "полюють" за антивірусами (наприклад, є вірус, який змінює програму Aidstest, що вона замість заставки фірми "ДіалогНаука" пише: "Лозінський - пень"), у тому числі і за ADinf.
Корисною функцією є можливість роботи з DOS, не виходячи з програми. Це буває корисно, коли потрібно запустити зовнішній антивірус для лікування файлу, якщо у користувача немає лікуючого блоку ADinf Cure Module.
Ще одна цікава функція - заборона роботи з системою при виявленні змін диску. Ця функція корисна, коли за терміналами працюють користувачі, які мають ще великого досвіду в спілкуванні з комп'ютером. Такі користувачі, через незнання чи через недбальство, можуть проігнорувати повідомлення ADinf і продовжити роботу, як ні в чому не бувало, що може призвести до тяжких наслідків.
Якщо ж встановлено ключ-Stop в рядку виклику Adinf AUTOEXEC.BAT, то при виявленні змін диску програма зажадає покликати системного програміста, який обслуговує цей термінал, а якщо користувач натисне ESC або ENTER, то система перезавантажиться і все повториться знову.
Принцип роботи ADinf заснований на збереженні в таблиці копії MASTER-BOOT і BOOT секторів, список номерів збійних кластерів, схему дерева каталогів та інформацію про контрольованих файлах. Крім того, програма запам'ятовує і при кожному запуску перевіряє, чи не змінився доступний DOS обсяг оперативної пам'яті (що буває при зараженні більшістю завантажувальних вірусів), кількість встановлених вінчестерів, таблиці параметрів вінчестера в сфері змінних BIOS.
При першому запуску програма запам'ятовує обсяг оперативної пам'яті, знаходить і запам'ятовує адресу обробника переривання Int 13h в BIOS, який буде використовуватися при всіх подальших перевірок, і будує таблиці для перевірених дисків. При цьому перевіряється, показував чи вектор переривання 13h в BIOS перед завантаженням DOS.
При наступних запусках ADinf перевіряє обсяг оперативної пам'яті, доступної DOS, змінні BIOS, завантажувальні сектора, список номерів збійних кластерів (так як деякі віруси, записавшись в кластер, позначають його, як зіпсований, щоб їх не затерли інші дані, а також не виявили примітивні антивіруси). До того ж антивірус шукає знову створені і знищені підкаталоги, нові, віддалені, перейменовані, переміщені і змінені файли (перевіряється зміна довжини та контрольної суми). Якщо ADinf виявить, що, змінився файл зі списку незмінних, або у файлі відбулися зміни без зміни дати і часу, а також наявність у файлу дивній дати (число більше 31, місяць більше 12 або рік більше поточного) або часу (хвилин більше 59, годин більше 23 або секунд більше 59), то він видасть попередження про те, що можливе зараження вірусом.
Якщо виявлені зміни BOOT-секторів, то можна в режимі діалогу порівняти системні таблиці, які були до і після зміни, і за бажанням відновити колишній сектор. Після поновлення змінений сектор зберігається у файлі на диску для подальшого аналізу. Нові збійні кластери (вірніше інформації про них в FAT) можуть з'явитися після запуску будь-яких утиліти, що лікує диск (наприклад, NDD) чи завдяки діям вірусу. Якщо Adinf видав повідомлення, а користувач не запускав ніяких подібних утиліт, то, швидше за все в комп'ютер заліз вірус. При отриманні такого повідомлення слід продовжити перевірку, уважно стежачи за всіма повідомленнями про зміни файлів і завантажувальних секторів. Якщо в системі дійсно вірус, то такі повідомлення не змусять себе довго чекати (бо коли її вірусу перебуватиме в "збійному" кластері, йому ніколи не передасться управління).
