Вирусы и антивирусы


>

Слайды и текст этой презентации

Слайд №1

Компьютерные вирусы и антивирусные программыАвтор:
преподаватель информатики
МОУ «Центр образования» г.Урюпинска Волгоградской области
Меринова Елена Васильевна

Слайд №2

Слайд №3

Слайд №4

Слайд №5

Слайд №6

Слайд №7

Слайд №8

Слайд №9

Слайд №10

Что же общего между биологическим и компьютерным вирусами?Способность к размножению.
Вред для здоровья человека и нежелательные действия для компьютера.
Скрытность, т.к. вирусы имеют инкубационный период.

Слайд №11

ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВПервый прототип вируса появился еще в 1971г.. Программист Боб Томас, пытаясь решить задачу передачи информации с одного компьютера на другой, создал программу Creeper, самопроизвольно «перепрыгивавшую» с одной машины на другую в сети компьютерного центра.
Правда эта программа не
саморазмножалась, не
наносила ущерба.

Слайд №12

ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВПервые исследования саморазмно-жающихся искусственных конструкций проводилась в середине прошлого столетия учеными
фон Нейманом и
Винером.

Слайд №13

Джон фон Нейман
(1903 — 1957)Норберт Винер
(1894 — 1964)Фред Коэн
1984

Слайд №14

После заражения компьютера вирус может активизироваться и начать выполнять вредные действия по уничтожению программ и данных.
Активизация вируса может быть связана с различными событиями:
наступлением определённой даты или дня недели
запуском программы
открытием документа…ЧЕМ ОПАСЕН КОМПЬЮТЕРНЫЙ ВИРУС?

Слайд №15

Признаки заражения

Слайд №16

общее замедление работыобщее замедление работы
компьютера и уменьшение
размера свободной оперативной
памяти;
некоторые программы перестают
работать или появляются различ-
ные ошибки в программах;
на экран выводятся посторонние символы и сообщения, появляются различные звуковые и видеоэффекты;
размер некоторых исполнимых файлов и время их создания изменяются;
некоторые файлы и диски оказываются испорченными;
компьютер перестает загружаться с жесткого диска.

Слайд №17

Классификация компьютерных вирусов

Слайд №18

Слайд №19

Слайд №20

Слайд №21

Слайд №22

По способу заражения файловые вирусы разделяются на:Перезаписывающие вирусы. Записывают свое тело вместо кода программы, не изменяя название исполняемого файла, вследствие чего программа перестает запускаться.
Вирусы-компаньоны. Создают свою копию на месте заражаемой программы, но не уничтожают оригинальный файл, а переименовывают его или перемещают. При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе.
Файловые черви создают собственные копии с привлекательными для пользователя названиями в надежде, что он их запустит.
Вирусы-звенья не изменяют код программы, а заставляют ОС выполнить свой код, изменяя адрес местоположения на диске зараженной программы, на собственный адрес.

Слайд №23

По способу заражения файловые вирусы разделяются на:5. Паразитические вирусы изменяют содержимое файла, добавляя в него свой код. При этом зараженная программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы.
6. Вирусы, поражающие исходный код программы. Вирусы данного типа поражают исходный код программы или ее компоненты (.OBJ, .LIB, .DCU). После компиляции программы оказываются встроенными в неё.

Слайд №24

Слайд №25

Слайд №26

Слайд №27

Сетевые вирусыСетевые черви – программы, распространяющие свои копии по локальным или глобальным сетям с целью:
проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие

Слайд №28

Сетевые вирусыТроянские программы. «Троянский конь» употребляется в значении: тайный, коварный замысел. Эти программы осуществляют различные несанкционированные пользователем действия:
сбор информации и ее передача злоумышленникам;
разрушение информации или злонамерная модификация;
нарушение работоспособности компьютера;
использование ресурсов компьютера в неблаговидных целях.

Слайд №29

Сетевые вирусыХакерские утилиты и прочие вредоносные программы.
К данной категории относятся:
утилиты автоматизации создания вирусов, червей и троянских программ;
программные библиотеки, разработанные для создания вредоносного ПО;
хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки;
программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удаленным компьютерам.

Слайд №30

Слайд №31

Особенности алгоритма работыРезидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора.
Использование стел-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.

Слайд №32

Особенности алгоритма работыСамошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы — это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.

Слайд №33

Слайд №34

По деструктивным особенностям вирусы можно разделить на:безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные, в алгоритмах работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров.

Слайд №35

Слайд №36

Пути проникновения вирусов

Слайд №37

Глобальная сеть InternetГлобальная сеть Internet
Электронная почта
Локальная сеть
Компьютеры «Общего назначения»
Пиратское программное обеспечение
Ремонтные службы
Съемные накопители

Слайд №38

Пути проникновения вирусовГлобальная сеть Интернет
Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Возможно заражение через страницы Интернет ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компоненты, Java-апплетов. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта, а ничего не подозревающие пользователи зайдя на такой сайт рискуют заразить свой компьютер.

Слайд №39

Слайд №40

Пути проникновения вирусовЛокальные сети
Третий путь «быстрого заражения» —
локальные сети. Если не принимать необходимых мер защиты, то зараженная рабочая станция при входе в сеть заражает один или несколько служебных файлов на сервере
На следующий день пользователи при входе в сеть запускают зараженные файлы с сервера, и вирус, таким образом, получает доступ на компьютеры пользователей.

Слайд №41

Пути проникновения вирусовПерсональные компьютеры «общего пользования»
Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из учащихся принес на своих носителях вирус и заразил какой-либо учебный компьютер, то очередную «заразу» получат и носители всех остальных учащихся, работающих на этом компьютере.
То же относится и к домашним компьютерам, если на них работает более одного человека.
Пиратское программное обеспечение
Нелегальные копии программного обеспечения,
как это было всегда, являются одной из
основных «зон риска».Часто пиратские
копии на дисках содержат файлы,
зараженные самыми разнообразными
типами вирусов.

Слайд №42

Пути проникновения вирусовРемонтные службы
Достаточно редко, но до сих пор вполне реально заражение компьютера вирусом при его ремонте или профилактическом осмотре. Ремонтники — тоже люди, и некоторым из них свойственно наплевательское отношение к элементарным правилам компьютерной безопасности.
Съемные накопители
В настоящее время большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны.

Слайд №43

Методы защиты

Слайд №44

Защита локальных сетейЗащита локальных сетей
Использование дистрибутивного ПО
Резервное копирование информации
Использование антивирусных
программ
Не запускать непро-
веренные файлы

Слайд №45

Антивирусные программы

Слайд №46

Критерии выбора антивирусных программНадежность и удобство в работе
Качество обнаружения вирусов
Существование версий под все популярные платформы
Скорость работы
Наличие дополнительных функций и возможностей

Слайд №47

Слайд №48

Слайд №49

Слайд №50

Слайд №51

Слайд №52

Слайд №53

Слайд №54

Слайд №55

Слайд №56

Слайд №57

Возможности программы
Антивирус Касперскогозащита от вирусов, троянских программ и червей;
защита от шпионских, рекламных и других потенциально опасных программ;
проверка файлов, почты и интернет-трафика в реальном времени;
проактивная защита от новых и неизвестных угроз;
антивирусная проверка данных на любых типах съемных носителей;
проверка и лечение архивированных файлов;
контроль выполнения опасных макрокоманд в документах Microsoft Office;
средства создания диска аварийного восстановления системы.

Слайд №58

Слайд №59

Законодательство Российской Федерации о вредоносных программах

Слайд №60

Глава 28Глава 28
«Преступления в сфере компьютерной информации»
Уголовного кодекса
Российской Федерации
Статья 273

Слайд №61

Статья 273 гласит:«Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ, или машинных носителей с такими программами, – наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, в размере заработной платы, или иного дохода осужденного за период от двух до пяти месяцев.
То же деяние, повлекшее по неосторожности тяжкие последствия, – наказывается лишением свободы на срок от трех до семи лет».

Слайд №62

Используя выписку из главы 28 «Преступления в сфере компьютерной информации» Уголовного Кодекса Российской Федерации ответьте на следующий вопрос: «Можно ли квалифицировать действия лица (группы лиц) в описанной ситуации как противоправные?» Ответ необходимо обосновать, указав соответствующий нормативный документ, его статью пункт статьи.Задача 1.
П. П. Андреев, сотрудник одного из филиалов ИТ-банка, внедрил в компьютерную банковскую систему вирус, уничтоживший исполняемые файлы (файлы с расширением .exe). В результате внедрения этого вируса было уничтожено 40% банковских программных приложений, что принесло банку материальный ущерб в размере 750 000 рублей.

Слайд №63

Используя выписку из главы 28 «Преступления в сфере компьютерной информации» Уголовного Кодекса Российской Федерации ответьте на следующий вопрос: «Можно ли квалифицировать действия лица (группы лиц) в описанной ситуации как противоправные?» Ответ необходимо обосновать, указав соответствующий нормативный документ, его статью пункт статьи.Задача 2.
Будет ли удовлетворен иск компании «Интермедиа» о привлечении к уголовной ответственности гражданина Р. И. Сизова и выплате им фирме денежной компенсации, если он внедрил в компьютерную сеть компании программу, действие которой заключается в уничтожении исполняемых файлов в какой-либо компьютерной сети? Функционирование данной программы принесло убытки разным организациям на общую сумму 670 000 рублей.

Слайд №64

Слайд №65

Функции файрволаинформирует пользователя о попытках извне получить несанкционированный доступ к ресурсам данного компьютера, а также блокирует эти попытки;
предотвращает попытки несанкционированно передать в сеть информацию с вашего компьютера (хищение паролей и конфиденциальной информации);
отслеживает любые изменения в размерах выполняемых файлов, которые могут быть свидетельством заражения вирусом;
блокирует рекламные окна на интернетовских сайтах;

Слайд №66

Функции файрволапредупреждает, когда одна программа пытается запустить другую программу (это тоже может быть следствием работы вируса);
закрывает от возможного доступа определенные сетевые порты компьютера;
предупреждает о так называемом сканировании портов вашего компьютера, так как это может быть предвестником хакерской атаки;
блокирует выполнение различных шпионских программ;
предотвращает деструктивные действия троянских программ.

Слайд №67

Пути проникновения рекламных шпионовскачивание бесплатного программного обеспечения;
вирусы и трояны;
сайты сомнительного содержания.

Слайд №68

Из предложенного списка уберите термины, не относящиеся к антивирусным программам:детекторы
доктора (фаги)
ревизоры
интерпретаторы
ревизоры
фильтры
драйверы
вакцины (иммунизаторы)

Слайд №69

ПАМЯТКА
безопасности для пользователя
домашнего компьютераОграничить физический доступ к компьютеру, установить пароль на вход в систему и отключать доступ в Интернет, когда он не нужен;
подписаться на информационные бюллетени Microsoft и регулярно обновлять операционную систему;
отключить все неиспользуемые службы и закрыть порты, через которые могут осуществляться атаки;
тщательно настроить все программы, работающие с Интернет, начиная с браузера — например, запретить использование Java и ActiveX;
установить и обновлять антивирусную программу;

Слайд №70

ПАМЯТКА
безопасности для пользователя
домашнего компьютераиспользовать брандмауэр, хотя бы встроенный в систему, и внимательно анализировать его сообщения и логи;
крайне аккуратно работать с почтой, а также программами для обмена сообщениями и работы с файлообменными сетями, например, следует отключить использование HTML в принимаемых письмах;
никогда не запускать программы сомнительного происхождения, даже полученные из заслуживающих доверия источников, например, из присланного другом письма;
ни при каких условиях не передавать по телефону или по почте свои персональные данные, особенно пароли;
регулярно создавать резервные копии критических данных.Владимир Каталов,
исполнительный директор компании «Элкомсофт

Слайд №71

Слайд №72

Вопросы по горизонтали:1.Антивирусная программа, принцип работы которой основан на проверке файлов, загрузочных секторов дисков и оперативной памяти в поиске в них известных и новых вирусов.
3.Утилита для создания новых компьютерных вирусов.
5.Наука, от которой пришло название «вирус».
7. Вирусы, поражающие документы MS Office, основанные на использовании макрокоманд.
10.Программа, способная к саморазмножению.
13. Вирусы, не изменяющие файлы, но создающие для .EXE файлов .COM файлы с тем же именем.
16.Мутация вирусов.
17.Антивирусная программа, то же что и полифаг.

Слайд №73

Вопросы по вертикали:1.Вирус, предпринимающие специальные меры для затруднения их поиска и анализа, не содержат ни одного постоянного участка кода.
2.Программа против вирусов.
4.Одно из главных свойств вирусов, способность к созданию себе подобных.
6….-черви. Вирусы, распространяющиеся в сети во вложенных файлах в почтовое сообщение.
8.Антивирус, чей принцип работы основан на подсчете контрольных сумм для присутствующих на диске файлов.
9.Вирус-«невидимка».
11.Резидентно находящаяся в оперативной памяти утилита, которая позволяет выявлять «подозрительные» действия пользовательских программ, а при обнаружении «подозрительной» функции либо выдает на экран сообщение, либо блокирует выполнение перехваченной функции, либо совершает другие специальные действия.
12.Видоизменение вируса.
14. Троянский-…
15. «Лечащий» антивирус.

Слайд №74

Слайд №75

Слайд №76

СПАСИБО
за внимание

Слайд №77

Автор презентации является участником конкурса компьютерных презентаций проводимого на сайте
«Информатика в школе»
www.inf777.narod.ru
при спонсорстве издательского дома «Питер»

Компьютерные вирусы и антивирусные программыПерсональный компьютер играет в жизни современного человека важную роль, поскольку он помогает ему почти во всех областях его деятельности. Современное общество все больше вовлекается в виртуальный мир Интернета. Но с активным развитием глобальных сетей актуальным является вопрос информационной безопасности, так как проникающие их сети вирусы могут нарушить целостность и сохранность вашей информации. Защита компьютера от вирусов – это та задача, решать которую приходится всем пользователям, и особенно тем, кто активно пользуется Интернетом или работает в локальной сети.

Разгадайте ребус. Дайте определение зашифрованного понятия.Е

1 г.

, , ,

Программа

Разгадайте ребус. Дайте определение зашифрованного понятия., , ,

Е

Й

Драйвер

Утилиты2

3

1

,,

Разгадайте ребус. Дайте определение зашифрованного понятия.

,

,

,,,

Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain (англ. «мозг») «заражал» дискеты персональных компьютеров. В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры и распространяющихся по компьютерным сетям.ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

Что же такое вирус? И чем биологический вирус отличается от компьютерного?Обратимся к вирусной энциклопедии «Лаборатории Касперского», электронной энциклопедии Кирилла и Мефодия и к толковому словарю русского языка С.И. Ожегова и Н.Ю. Шведовой

Вирус – мельчайшая неклеточная частица, размножающаяся в живых клетках, возбудитель инфекционного заболевания.Вирус – мельчайшая неклеточная частица, размножающаяся в живых клетках, возбудитель инфекционного заболевания.

