Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ (рис. 11.11):
§ программы-доктора или фаги;
§ программы-вакцины или иммунизаторы.
Рис. 11.11. Виды антивирусных программ
Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest, Scan, Norton AntiVirus и Doctor Web.
ИММУНИТЕТ и ЗДОРОВЬЕ. Как работает наш иммунитет?
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий.
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора.
Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа ADinf фирмы «Диалог-Наука».
Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
§ попытки коррекции файлов с расширениями СОМ и ЕХЕ;
§ изменение атрибутов файлов;
§ прямая запись на диск по абсолютному адресу;
§ запись в загрузочные сектора диска;
§ загрузка резидентной программы.
При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски.
Антивирусы: что это и зачем?
Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит операционной системы MS DOS.
Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Антивирусный комплект АО «Диалог-Наука»
Среди обилия современных программных средств борьбы с компьютерными вирусами предпочтение следует отдать антивирусному комплекту АО «Диалог-Наука», в который входят четыре программных продукта: полифаги Aidstest и Doctor Web (сокращенно Dr.Web), ревизор диска ADinf и лечащий блок ADinf Cure Module. Рассмотрим кратко, как и когда надо применять эти антивирусные программы.
Программа-полифаг Aidstest. Aidstest – это программа, которая умеет обнаруживать и уничтожать более 1300 компьютерных вирусов, получивших наиболее широкое распространение в России. Версии Aidstest регулярно обновляются и пополняются информацией о новых вирусах.
Для вызова Aidstest следует ввести команду:
где path — имя диска, полное имя или спецификация файла, маска группы файлов:
* – все разделы жесткого диска,
** – все диски, включая сетевые и диски CD ROM;
options — любая комбинация следующих ключей:
/F — исправлять зараженные программы и стирать испорченные;
/G – проверять все файлы подряд (не только СОМ, ЕХЕ и SYS);
/S – медленная работа для поиска испорченных вирусов;
/X – стирать все файлы с нарушениями в структуре вируса;
/Q – спрашивать разрешение на удаление испорченных файлов;
/В – не предлагать обработку следующей дискеты.
Пример 11.27. Запуск антивирусной программы Aidstest для проверки и «лечения» диска В:. Обнаруженные зараженные программы будут исправлены. Проверке подлежат все файлы диска. Если файл исправить не удастся, то программа будет просить разрешение на его удаление:
aidstest b: /f /g /q
Программа-полифаг Doctor Web. Эта программа предназначена прежде всего для борьбы с полиморфными вирусами, которые сравнительно недавно появились в компьютерном мире. Использование Dr. Web для проверки дисков и удаления обнаруженных вирусов в целом подобно программе Aidstest. При этом дублирования проверки практически не происходит, так как Aidstest и Dr.
Web работают на разных наборах вирусов.
Программа Dr. Web может эффективно бороться со сложными вирусами-мутантами, которые оказываются не под силу программе Aidstest. В отличие от Aidstest программа Dr. Web способна обнаруживать изменения в собственном программном коде, эффективно определять файлы, зараженные новыми, неизвестными вирусами, проникая в зашифрованные и упакованные файлы, а также преодолевая «вакцинное прикрытие». Это достигается благодаря наличию достаточно мощного эвристического анализатора.
В режиме эвристического анализа программа Dr.Web исследует файлы и системные области дисков, пытаясь обнаружить новые или неизвестные ей вирусы по характерным для вирусов кодовым последовательностям. Если таковые будут найдены, то выводится предупреждение о том, что объект, возможно, инфицирован неизвестным вирусом.
Предусмотрены три уровня эвристического анализа. В режиме эвристического анализа возможны ложные срабатывания, т.е. детектирование файлов, не являющихся зараженными. Уровень «эвристики» подразумевает собой уровень анализа кода без наличия ложных срабатываний. Чем выше уровень «эвристики», тем выше процент наличия ошибок или ложных срабатываний. Рекомендуются первые два уровня работы эвристического анализатора.
Третий уровень эвристического анализа предусматривает дополнительную проверку файлов на «подозрительное» время их создания. Некоторые вирусы при заражении файлов устанавливают некорректное время создания, как признак зараженности данных файлов. Например, для зараженных файлов секунды могут иметь значение 62, а год создания может быть увеличен на 100 лет.
В комплект поставки антивирусной программы Dr. Web могут входить также файлы-дополнения к основной вирусной базе программы, расширяющие ее возможности.
Работать с программой Dr. Web можно в двух режимах:
§ в режиме полноэкранного интерфейса с использованием меню и диалоговых окон;
§ в режиме управления через командную строку.
Для разового нерегулярного применения более удобен первый режим, но для регулярного применения с целью систематического входного контроля дискет лучше применять второй режим. При использовании второго режима соответствующая команда запуска Dr. Web должна быть включена либо в меню пользователя операционной оболочки Norton Commander, либо в специальный командный файл.
Командная строка для запуска Dr. Web выглядит следующим образом:
DrWeb [диск: [путь] ] [ключи]
X: — логическое устройство жесткого диска или физическое устройство гибкого диска, например F: или А:,
* — все логические устройства на жестком диске,
путь — это путь или маска требуемых файлов.
Наиболее важные ключи:
/AL — диагностика всех файлов на заданном устройстве;
/CU[P] — «лечение» дисков и файлов, удаление найденных вирусов;
Р — удаление вирусов с подтверждением пользователя;
/DL — удаление файлов, корректное лечение которых невозможно;
/НА[уровень] — эвристический анализ файлов и поиск в них неизвестных вирусов, где уровень
может принимать значения 0, 1, 2;
/RР[имя файла] – запись протокола работы в файл (по умолчанию в файл REPORT.WEB);
/CL — запуск программы в режиме командной строки, при тестировании файлов и
системных областей не используется полноэкранный интерфейс;
/QU — выход в DOS сразу после тестирования;
/? – вывод на экран краткой справки.