Після перевірки ADinf видає зведену таблицю, що повідомляє про зміни на диску. По таблиці можна переміщатися стрілками і переглядати докладну інформацію, натиснувши ENTER на сюжеті пункті. Існує можливість переходу до будь-якого пункту з допомогою "швидких" клавіш. Змінилися файли можна переглянути в класичному режимі (шістнадцятковий дамп / ASCII-коди) за допомогою вбудованого вьюером, який читає диск через BIOS. Можна також скористатися зовнішнім вьюером, попередньо вказавши шлях до нього. Залучивши зовнішній редактор, можна відредагувати змінився файл.
Не зовсім звично виглядає форма, в якій ADinf повідомляє про виявлені підозрілі зміни: замість видачі повідомлення про конкретні зміни виводить червоне вікно зі списком усіх можливих і позначає галочкою пункти, що відповідають змінам, які відбулися в даний момент. Якщо після отримання такого повідомлення натиснути ESC, то програма запитає про подальші дії: оновити інформацію про диск, не оновлювати її, лікувати (за наявності лікуючого модуля ADinf Cure Module) або записати протокол. Для лікування можна скористатися зовнішнім антивірусом, завантаживши його з вікна роботи з DOS, яке викликається комбінацією клавіш ALT + V.
ВИСНОВОК
У висновку хотілося б застерегти від надто завзятої боротьби з комп'ютерними вірусами. Не варто переоцінювати можливостей цих підлих програм. Наприклад, дуже нерозумним буде розпорядження начальника відформатувати всі жорсткі диски на комп'ютерах у відділі тільки через те, що на одному з них було виявлено підозру на такий-то вірус. Це призведе до невиправданої втрати інформації та сильної втрати часу і сил, що, по нанесеному збитку, буде більше, ніж зміг би зробити вірус. Щоденний за пуск повного сканування жорсткого диска на наявність вірусів так само не блискучий крок в профілактиці заражень. Не перетворюйте комп'ютер на неприступну фортецю, озброєну до зубів, а то може не вистачити ресурсів для виконання необхідних завдань. На мій погляд, достатньо встановити на комп'ютері програму Dr.Web. Вона не вимоглива до ресурсів на відміну від Антивірусу Касперського та Norton Antivirusґа, та й бази у неї поповнюються досить часто. Єдиний цивілізований спосіб захисту від вірусів я бачу в дотриманні профілактичних заходів безпеки при роботі на комп'ютері.
А, крім того, навіть якщо вірус все-таки проник на комп'ютер, це не привід для паніки. Методи боротьби з ним описані в багатьох виданнях.
Список використаних джерел:
1. Інформатика. Базовий курс. / Под ред. С. В. Симоновича. - СПб., 2000 р.
2. А. П. Мікляєв, Настільна книга користувача IBM PC 3-видання М.:, "Солон-Р", 2000
3. Симонович С.В., Євсєєв Г.А., Мураховський В.І. Ви купили комп'ютер: Повне керівництво для початківців у запитаннях і відповідях. - М.: АСТ-ПРЕСС КНИГА; Інфорком-Прес, 2001
4. Ковтанюк Ю.С., Солов'ян С.В. Самовчитель роботи на персональному комп'ютері - К.: Юніор, 2001
5. Інформатика: Підручник / за ред. Проф. Н.В. Макарової. - М.: Фінанси і статистика, 1997.
6. Енциклопедія таємниць і сенсацій / Підгот. тексту Ю.М. Петрова. - Мн.: Література, 1996.
7. Безруков Н.Н. Комп'ютерні віруси. - М.: Наука, 1991.
8. Мостовий Д.Ю. Сучасні технології боротьби з вірусами / / Світ ПК. - № 8. - 1993.
Багато програм-детектори не вміють виявляти зараження "невидимими" вірусами, якщо такий вірус активний в пам'яті комп'ютера. Справа в тому, що для читання диска вони використовують функції DOS, що перехоплюються вірусом, який говорить, що все добре. Правда детектори намагаються виявити вірус шляхом перегляду оперативної пам'яті, але проти деяких "хитрих" вірусів це не допомагає. Так що надійний діагноз програми-детектори дають лише під час завантаження DOS з "чистою", захищеної від запису дискети, при цьому копія програми-детектора повинен бути запущена з цієї дискети.