Толковый словарь русского языка С. И. Ожегова и Н. Ю. Шведовой

Компьютерный вирус – специально созданная небольшая программа, способная к саморазмножению, засорению компьютера и выполнению других нежелательных действий.Компьютерный вирус – специально созданная небольшая программа, способная к саморазмножению, засорению компьютера и выполнению других нежелательных действий.

Энциклопедия вирусов
«Лаборатории Касперского
http://www.viruslist.com/ru/viruses/encyclopedia

ПРИЗНАКИ КЛАССИКАЦИИСреда обитания

Операционная
система

Особенности
алгоритма работы

Деструктивные
возможности

загрузочныеСРЕДА ОБИТАНИЯ

файловые

сетевые

макро

Внедряются в программы и активизируются при их запуске. После запуска заражённой программой могут заражать другие файлы до момента выключения компьютера или перезагрузки операционной системы.ФАЙЛОВЫЕ ВИРУСЫ

компаньоныФайловые вирусы

перезаписывающие

вирусы-звенья

файловые черви

паразитические

поражающие код
программ

Заражают файлы документов, например текстовых. После загрузки заражённого документа в текстовый редактор макровирус постоянно присутствует в оперативной памяти компьютера и может заражать другие документы. Угроза заражения прекращается только после закрытия текстового редактора.МАКРОВИРУСЫ

Могут передавать по компьютерным сетям свой программный код и запускать его на компьютерах, подключённых к этой сети. Заражение сетевым вирусом может произойти при работе с электронной почтой или при «путешествиях» по Всемирной паутине.СЕТЕВЫЕ ВИРУСЫ

сетевые червиСетевые вирусы

троянские
программы

хакерские
утилиты

стелс-алгоритмыОСОБЕННОСТИ АЛГОРИТМА РАБОТЫ

резидентность

нестандартные
приемы

самошифрование
полиморфичность

неопасныеДЕСТРУКТИВНЫЕ ВОЗМОЖНОСТИ

безвредные

очень опасные

опасные

Упражнение первое:Физкульминутка

Упражнение первое:
резко зажмурить глаза на 2-3 секунды: и широко открыть на 2-3 секунды, повторить упражнение 10 раз.
Упражнение второе:
часто-часто моргать глазами, повторить 10 раз.
Упражнение третье:
поднять глаза вверх, при этом голова остается в одном положении, задержать взгляд на 2-3 секунды, затем опустить глаза вниз и задержать взгляд на 2-3 секунды повторить упражнение 10 раз .

Пути проникновения вирусовЭлектронная почта

Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

Антивирусная программаКомпьютерный вирус

Заражённый файл

Вылеченный файл

Незаражённая программа

Компьютерный вирус

ПРОЦЕСС ЗАРАЖЕНИЯ ВИРУСОМ И ЛЕЧЕНИЯ ФАЙЛА

АНТИВИРУСНЫЕ ПРОГРАММЫСКАНЕРЫ
(фаги, полифаги)CRC-СКАНЕРЫ
(ревизоры)

Иммунизаторы

Блокировщики

Универсальные

Специализированные

Резидентные

Нерезидентные

Программы-детекторыПринцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них вирусов

Программы-доктораПринцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них вирусов

Программы-ревизорыПринцип их работы состоит в подсчете контрольных сумм для присутствующих на диске файлов/системных секторов. Эти суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

Программы-фильтрыАнтивирусные блокировщики — это резидентные программы, перехватывающие «вирусо-опасные» ситуации и сообщающие об этом пользователю. К «вирусо-опасным» относятся вызовы на открытие для записи в выполняемые файлы, запись в boot-сектора дисков или винчестера, попытки программ остаться резидентно и т.д., то есть вызовы, которые характерны для вирусов в моменты из размножения.

Программы-вакциныИммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

СРЕДСТВА ЗАЩИТЫ
ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИантивирусные программыбрандмауэры или файрволы

антишпионы

Л

и

ф

2

г

3

4

к

т

о

р

о

н

о

л

т

м

И

и

5

6

о

л

о

г

и

я

7

а

к

8

о

и

р

у

9

н

р

О

е

и

т

т

а

Р

10

и

р

у

с

е

е

з

Ф

и

у

л

р

м

11

И

з

с

с

н

н

о

к

12

о

е

13

о

м

п

а

н

ь

о

н

о

р

т

ж

и

д

е

т

и

14

15

н

о

ф

16

о

л

и

м

о

р

ф

и

з

м

р

и

н

к

е

17

к

а

н

е

р

ь

т

а

о

ц

р

и

я

ПО

Л

И

Ф

А

Г

К

О

Н

С

Т

Р

У

К

Т

О

Р

О

Н

А

Л

Т

М

И

И

Б

И

О

Л

О

Г

И

Я

М

А

К

Р

О

В

И

Р

У

С

Н

Р

О

Е

И

Т

Т

А

Р

В

И

Р

У

С

Е

Е

З

Ф

И

У

Л

Р

М

М

И

З

С

С

Н

Н

О

К

М

О

Е

К

О

М

П

А

Н

Ь

О

Н

О

Р

Т

Ж

И

Д

Е

Т

И

К

Д

Н

О

Ф

П

О

Л

И

М

О

Р

Ф

И

З

М

Р

И

Н

К

Е

С

К

А

Н

Е

Р

Ь

Т

А

О

Ц

Р

И

Я

Упражнение 1.Физкульминутка

Упражнение 1.
Выполняется сидя. Быстро моргать в течение 30 сек.

Упражнение 2.
Выполняется стоя. Смотреть вдаль прямо перед собой 2-3 с, поставить палец руки по средней линии лица на расстоянии 25-30 см от глаз, перевести взгляд на конец пальца и смотреть на него 3-5 с, опустить руку. Повторить 5 раз.

Упражнение 3.
Растереть наружные и внутренние поверхности ладоней до ощущения тепла.

Упражнение 4.
Кисти постепенно сжимать в кулаки, все крепче и крепче на счет 1-6. Встряхнуть кистями, расслабиться на счет 7-9.

Чему бы ты ни учился, ты учишься для себя.


Подробнее
Источник: http://volna.org/informatika/komp-yuternye-virusy-i-antivirusnye-programmy.html
Компьютерные вирусы и антивирусные программы

      Компьютерный вирус — специально созданная компьютерная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии, внедрять их в файлы с целью нарушения работы других программ, порчи файлов и каталогов.

     Признаки проявления вирусов:

  •   неправильная работа программ;
  •   медленная работа компьютера;
  •   невозможность загрузки операционной системы;
  •   исчезновение файлов и каталогов;
  •   изменение размеров файлов;
  •   неожиданное увеличение количества файлов на диске;
  •   уменьшение размеров свободной операционной памяти;
  •   вывод на экран неожиданных сообщений и изображений;
  •   подача непредусмотренных звуковых сигналов;
  •   частые «зависания» и сбои в работе компьютера.

     Вирусы могут распространяться через:

  • исполняемые программы;
  • документы Word, Excel;
  • программное обеспечение компьютера;
  • web-страницы;
  • файлы из Интернета;
  • письма e-mail;
  • дискеты и компакт-диски.

      Классификация вирусов по масштабу вредных воздействий

     Классификация вирусов по среде обитания

      Профилактика компьютерных вирусов:

  • иметь специальный загрузочный диск;
  • систематически проверять компьютер на наличие вирусов;
  • иметь последние версии антивирусных средств;
  • проверять все поступающие данные на наличие вирусов;
  • не использовать нелицензионные программные средства;
  • выбирать запрет на загрузку макросов при открытии документов Word и Excel;
  • выбрать высокий уровень безопасности в «Свойствах обозревателя»;
  • делать архивные копии файлов;
  • добавить в файл автозагрузки антивирусную программу сторож;
  • не открывать вложения электронного письма, если отправитель неизвестен.


     Антивирусные программы — программы, которые предотвращают заражение компьютерным вирусом и ликвидируют последствия заражения.


      Существуют несколько типов антивирусных программ, различающихся выполняемыми функциями.

      Полифаги

     Самыми популярными и эффективными антивирусными программами являются антивирусные программы полифаги (например, Kaspersky Anti-Virus, Dr.Web). 
     Для поиска известных вирусов используются так называемые маски.
     Маской вируса является некоторая постоянная последовательность программного кода, специфичная для этого конкретного вируса.
     Если антивирусная программа обнаруживает такую последовательность в каком-либо файле, то файл считается зараженным вирусом и подлежит лечению.
     Для поиска новых вирусов используются алгоритмы "эвристического сканирования", то есть анализ последовательности команд в проверяемом объекте. Если "подозрительная" последовательность команд обнаруживается, то полифаг выдает сообщение о возможном заражении объекта.

      Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

      К достоинствам полифагов относится их универсальность. К недостаткам можно отнести большие размеры используемых ими антивирусных баз данных, которые должны содержать информацию о максимально возможном количестве вирусов, что, в свою очередь, приводит к относительно небольшой скорости поиска вирусов.

      Ревизоры

      Принцип работы ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и пр.

      При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

      Недостаток ревизоров состоит в том, что они не могут обнаружить вирус в новых файлах (на дискетах, при распаковке файлов из архива, в электронной почте), поскольку в их базах данных отсутствует информация об этих файлах.

     Блокировщики

       Антивирусные блокировщики - это программы, перехватывающие "вирусоопасные" ситуации и сообщающие об этом пользователю.К таким ситуациям относится, например, запись в загрузочный сектор диска. Эта запись происходит при установке на компьютер новой операционной системы или при заражении загрузочным вирусом.

      Наибольшее распространение получили антивирусные блокировщики в BIOS компьютера. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сектор диска и компьютер будет защищен от заражения загрузочными вирусами.

      К достоинствам блокировщиков относится их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.

ВИДЕОРОЛИК О РАБОТЕ ПОЛИФАГА
ВИДЕОРОЛИК О РАБОТЕ РЕВИЗОРА
ВИДЕОРОЛИК О РАБОТЕ БЛОКИРАТОРА

ДОПОЛНИТЕЛЬНО О КОМПЬЮТЕРНЫХ ВИРУСАХ

ДОПОЛНИТЕЛЬНО ОБ АНТИВИРУСНЫХ ПРОГРАММАХ

Источник: http://dpk-info.ucoz.ru/publ/kompjuternye_virusy_i_antivirusnye_programmy/32-1-0-61

Конспект урока по теме: "Компьютерные вирусы. Антивирусные программы" (9 класс)

Урок формирования и совершенствования знаний.

Цели урока:

  • Методическая: показать эффективность применения компьютерной технологии при изучении темы.
  • Учебная: дать знания о видах компьютерных вирусов, путях их распространения, об антивирусных программах и способах их использования на практике.
  • Развивающая: развивать умение составлять конспект, компьютерную грамотность, познавательную активность кадет.
  • Воспитательная: воспитывать внимание, аккуратность, бережливое отношение к компьютерной технике и программному обеспечению.

Воспитанники должны знать:

Понятие компьютерного вируса.

Основные типы компьютерных вирусов.

Действие программного вируса.

Методы реализации антивирусной защиты.

Способы антивирусной защиты.

Виды антивирусных программ.

Воспитанники должны уметь:

Составлять конспект при работе с электронной лекцией.

Отвечать на контрольные вопросы по теоретическому материалу.

Работать с антивирусной программой.

Оснащение и методическое обеспечение урока:

класс IBM PC;

программное обеспечение: электронная лекция, программа AntiViral Toolkit Pro;

опорный конспект, карточки с заданиями,

доска, мел, маркер.

 

Литература:

  1. С. Симонович и др. Базовый курс информатики. Москва, “АТС-пресс”, 2001 г.
  2. В.П. Леонтьев. Новейшая энциклопедия персонального компьютера 2001. – М.:ОЛМА-ПРЕСС, 2001.

Методы работы:

Словесный (беседа, электронная лекция, изложение материала).

Наглядный (демонстрация учебного материала, опорный конспект).

Самостоятельная работа (работа с электронной лекцией).

Практическая работа.

 

ПЛАН УРОКА

Ход занятия

МО

Содержание

Время

I. Организационная часть

 

Внешний вид, приветствие, готовность взвода и оборудования.

1

II. Основная часть

39

1. Актуализация знаний

1

Фронтальный опрос по видам программного обеспечения.

4

2. Мотивация

1

Целеполагание, мотивация учебной деятельности.

1

3. Этап введения новых знаний

1, 2

 

2, 3

Демонстрация преподавателем презентации, постановка задачи на работу с электронным конспектом и практическую работу.

Работа с электронной лекцией.

7

 

10

4. тап применения знаний

4

Практическая работа с антивирусной программой.

10

5. Этап проверки знаний

4

Тестирование (электронный тест).

7

III. Заключительная часть

5

1. Рефлексия. Подведение итогов

1

Подвести итоги, отметить наиболее отличившихся кадет, выставить оценки.

 

2. Этап информации о задании на самоподготовку

 

Задание на самоподготовку: конспект, ответить на вопросы (устно).

 


 

Компьютерные вирусы

Опорный конспект

Компьютерный вирус – это программный код, встроенный в другую программу, или в документ, или в определенные области носителя данных и предназначенный для несанкционированных действий на компьютере.

1. Основные типы компьютерных вирусов:

Программные

Загрузочные

Макровирусы

Это блоки программного кода, внедренные внутрь других прикладных программ.

Вирусный код запускается при запуске программы.

Поражают системные области магнитных носителей (гибких и жестких дисков).Заражение происходит при загрузке ПК с зараженного носителя.

Поражают документы, выполненные в некоторых прикладных программах (например, Word).

Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд (макросов).


 

2. Этапы действия вируса:

Размножение – вирусный код может воспроизводить себя в теле других программ.

Вирусная атака – после создания достаточного числа копий программный вирус начинает осуществлять разрушение: нарушение работы программ и ОС, удаление информации на жестком диске, самые разрушительные вирусы вызывают форматирование жесткого диска. Некоторые вирусы могут уничтожать данные, в этом случае требуется замена микросхемы (хотя считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение ПК).


 

3. Защита от компьютерных вирусов

Существуют три рубежа защиты:

предотвращение поступления вирусов;

предотвращение вирусной атаки, если вирус поступил на ПК;

предотвращение разрушительных последствий, если атака произошла.


 

4. Методы реализации защиты

Программные

Аппаратные

Организационные


 

5. Средства антивирусной защиты:

Основное средство – резервное копирование наиболее ценных данных. В случае утраты информации жесткие диски форматируют, устанавливают ОС с дистрибутивного CD-диска и все необходимые программы, а данные – с резервного носителя (который должен храниться отдельно от ПК). Все регистрационные и парольные данные для доступа в Интернет рекомендуется хранить не на ПК, а в служебном дневнике в сейфе.

Вспомогательные средства – это антивирусные программы и аппаратные средства.

Аппаратное средство: отключение перемычки на материнской плате не позволит осуществить стирание микросхемы BIOS ни вирусу, ни злоумышленнику, ни неаккуратному пользователю.

Антивирусная программа сравнивает коды программ с известными ей вирусами, которые хранятся в ее базе данных. Обновление базы – 2 раза в месяц (не реже 1 раза в 3 месяца).

 

6. Антивирусные программы

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Антивирусная программа сравнивает коды программ с известными ей вирусами, которые хранятся в ее базе данных. Обновление базы – 2 раза в месяц (не реже 1 раза в 3 месяца).

