Ім'я файлу: Новый документ (2).docx Розширення: docx Розмір: 307кб. Дата: 27.10.2022 скачати Пов'язані файли: d6.docx ВСТУП КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯ Властивості комп'ютерних вірусів Класифікація вірусів ОСНОВНІ ВИДИ ВІРУСІВ І СХЕМИ ЇХ ФУНКЦІОНУВАННЯ Завантажувальні віруси Файлові віруси Завантажувальний-файлові віруси Поліморфні віруси ІСТОРІЯ КОМП'ЮТЕРНОЇ ВІРУСОЛОГІЇ І ПРИЧИНИ ПОЯВИ ВІРУСІВ ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ В КОМП'ЮТЕР І МЕХАНІЗМ РОЗПОДІЛУ ВІРУСНИХ ПРОГРАМ ОЗНАКИ ПОЯВИ ВІРУСІВ ВИЯВЛЕННЯ ВІРУСІВ І МЕРА ПО ЗАХИСТУ І ПРОФІЛАКТИЦІ Як виявити вірус? Традиційний підхід Програми виявлення і захисту від вірусів Основні заходи по захисту від вірусів ВИСНОВОК БІБЛІОГРАФІЧНИЙ СПИСОК Ми живемо на стику двох тисячоліть, коли людство вступило в епоху нової науково-технічної революції. До кінця двадцятого століття люди опанували багатьма таємницями перетворення речовини і енергії і зуміли використовувати ці знання для поліпшення свого життя. Але окрім речовини і енергії в житті людини величезну роль грає ще одна складова - інформація. Це найрізноманітніші відомості, повідомлення, вісті, знання, уміння. В середині нашого сторіччя з'явилися спеціальні пристрої - комп'ютери, орієнтовані на зберігання і перетворення інформації і відбулася комп'ютерна революція. Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм-вірусів, що самовідтворювалися, перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і що завдають збитку інформації, що зберігається в комп'ютері. Не дивлячись на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них. Це і послужило стимулом для вибору теми моєї роботи. Саме про це я розповідаю в своєму рефераті. Я показую основні види вірусів, розглядаю схеми їх функціонування, причини їх появи і шляху проникнення в комп'ютер, а також пропоную заходи по захисту і профілактиці. Мета роботи - ознайомити користувача з основами комп'ютерної вірусології, навчити виявляти віруси і боротися з ними. Метод роботи - аналіз друкарських видань по даній темі. Переді мною встало непросте завдання - розповісти про те, що ще дуже мало досліджувалося, і як це вийшло - судити вам. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯВластивості комп'ютерних вірусівЗараз застосовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка отримала назву комп'ютерного вірусу. Що таке комп'ютерний вірус? Формальне визначення цього поняття до цих пір не придумане, і є серйозні сумніви, що воно взагалі може бути дане. Численні спроби дати «сучасне» визначення вірусу не привели до успіху. Щоб відчути всю складність проблеми, спробуйте наприклад, дати визначення поняття «редактор». Ви або придумаєте щось дуже загальне, або почнете перераховувати всі відомі типи редакторів. І те і інше навряд чи можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як про деякий певний клас програм. Перш за все вірус - це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на вашому моніторі, але не може перевернути сам монітор. До легенд про віруси-вбивці, «нищівних операторів за допомогою виводу на екран смертельної колірної гамми 25-м кадром» також не варто відноситися серйозно. На жаль, деякі авторитетні видання час від часу публікують «найсвіжіші новини з комп'ютерних фронтів», які при найближчому розгляді виявляються наслідком не цілком ясного розуміння предмету. Вірус - програма, що володіє здібністю до самовідтворення. Така здатність є єдиним засобом, властивим всім типам вірусів. Але не тільки віруси здібні до самовідтворення. Будь-яка операційна система і ще безліч програм здатні створювати власні копії. Копії ж вірусу не тільки не зобов'язані повністю співпадати з оригіналом, але і можуть взагалі з ним не співпадати! Вірус не може існувати в «повній изоляции»:сегодня не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус винен яким-небудь способом забезпечити передачу собі управління. Класифікація вірусівВ даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за наступними ознаками: місцю існування способу зараження місця існування дії особливостям алгоритму Залежно від місця існування віруси можна розділити на мережеві, файлові, завантажувальні і файловий-завантажувальні. Мережеві віруси розповсюджуються