Деякі детектори вміють ловити "невидимі" віруси, навіть коли вони активні. Для цього вони читають диск, не використовуючи виклики DOS. Щоправда, цей метод працює не на всіх дисководах.
Більшість програм-детекторів мають функцію "доктора", тобто вони намагаються повернути заражені файли або області диска у тому початковий стан. Ті файли, які не вдалося відновити, як правило, робляться непрацездатними або видаляються.
Більшість програм-докторів вміють "лікувати" тільки від деякого фіксованого набору вірусів, тому вони швидко застарівають. Але деякі програми можуть навчатися тільки способам виявлення, а й способам лікування нових вірусів.
ПРОГРАМИ-РЕВІЗОРИ мають стадії роботи. Спочатку вони запам'ятовують відомості про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбивки жорсткого диска). Передбачається, що в цей момент програми та системні області дисків не заражені. Після цього за допомогою програми-ревізора можна в будь-який момент порівняти стан програм і системних областей дисків з вихідним. Про виявлені невідповідності повідомляється користувачеві.
Щоб перевірка стану програм і дисків відбувалася за кожної завантаженні операційної системи, необхідно включити команду запуску програми-ревізора в командний файл AUTOEXEC.BAT. Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг завдати великої шкоди. Більш того, та ж програма-ревізор зможе знайти пошкоджені вірусом файли.
Багато програм-ревізори є досить "інтелектуальними" - вони можуть відрізняти зміни у файлах, викликані, наприклад, переходом до нової версії програми, змін, внесених вірусом, і не піднімають помилкової тривоги. Справа в тому, що віруси зазвичай змінюють файли дуже специфічним чином і виробляють однакові зміни в різних програмних файлах. Зрозуміло, що в нормальній ситуації такі зміни практично ніколи не зустрічаються, тому програма-ревізор, зафіксувавши факт таких змін, можна з упевненістю повідомити, що вони викликані саме вірусом.
Інші програми часто використовують різні напівзаходи - намагаються виявити вірус в оперативній пам'яті, вимагають виклики з першого рядка файлу AUTOEXEC.BAT, сподіваючись працювати на "чистому" комп'ютері, і т.д. На жаль, проти деяких "хитрих" вірусів все це марно.
Для перевірки того, чи не змінився файл, деякі програми-ревізори перевіряють довжину файлу. Але ця перевірка недостатня - деякі віруси не змінюють довжину заражених файлів. Більш надійна перевірка - прочитати весь файл і обчислити його контрольну суму. Змінити файл так, щоб його контрольна сума не змінилася, практично неможливо.
Останнім часом з'явилися дуже корисні гібриди ревізорів та докторів, тобто ДОКТОРА-РЕВІЗОРИ, - програми, які не тільки виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути їх у початковий стан. Такі програми можуть бути набагато більш універсальними, ніж програми-доктори, оскільки при лікуванні вони використовують заздалегідь збережену інформацію про стан файлів і областей дисків. Це дозволяє йому вилікувати файли навіть від тих вірусів, які не були створені на момент написання програми.
Але вони можуть лікувати не від всіх вірусів, а тільки від тих, які використовують "стандартні", відомі на момент написання програми, механізми зараження файлів.
Існують також програми-фільтри, які розташовуються резидентно в оперативній пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, які використовуються вірусами для розмноження і нанесення шкоди, і повідомляють про них користувача. Користувач може дозволити або заборонити виконання відповідної операції.
Деякі програми-фільтри не "ловлять" підозрілі дії, а перевіряють викликані виконання програми, на наявність вірусів. Це викликає уповільнення роботи комп'ютера.
Проте переваги використання програм-фільтрів дуже великі - вони дозволяють виявити багато вірусів на самій ранній стадії, коли вірус ще не встиг розмножитися і щось зіпсувати. Тим самим можна звести збитки від вірусу до мінімуму.