Norton AntiVirus4.0 и 5.0 (производитель: “Symantec”)
Один из наиболее известных и популярных антивирусов. Процент распознавания вирусов очень высокий (близок к 100 %). В программе используется механизм, который позволяет распознавать новые неизвестные вирусы.

Dr.Web (производитель: “Диалог Наука”)
Популярный отечественный антивирус. Хорошо распознает вирусы, но в его базе их гораздо меньше, чем у других антивирусных программ.

Antiviral Toolkit Pro (производитель: “Лаборатория Касперского”).
Это антивирус признан во всем мире, как один из самых надежных. Несмотря на простоту в использовании он обладает всем необходимым арсеналом для борьбы с вирусами. Эвристический механизм, избыточное сканирование, сканирование архивов и упакованных файлов - это далеко не полный перечень его возможностей.

Практическая работа


 

Антивирусная программа AntiViral Toolkit Pro.

Запустить программу (ярлык на Рабочем столе).

Дождаться загрузки базы, отменить обновление базы.

Ознакомиться с вкладками окна программы: Область, Объекты, Действия, Настройки.

Установить Область сканирования – диск D:, Объекты – программы по расширению, Действия – запрос на лечение, Настройки - файл отчета.

Запустить сканирование.

После окончания сканирования проанализировать результаты (вкладка Статистика).


 

Вопросы на самоподготовку:

Что такое компьютерный вирус?

Основные типы компьютерных вирусов.

Действие программного вируса (этапы).

Методы защиты.

Средства антивирусной защиты.

Примеры антивирусных программ.


 

Вопросы электронного теста:

1. Что такое компьютерный вирус?

1) Прикладная программа.
2) Системная программа.
3) Программа, выполняющая на компьютере несанкционированные действия.
4) База данных.

2. Основные типы компьютерных вирусов:

1) Аппаратные, программные, загрузочные .
2) Программные, загрузочные, макровирусы.
3) Файловые, программные, макровирусы.

3. Этапы действия программного вируса:

1) Размножение, вирусная атака.
2) Запись в файл, размножение.
3) Запись в файл, размножение, уничтожение программы.

4. В чем заключается размножение программного вируса?

1) Программа-вирус один раз копируется в теле другой программы.
2) Вирусный код неоднократно копируется в теле другой программы.

5. Что называется вирусной атакой?

1) Неоднократное копирование кода вируса в код программы.
2) Отключение компьютера в результате попадания вируса.
3) Нарушение работы программы, уничтожение данных, форматирование жесткого диска.

6. Какие существуют методы реализации антивирусной защиты?

1) Аппаратные и программные.
2) Программные, аппаратные и организационные.
3) Только программные.

7. Какие существуют основные средства защиты?

1) Резервное копирование наиболее ценных данных.
2) Аппаратные средства.
3) Программные средства.

8. Какие существуют вспомогательные средства защиты?

1) Аппаратные средства.
2) Программные средства.
3) Аппаратные средства и антивирусные программы.

9. На чем основано действие антивирусной программы?

1) На ожидании начала вирусной атаки.
2) На сравнении программных кодов с известными вирусами.
3) На удалении зараженных файлов.

10. Какие программы относятся к антивирусным

1) AVP, DrWeb, Norton AntiVirus.
2) MS-DOS, MS Word, AVP.
3) MS Word, MS Excel, Norton Commander.

 

Критерии оценки теста:

9-10 правильных ответов – “5”

7-8 правильных ответов – “4”

5-6 правильных ответов – “3”

меньше 5 – “2”

Источник: https://xn--j1ahfl.xn--p1ai/lessons/konspekt_uroka_po_teme_kompyuternie_virusi_antivir_135118.html

ФГОУ ВПО "Саратовский государственный аграрный университет имени Н.И. Вавилова"

РЕФЕРАТ

Тема: Компьютерные вирусы и антивирусные программы

Студент I курса

Заочное отделение

Специальность: земельный кадастр

Ермачков Денис Александрович

Преподаватель: Гаманюк Николай Григорьевич

Саратов 2010 г.

1. Понятие "компьютерного вируса" и его свойства

Компьютерный вирус - это вредоносный самораспространяющийся в информационной среде программный код. Он может внедряться в исполняемые и командные файлы программ, распространяться через загрузочные секторы дискет и жестких дисков, документы офисных приложений, через электронную почту, Web-сайты, по другим электронным каналам. Проникнув в компьютерную систему, вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае компьютерная система, пораженная вирусом, окажется под полным контролем злоумышленника.

(Virus - с лат.) - вид программ, характеризующихся способностью скрытого от пользователя саморазмножения для поражения других программ, компьютеров или сетей.

Основную массу вирусов создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы. Значительная часть таких вирусов их авторами часто не распространяется.

Вторую группу составляют также молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Как правило, они создают многочисленные модификации "классических" вирусов, либо вирусы крайне примитивные и с большим числом ошибок. Выход конструкторов вирусов, при помощи которых можно создавать новые вирусы даже при минимальных знаниях об операционной системе и ассемблере значительно облегчил им работу.

Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир "профессиональные" вирусы. Это тщательно продуманные и отлаженные программы. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных.

Четвертая группа авторов вирусов - "исследователи". Эта группа состоит из талантливых программистов, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы, конструкторы вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради "исследования" потенциалов "компьютерной вирусологии".

При заражении компьютера вирусом важно его обнаружить, для этого следует знать основные признаки его проявления:

- прекращение работы или неправильная работа ранее успешно функционировавших программ;

- медленная работа компьютера;

- невозможность загрузки операционной системы;

- исчезновение файлов и каталогов или искажение их содержимого;

- изменение даты и времени модификации файлов;

- изменение размера файлов;

- неожиданное значительное увеличение количества файлов на диске;

- существенное уменьшение размера свободной оперативной памяти;

- вывод на экран непредусмотренных сообщений или изображений;

- подача непредусмотренных звуковых сигналов;

- частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера. Заразиться компьютерным вирусом можно только в очень ограниченном количестве случаев. Это:

- запуск на компьютере исполняемой программы, заражённой вирусом;

- загрузка компьютера с дискеты, содержащей загрузочный вирус;

- подключение к системе заражённого драйвера;

- открытие документа, заражённого макровирусом;

- установка на компьютере заражённой операционной системы.

Компьютер не может быть заражён, если:

- на него переписывались текстовые и графические файлы (за исключением файлов, предусматривающих выполнение макрокоманд);

- на нём производилось копирование с одной дискеты на другую при условии, что ни один файл с дискет не запускался;

- на компьютере производится обработка принесённых извне текстовых и графических файлов, файлов данных и информационных файлов (за исключением файлов, предусматривающих выполнение макрокоманд);

- переписывание на компьютер заражённого вирусом файла ещё не означает заражения его вирусом. Чтобы заражение произошло нужно либо запустить заражённую программу, либо подключить заражённый драйвер, либо открыть заражённый документ (либо, естественно, загрузиться с заражённой дискеты). Иначе говоря, заразить свой компьютер можно только в том случае, если запустить на нём непроверенные программы и (или) программные продукты, установить непроверенные драйвера и (или) операционные системы, загрузиться с непроверенной системной дискеты или открыть непроверенные документы, подверженные заражению макровирусами.

2. Классификация компьютерных вирусов

На сегодняшний день известны десятки тысяч различных вирусов. Несмотря на такое изобилие, число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, весьма ограниченно. Существуют и комбинированные вирусы, которые можно отнести одновременно к нескольким типам. Таким образом, вирусы можно классифицировать по следующим признакам:

- среде обитания;

- способу заражения среды обитания;

- степени воздействия;

- особенностям алгоритма.

1. В зависимости от среды обитания вирусы делят на:

1) сетевые – распространяются по различным компьютерным сетям;

2) файловые - поражают файлы с расширением .com, .ехе, реже .sys или оверлейные модули .ехе файлов. Эти вирусы дописывают своё тело в начало, середину или конец файла и изменяют его таким образом, чтобы первыми получить управление. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т.д. Некоторые из этих вирусов не заботятся о сохранение заражаемого файла, в результате чего он оказывается неработоспособным и не подлежащим восстановлению;

3) загрузочные - получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении дискеты или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Далее все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов;

4) файлово–загрузочные – комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Вирус OneHalf использует различные механизмы маскировки.

2. По способу заражения среды обитания вирусы делятся на:

1) резидентные - при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;

2) нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3. По степени воздействия вирусы можно разделить на:

1) неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

2) опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

3) особо опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

4. По особенностям алгоритма:

Большое разнообразие вирусов вызывает трудности в их классификации по данному признаку.

1) Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;

2) вирусы-невидимки (стелс-вирусы) – пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль перехватывает обращения к дисковой подсистеме компьютера. Если ОС или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.

3) макрокомандные вирусы. Файлы документов Microsoft Office могут содержать в себе небольшие программы для обработки этих документов, составленные на языке Visual Basic for Applications. Это относится и к базам данных Access, а также к файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Макрокомандные вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении. Распространнености данного вида вирусов в немалой степени способствует популярность Microsoft Office. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.

Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ. Это троянские программы, логические бомбы и программы-черви. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и др.

4) Троянские программы - по основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения;

5) логические бомбы - программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы;

6) программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных. Можно, скажем, создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных. Широко известная программа-червь была написана студентом Корнельского университета Робертом Моррисом. Червь Морриса был запущен в Интернет 2 ноября 1988 г. и за 5 часов смог проникнуть более чем на 6000 компьютеров. Некоторые вирусы-черви (например, Code Red) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера;

7) вирусы в системах документооборота - документы, хранящиеся в базах данных таких систем документооборота, как Lotus Notes и Microsoft Exchange, тоже могут содержать вирусы, точнее, вредоносные макрокоманды. Они могут активизироваться при выполнении каких-либо действий над документом (например, когда пользователь щелкает кнопку мышью). Поскольку такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы;

8) новые и экзотические вирусы. По мере развития компьютерных технологий совершенствуются и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. Так, новый вирус W32/Perrun, сообщение о котором есть на сайте компании Network Associates, способен распространяться… через файлы графических изображений формата JPEG. Сразу после запуска W32/Perrun ищет файлы с расширением .JPG и дописывает к ним свой код. Надо сказать, что данный вирус не опасен и требует для своего распространения отдельной программы. Среди других "достижений" создателей вредоносных программ заслуживает внимания вирус Palm.Phage. Он заражает приложения "наладонных" компьютеров PalmPilot, перезаписывая файлы этих приложений своим кодом. Появление таких вирусов, как W32/Perrun и Palm.Phage, свидетельствует о том, что в любой момент может родиться компьютерный вирус, троянская программа или червь нового, неизвестного ранее типа, либо известного типа, но нацеленного на новое компьютерное оборудование. Новые вирусы могут использовать неизвестные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы.

3. Антивирусные программы

Антивирус - это программа, предназначенная для сканирования и распознавания на компьютере пользователя программ или скриптов (скрипт - текстовый файл, содержащий секции, параметры секций и значения параметров секций, описывающие действия, которые необходимо выполнить интерпретатору скрипта), макросов (макрос - это набор команд, которые можно применить, нажав всего лишь одну клавишу). С помощью макроса можно автоматизировать любое действие, которое выполняется в используемом приложении, которое может причинить вред пользователю или существенно замедлить работу компьютера.

Антивирусные программы можно разделить на несколько типов:

- Детекторы. Их назначение - лишь обнаружить вирус. Детекторы вирусов могут сравнивать загрузочные сектора дискет с известными загрузочными секторами, формируемыми операционными системами различных версий, и таким образом обнаружить загрузочные вирусы или выполнять сканирование файлов на магнитных дисках с целью обнаружения сигнатур известных вирусов. Такие программы в чистом виде в настоящее время редки.

- Доктора (Фаги. Фаг) - это программа, которая способна не только обнаружить, но и уничтожить вирус, т.е. удалить его код из зараженных программ и восстановить их работоспособность (если возможно). Известнейшим в России фагом является Aidstest, созданный Д.Н.Лозинским. Одна из последних версий обнаруживает более 8000 вирусов. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой.

- Ревизоры. Программа-ревизор контролирует возможные пути распространения программ-вирусов и заражения компьютеров. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов и должны входить в арсенал каждого пользователя. Ревизоры являются единственным средством, позволяющим следить за целостностью и изменениями файлов и системных областей магнитных дисков. Наиболее известна в России программа-ревизор ADinf, разработанная Д.Мостовым.

- Вакцины. Так называются антивирусные программы, ведущие себя подобно вирусам, но не наносящие вреда. Вакцины предохраняют файлы от изменений и способны не только обнаружить факт заражения, но и в некоторых случаях "вылечить" пораженные вирусами файлы. В настоящее время антивирусные программы-вакцины широко не применяются, так как в прошлые годы некоторыми некорректно работающими вакцинами был нанесен ущерб многим пользователям.

Для нахождения вирусов Dr Web использует программу эмуляцию процессора, т.е. он моделирует выполнение остальных файлов с помощью программной модели микропроцессора I-8086 и тем самым создает среду для проявления вирусов и их размножения. Таким образом, программа Dr Web может бороться не только с полиморфными вирусами, но и вирусам, которые только еще могут появиться в перспективе.

Основными функциональными особенностями Dr Web являются:

· защита от червей, вирусов, троянов, полиморфных вирусов, макровирусов, spyware, программ-дозвонщиков, adware, хакерских утилит и вредоносных скриптов;

· обновление антивирусных баз до нескольких раз в час, размер каждого обновления до 15 KB;

· проверка системной памяти компьютера, позволяющая обнаружить вирусы, не существующие в виде файлов (например, CodeRed или Slammer);

· эвристический анализатор, позволяющий обезвредить неизвестные угрозы до выхода соответствующих обновлений вирусных баз.

Любой современный антивирусный продукт - это не только набор отдельных технологий детектирования, но и сложная система защиты, построенная на собственном понимании антивирусной компанией того, как нужно обеспечивать безопасность от вредоносных программ.

Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров, работающих под управлением операционных систем Windows 98/ME, 2000/NT/XP, от всех известных видов вирусов, включая потенциально опасное программное обеспечение. Программа осуществляет постоянный контроль всех источников проникновения вирусов - электронной почты, интернета, дискет, компакт-дисков и т.д. Уникальная система эвристического анализа данных эффективно нейтрализует неизвестные вирусы. Можно выделить следующие варианты работы программы (они могут использоваться как отдельно, так и в совокупности):

· Постоянная защита компьютера - проверка всех запускаемых, открываемых и сохраняемых на компьютере объектов на присутствие вирусов.

· Проверка компьютера по требованию - проверка и лечение как всего компьютера в целом, так и отдельных дисков, файлов или каталогов. Такую проверку вы можете запускать самостоятельно или настроить ее регулярный автоматический запуск.

Программа создает надежный барьер на пути проникновения вирусов через электронную почту. Антивирус Касперского Personal автоматически осуществляет проверку и лечение всей входящей и исходящей почтовые корреспонденции по протоколам POP3 и SMTP и эффективно обнаруживает вирусы в почтовых базах. Программа поддерживает более семисот форматов архивированных и сжатых файлов и обеспечивает автоматическую антивирусную проверку их содержимого, а также удаление вредоносного кода из архивных файлов формата ZIP, CAB, RAR, ARJ, LHA и ICE. В состав Антивируса Касперского включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые вами или программами файлы.