по різних комп'ютерних мережах. Файлові віруси упроваджуються головним чином у виконувані модулі, тобто У файли, що мають розширення COM і EXE. Файлові віруси можуть упроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здібність до розмноження. Завантажувальні віруси упроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record). Файловий-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків. За способом зараження віруси діляться на резидентні і нерезидентні. Резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлам, завантажувальним секторам дисків і т. п.) і упроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до виключення або перезавантаження комп'ютера. Нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час. По ступеню дії віруси можна розділити на наступні види: безпечні, такі, що не заважають роботі комп'ютера, але що зменшують об'єм вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера дуже небезпечні, дія яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска. По особливостях алгоритму віруси важко класифікувати із-за великої різноманітності. Прості віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути достатньо легко виявлені і знищені. Можна відзначити віруси-реплікатори, звані черв'яками, які розповсюджуються по комп'ютерних мережах, обчислюють адреси мережевих комп'ютерів і записують за цими адресами свої копії. Відомі віруси-невидимки, звані стелс-вірусами, які дуже важко виявити і знешкоджувати, оскільки вони перехоплюють звернення операційної системи до уражених файлів і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найважче виявити віруси-мутанти, що містять алгоритми шифровки-розшифровки, завдяки яким копії одного і того ж вірусу не мають жодного ланцюжка байтів, що повторюється. Є і так звані квазівірусні або «троянські» програми, які хоч і не здібні до саморозповсюдження, але дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків. ОСНОВНІ ВИДИ ВІРУСІВ І СХЕМИ ЇХ ФУНКЦІОНУВАННЯСеред всієї різноманітності вірусів можна виділити наступні основні групи: завантажувальні файлові файловий-завантажувальні Тепер детальніше про кожну з цих груп. Завантажувальні вірусиРозглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б при строгому розборі алгоритму його функціонування. Що відбувається, коли ви включаєте комп'ютер? Насамперед управління передається програмі початкового завантаження, яке зберігається в пристрої (ПЗП), що постійно запам'ятовує, тобто ПНЗ ПЗП. Ця програма тестує устаткування і при успішному завершенні перевірок намагається знайти дискету в дисководі А: Всяка дискета розмічена на т.з. сектори і доріжки. Сектори об'єднуються в кластери, але це для нас неістотно. Серед секторів є декілька службових, використовуваних операційною системою для власних потреб (у цих секторах не можуть розміщуватися ваші дані). Серед службових секторів нас поки цікавить один - т.з. сектор початкового завантаження (boot-sector). У секторі початкового завантаження зберігається інформація про дискету - кількість поверхонь, кількість доріжок, кількість секторів і ін. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження (ПНЗ), яке повинне завантажити саму операційну систему і передати їй управління. Таким чином, нормальна схема початкового завантаження наступна: ПНЗ (ПЗП) - ПНЗ (диск) - СИСТЕМА Тепер розглянемо вірус. У завантажувальних вірусах виділяють дві частини - т.з. голову і т.з. хвіст. Хвіст, взагалі кажучи, може бути порожнім. Хай у вас є чиста дискета і заражений комп'ютер, під яким ми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з'явилася відповідна жертва - в нашому випадку не захищена від запису і ще не заражена дискета, він приступає до зараження. Заражаючи дискету, вірус проводить наступні дії: виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, в простому і традиційному випадку зайняті вірусом сектори позначаються як збійні (bad) копіює у виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор заміщає програму початкового завантаження в завантажувальному секторі (сьогоденні) своєю головою організовує ланцюжок передачі управління згідно схемі. Таким чином, голова вірусу тепер першою отримує управління, вірус встановлюється в пам'ять і передає управління оригінальному