ПРОГРАМИ-вакцини, або іммунізатори, модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого виробляється вакцинація, вважає ці програми або диски вже зараженими. Ці програми вкрай неефективні.
РОЗДІЛ 5. Характеристиках антивірусна програма
Отже, що ж таке антивірус? Чомусь багато хто вважає, що антивірус може виявити будь-який вірус, тобто, запустивши антивірусну програму або монітор, можна бути абсолютно впевненим у їх надійності. Така точка зору не зовсім вірна. Справа в тому, що антивірус - це теж програма, звичайно, написана професіоналом. Але ці програми здатні розпізнавати і знищувати лише відомі віруси. Тобто антивірус проти конкретного вірусу може бути написаний лише в тому випадку, коли у програміста є в наявності хоча б один примірник цього вірусу. От і йде ця нескінченна війна між авторами вірусів і антивірусів, правда, перших у нашій країні чомусь завжди більше, ніж других. Але й у творців антивірусів є перевага! Справа в тому, що існує велика кількість вірусів, алгоритм яких практично скопійований з алгоритму інших вірусів. Як правило, такі варіації створюють непрофесійні програмісти, які з якихось причин вирішили написати вірус. Для боротьби з такими "копіями" придумано нову зброю - евристичні аналізатори. З їх допомогою антивірус здатний знаходити подібні аналоги відомих вірусів, повідомляючи користувачеві, що у нього, схоже, завівся вірус. Природно, надійність евристичного аналізатора не 100%, але все ж його коефіцієнт корисної дії більше 0,5. Таким чином, в цій інформаційній війні, як, втім, і в будь-який інший, залишаються найсильніші. Віруси, які не розпізнаються антивірусними детекторами, здатні написати тільки найбільш досвідчені й кваліфіковані програмісти.
Таким чином, на 100% захисту від вірусів практично неможливо (мається на увазі, що користувач змінюється дискетами з друзями і грає в ігри, а також отримує інформацію з інших джерел, наприклад з мереж). Якщо ж не вносити інформацію в комп'ютер ззовні, заразитися вірусом неможливо - він не народиться.
Останнім часом стрімко зростає популярність антивірусної програми - Doctor Web. Dr.Web відноситься до класу детекторів - докторів, має так званий "евристичний аналізатор" - алгоритм, що дозволяє виявляти невідомі віруси. "Лікувальна павутиння", як перекладається з англійської назва програми, стала відповіддю вітчизняних програмістів на навала самомодифицирующихся вірусів-мутантів. Останні при розмноженні модифікують своє тіло так, що не залишається жодної характерною ланцюжка байт, присутня в вихідної версії вірусу.
Управління режимами здійснюється за допомогою ключів. Користувач може вказати програмі, тестувати як весь диск, так і окремі підкаталоги або групи файлів, або ж відмовитися від перевірки дисків і тестувати тільки оперативну пам'ять. У свою чергу можна тестувати або тільки базову пам'ять, або, ще, ще і розширену (вказується з допомогою ключа / H). Doctor Web може створювати звіт про роботу (ключ / P), завантажувати знакогенератор Кирилиці (ключ / R), підтримує роботу з програмно-апаратним комплексом Sheriff (ключ / Z).
Але, звичайно, головною особливістю "Лікувальної павутиння" служить наявність евристичного аналізатора, який підключається ключем / S. Балансу між швидкістю і якістю можна домогтися, вказавши ключу рівень евристичного аналізу: 0 - мінімальний, 1 - оптимальний, 2 - максимальний; при цьому, природно, швидкість зменшується пропорційно збільшенню якості. До того ж Dr.Web дозволяє тестувати файли, вакциновані CPAV, а також упаковані LZEXE, PKLITE, DIET. Для цього слід вказати ключ / U (при цьому розпакування файлів проведуть на поточному устрої) або / U диск: (де диск: - пристрій, на якому буде здійснюватися розпакування), якщо дискета, з якої запущений Doctor Web захищена від запису. Багато програм упаковані у такий спосіб, хоча користувач може і не підозрювати про це. Якщо ключ / U не встановлено, то Doctor Web може пропустити вірус, заліз в запаковану програму.