СКАЧАТЬ ДОКУМЕНТ

Все материалы в разделе "Информатика и программирование"

Источник: http://mirznanii.com/a/113395/kompyuternye-virusy-i-antivirusnye-programmy

Transcript of Компьютерные вирусы. Антивирусные программы.

Компьютерные вирусы
Антивирусы
Антивирусная программа - программа, предназначенная для борьбы с компьютерными вирусами. В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов.
Для нормальной работы на ПК каждый пользователь должен следить за обновлением антивирусов. Если антивирусная программа обнаруживает вирус в файле, то она удаляет из него программный код вируса. Если лечение невозможно, то зараженный файл удаляется целиком. Имеются различные типы антивирусных программ.
По среде обитания компьютерные вирусы бывают:
Компьютерные вирусы
Компьютерные вирусы
По масштабу вредных воздействий делятся на:
Отличительные черты:
Компьютерные вирусы
Компьютерные вирусы. Антивирусные программы.
Компьютерные вирусы.
маленький объем\размер
самостоятельный запуск
многократное копирование кода
создание помех для корректной работы компьютера
Безвредные
– не влияют на работу ПК, лишь уменьшают объем свободной памяти на диске, в результате своего размножения
Неопасные
– влияние, которых ограничивается уменьшением памяти на диске, графическими, звуковыми и другими внешними эффектами
Опасные
– приводят к сбоям и зависаниям при работе на ПК
Очень опасные
– приводят к потери программ и данных (изменение, удаление), форматированию винчестера и тд
Файловые вирусы способны внедряться в программы и активизируются при их запуске

Из ОП вирусы заражают другие программные файлы (com, exe, sys) меняя их код вплоть до момента выключения ПК. Передаются с нелегальными копиями популярных программ, особенно компьютерных игр. Но не могут заражать файлы данных (изображения, звук)
Файловые вирусы
Загрузочные вирусы передаются через зараженные загрузочные сектора при загрузке ОС и внедряется в ОП, заражая другие файлы. Правила защиты:1)Не рекомендуется запускать файлы сомнительного источника (например, перед загрузкой с диска А – проверить антивирусными программами); 2) установить в BIOS ПК (Setup) защиту загрузочного сектора от изменений
Загрузочные вирусы
Макровирусы - заражают файлы документов Word и Excel. Эти вирусы являются фактически макрокомандами (макросами) и встраиваются в документ, заражая стандартный шаблон документов. Угроза заражения прекращается после закрытия приложения. При открытии документа в приложениях Word и Excel сообщается о присутствии в них макросов и предлагается запретить их загрузку. Выбор запрета на макросы предотвратит загрузку от зараженных, но и отключит возможность использования полезных макросов в документе
Макровирусы
Сетевые вирусы – распространяются по компьютерной сети.

При открытии почтового сообщения обращайте внимание на вложенные файлы!
Сетевые вирусы
Типы антивирусных программ:
Антивирусы
Антивирусные сканеры
– после запуска проверяют файлы и оперативную память и обеспечивают нейтрализацию найденного вируса.
Антивирусные сторожа (мониторы)
– постоянно находятся в ОП и обеспечивают проверку файлов в процессе их загрузки в ОП.
Полифаги
– самые универсальные и эффективные антивирусные программы. Проверяют файлы, загрузочные сектора дисков и ОП на поиск новых и неизвестных вирусов. Занимают много места, работают не быстро.
Ревизоры
– проверяют изменение длины файла. Не могут обнаружить вирус в новых файлах (на дискетах, при распаковке), т.к. в базе данных нет сведений о этих файлах.
Блокировщики
– способны обнаружить и остановить вирус на самой ранней стадии его развития (при записи в загрузочные сектора дисков). Антивирусные блокировщики могут входить в BIOS Setup.

Используемые ресурсы
informatika.sch880.ru
google.ru
yandex.ru
ru.wikipedia.org
Выполнил ученик 11 "А" класса
Шелепин Виталий
Спасибо за внимание!
Компьютерные вирусы – программы, которые создают программисты специально для нанесения ущерба пользователям ПК. Их создание и распространение является преступлением.
Вирусы могут размножаться, и скрыто внедрять свои копии в файлы, загрузочные сектора дисков и документы. Активизация вируса может вызвать уничтожение программ и данных.. Первая эпидемия произошла в 1986г (вирус «Brain» - мозг по англ.) Всемирная эпидемия заражения почтовым вирусом началась 5 мая 2000г, когда компьютеры по сети Интернет получили сообщения «Я тебя люблю» с вложенным файлом, который и содержал вирус.

Full transcript
Источник: https://prezi.com/jhjdan7qiipe/presentation/

Transcript of Компьютерные вирусы.

Компьютерные вирусы.
Антивирусные программы.

Компьютерные вирусы -

программы, которые создают программисты специально для нанесения ущерба пользователям ПК. Их создание и распространение является преступлением.
Вирусы могут размножаться, и скрыто внедрять свои копии в файлы, загрузочные сектора дисков и документы. Активизация вируса может вызвать уничтожение программ и данных.
Антивирусная программа
- программа, предназначенная для борьбы с компьютерными вирусами.
В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов.
Для нормальной работы на ПК каждый пользователь должен следить за обновлением антивирусов.
Если антивирусная программа обнаруживает вирус в файле, то она удаляет из него программный код вируса. Если лечение невозможно, то зараженный файл удаляется целиком.
Имеются различные типы антивирусных программ – полифаги, ревизоры, блокировщики, сторожа, вакцины и пр.
Антивирусные сторожа (мониторы)

постоянно находятся в ОП и обеспечивают проверку файлов в процессе их загрузки в ОП.
самые универсальные и эффективные антивирусные программы. Проверяют файлы, загрузочные сектора дисков и ОП на поиск новых и неизвестных вирусов. Занимают много места, работают не быстро.
Полифаги –
проверяют изменение длины файла. Не могут обнаружить вирус в новых файлах (на дискетах, при распаковке), т.к. в базе данных нет сведений о этих файлах
Ревизоры –

Антивирусные сканеры;
Антивирусные сторожа (мониторы);
Полифаги;
Ревизоры;
Блокировщики.
Типы антивирусных программ:

Антивирусные сканеры -
после запуска проверяют файлы и оперативную память и обеспечивают нейтрализацию найденного вируса


* Безвредные
– не влияют на работу ПК, лишь уменьшают объем свободной памяти на диске, в результате своего размножения
* Неопасные
– влияние, которых ограничивается уменьшением памяти на диске, графическими, звуковыми и другими внешними эффектами;
* Опасные
– приводят к сбоям и зависаниям при работе на ПК;
* Очень опасные
– приводят к потери программ и данных (изменение, удаление), форматированию винчестера и тд.
По масштабу вредных воздействий компьютерные вирусы делятся на:



* Файловые вирусы
способны внедряться в программы и активизируются при их запуске
Передаются с нелегальными копиями популярных программ, особенно компьютерных игр. Но не могут заражать файлы данных (изображения, звук)
* Загрузочные вирусы
передаются через зараженные загрузочные сектора при загрузке ОС и внедряется в ОП, заражая другие файлы.
* Макровирусы
- заражают файлы документов Word и Excel. Эти вирусы являются фактически макрокомандами (макросами) и встраиваются в документ, заражая стандартный шаблон документов. Угроза заражения прекращается после закрытия приложения. При открытии документа в приложениях Word и Excel сообщается о присутствии в них макросов и предлагается запретить их загрузку.
* Сетевые вирусы
– распространяются по компьютерной сети.
При открытии почтового сообщения обращайте внимание на вложенные файлы!
По среде обитания компьютерные вирусы бывают:
Отличительными особенностями компьютерных вирусов являются:

1) маленький объем;
2) самостоятельный запуск;
3) многократное копирование кода;
4) создание помех для корректной работы компьютера.





Блокировщики –
способны обнаружить и остановить вирус на самой ранней стадии его развития (при записи в загрузочные сектора дисков). Антивирусные блокировщики могут входить в BIOS Setup
Работу выполнила:

Дернова Анастасия 11 "А"
Школа № 62
Используемые ресурсы:
http://informatika.sch880.ru/p16aa1.html

СПАСИБО ЗА ВНИМАНИЕ!

Full transcript
Источник: https://prezi.com/gcu96_5ob4ys/presentation/

Реферат


Вирусыи антивирусныепрограммы

Содержание


1. Вирусы

а)Что такое вирус

б)Что может ичего не можеткомпьютерныйвирус

в)Заразитьсякомпьютернымвирусом можнотолько в оченьограниченномколичествеслучаев

г)Типы вирусов

д)Что делать,если заражениеуже произошло

2. Методыобнаружениявирусов

а)Метод соответствияопределениювирусов в словаре

б)Метод обнаружениястранногоповеденияпрограмм

в)Метод обнаруженияпри помощиэмуляции

г)Метод «Белогосписка»

д)Другие методыобнаружениявирусов

3.Важные замечания

4.Классификацияантивирусов

5.Антивирусына SIM, флэш - картахи USB устройствах

1. Вирусы


а)Что такое вирус


Компьютерныевирусы - вредоносныесамо распространяющиесяпрограммы;основным признакомкомпьютерноговируса являетсяего способностьсоздаватьсобственныекопии (не всегдапохожие наоригинал) ивнедрять ихв исполняемыеобъекты (программы,системныеобласти…)

Вредоносныйпрограммныйкод, обычнозамаскированныйпод что-нибудьпривлекательное(например, фотографияпопулярногоспортсмена)или полезноеи выполняющийнезапланированныелибо нежелательныедействия, напримерповреждениеданных.

(Virus - лат.) -вид программ,характеризующихсяспособностьюскрытого отпользователясаморазмножениядля поражениядругих программ,компьютеровили сетей.

В общемслучае компьютерныйвирус - это небольшаяпрограмма,которая приписываетсебя в конецисполняемыхфайлов, драйверов,или "поселяется"в загрузочном(BOOT) секторе диска.При запускезаражённыхпрограмм идрайвероввначале происходитвыполнениевируса, а ужепотом управлениепередаётсясамой программе.Если же вирус"поселился"в загрузочномсекторе, то егоактивизацияпроисходитв момент загрузкиоперационнойсистемы с такогодиска. В тотмомент, когдауправлениепринадлежитвирусу, обычновыполняютсяразличныенеприятныедля пользователя,но необходимыедля продолженияжизни данноговируса действия.Это нахождениеи заражениедругих программ,порча данныхи т. д. Вирус можеттакже остатьсяв памяти резидентнои продолжатьвредить доперезагрузкикомпьютера.После окончанияработы вирусауправлениепередаётсязаражённойпрограмме,которая обычноработает "какни в чём не бывало",маскируя темсамым наличиев системе вируса.К сожалению,очень частовирус обнаруживаетсяслишком поздно,когда большинствопрограмм ужезаражено. Вэтих случаяхпотери от зловредныхдействий вирусамогут бытьочень велики.

В последнеевремя появилисьтак называемыемакровирусы.Они передаютсявместе с документами,в которыхпредусмотреновыполнениемакрокоманд(например, документытекстовогоредактораWord), отсюда и ихназвание. Макровирусыпредставляютсобой макрокоманды,которые предписываютпереноситьтело вирусав другие документы,и, по возможности,совершатьразличныевредные действия.Наибольшеераспространениев настоящеевремя получилимакровирусы,заражающиедокументытекстовогоредактора Wordи табличногоредактораExcel.

Как проявляютсебя вирусы

Проявлениявирусов весьмаразличны. Это:

1 Сильноезамедлениеработы компьютера.

2 Неожиданноепоявление наэкране постороннихфраз.

3 Появлениеразличныхвидеоэффектов(например,перевёртываниеэкрана).

4 Пропаданиеинформациис экрана.

5 Генерацияразличныхзвуков.

6 Некоторыепрограммыперестаютработать, адругие ведутсебя оченьстранно.

7 На дискахпоявляетсябольшое количествоиспорченныхфайлов данных,текстовыхфайлов.

8 Разомрушится всяфайловая системана одном издисков.

9 Операционнаясистема неожиданноперестаётвидеть винчестер.

10 Произвольноизменяетсядлина отдельныхфайлов.

11 Неожиданныепроблемы с 32-хбитным доступомк диску и файламв Windows 3.11 или Windows 95.

12 Стираниевсех незащищённыхот стиранияпользовательскихфайлов и системныхфайлов

13 Самопроизвольныйнеограниченный«разгон» видеокартыи процессора,что приводитк их перегревуи поломке

14 Подменасуществующихдрайверов надрайвера,неподходящиек данной системе,что приводитк возникновениюбольшого количестваошибок , замедлениюработы системыи остановкеработы важныхсервисныхпрограмм

15 Скачиваниепри подключённомИнтернет-соединениибольшого количестваненужной, опаснойинформации,мусора и другихвирусов

Разныевирусы могутвести себяпо-разному.Некоторыетолько размножаются,не совершаявредных действий,другие же сразупосле заражениясовершаютмножество оченьнеприятныхдействий. Естьтакие, которыевначале ведутсебя незаметно,а по прошествиикакого-то временивдруг разомпортят вседанные (скажем,форматируетсявинчестер).


б)Что может ичего не можеткомпьютерныйвирус


Компьютерныйвирус можетзаразить оченьограниченноечисло файлов.Перечислимэти файлы. Впервую очередьэто исполняемыефайлы с расширением и .ехе, затем- драйверы устройствс расширениями.sys и тем же .ехе.динамическиебиблиотеки(расширениеdll) и. наконец,оверлейныемодули исполняемыхфайлов (какправило, имеютрасширение.ovl).

Существуютвирусы, заражающиепакетные .bat файлы,но эти вирусыкрайне примитивныи поступаюточень просто:они вставляютв пакетныефайлы командысвоего вызова.Поймать такиевирусы непредставляеттруда.

Такжемогут бытьподвергнутызаражению файлыдокументови шаблоновредакторов,в которых приоткрытии документапредусмотреновыполнениемакрокоманд.В частности,это .doc и .dot файлытекстовогоредактора Word,.xls и ,xlt файлы табличногоредактораExcel.

Ни прикаких условияхне могут бытьподвергнутызаражениютекстовые(.txt) и графическиефайлы (.tif, .gif, .bmp и т.п.), файлы данныхи информационныефайлы.


в)Заразитьсякомпьютернымвирусом можнотолько в оченьограниченномколичествеслучаев


Это:

Запускна компьютереисполняемойпрограммы,заражённойвирусом.

Загрузкакомпьютерас дискеты, содержащейзагрузочныйвирус.

Подключениек системе заражённогодрайвера.

Открытиедокумента,заражённогомакровирусом.

Установкана компьютерезаражённойоперационнойсистемы.

Компьютерне может бытьзаражён, если:

На негопереписывалисьтекстовые играфическиефайлы (за исключениемфайлов, предусматривающихвыполнениемакрокоманд).

На нёмпроизводилоськопированиес одной дискетына другую приусловии, чтони один файлс дискет незапускался.