завантажувальному сектору. У ланцюжку ПНЗ (ПЗП) - ПНЗ (диск) - СИСТЕМА з'являється нова ланка: ПНЗ (ПЗП) - ВІРУС - ПНЗ (диск) - СИСТЕМА Мораль ясна: ніколи не залишайте (випадково) дискет в дисководі А. Ми розглянули схему функціонування простого бутового вірусу, що живе в завантажувальних секторах дискет. Як правило, віруси здатні заражати не тільки завантажувальні сектори дискет, але і завантажувальні сектори вінчестерів. При цьому на відміну від дискет на вінчестері є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера першої бере на себе управління програма початкового завантаження в MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на декілька розділів, то лише один з них помічений як завантажувальний (boot). Програма початкового завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньою співпадає з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів - програма початкового завантаження в MBR і програмі початкового завантаження в бут-секторе завантажувального диска. Файлові вірусиРозглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які практично завжди резидентні, файлові віруси зовсім не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Хай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує управління, проводить деякі дії і передає управління «господареві» (хоча ще невідомо, хто в такій ситуації господар). Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - відповідний за типом файл, який ще не заражений (в тому випадку, якщо вірус «пристойний», а то попадаються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус упроваджується в його код, щоб отримати управління при запуску цього файлу. Окрім своєї основної функції - розмноження, вірус цілком може зробити що-небудь хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний,, то він встановиться в пам'ять і дістане можливість заражати файли і проявляти інші здібності не тільки під час роботи зараженого файлу. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження виконуваного файлу завжди можна виявити. Але, змінюючи код файлу, вірус не обов'язково вносить інші зміни: він не зобов'язаний міняти довжину файлу невживані ділянки коди не зобов'язаний міняти початок файлу Нарешті, до файлових вірусів часто відносять віруси, які «мають деяке відношення до файлів», але не зобов'язані упроваджуватися в їх код. Розглянемо як приклад схему функціонування вірусів відомого сімейства DIR-II. Не можна не визнати, що з'явившись в 1991 р., ці віруси стали причиною справжньої епідемії чуми в Росії. Розглянемо модель, на якій ясно видно основна ідея вірусу. Інформація про файли зберігається в каталогах. Кожен запис каталогу включає ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластера файлу і т.з. резервні байти. Останні залишені «про запас» і самим MS-DOS не використовуються. При запуску виконуваних файлів система прочитує із запису в каталозі перший кластер файлу і далі решту всіх кластерів. Віруси сімейства DIR-II проводять наступну «реорганізацію» файлової системи: сам вірус записується в деякі вільні сектори диска, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластери виконуваних файлів в резервних бітах, а на місце цієї інформації записує посилання на себе. Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентний встановлюється в пам'ять і передає управління викликаному файлу. Завантажувальний-файлові вірусиМи не станемо розглядати модель завантажувальний-файлового вірусу, бо ніякій новій інформації ви при цьому не дізнаєтеся. Але тут представляється слушна нагода стисло обговорити украй «популярний» останнім часом завантажувальний-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія - шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а зашифрувавши половину жорсткого диска, радісно повідомляє про це. Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану ним інформацію. Найбільш «смертельна» дія - просто переписати новий здоровий MBR. Головне - не панікуйте. Зважте все спокійно, порадьтеся з фахівцями. Поліморфні вірусиБільшість питань пов'язана з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним. Пояснимо ж, що це таке. Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два екземпляри одного і того ж вірусу можуть не співпадати ні в одному біті. Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровує, що відрізняє їх від звичайних шифрувальних вірусів, які також можуть шифрувати ділянки своєї коди, але мають при цьому постійний код шифрувальника і розшифровує. Поліморфні віруси - це віруси з тими, що розшифровують, що самомодифікуються. Мета такого шифрування: маючи заражений і оригінальний файли ви все одно не зможете проаналізувати його код за допомогою звичайного дизасемблювання. Цей код зашифрований і є безглуздим набором команд. Розшифровка проводиться самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку «по ходу справи», може знов шифрувати вже відпрацьовані ділянки. Все це робиться ради утруднення аналізу коди вірусу. ІСТОРІЯ КОМП'ЮТЕРНОЇ ВІРУСОЛОГІЇ І ПРИЧИНИ ПОЯВИ ВІРУСІВІсторія комп'ютерної вірусології представляється сьогодні постійною «гонкою за лідером», причому, не дивлячись на всю потужність сучасних антивірусних програм, лідерами є саме віруси. Серед тисяч вірусів лише декілька десятків є оригінальними розробками, що використовують дійсно принципово нові ідеї. Всі остальные - «варіації на тему». Але кожна оригінальна розробка примушує творців антивірусів пристосовуватися до нових умов, наздоганяти вірусну технологію. Останнє можна оспорити. Наприклад, в 1989 році американський студент зумів створити вірус, який вивів з ладу близько 6000 комп'ютерів Міністерства оборони США. Або епідемія відомого вірусу DIR-II, що вибухнула в 1991 році. Вірус використовував дійсно оригінальну, принципово нову технологію і на перших порах зумів широко розповсюдитися за рахунок недосконалості традиційних антивірусних засобів. Або сплеск комп'ютерних вірусів у Великобританії : Крістоферу Пайну вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме останній був найнебезпечнішим, його можна було накладати на перші два віруси, і через це після кожного прогону програми вони міняли конфігурацію. Тому їх було неможливо знищити. Щоб розповсюдити віруси, Пайн скопіював комп'ютерні ігри і програми, заразив їх, а потім відправив назад в мережу. Користувачі завантажували в свої комп'ютери заражені програми і інфікували диски. Ситуація посилилася тим, що Пайн вмудрився занести віруси і в програму, яка з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували ще один. В результаті цього були знищені файли безлічі фірм, збитки склали мільйони фунтів стерлінгів. Широку популярність здобув американський програміст Моріс. Він відомий як творець вірусу, який в листопаді 1988 року заразив порядка 7 тисяч персональних комп'ютерів, підключених до Internet. Причини появи і розповсюдження комп'ютерних вірусів, з одного боку, ховаються в психології людської особи і її тіньових сторонах (заздрість, мести, пихатості невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту і протидії з боку операційної системи персонального комп'ютера. ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ В КОМП'ЮТЕР І МЕХАНІЗМ РОЗПОДІЛУ ВІРУСНИХ ПРОГРАМОсновними шляхами проникнення вірусів в комп'ютер є знімні диски (гнучкі і лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може відбутися при завантаженні програми з дискети, що містить вірус. Таке зараження може бути і випадковим, наприклад, якщо дискету не вийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст. Вірус, як правило, упроваджується в робочу програму так, щоб при її запуску управління спочатку передалося йому і лише після виконання всіх його команд знову повернулося до робочої програми. Діставши доступ до управління, вірус перш за все переписує сам себе в іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, BAT. Украй рідко заражаються текстові файли. Після зараження програми вірус може виконати яку-небудь диверсію, не дуже серйозну, щоб не привернути уваги. І нарешті, не забуває повернути управління тій програмі, з якої був запущений. Кожне виконання зараженої програми переносить вірус в наступну. Таким чином, заразиться все програмне забезпечення. Для ілюстрації процесу зараження комп'ютерної програми вірусом має сенс уподібнити дискову пам'ять старомодному архіву з теками на тасьмі. У теках розташовані програми, а послідовність операцій по впровадженню вірусу в цьому випадку виглядатиме таким чином.( див. Додаток 1 )
|