Важливою функцією є контроль зараження тестованих файлів резидентним вірусом (ключ / V). При скануванні пам'яті немає стовідсоткової гарантії, що "Лікувальна павутиння" знайде всі віруси, які перебувають там. Так ось, при завданні функції / V Dr.Web намагається перешкодити які залишилися резидентним вірусам, заразити тестовані файли.
Тестування вінчестера Dr.Web-ом займає багато часу, тому кожен користувач може собі дозволити витрачати стільки часу на щоденну перевірку всього жорсткого диска. Таким користувачам можна порадити ретельніше (з опцією / S2) перевіряти принесені ззовні дискети. Якщо інформація на дискеті знаходиться в архіві (а останнім часом програми і дані переносяться з машини на машину тільки в такому вигляді; навіть фірми-виробники програмного забезпечення, наприклад Borland, пакують свою продукцію), слід розпакувати його в окремий каталог на жорсткому диску і відразу ж, не відкладаючи, запустити Dr.Web, поставивши йому як параметра замість імені диска повний шлях до цього підкаталогу. І все ж потрібно хоча б раз на два тижні проводити повну перевірку "вінчестера" на віруси із завданням за максимальний рівень евристичного аналізу.
При початковому тестуванні годі вирішувати програмі лікувати файли, в яких вона знайде вірус, оскільки не можна виключити, що послідовність байт, затверджена в антивірусі за шаблон може зіткнутися здорової програмі. Якщо по завершенні тестування Dr.Web видасть повідомлення про те, що знайшов віруси, потрібно запустити його з опцією / P (якщо ця опція була зазначена) для того, щоб подивитися, який файл заражений. Після цього необхідно скопіювати файл на дискету чи електронний диск і спробувати видалити, вказавши "Лікувальної павутинні" ключ / F.
ADinf відноситься до класу програм-ревізорів. Антивірус має високу швидкість роботи, здатний успішно протистояти вірусам, які у пам'яті. Він дозволяє контролювати диск, читаючи його по секторах через BIOS і використовуючи системні переривання DOS, що може перехопити вірус.
Для лікування заражених файлів застосовується модуль ADinf Cure Module, який не входить в пакет ADinf і поставляється окремо. Принцип роботи модуля - збереження невеликий бази даних, яка описує контрольовані файли. Працюючи спільно, ці програми дозволяють виявити і видалити близько 97% файлових вірусів і 100% вірусів у завантажувальному секторі. До прикладу, гучний вірус SatanBug був легко виявлено, і заражені їм файли автоматично відновлені. Причому, навіть ті користувачі, які придбали ADinf і ADinf Cure Module за кілька місяців до появи цього вірусу, змогли легко від нього позбавитися.
На відміну від інших антивірусів Advansed Diskinfoscope не вимагає завантаження з еталонною, захищеної від запису дискети. При завантаженні з вінчестера надійність захисту не зменшується.
ADinf має добре виконаний дружній інтерфейс, що реалізований у графічному режимі. Програма працює безпосередньо з відеопам'яттю, минаючи BIOS, при цьому підтримуються всі графічні адаптери. Наявність великої кількості ключів дозволяє користувачеві створити максимально зручну для нього конфігурацію системи. Можна встановити, що саме потрібно контролювати: файли з заданими розширеннями, завантажувальні сектора, наявність збійних кластерів, нові файли на наявність Stealth-вірусів, файли зі списку незмінних і т.д. За своїм бажанням користувач може заборонити перевіряти деякі каталоги (це потрібно, якщо каталоги є робочими і в них весь час відбуваються зміни). Є можливість змінювати спосіб доступу до диска (BIOS, Int13h або Int25h/26h), редагувати список розширень файлів, що перевіряють, а також призначити кожному розширенню власний вьюер, за допомогою якого буде проглядатися файли з цим розширенням. У традиціях сучасного програмного забезпечення реалізована робота з мишею. Як і вся продукція фірми "ДіалогНаука", ADinf підтримує програмно-апаратний комплекс Sheriff.