На компьютерепроизводитсяобработкапринесённыхизвне текстовыхи графическихфайлов, файловданных и информационныхфайлов (заисключениемфайлов, предусматривающихвыполнениемакрокоманд).

Переписываниена компьютерзаражённоговирусом файлаещё не означаетзаражения еговирусом. Чтобызаражениепроизошло нужнолибо запуститьзаражённуюпрограмму, либоподключитьзаражённыйдрайвер, либооткрыть заражённыйдокумент (либо,естественно,загрузитьсяс заражённойдискеты).

Иначеговоря, заразитьсвой компьютерможно тольков том случае,если запуститьна нём непроверенныепрограммы и(или) программныепродукты, установитьнепроверенныедрайвера и(или) операционныесистемы, загрузитьсяс непровереннойсистемнойдискеты илиоткрыть непроверенныедокументы,подверженныезаражениюмакровирусами.

Не стоитприписыватьвсе сбои в работеоборудованияили программдействиюкомпьютерноговируса. Вирус- это обычнаяпрограммапричём небольшогоразмера, и онане может совершатьникаких сверхъестественныхдействий.


г)Типы вирусов


Вирусы- спутники. Наиболеепримитивныйтип вирусов.Для каждогофайла с расширением.ехе создаютфайл с тем жеименем, но срасширением. содержащийтело вируса.При запускефайла операционнаясистема вначалеищет файлы,а потом .ехефайлы. Поэтомувначале управлениеполучает вирус,а затем уже онсам вызываетнеобходимыйехе файл.

Файловыевирусы. Поражаютфайлы с расширением, .ехе, реже .sys илиоверлейныемодули .ехефайлов. Этивирусы дописываютсвоё тело вначало, серединуили конец файлаи изменяют еготаким образом,чтобы первымиполучить управление.Некоторые изэтих вирусовне заботятсяо сохранениезаражаемогофайла, в результатечего он оказываетсянеработоспособным;и, что самоепечальное,такой файлнельзя восстановить.Часть этихвирусов остаётсяв памяти резидентно.

Загрузочныевирусы. Поражаютзагрузочныесектора дисков.Инфицированиеновых дисковпроисходитв тот момент,когда в заражённыйкомпьютервставляют новуюдискету и начинаютс ней работать.Часто вирусне помешаетсяцеликом в загрузочнойзаписи, тудапишется толькоего начало, апродолжениетела вирусасохраняетсяв другом местедиска. Послезапуска остаютсяв памяти резидентно.

Вирусы,сочетающиев себе свойствафайловых изагрузочныхвирусов. Такиевирусы могутпоражать какфайлы, так изагрузочныесектора.

ВирусыDIR*. Интересныйкласс вирусов,появившийсянедавно. Этивирусы изменяютфайловую системудиска оченьхитрым образом.В таблице размещенияфайлов (FAT) длявсех исполняемыхфайлов ссылкина начало заменяютсяссылками натело вируса.Адреса же началафайлов в закодированномвиде помещаютсяв неиспользуемыеэлементы директории.В результате,как только вызапускаетелюбую программу,управлениеавтоматическиполучает вирус.Он остаётсяв памяти резидентнои при работевосстанавливаетправильныессылки на началафайлов. Еслидиск, заражённыйвирусом DIR, попадаетна чистый компьютер,считать с негоданные, естественно,оказываетсяневозможным(читается толькоодин кластер).При попыткепротестироватьфайловую структуру- скажем Norton Disk Doctor - наэкран выдаётсясообщение обогромном количествеошибок, но стоитзапустить хотьодну программус заражённогодиска, как файловаясистема тутже "восстанавливается".Насамом же делепроисходитинфицированиеещё одногокомпьютера.

Макровирусы.Весьма оригинальныйкласс вирусов(хотя вирусамив полном смыслеэтого словаих даже нельзяназвать), заражающийдокументы, вкоторых предусмотреновыполнениемакрокоманд.При открытиитаких документоввначале исполняютсямакрокоманды(специальныепрограммывысокого уровня),содержащиесяв этом документе,-макровирускак раз ипредставляетсобой такуюмакрокоманду.Таким образом,как толькобудет открытзаражённыйдокумент,вирусполучит управлениеи совершит всевредный действия(в частности,найдёт и заразитещё не заражённыедокументы).

Механизмызащиты вирусовот обнаружения

Как правиловирусы легкообнаруживаютсяпо особым участкамкода тела вируса.Правда, в последнеевремя широкоераспространениеполучили двановых типавирусов - вирусы-невидимки(или стелс-вирусы)и самомодифицирующиесявирусы (вирусы-призраки).

Стелс-вирусы(от английскогоstealth - Стелс-вирус- вирус, тем илииным способомскрывающийсвое присутствиев системе.) реализуюточень хитрыймеханизм,затрудняющийих обнаружение.При зараженииэти вирусыостаются впамяти резидентнои при обращениик заражённымфайлам и областямдиска подменяютинформациютак, что "заказчик"получает еёв незаражённом,исходном виде.Достигаетсяэто перехватываниемобращений DOS иустановкойсвоих векторовпрерываний.Увидеть такойвирус можнолибо на незаражённомкомпьетере(например,загрузившисьс заведомочистой дискеты),либо в том случае,когда программане пользуетсясредствамиDOS а напрямуюобращаетсяк диску.

Вирусы-призракимаскируютсяс помощью другогомеханизма. Этивирусы постоянномодифицируютсебя таким.образом', чтоне содержатодинаковыхфрагментов.Такие вирусыхранят своётело в закодированномвиде и постоянноменяют параметрыэтой кодировки.Стартовая жечасть, занимающаясядекодированиемнепосредственносамого тела,может генерироватьсявесьма сложнымспособом. Припереносе вирусаданного типас компьютерана компьютеркод вирусаизменяетсятаким образом,что уже не имеетничего общегосо своим предыдущимвариантом. Ачасть вирусовможет самомодифицироватьсяи в пределаходного компьютера.Обнаружениетаких вирусоввесьма осложнено,хотя частьантивирусныхпрограмм пытаетсянаходить ихпо участкамкода, характернымдля стартовойчасти.

* - DIR - Полев ячейке управленияресурсами,показывающеенаправлениеRM-ячейки поотношению кпотоку данных,с которым этаячейка связана.Источник данныхустанавливаетDIR=0, получатель- DIR=1.


д)Что делать,если заражениеуже произошло


Стандартныедействия призаражениивирусом

Вы должны:

Сразуже выключитьпитание, чтобывирус пересталраспространятьсядальше. Единственное,что можно сделатьдо выключенияпитания, - этосохранитьрезультатытекущей работы.Не следуетиспользоватьгорячую перезагрузку(Ctrl+Alt+Del), т. к. некоторыевирусы при этомсохраняют своюактивность.

Войтив SETUP и включитьзагрузку сдиска А:. Заоднорекомендуетсяпроверитьправильностьвсех установок,включая параметрыжёстких дисков.Если произошликакие-либоизменения, тонеобходимовосстановитьстарые значения.

Ни в коемслучае не запускатьни одной программы,находящейсяна жёсткомдиске.

Необходимозагрузитьсяс дискеты (онадолжна бытьзащищена отзаписи) и запуститьпо очередипрограммы-детекторы,находящиесяна дискете.Если одна изпрограмм обнаружитзагрузочныйвирус, то егоможно тут жеудалить, аналогичнонадо поступитьи при наличиивируса DIR. Учтите,что вирусовможет бытьмного.

Еслипрограмма-детекторобнаружитфайловый вирус,то возможныдва вариантадействий. Еслиу вас

установленапрограмма-ревизорс лечащем модулем,то восстановлениефайлов лучшеделать с еепомощью.

Если такоепрограммы нет.то необходимовоспользоватьсядля леченияодним из детекторов.Испорченныефайлы (если,конечно, онине текстовыеи не файлы данных)необходимоудалить.

Послетого как всевирусы удалены,необходимозаново перенестиоперационнуюсистему нажёсткий диск(с помощью командыSYS).

Необходимопроверитьцелостностьфайловой системына винчестере(с помощью CHKDSK) иисправить всеповреждения.Если такихповрежденийочень много,то перед исправлениемфайловой структурынеобходимопопытатьсяскопироватьнаиболее важныефайлы на дискеты.

Необходимоещё раз проверитьжёсткий дискна наличиевирусов, еслитаковых неоказалось, томожно перезагрузитьсяс винчестера.После перезагрузкивинчестеранеобходимооценить потериот действийвируса. Еслиповрежденийочень много,то проще зановопереформатироватьвинчестер (принеобходимостисохранив самыеважные файлы).

Необходимовосстановитьвсе необходимыефайлы и программыс помощью архива- и для страковки,ещё раз загрузившисьс дискеты,протестироватьвинчестер. Еслиснова будетобнаруженвирус, то- вамне повезло, вашархив такжезаражён вирусом.В этом случаевы должныпротестироватьвесь ваш архив.

Если всёв порядке, тонеобходимопроверить вседискеты, которыемогли оказатьсязаражённымивирусом и принеобходимостипролечить их.Не забудьтетолько отключитьзагрузку сдиска А:.

Послетого как вирусдезактивирован,вы можете продолжатьсвою работу.Рекомендуетсятолько подключитьна некотороевремя одну изпрограмм-фильтров.

Нестандартныеситуации

Во времявирусной атакиможет возникнутьряд нестандартныхситуаций. Рассмотримих.

Если увас установленменеджер диска,то при загрузкис дискеты частьдисков можетбыть недоступна.Тогда необходимопролечитьвначале вседоступные наданный моментдиски, затемзагрузитьсяс жёсткогосистемногодиска и пролечитьвсе оставшиесялогическиедиски.

Если призагрузке сдискеты выясняется,что системапросто "невидет" вашвинчестер, тоскорее всеговирус повредилтаблицу разбиенияжёсткого диска.В этом случаенеобходимоещё раз проверитьустановки SETUPи попытатьсявосстановитьразбиение спомощью Norton Disk Doctor(или, если выхорошо представляетесебе свои действия,с помощью Norton DiskEdit). Если это непоможет, то,увы, вся информацияс винчестерапотеряна, остаётсятолько воспользоватьсяпрограммойFDISK.

Если выстолкнулисьс неизвестнымвирусом, тодело обстоитнесколькосложнее. Во-первых,вы можетевоспользоватьсяпрограммой-ревизором,если она у васустановлена.Вполне возможно,что она поможетобезвредитьваш вирус. Еслиеё нет или онане помогла, тоостаётся толькозаново перенестиоперационнуюсистему, а затемудалить с неговсе исполняемыеи пакетныефайлы, драйверыи оверлейныефайлы, послечего восстановитьих из архива.Можно такжевоспользоватьсяуслугами антивируснойскорой помощи.

И в заключениеодно замечание.Не стоит приписыватьвсе ваши неприятностидействиямвируса. Говоритьже о действиинеизвестноговируса, а темболее прибегатьк радикальныммерам следуеттолько тогда,когда не остаётсяникаких сомнений.Стоит вначалепопытатьсявосстановитьфайлы, и, толькоесли это неудаётся, удалитьих.

Ситуация,сложившаясясейчас в областивируснойбезопасности,весьма стабильна.Различныеорганизации(исключая, конечно,Институтскиеучебные центры,на которыхпробуют своисилы юные авторывирусов) подвергаютсявирусным атакамвесьма редко,- не говоря ужеоб индивидуальныхпользователях.

2. Методыобнаружениявирусов


а)Метод соответствияопределениювирусов в словаре


Этометод, когдаантивируснаяпрограмма,просматриваяфайл, обращаетсяк антивируснымбазам, которыесоставленыпроизводителемпрограммы-антивируса.В случае соответствиякакого либоучастка кодапросматриваемойпрограммыизвестномукоду (сигнатуре)вируса в базах,программаантивирус можетпо запросувыполнить одноиз следующихдействий:

  1. Удалить инфицированный файл.

  2. Заблокировать доступ к инфицированному файлу.

  3. Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

  4. Попытаться восстановить файл, удалив сам вирус из тела файла.

  5. В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.

Для тогочтобы такаяантивируснаяпрограммауспешно работалана протяжениидолгого времени,в словарь вирусовнужно периодическизагружать(обычно, черезИнтернет) обновленныеданные. Еслибдительныеи имеющие склонностьк техникепользователиопределят вируспо горячимследам, онимогут послатьзараженныефайлы разработчикамантивируснойпрограммы, аони затем добавятинформациюо новых вирусахв свой словарь.

Для многихантивирусныхпрограмм сословарем характернапроверка файловв тот момент,когда операционнаясистема создает,открывает,закрывает илипосылает ихпо почте. Такимобразом, программаможет обнаружитьизвестный вируссразу послеего получения.Заметьте также,что системныйадминистраторможет установитьв антивируснойпрограммерасписаниедля регулярнойпроверки(сканирования)всех файловна жесткомдиске компьютера.Хотяантивирусныепрограммы,созданные наоснове поискасоответствияопределениювируса в словаре,при обычныхобстоятельствахмогут достаточноэффективнопрепятствоватьвспышкам заражениякомпьютеров,авторы вирусовстараютсядержаться наполшага впередитаких программ-антивирусов,создавая«олигоморфические»,«полиморфические»и самые новые,«метаморфические»вирусы, в которыхнекоторые частишифруются илиискажаютсятак, чтобы былоневозможнообнаружитьсовпадениес определениемв словаре вирусов.


б)Метод обнаружениястранногоповеденияпрограмм


Антивирусы,использующиеметод обнаруженияподозрительногоповеденияпрограмм непытаютсяидентифицироватьизвестныевирусы, вместоэтого онипрослеживаютповедение всехпрограмм. Еслипрограммапытается записатькакие-то данныев исполняемыйфайл (exe-файл),программа-антивирусможет пометитьэтот файл,предупредитьпользователяи спросить чтоследует сделать.Внастоящеевремя, подобныепревентивныеметоды обнаружениявредоносногокода, в том илиином виде, широкоприменяютсяв качествемодуля антивируснойпрограммы, ане отдельногопродукта.Другиеназвания: Проактивнаязащита, Поведенческийблокиратор,Host Intrusion Prevention System (HIPS).В отличиеот метода поискасоответствияопределениювируса в антивирусныхбазах, методобнаруженияподозрительногоповедения даётзащиту от новыхвирусов, которыхещё нет в антивирусныхбазах. Однакоследует учитывать,что программыили модули,построенныена этом методе,выдают такжебольшое количествопредупреждений(в некоторыхрежимах работы),что делаетпользователямало восприимчивымко всем предупреждениям.В последнеевремя эта проблемаещё более ухудшилась,так как сталопоявлятьсявсё больше невредоносныхпрограмм,модифицирующихдругие exe-файлы,несмотря насуществующуюпроблему ошибочныхпредупреждений.Несмотря наналичие большогоколичествапредупреждающихдиалогов, всовременномантивирусномпрограммномобеспеченииэтот методиспользуетсявсё больше ибольше. Так, в2006 году вышлонесколькопродуктов,впервые реализовавшихэтот метод:Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec,F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многиепрограммыкласса файрволлиздавна имелив своем составемодуль обнаружениястранногоповеденияпрограмм.