При інсталяції ADinf до системи є можливість змінити ім'я основного файла ADINF.EXE і ім'я таблиць, при цьому користувач може задати будь-яке ім'я. Це дуже корисна функція, так як останнім часом з'явилося багато вірусів, "полюють" за антивірусами (наприклад, є вірус, який змінює програму Aidstest, що вона замість заставки фірми "ДіалогНаука" пише: "Лозінський - пень"), у тому числі і за ADinf.
Корисною функцією є можливість роботи з DOS, не виходячи з програми. Це буває корисно, коли потрібно запустити зовнішній антивірус для лікування файлу, якщо у користувача немає лікуючого блоку ADinf Cure Module.
Ще одна цікава функція - заборона роботи з системою при виявленні змін диску. Ця функція корисна, коли за терміналами працюють користувачі, які мають ще великого досвіду в спілкуванні з комп'ютером. Такі користувачі, через незнання чи через недбальство, можуть проігнорувати повідомлення ADinf і продовжити роботу, як ні в чому не бувало, що може призвести до тяжких наслідків.
Якщо ж встановлено ключ-Stop в рядку виклику Adinf AUTOEXEC.BAT, то при виявленні змін диску програма зажадає покликати системного програміста, який обслуговує цей термінал, а якщо користувач натисне ESC або ENTER, то система перезавантажиться і все повториться знову.
Принцип роботи ADinf заснований на збереженні в таблиці копії MASTER-BOOT і BOOT секторів, список номерів збійних кластерів, схему дерева каталогів та інформацію про контрольованих файлах. Крім того, програма запам'ятовує і при кожному запуску перевіряє, чи не змінився доступний DOS обсяг оперативної пам'яті (що буває при зараженні більшістю завантажувальних вірусів), кількість встановлених вінчестерів, таблиці параметрів вінчестера в сфері змінних BIOS.
При першому запуску програма запам'ятовує обсяг оперативної пам'яті, знаходить і запам'ятовує адресу обробника переривання Int 13h в BIOS, який буде використовуватися при всіх подальших перевірок, і будує таблиці для перевірених дисків. При цьому перевіряється, показував чи вектор переривання 13h в BIOS перед завантаженням DOS.
При наступних запусках ADinf перевіряє обсяг оперативної пам'яті, доступної DOS, змінні BIOS, завантажувальні сектора, список номерів збійних кластерів (так як деякі віруси, записавшись в кластер, позначають його, як зіпсований, щоб їх не затерли інші дані, а також не виявили примітивні антивіруси). До того ж антивірус шукає знову створені і знищені підкаталоги, нові, віддалені, перейменовані, переміщені і змінені файли (перевіряється зміна довжини та контрольної суми). Якщо ADinf виявить, що, змінився файл зі списку незмінних, або у файлі відбулися зміни без зміни дати і часу, а також наявність у файлу дивній дати (число більше 31, місяць більше 12 або рік більше поточного) або часу (хвилин більше 59, годин більше 23 або секунд більше 59), то він видасть попередження про те, що можливе зараження вірусом.
Якщо виявлені зміни BOOT-секторів, то можна в режимі діалогу порівняти системні таблиці, які були до і після зміни, і за бажанням відновити колишній сектор. Після поновлення змінений сектор зберігається у файлі на диску для подальшого аналізу. Нові збійні кластери (вірніше інформації про них в FAT) можуть з'явитися після запуску будь-яких утиліти, що лікує диск (наприклад, NDD) чи завдяки діям вірусу. Якщо Adinf видав повідомлення, а користувач не запускав ніяких подібних утиліт, то, швидше за все в комп'ютер заліз вірус. При отриманні такого повідомлення слід продовжити перевірку, уважно стежачи за всіма повідомленнями про зміни файлів і завантажувальних секторів. Якщо в системі дійсно вірус, то такі повідомлення не змусять себе довго чекати (бо коли її вірусу перебуватиме в "збійному" кластері, йому ніколи не передасться управління).