в)Метод обнаруженияпри помощиэмуляции


Некоторыепрограммы-антивирусыпытаются имитироватьначало выполнениякода каждойновой вызываемойна исполнениепрограммы передтем как передатьей управление.Если программаиспользуетсамоизменяющийсякод или проявляетсебя как вирус(то есть немедленноначинает искатьдругие exe-файлынапример), такаяпрограмма будетсчитатьсявредоносной,способнойзаразить другиефайлы. Однакоэтот метод тожеизобилуетбольшим количествомошибочныхпредупреждений.

г)Метод «Белогосписка»


Общаятехнологияпо борьбе свредоноснымипрограммами —это «белыйсписок». Вместотого, чтобыискать толькоизвестныевредоносныепрограммы, этотехнологияпредотвращаетвыполнениевсех компьютерныхкодов за исключениемтех, которыебыли ранееобозначенысистемнымадминистраторомкак безопасные.Выбрав этотпараметр отказапо умолчанию,можно избежатьограничений,характерныхдля обновлениясигнатур вирусов.К тому же, теприложенияна компьютере,которые системныйадминистраторне хочет устанавливать,не выполняются,так как их нетв «белом списке».Так как у современныхпредприятийесть множествонадежных приложений,ответственностьза ограниченияв использованииэтой технологиивозлагаетсяна системныхадминистраторови соответствующимобразом составленныеими «белыесписки» надежныхприложений.Работа антивирусныхпрограмм стакой технологиейвключает инструментыдля автоматизацииперечня иэксплуатациидействий с«белым списком».

д)Другие методыобнаружениявирусов


Ряд другихметодов предлагаетсяв исследованияхи используетсяв антивирусныхпрограммах(см. также эвристическоесканирование).

3.Важные замечания


  • Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

  • Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

  • Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

  • Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

  • Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

  • Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

  • Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

  • Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

  • Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.

  • Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре).

4. Классификацияантивирусов


КасперскийЕвгений Валентиновичиспользовалследующуюклассификациюантивирусовв зависимостиот их принципадействия(определяющегофункциональность)[1]:

Сканеры(устаревшийвариант «полифаги»)Определяютналичие вирусапо БД[2],хранящей сигнатуры(или их контрольныесуммы) вирусов.Их эффективностьопределяетсяактуальностьювирусной базыи наличиемэвристическогоанализатора

РевизорыЗапоминаютсостояниефайловой системы,что делает вдальнейшемвозможныманализ изменений.(Класс близкийк IDS).

Сторожа(мониторы)Отслеживаютпотенциальноопасные операции,выдавая пользователюсоответствующийзапрос наразрешение/запрещениеоперации.

ВакциныИзменяют прививаемыйфайл такимобразом, чтобывирус, противкоторого делаетсяпрививка, ужесчитал файлзаражённым.В современных(2007)условиях, когдаколичествовозможныхвирусов измеряетсядесяткамитысяч, этотподход неприменим.

5. Антивирусына SIM, флэш-картахи USB устройствах


Выпускаемыесегодня мобильныетелефоны обладаютшироким спектроминтерфейсови возможностямипередачи данных.Потребителямследует тщательноизучить методызащиты прежде,чем подсоединятькакие-либонебольшиеустройства.Такиеметоды защиты,как аппаратные,возможно, антивирусына USB устройствахили на SIM, большеподойдут потребителяммобильныхтелефонов.Техническаяоценка и обзортого, как установитьантивируснуюпрограмму насотовый мобильныйтелефон, должнырассматриваться,как процесссканирования,который можетповлиять надругие легальныеприложенияна этом телефоне.

Антивирусныепрограммы наSIM с антивирусом,встроенномв зону памятинебольшойемкости, обеспечиваютборьбу с вредоноснымПО/вирусами,защищая PIN иинформациюпользователятелефона. Антивирусына флэш-картахдают пользователювозможностьобмениватьсяинформациейи использоватьэти продуктыс различнымиаппаратнымиустройствами.

Источник: http://xreferat.com/33/1503-1-virusy-i-antivirusnye-programmy.html

Методы и принципы защиты теоретически не имеют особого значения, главное чтобы они были направлены на борьбу с вредоносными программами. Но на практике дело обстоит несколько иначе: практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.

Из всех методов антивирусной защиты можно выделить две основные группы:

Сигнатурные методы - точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов

Эвристические методы - приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен

Сигнатурный анализ

Слово сигнатура в данном случае является калькой на английское signature, означающее "подпись" или же в переносном смысле "характерная черта, нечто идентифицирующее". Собственно, этим все сказано. Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатурой вируса будет считаться совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом). Все вместе сигнатуры известных вирусов составляют антивирусную базу.

Задачу выделения сигнатур, как правило, решают люди - эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Как правило - потому что в наиболее простых случаях могут применяться специальные автоматизированные средства выделения сигнатур. Например, в случае несложных по структуре троянов или червей, которые не заражают другие программы, а целиком являются вредоносными программами.

Практически в каждой компании, выпускающей антивирусы, есть своя группа экспертов, выполняющая анализ новых вирусов и пополняющая антивирусную базу новыми сигнатурами. По этой причине антивирусные базы в разных антивирусах отличаются. Тем не менее, между антивирусными компаниями существует договоренность об обмене образцами вирусов, а значит рано или поздно сигнатура нового вируса попадает в антивирусные базы практически всех антивирусов. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

Одно из распространенных заблуждений насчет сигнатур заключается в том, каждая сигнатура соответствует ровно одному вирусу или вредоносной программе. И как следствие, антивирусная база с большим количеством сигнатур позволяет обнаруживать больше вирусов. На самом деле это не так. Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, уже нельзя.

Соотношение количества сигнатур и количества известных вирусов для каждой антивирусной базы свое и вполне может оказаться, что база с меньшим количеством сигнатур в действительности содержит информацию о большем количестве вирусов. Если же вспомнить, что антивирусные компании обмениваются образцами вирусов, можно с высокой долей уверенности считать, что антивирусные базы наиболее известных антивирусов эквивалентны.

Важное дополнительное свойство сигнатур - точное и гарантированное определение типа вируса. Это свойство позволяет занести в базу не только сами сигнатуры, но и способы лечения вируса. Если бы сигнатурный анализ давал только ответ на вопрос, есть вирус или нет, но не давал ответа, что это за вирус, очевидно, лечение было бы не возможно - слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Другое важное, но уже отрицательное свойство - для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. Именно поэтому все наиболее крупные эпидемии вызываются новыми вирусами. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти - потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

Эвристический анализ

Слово "эвристика" происходит от греческого глагола "находить". Суть эвристических методов состоит в том, что решение проблемы основывается на некоторых правдоподобных предположениях, а не на строгих выводах из имеющихся фактов и предпосылок. Поскольку такое определение звучит достаточно сложно и непонятно, проще объяснить на примерах различных эвристических методов

Поиск вирусов, похожих на известные

Если сигнатурный метод основан на выделении характерных признаков вируса и поиске этих признаков в проверяемых файлах, то эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Постфактум такое предположение оправдывается наличием в антивирусных базах сигнатур для определения не одного, а сразу нескольких вирусов. Основанный на таком предположении эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Положительным эффектом от использования этого метода является возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры. Отрицательные стороны:

Вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист - такие события называются ложными срабатываниями

Невозможность лечения - и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо

Низкая эффективность - против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру. Метод основан на выделении основных вредоносных действий, таких как, например:

- Удаление файла.

- Запись в файл.

- Запись в определенные области системного реестра.

- Открытие порта на прослушивание.

- Перехват данных вводимых с клавиатуры.

- Рассылка писем.

- И др.

Понятно, что выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Но если программа последовательно выполняет несколько таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа по меньшей мере подозрительна. Основанный на этом принципе эвристический анализатор должен постоянно следить за действиями, которые выполняют программы.

Преимуществом описанного метода является возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные. Например, новая вредоносная программа может использовать для проникновения на компьютер новую уязвимость, но после этого начинает выполнять уже привычные вредоносные действия. Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Отрицательные черты те же, что и раньше:

- Ложные срабатывания.

- Невозможность лечения.

- Невысокая эффективность.

Дополнительные средства

Практически любой антивирус сегодня использует все известные методы обнаружения вирусов. Но одних средств обнаружения мало для успешной работы антивируса, для того, чтобы чисто антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

В первую очередь, каждый антивирус должен содержать модуль обновления. Это связано с тем, что основным методом обнаружения вирусов сегодня является сигнатурный анализ, который полагается на использование антивирусной базы. Для того чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После этого главной проблемой становится доставка сигнатур на компьютеры всех пользователей, использующих соответствующую антивирусную программу.

Именно эту задачу и решает модуль обновления. После того, как эксперты создают новые сигнатуры, файлы с сигнатурами размещаются на серверах компании - производителя антивируса и становятся доступными для загрузки. Модуль обновления обращается к этим серверам, определяет наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.


Модули обновления разных антивирусов весьма похожи друг на друга и отличаются типами серверов, с которых они могут загружать файлы обновлений, а точнее, типами протоколов, которые они могут использовать при загрузке - HTTP, FTP, протоколы локальных Windows-сетей. Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае модуль обновления может использовать и этот специальный протокол.

Второе, в чем могут отличаться модули обновления - это настройка действий, на случай, если источник обновлений недоступен. Например, в некоторых модулях обновления можно указать не один адрес сервера с обновлениями, а адреса нескольких серверов, и модуль обновления будет обращаться к ним по очереди, пока не обнаружит работающий сервер. Или же в модуле обновления может быть настройка - повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Второй важный вспомогательный модуль - это модуль планирования. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль планирования как раз и позволяет настроить периодичность выполнения этих действий.

Для обновления антивирусной базы рекомендуется использовать небольшой интервал - один час или три часа, в зависимости от возможностей канала доступа в Интернет. В настоящее время новые модификации вредоносных программ обнаруживаются постоянно, что вынуждает антивирусные компании выпускать новые файлы сигнатур буквально каждый час. Если пользователь компьютера много времени проводит в Интернете, он подвергает свой компьютер большому риску и поэтому должен обновлять антивирусную базу как можно чаще.

Полную проверку компьютера нужно проводить хотя бы потому, что сначала появляются новые вредоносные программы, а только потом сигнатуры к ним, а значит всегда есть возможность загрузить на компьютер вредоносную программу раньше, чем обновление антивирусных баз. Чтобы обнаружить эти вредоносные программы, компьютер нужно периодически перепроверять. Разумным расписанием для проверки компьютера можно считать раз в неделю.

Исходя из сказанного, основная задача модуля планирования - давать возможность выбрать для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Следовательно модуль обновления должен поддерживать много различных вариантов расписания из которых можно было бы выбирать.

Модуль управления

По мере увеличения количества модулей в антивирусе возникает необходимость в дополнительном модуле для управления и настройки. В простейшем случае - это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

- Настройке параметров антивирусных модулей.

- Настройке обновлений.

- Настройке периодического запуска обновления и проверки.

- Запуску модулей вручную, по требованию пользователя.

- Отчетам о проверке.

- Другим функциям, в зависимости от конкретного антивируса.

Основные требования к такому модулю - удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек. Подобным модулем управления обладают все антивирусы для домашнего использования. Антивирусы для защиты компьютеров в крупных сетях должны обладать несколько иными свойствами.

Уже не раз говорилось, что в большой организации за настройку и правильное функционирование антивирусов отвечают не пользователи компьютеров, а специальные сотрудники. Если компьютеров в организации много, то каждому ответственному за безопасность сотруднику придется постоянно бегать от одного компьютера к другому, проверяя правильность настройки и просматривая историю обнаруженных заражений. Это очень неэффективный подход к обслуживанию системы безопасности.

Поэтому, чтобы упростить работу администраторов антивирусной безопасности, антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

· Поддержка удаленного управления и настройки - администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места.

· Защита настроек от изменений - модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации.

Это далеко не все требования к управлению антивирусной защитой в крупной организации, а только основные принципы. Подробнее об особенностях антивирусной защиты сетей и требованиях к модулям управления будет рассказано позже в соответствующем разделе.

Карантин

Среди прочих вспомогательных средств во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Например, легко представить ситуацию, при которой файл детектируется как возможно зараженный эвристическим анализатором и удаляется согласно настройкам антивируса. Однако эвристический анализатор никогда не дает стопроцентной гарантии того, что файл действительно заражен, а значит с определенной вероятностью антивирус мог удалить не зараженный файл.

Или же антивирус обнаруживает важный документ зараженный вирусом и пытается согласно настройкам выполнить лечение, но по каким-то причинам происходит сбой и вместе с вылеченным вирусом теряется важная информация.

Разумеется, от таких случаев желательно застраховаться. Проще всего это сделать, если перед лечением или удалением файлов сохранить их резервные копии, тогда если окажется, что файл был удален ошибочно или была потеряна важная информация, всегда можно будет выполнить восстановление из резервной копии.

Тестирование работы антивируса

После того как антивирус установлен и настроен, каждый пользователь хочет убедиться, что он все сделал правильно и антивирусная защита работает. Но как это проверить? Первое, что приходит в голову: взять где-нибудь зараженный файл и посмотреть поймает ли его антивирус. Но, как и у многих простых решений, у этого есть ряд очевидных недостатков:

· Зараженный файл не так-то просто найти. Даже если воспользоваться поиском в Интернете и найти какие-то файлы, нет никакой гарантии, что они действительно заражены. Т. е. если антивирус обнаружит в них вирусы, значит они заражены, а антивирус работает, но если не обнаружит, то неизвестно - антивирус не работает, или файлы не заражены

· Использовать для тестирования настоящие вирусы крайне опасно. Если пользователь все же ошибся и неправильно выполнил установку или настройку антивируса, в процессе тестирования он может на самом деле заразить свой компьютер, в результате чего потерять данные или стать источником заражения для других компьютеров.

Значит нужен такой способ тестирования антивирусов, который был бы безопасным, но давал четкий ответ на вопрос, корректно ли работает антивирус. Понимая важность проблемы, организация EICAR при участии антивирусных компаний создала специальный тестовый файл, который был назван по имени организации - eicar.com.

Eicar.com - это исполняемый файл в COM-формате, который не выполняет никаких вредоносных действий, а просто выводит на экран строку "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!". Тем не менее, все антивирусные компании договорились включить этот файл в свои антивирусные базы и детектировать его как вирус, специально чтобы пользователи могли без риска протестировать свою антивирусную защиту.

Получить eicar.com можно на сайте организации EICAR по адресу http://www.eicar.org/anti_virus_test_file.htm, но проще создать этот файл самому. Дело в том, что машинный код файла eicar.com состоит из печатных символов и его можно создать при помощи любого текстового редактора. Например, можно воспользоваться стандартным для операционных систем Windows редактором Notepad. В окне Notepad нужно набрать строку

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

сохранить файл под именем eicar.com, и все - тестовый файл готов.

Созданный описанным способом файл eicar.com ничем не отличается от доступного на сайте организации EICAR, можно загрузить и убедиться самому. Его можно пытаться скопировать на защищенную машину, запускать на ней или же просто проверять, чтобы проверить работу антивируса в разных режимах.

Тестирование антивируса при помощи eicar.com тоже не идеально. Концепция тестового файла и сам тестовый файл, разрабатывались в начале 90-х годов, когда едва ли не единственным типом вредоносных программ были файловые вирусы. Поэтому eicar.com в первую очередь позволяет протестировать, как антивирус справляется с файловыми вирусами и близкими по структуре вредоносными программами - большинством троянов, некоторыми червями.

Однако сейчас разнообразие вредоносных программ гораздо больше. И соответственно больше антивирусных модулей, предназначенных для защиты от различных угроз. Например, во многих антивирусах имеется специальный модуль защиты от скрипт-вирусов, а поскольку eicar.com скрипт-вирусом не является, он непригоден для тестирования таких модулей. Точно так же eicar.com непригоден для тестирования специальных модулей для защиты от макровирусов. К сожалению, на сегодняшний день новых способов тестирования антивирусных средств, которые поддерживались бы всеми производителями антивирусов нет, и приходится полагаться на старые способы.

Источник: https://sites.google.com/site/komviruscom/home/antivirusnye-programmy
.

Основными функциональными особенностями Dr Web являются: - эксплуатация зданий

СЕЙЧАС ПРОСМАТРИВАЮТ:
совершенствование организационной культуры на предприятии дипломная работа, актуальность исследования примеры из дипломных работ, системы распознавания текста ввода данных дипломная работа, защита дипломной работы в художественной школе, доклад к дипломной работе пример по экономике

Окружающей среды: Компьютерные вирусы и антивирусные программы

В чем может заключаться новизна дипломной работы
Презентации по педагогике к дипломной работе образец по
Заказать дипломную заказать курсовую работу


Похожие материалы



Реферат


Вирусыи антивирусныепрограммы

Содержание


1. Вирусы

а)Что такое вирус

б)Что может ичего не можеткомпьютерныйвирус

в)Заразитьсякомпьютернымвирусом можнотолько в оченьограниченномколичествеслучаев

г)Типы вирусов

д)Что делать,если заражениеуже произошло

2. Методыобнаружениявирусов

а)Метод соответствияопределениювирусов в словаре

б)Метод обнаружениястранногоповеденияпрограмм

в)Метод обнаруженияпри помощиэмуляции

г)Метод «Белогосписка»

д)Другие методыобнаружениявирусов

3.Важные замечания

4.Классификацияантивирусов

5.Антивирусына SIM, флэш - картахи USB устройствах

1. Вирусы


а)Что такое вирус


Компьютерныевирусы - вредоносныесамо распространяющиесяпрограммы;основным признакомкомпьютерноговируса являетсяего способностьсоздаватьсобственныекопии (не всегдапохожие наоригинал) ивнедрять ихв исполняемыеобъекты (программы,системныеобласти…)

Вредоносныйпрограммныйкод, обычнозамаскированныйпод что-нибудьпривлекательное(например, фотографияпопулярногоспортсмена)или полезноеи выполняющийнезапланированныелибо нежелательныедействия, напримерповреждениеданных.

(Virus - лат.) -вид программ,характеризующихсяспособностьюскрытого отпользователясаморазмножениядля поражениядругих программ,компьютеровили сетей.

В общемслучае компьютерныйвирус - это небольшаяпрограмма,которая приписываетсебя в конецисполняемыхфайлов, драйверов,или "поселяется"в загрузочном(BOOT) секторе диска.При запускезаражённыхпрограмм идрайвероввначале происходитвыполнениевируса, а ужепотом управлениепередаётсясамой программе.Если же вирус"поселился"в загрузочномсекторе, то егоактивизацияпроисходитв момент загрузкиоперационнойсистемы с такогодиска. В тотмомент, когдауправлениепринадлежитвирусу, обычновыполняютсяразличныенеприятныедля пользователя,но необходимыедля продолженияжизни данноговируса действия.Это нахождениеи заражениедругих программ,порча данныхи т. д. Вирус можеттакже остатьсяв памяти резидентнои продолжатьвредить доперезагрузкикомпьютера.После окончанияработы вирусауправлениепередаётсязаражённойпрограмме,которая обычноработает "какни в чём не бывало",маскируя темсамым наличиев системе вируса.К сожалению,очень частовирус обнаруживаетсяслишком поздно,когда большинствопрограмм ужезаражено. Вэтих случаяхпотери от зловредныхдействий вирусамогут бытьочень велики.

В последнеевремя появилисьтак называемыемакровирусы.Они передаютсявместе с компьютерные вирусы и антивирусные программы которыхпредусмотреновыполнениемакрокоманд(например, пример заключения в дипломной работе по бухгалтерскому учету, отсюда ихназвание. Макровирусыпредставляютсобой макрокоманды,которые предписываютпереноситьтело вирусав другие документы,и, по возможности,совершатьразличныевредные действия.Наибольшеераспространениев настоящеевремя получилимакровирусы,заражающиедокументытекстовогоредактора Wordи табличногоредактораExcel.

Как проявляютсебя вирусы

Проявлениявирусов дипломная работа на тему развитие познавательного интереса. Это:

1 Сильноезамедлениеработы компьютера.

2 Неожиданноепоявление наэкране постороннихфраз.

3 Появлениеразличныхвидеоэффектов(например,перевёртываниеэкрана).

4 Пропаданиеинформациис экрана.

5 Генерацияразличныхзвуков.

6 Некоторыепрограммыперестаютработать, адругие ведутсебя оченьстранно.

7 На дискахпоявляетсябольшое количествоиспорченныхфайлов данных,текстовыхфайлов.

8 Разомрушится всяфайловая системана одном издисков.

9 Операционнаясистема неожиданноперестаётвидеть винчестер.

10 Произвольноизменяетсядлина отдельныхфайлов.

11 Неожиданныепроблемы с 32-хбитным доступомк диску и файламв Windows 3.11 или Windows 95.

12 Стираниевсех незащищённыхот стиранияпользовательскихфайлов и системныхфайлов

13 Самопроизвольныйнеограниченный«разгон» видеокартыи процессора,что приводитк их перегревуи поломке

14 Подменасуществующихдрайверов надрайвера,неподходящиек данной системе,что приводитк возникновениюбольшого количестваошибокзамедлениюработы системыи остановкеработы важныхсервисныхпрограмм

15 Скачиваниепри подключённомИнтернет-соединениибольшого количестваненужной, опаснойинформации,мусора и другихвирусов

Разныевирусы могутвести себяпо-разному.Некоторыетолько размножаются,не совершаявредных действий,другие же сразупосле заражениясовершаютмножество оченьнеприятныхдействий. Естьтакие, которыевначале компьютерные вирусы и антивирусные программы незаметно,а по прошествиикакого-то временивдруг разомпортят вседанные (скажем,форматируетсявинчестер).


б)Что может ичего не можеткомпьютерныйвирус


Компьютерныйвирус можетзаразить оченьограниченноечисло файлов.Перечислимэти файлы. Впервую очередьэто исполняемыефайлы с расширением и .ехе, затем- драйверы устройствс расширениями.sys и тем же .ехе.динамическиебиблиотеки(расширениеdll) и. наконец,оверлейныемодули исполняемыхфайлов (какправило, имеютрасширение.ovl).

Существуютвирусы, заражающиепакетные .bat файлы,но эти вирусыкрайне примитивныи поступаюточень просто:они вставляютв пакетныефайлы командысвоего вызова.Поймать такиевирусы непредставляеттруда.

Такжемогут бытьподвергнутызаражению файлыдокументови шаблоновредакторов,в которых приоткрытии документапредусмотреновыполнениемакрокоманд.В частности,это .doc и .dot файлытекстовогоредактора Word.xls и ,xlt файлы табличногоредактораExcel.

Ни прикаких условияхне могут бытьподвергнутызаражениютекстовые(.txt) и графическиефайлы (.tif. gif. bmp и т.п.), файлы данныхи информационныефайлы.


в)Заразитьсякомпьютернымвирусом можнотолько в оченьограниченномколичествеслучаев


Это:

Запускна компьютереисполняемойпрограммы,заражённойвирусом.

Загрузкакомпьютерас дискеты, содержащейзагрузочныйвирус.

Подключениек системе заражённогодрайвера.

Открытиедокумента,заражённогомакровирусом.

Установкана компьютерезаражённойоперационнойсистемы.

Компьютерне может бытьзаражён, темы для дипломных работ в маи негопереписывалисьтекстовые играфическиефайлы (за исключениемфайлов, предусматривающихвыполнениемакрокоманд).

На нёмпроизводилоськопированиес одной дискетына другую приусловии, чтони один файлс дискет незапускался.

На компьютерепроизводитсяобработкапринесённыхизвне текстовыхи графическихфайлов, файловданных информационныхфайлов (заисключениемфайлов, предусматривающихвыполнениемакрокоманд).

Переписываниена компьютерзаражённоговирусом файлаещё не означаетзаражения еговирусом. Чтобызаражениепроизошло нужнолибо запуститьзаражённуюпрограмму, либоподключитьзаражённыйдрайвер, либооткрыть заражённыйдокумент (либо,естественно,загрузитьсяс заражённойдискеты).

Иначеговоря, заразитьсвой компьютерможно тольков том случае,если запуститьна нём непроверенныепрограммы и(или) программныепродукты, установитьнепроверенныедрайвера и(или) операционныесистемы, загрузитьсяс непровереннойсистемнойдискеты илиоткрыть непроверенныедокументы,подверженныезаражениюмакровирусами.

Не стоитприписыватьвсе сбои в работеоборудованияили программдействиюкомпьютерноговируса. Вирус- это компьютерные вирусы и антивирусные программы небольшогоразмера, и онане может совершатьникаких сверхъестественныхдействий.


г)Типы вирусов


Вирусы- спутники. Наиболеепримитивныйтип вирусов.Для каждогофайла с расширением.ехе создаютфайл с тем жеименем, но срасширением. содержащийтело дипломные и курсовые проекты по технологии машиностроения запускефайла операционнаясистема вначалеищет файлы,а потом .ехефайлы. Поэтомувначале управлениеполучает вирус,а затем уже онсам рецензия на по ндс пример файл.

Файловыевирусы. Поражаютфайлы с расширением. ехе, реже .sys илиоверлейныемодули .ехефайлов. Этивирусы дописываютсвоё тело вначало, серединуили конец файлаи изменяют еготаким образом,чтобы первымиполучить управление.Некоторые изэтих вирусовне заботятсяо сохранениезаражаемогофайла, в результатечего он оказываетсянеработоспособным;и, что самоепечальное,такой файлнельзя восстановить.Часть этихвирусов остаётсяв памяти резидентно.

Загрузочныевирусы. Поражаютзагрузочныесектора дисков.Инфицированиеновых дисковпроисходитв тот момент,когда в заражённыйкомпьютервставляют новуюдискету и начинаютс ней работать.Часто вирусне помешаетсяцеликом в загрузочнойзаписи, тудапишется толькоего начало, апродолжениетела вирусасохраняетсяв другом местедиска. Послезапуска остаютсяв памяти резидентно.

Вирусы,сочетающиев себе свойствафайловых изагрузочныхвирусов. Такиевирусы могутпоражать какфайлы, так изагрузочныесектора.

ВирусыDIR*. Интересныйкласс вирусов,появившийсянедавно. Этивирусы изменяютфайловую системудиска оченьхитрым образом.В таблице размещенияфайлов (FAT) длявсех исполняемыхфайлов ссылкина начало заменяютсяссылками натело вируса.Адреса же началафайлов в закодированномвиде помещаютсяв неиспользуемыеэлементы директории.В результате,как только вызапускаетелюбую программу,управлениеавтоматическиполучает вирус.Он остаётсяв памяти резидентнои при работевосстанавливаетправильныессылки на началафайлов. Еслидиск, заражённыйвирусом DIR, попадаетна чистый компьютер,считать с негоданные, естественно,оказываетсяневозможным(читается толькоодин кластер).При попыткепротестироватьфайловую структуру- скажем Norton Disk Doctor - наэкран выдаётсясообщение обогромном количествеошибок, компьютерные вирусы и антивирусные программы стоитзапустить хотьодну программус заражённогодиска, как файловаясистема тутже "восстанавливается".Насамом же делепроисходитинфицированиеещё одногокомпьютера.

Макровирусы.Весьма оригинальныйкласс вирусов(хотя вирусамив полном смыслеэтого словаих даже нельзяназвать), заражающийдокументы, вкоторых предусмотреновыполнениемакрокоманд.При открытиитаких документоввначале по основным фондам по предприятию уровня),содержащиесяв этом документе,-макровирускак раз ипредставляетсобой такуюмакрокоманду.Таким образом,как толькобудет открытзаражённыйдокумент,вирусполучит управлениеи совершит всевредный действия(в частности,найдёт и заразитещё не заражённыедокументы).

Механизмызащиты вирусовот обнаружения

Как правиловирусы легкообнаруживаютсяпо особым участкамкода тела вируса.Правда, в последнеевремя широкоераспространениеполучили двановых типавирусов - вирусы-невидимки(или стелс-вирусы)и самомодифицирующиесявирусы (вирусы-призраки).

Стелс-вирусы(от английскогоstealth - Стелс-вирус- вирус, тем илииным способомскрывающийсвое присутствиев системе.) реализуюточень хитрыймеханизм,затрудняющийих обнаружение.При зараженииэти вирусыостаются впамяти резидентнои при обращениик заражённымфайлам и областямдиска подменяютинформациютак, что "заказчик"получает еёв незаражённом,исходном виде.Достигаетсяэто перехватываниемобращений DOS иустановкойсвоих векторовпрерываний.Увидеть такойвирус можнолибо на незаражённомкомпьетере(например,загрузившисьс заведомочистой дискеты),либо в том случае,когда программане пользуетсясредствамиDOS а напрямуюобращаетсяк диску.

Вирусы-призракимаскируютсяс помощью другогомеханизма. Этивирусы постоянномодифицируютсебя таким.образом', чтоне содержатодинаковыхфрагментов.Такие вирусыхранят своётело в закодированномвиде и постоянноменяют параметрыэтой кодировки.Стартовая жечасть, занимающаясядекодированиемнепосредственносамого тела,может генерироватьсявесьма сложнымспособом. Припереносе вирусаданного типас компьютерана компьютеркод вирусаизменяетсятаким образом,что уже не имеетничего общегосо своим предыдущимвариантом. Ачасть вирусовможет самомодифицироватьсяи в пределаходного компьютера.Обнаружениетаких вирусоввесьма осложнено,хотя частьантивирусныхпрограмм пытаетсянаходить ихпо участкамкода, характернымдля стартовойчасти.

* - DIR - Полев ячейке управленияресурсами,показывающеенаправлениеRM-ячейки поотношению кпотоку данных,с которым этаячейка связана.Источник данныхустанавливаетDIR=0, получатель- DIR=1.


д)Что делать,если заражениеуже произошло


Стандартныедействия призаражениивирусом

Вы должны:

Сразуже выключитьпитание, чтобывирус пересталраспространятьсядальше. Единственное,что можно сделатьдо выключенияпитания, - этосохранитьрезультатытекущей работы.Не следуетиспользоватьгорячую перезагрузку(Ctrl+Alt+Del), т. к. некоторыевирусы при этомсохраняют своюактивность.