Після перевірки ADinf видає зведену таблицю, що повідомляє про зміни на диску. По таблиці можна переміщатися стрілками і переглядати докладну інформацію, натиснувши ENTER на сюжеті пункті. Існує можливість переходу до будь-якого пункту з допомогою "швидких" клавіш. Змінилися файли можна переглянути в класичному режимі (шістнадцятковий дамп / ASCII-коди) за допомогою вбудованого вьюером, який читає диск через BIOS. Можна також скористатися зовнішнім вьюером, попередньо вказавши шлях до нього. Залучивши зовнішній редактор, можна відредагувати змінився файл.
Не зовсім звично виглядає форма, в якій ADinf повідомляє про виявлені підозрілі зміни: замість видачі повідомлення про конкретні зміни виводить червоне вікно зі списком усіх можливих і позначає галочкою пункти, що відповідають змінам, які відбулися в даний момент. Якщо після отримання такого повідомлення натиснути ESC, то програма запитає про подальші дії: оновити інформацію про диск, не оновлювати її, лікувати (за наявності лікуючого модуля ADinf Cure Module) або записати протокол. Для лікування можна скористатися зовнішнім антивірусом, завантаживши його з вікна роботи з DOS, яке викликається комбінацією клавіш ALT + V.
ВИСНОВОК
У висновку хотілося б застерегти від надто завзятої боротьби з комп'ютерними вірусами. Не варто переоцінювати можливостей цих підлих програм. Наприклад, дуже нерозумним буде розпорядження начальника відформатувати всі жорсткі диски на комп'ютерах у відділі тільки через те, що на одному з них було виявлено підозру на такий-то вірус. Це призведе до невиправданої втрати інформації та сильної втрати часу і сил, що, по нанесеному збитку, буде більше, ніж зміг би зробити вірус. Щоденний за пуск повного сканування жорсткого диска на наявність вірусів так само не блискучий крок в профілактиці заражень. Не перетворюйте комп'ютер на неприступну фортецю, озброєну до зубів, а то може не вистачити ресурсів для виконання необхідних завдань. На мій погляд, достатньо встановити на комп'ютері програму Dr.Web. Вона не вимоглива до ресурсів на відміну від Антивірусу Касперського та Norton Antivirusґа, та й бази у неї поповнюються досить часто. Єдиний цивілізований спосіб захисту від вірусів я бачу в дотриманні профілактичних заходів безпеки при роботі на комп'ютері.
А, крім того, навіть якщо вірус все-таки проник на комп'ютер, це не привід для паніки. Методи боротьби з ним описані в багатьох виданнях.
Список використаних джерел:
1. Інформатика. Базовий курс. / Под ред. С. В. Симоновича. - СПб., 2000 р.
2. А. П. Мікляєв, Настільна книга користувача IBM PC 3-видання М.:, "Солон-Р", 2000
3. Симонович С.В., Євсєєв Г.А., Мураховський В.І. Ви купили комп'ютер: Повне керівництво для початківців у запитаннях і відповідях. - М.: АСТ-ПРЕСС КНИГА; Інфорком-Прес, 2001
4. Ковтанюк Ю.С., Солов'ян С.В. Самовчитель роботи на персональному комп'ютері - К.: Юніор, 2001
5. Інформатика: Підручник / за ред. Проф. Н.В. Макарової. - М.: Фінанси і статистика, 1997.
6. Енциклопедія таємниць і сенсацій / Підгот. тексту Ю.М. Петрова. - Мн.: Література, 1996.
7. Безруков Н.Н. Комп'ютерні віруси. - М.: Наука, 1991.
8. Мостовий Д.Ю. Сучасні технології боротьби з вірусами / / Світ ПК. - № 8. - 1993.