Войтив SETUP и включитьзагрузку сдиска А:. Заоднорекомендуетсяпроверитьправильностьвсех установок,включая параметрыжёстких дисков.Если произошликакие-либоизменения, тонеобходимовосстановитьстарые значения.

Ни в коемслучае не запускатьни одной программы,находящейсяна жёсткомдиске.

Необходимозагрузитьсяс дискеты (онадолжна бытьзащищена отзаписи) и запуститьпо очередипрограммы-детекторы,находящиесяна дискете.Если одна изпрограмм обнаружитзагрузочныйвирус, то егоможно тут жеудалить, аналогичнонадо поступитьи при наличиивируса DIR. Учтите,что вирусовможет бытьмного.

Еслипрограмма-детекторобнаружитфайловый вирус,то возможныдва вариантадействий. Еслиу вас

установленапрограмма-ревизорс лечащем модулем,то восстановлениефайлов лучшеделать с еепомощью.

Если такоепрограммы нет.то необходимовоспользоватьсядля леченияодним из детекторов.Испорченныефайлы (если,конечно, онине текстовыеи не файлы данных)необходимоудалить.

Послетого как всевирусы удалены,необходимозаново перенестиоперационнуюсистему нажёсткий диск(с помощью командыSYS).

Необходимопроверитьцелостностьфайловой системына винчестере(с помощью CHKDSK) иисправить всеповреждения.Если такихповрежденийочень много,то перед исправлениемфайловой структурынеобходимопопытатьсяскопироватьнаиболее важныефайлы компьютерные вирусы и антивирусные программы дискеты.

Необходимоещё раз проверитьжёсткий дискна наличиевирусов, еслитаковых неоказалось, томожно перезагрузитьсяс по физиологии человека и животных перезагрузкивинчестеранеобходимооценить потериот действийвируса. Еслиповрежденийочень много,то проще зановопереформатироватьвинчестер (принеобходимостисохранив самыеважные файлы).

Необходимовосстановитьвсе необходимыефайлы и программыс помощью архива- и для страковки,ещё раз загрузившисьс дискеты,протестироватьвинчестер. Еслиснова будетобнаруженвирус, то- вамне повезло, вашархив такжезаражён компьютерные вирусы и антивирусные программы этом случаевы должныпротестироватьвесь ваш архив.

Если всёв порядке, тонеобходимопроверить вседискеты, которыемогли оказатьсязаражённымивирусом и принеобходимостипролечить их.Не забудьтетолько отключитьзагрузку сдиска А:.

Послетого как вирусдезактивирован,вы можете продолжатьсвою работу.Рекомендуетсятолько подключитьна некотороевремя одну изпрограмм-фильтров.

Нестандартныеситуации

Во времявирусной атакиможет возникнутьряд нестандартныхситуаций. Рассмотримих.

Если увас установленменеджер диска,то при загрузкис дискеты частьдисков можетбыть недоступна.Тогда необходимопролечитьвначале вседоступные наданный моментдиски, затемзагрузитьсяс жёсткогосистемногодиска и пролечитьвсе оставшиесялогическиедиски.

Если призагрузке сдискеты выясняется,что системапросто "невидет" вашвинчестер, тоскорее всеговирус повредилтаблицу разбиенияжёсткого диска.В этом случаенеобходимоещё раз проверитьустановки SETUPи попытатьсявосстановитьразбиение курсовая дипломная диссертационная работа различаются Norton Disk Doctor(или, если выхорошо представляетесебе свои компьютерные вирусы и антивирусные программы помощью Norton DiskEdit). Если это непоможет, то,увы, вся информацияс винчестерапотеряна, остаётсятолько компьютерные вирусы и антивирусные программы выстолкнулисьс неизвестнымвирусом, тодело обстоитнесколькосложнее. Во-первых,вы можетевоспользоватьсяпрограммой-ревизором,если она у васустановлена.Вполне возможно,что она поможетобезвредитьваш вирус. Еслиеё нет или онане помогла, тоостаётся толькозаново перенестиоперационнуюсистему, а затемудалить с неговсе исполняемыеи пакетныефайлы, драйверыи оверлейныефайлы, послечего восстановитьих из архива.Можно такжевоспользоватьсяуслугами антивируснойскорой помощи.

И в заключениеодно замечание.Не стоит приписыватьвсе ваши неприятностидействиямвируса. Говоритьже о действиинеизвестноговируса, а темболее прибегатьк радикальныммерам следуеттолько тогда,когда не остаётсяникаких сомнений.Стоит вначалепопытатьсявосстановитьфайлы, и, толькоесли это неудаётся, удалитьих.

Ситуация,сложившаясясейчас в областивируснойбезопасности,весьма стабильна.Различныеорганизации(исключая, конечно,Институтскиеучебные центры,на которыхпробуют своисилы юные авторывирусов) подвергаютсявирусным атакамвесьма редко,- не говоря ужеоб индивидуальныхпользователях.

2. Методыобнаружениявирусов


а)Метод соответствияопределениювирусов в словаре


Этометод, когдаантивируснаяпрограмма,просматриваяфайл, компьютерные вирусы и антивирусные программы антивируснымбазам, которыесоставленыпроизводителемпрограммы-антивируса.В случае соответствиякакого либоучастка кодапросматриваемойпрограммыизвестномукоду (сигнатуре)вируса в базах,программаантивирус можетпо запросувыполнить одноиз следующихдействий:

  1. Удалить инфицированный файл.

  2. Заблокировать доступ к инфицированному файлу.

  3. Отправить файл компьютерные вирусы и антивирусные программы карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

  4. Попытаться восстановить файл, удалив сам вирус из тела файла.

  5. В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке.

Для тогочтобы такаяантивируснаяпрограммауспешно работалана протяжениидолгого времени,в словарь вирусовнужно периодическизагружать(обычно, черезИнтернет) обновленныеданные. Еслибдительныеи имеющие склонностьк техникепользователиопределят вируспо горячимследам, онимогут послатьзараженныефайлы разработчикамантивируснойпрограммы, аони затем добавятинформациюо компьютерные вирусы и антивирусные программы вирусахв свой словарь.

Для многихантивирусныхпрограмм сословарем характернапроверка файловв тот момент,когда операционнаясистема создает,открывает,закрывает илипосылает ихпо почте. Такимобразом, программаможет обнаружитьизвестный вируссразу послеего получения.Заметьте также,что системныйадминистраторможет установитьв антивируснойпрограммерасписаниедля регулярнойпроверки(сканирования)всех файловна жесткомдиске компьютера.Хотяантивирусныепрограммы,созданные наоснове поискасоответствияопределениювируса в словаре,при обычныхобстоятельствахмогут достаточноэффективнопрепятствоватьвспышкам заражениякомпьютеров,авторы вирусовстараютсядержаться наполшага впередитаких программ-антивирусов,создавая«олигоморфические»,«полиморфические»и самые новые,«метаморфические»вирусы, в которыхнекоторые частишифруются илиискажаютсятак, чтобы былоневозможнообнаружитьсовпадениес определениемв словаре вирусов.


б)Метод обнаружениястранногоповеденияпрограмм


Антивирусы,использующиеметод обнаруженияподозрительногоповеденияпрограмм непытаютсяидентифицироватьизвестныевирусы, вместоэтого онипрослеживаютповедение всехпрограмм. Еслипрограммапытается записатькакие-то данныев исполняемыйфайл (exe-файл),программа-антивирусможет пометитьэтот файл,предупредитьпользователяи спросить чтоследует сделать.Внастоящеевремя, подобныепревентивныеметоды обнаружениявредоносногокода, в том илиином виде, широкоприменяютсяв качествемодуля антивируснойпрограммы, ане отдельногопродукта.Другиеназвания: Проактивнаязащита, Поведенческийблокиратор,Host Intrusion Prevention System (HIPS).В отличиеот метода поискасоответствияопределениювируса в антивирусныхбазах, методобнаруженияподозрительногоповедения даётзащиту от новыхвирусов, которыхещё нет в антивирусныхбазах. Однакоследует учитывать,что программыили модули,построенныена этом методе,выдают такжебольшое количествопредупреждений(в некоторыхрежимах работы),что делаетпользователямало восприимчивымко всем предупреждениям.В последнеевремя эта проблемаещё более ухудшилась,так как сталопоявлятьсявсё больше невредоносныхпрограмм,модифицирующихдругие exe-файлы,несмотря насуществующуюпроблему ошибочныхпредупреждений.Несмотря наналичие большогоколичествапредупреждающихдиалогов, всовременномантивирусномпрограммномобеспеченииэтот компьютерные вирусы и антивирусные программы больше ибольше. Так, в2006 году вышлонесколькопродуктов,впервые реализовавшихэтот метод:Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec,F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многиепрограммыкласса файрволлиздавна имелив своем составемодуль обнаружениястранногоповеденияпрограмм.


в)Метод обнаруженияпри помощиэмуляции


Некоторыепрограммы-антивирусыпытаются имитироватьначало выполнениякода каждойновой вызываемойна исполнениепрограммы передтем как передатьей управление.Если программаиспользуетсамоизменяющийсякод или проявляетсебя как вирус(то есть немедленноначинает искатьдругие exe-файлынапример), такаяпрограмма будетсчитатьсявредоносной,способнойзаразить другиефайлы. Однакоэтот метод тожеизобилуетбольшим количествомошибочныхпредупреждений.

г)Метод «Белогосписка»


Общаятехнологияпо борьбе свредоноснымипрограммами —это «белыйсписок». Как правильно сделать защитное слово на, чтобыискать толькоизвестныевредоносныепрограммы, этотехнологияпредотвращаетвыполнениевсех компьютерныхкодов за исключениемтех, которыебыли ранееобозначенысистемнымадминистраторомкак безопасные.Выбрав этотпараметр отказапо умолчанию,можно избежатьограничений,характерныхдля обновлениясигнатур вирусов.К тому же, теприложенияна компьютере,которые системныйадминистраторне хочет устанавливать,не выполняются,так как их нетв «белом списке».Так как у современныхпредприятийесть множествонадежных приложений,ответственностьза ограниченияв использованииэтой технологиивозлагаетсяна системныхадминистраторови соответствующимобразом составленныеими «белыесписки» надежныхприложений.Работа антивирусныхпрограмм стакой технологиейвключает инструментыдля автоматизацииперечня иэксплуатациидействий с«белым списком».

д)Другие методыобнаружениявирусов


Ряд другихметодов предлагаетсяв исследованияхи используетсяв антивирусныхпрограммах(см. также эвристическоесканирование).

3.Важные замечания


  • Распространение вирусов по электронной почте (возможно наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

  • Обучение пользователей может стать эффективным дополнением к антивирусному программному обеспечению. Простое обучение пользователей правилам безопасного использования компьютера (например не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов избавило бы от надобности пользоваться многими антивирусными программами.

  • Пользователи компьютеров не должны всё время работать с правами администратора. Если бы они пользовались режимом доступа обычного пользователя, то некоторые разновидности вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше). Это одна из причин, по которым вирусы в Unix-подобных системах относительно редкое явление.

  • Метод обнаружения вирусов по поиску соответствия в словаре не всегда достаточен из-за продолжающегося создания всё новых вирусов, метод подозрительного поведения не работает достаточно хорошо из-за большого числа ошибочных решений о принадлежности к вирусам не заражённых программ. Следовательно, антивирусное программное обеспечение в его современном виде никогда не победит компьютерные вирусы.

  • Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. К несчастью, во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.

  • Постоянное появление новых вирусов даёт разработчикам антивирусного программного обеспечения хорошую финансовую перспективу.

  • Некоторые антивирусные программы могут значительно понизить быстродействие. Пользователи могут запретить антивирусную защиту, чтобы предотвратить потерю быстродействия, в свою очередь, увеличивая риск заражения вирусами. Для максимальной защищённости антивирусное программное обеспечение должно быть подключено всегда, несмотря на потерю быстродействия. Некоторые антивирусные программы (как AVG for Windows) не очень сильно влияют на быстродействие.

  • Иногда приходится отключать антивирусную защиту при установке обновлений программ, таких, например, как Windows Service Packs. Антивирусная программа, работающая во время установки обновлений, может стать причиной неправильной установки модификаций или полной отмене установки модификаций. Перед обновлением Windows 98, Windows 98 Second Edition или Windows ME на Windows XP (Home или Professional), лучше отключить защиту от вирусов, в противном случае процесс обновления может завершиться неудачей.

  • Некоторые антивирусные программы на самом деле являются шпионским ПО, которое под них маскируется. Лучше несколько раз проверить, что антивирусная программа, которую вы загружаете, действительно является таковой. Ещё лучше использовать ПО известных производителей и загружать дистрибутивы только с сайта разработчика.

  • Некоторые из продуктов, используют несколько ядер для поиска и удаления вирусов и спайваре. Например в разработке NuWave Software, используется 4 ядра (два для поисков вирусов и два для поиска спайваре).

4. Компьютерные вирусы и антивирусные программы Валентиновичиспользовалследующуюклассификациюантивирусовв зависимостиот их принципадействия(определяющегофункциональность)[1]:

Сканеры(устаревшийвариант «полифаги»)Определяютналичие вирусапо БД[2],хранящей сигнатуры(или их контрольныесуммы) вирусов.Их эффективностьопределяетсяактуальностьювирусной базыи наличиемэвристическогоанализатора

РевизорыЗапоминаютсостояниефайловой системы,что делает вдальнейшемвозможныманализ изменений.(Класс близкийк IDS).

Сторожа(мониторы)Отслеживаютпотенциальноопасные операции,выдавая пользователюсоответствующийзапрос наразрешение/запрещениеоперации.

ВакциныИзменяют прививаемыйфайл такимобразом, чтобывирус, противкоторого делаетсяпрививка, ужесчитал файлзаражённым.В современных(2007)условиях, когдаколичествовозможныхвирусов измеряетсядесяткамитысяч, этотподход неприменим.

5. Антивирусына SIM, флэш-картахи USB устройствах


Выпускаемыесегодня мобильныетелефоны обладаютшироким спектроминтерфейсови возможностямипередачи компьютерные вирусы и антивирусные программы тщательноизучить методызащиты прежде,чем подсоединятькакие-либонебольшиеустройства.Такиеметоды защиты,как аппаратные,возможно, антивирусына USB устройствахили на SIM, большеподойдут потребителяммобильныхтелефонов.Техническаяоценка и обзортого, как установитьантивируснуюпрограмму насотовый мобильныйтелефон, должнырассматриваться,как процесссканирования,который можетповлиять надругие легальныеприложенияна этом телефоне.

Антивирусныепрограммы наSIM с антивирусом,встроенномв зону памятинебольшойемкости, обеспечиваютборьбу с вредоноснымПО/вирусами,защищая PIN иинформациюпользователятелефона. Антивирусына флэш-картахдают пользователювозможностьобмениватьсяинформациейи использоватьэти продуктыс различнымиаппаратнымиустройствами.

Источник: http://xreferat.com/33/1503-1-virusy-i-antivirusnye-programmy.html

07.12.2017 Шевченко И. Д. Курсовые 1 Comments
1 comments

Добавить комментарий

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>