Если в командной строке Dr.Web не указано ни одного ключа, то вся информация для текущего запуска будет считываться из файла конфигурации DRWEB.INI, расположенного в том же каталоге, что и файл DRWEB.EXE. Файл конфигурации создается в процессе работы с программой Dr. Web с помощью команды сохранения параметров, необходимых для тестирования.
Пример 11.28. Запуск антивирусной программы Dr.Web для проверки и лечения диска В:. Обнаруженные зараженные файлы будут «вылечены». Проверке подлежат все файлы диска. Если файл «вылечить» не удастся, то программа будет просить разрешение на его удаление. Для поиска вирусов должен использоваться эвристический уровень анализа 1. Программа должна выполняться только в режиме командной строки с выходом в DOS после завершения тестирования:
DrWeb В: /AL /CUP /HA1 /QU / CL
Источник: cyberpedia.su
Характеристика антивирусных программ
Сам термин «вирус» пришел из медицины и поэтому при описании антивирусных программ широко используются такие медицинские термины, как «лечение», «доктор», «вакцина», иммунизатор», «карантин», «прививка» и другие термины. Такое использование медицинских терминов наиболее понятно и однозначно определяют происходящие действия.
Имеются такие виды антивирусных программ:
программы — доктора или фаги;
программы — вакцины или иммунизаторы.
Программы — детекторы. Это такие программы, которые осуществляют поиск сигнатуры вируса в ОЗУ и в файлах. При обнаружении сигнатур выдается соответствующее сообщение. Такие программы могут обнаруживать только те вирусы, сигнатуры которых уже известна разработчикам программ-детекторов
Программы — доктора (или фаги). Такие программы не только находят зараженные вирусом файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файл в исходное состояние. В начале своей работы фаги ищут вирусы в ОЗУ, уничтожают их, и только затем переходят к «лечению» самих файлов. Среди фагов выделяют еще полифаги, т. е. Программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы DoctorWeb,Norton Antivirus и другие. Программы-доктора должны постоянно обновлять свои базы данных сигнатурами новых вирусов для успешной борьбы с вирусами
Программы-ревизоры. Такие программы запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда ПК не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние м исходным. Обнаруженные изменения выводятся на экран монитора. Сравнение производится сразу после загрузки операционной системы.
При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют развитые алгоритмы, обнаруживающие стелс-вирусы и могут отличать изменения версий проверяемой программы от изменений, внесенных вирусом. К числу таких программ-ревизоров относится широко распространенная в России программа Adinf фирмы «Диалог-Наука».
Программы — фильтры. Их еще называют программа-сторож. Это небольшие резидентные программы и предназначены для обнаружения подозрительных действий при работе компьютера, характерными действиями являются:
попытка коррекции файлов с расширениями СОМ и ЕХЕ;
изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы.
В таких случаях программа формирует сообщение для пользователя и предлагает запретить или разрешить соответствующие действия.
Программы-фильтры способны обнаруживать вирус на самой ранней стадии его существования до размножения. Эти программы не умеют «лечить» файлы и диски. Для уничтожения вирусов требуется применить другие программы, требуется применить другие программы, например, фаги.
Недостаток таких программ-фильтров в их «назойливости» (постоянно выдают предупреждения о любой попытке копирования исполняемого файла), а также возможные конфликты с другими программами.
Программы-вакцины. Это резидентные программы и предотвращают заражение файлов. Следует применять при отсутствии фагов. Вакцинация возможна только от известных вирусов. Вакцина модифицирует файл или диск так, что вирус воспринимает их как зараженными и вирус не будет внедряться. Модификация файла, диска не отражается на их работе.
В настоящее время программы-вакцины имеют ограниченное применение.
Источник: studwood.net
Антивирусные программы
Министерство образования и науки Республик Бурятия
Государственное бюджетное профессиональное образовательное учреждение
«Бурятский республиканский информационно-экономический техникум»
Выполнил: студентка 116 группы,
Шалданова Н. Б.
Проверил: преподаватель информатики,
Цыренова А. Н.
2. Содержание
Введение
Признаки появления вирусов
Характеристика антивирусных программ
Программы-детекторы
Программы-доктора
Программы-ревизоры. Вакцины
Программы-фильтры
Недостатки антивирусных программ
Итак, что же такое антивирус?
3. Введение
В настоящее время компьютер прочно вошел в повседневную жизнь. Его
возможности используются на работе, при проведении досуга, в быту и
других сферах жизни человека. Количество информации, которую люди
доверяют своему «электронному другу», с каждым днем растет, поэтому
рано или поздно каждый задается вопросом: «Как обеспечить надежную
сохранность данных?»
Сегодня невозможно встретить пользователя персонального компьютера,
который не слышал бы о компьютерных вирусах. В Интернете такие
вредоносные программы существуют в огромном количестве. Самое
неприятное, что многие распространители вирусов успешно применяют в
своей практике передовые достижения IT-индустрии. В результате то, что
должно служить на благо пользователей, в конечном итоге может
обернуться для них большими проблемами.
Вирус — это вредоносная программа, проникающая на компьютер без
ведома пользователя и выполняющая определенные действия
деструктивной направленности. Вирусы – едва ли не главные враги
компьютера. Чтобы не стать жертвой этой напасти, каждому пользователю
следует хорошо знать принципы защиты от компьютерных вирусов.
С давних времён известно, что к любому яду рано или поздно можно найти
противоядие. Таким противоядием в компьютерном мире стали программы,
называемые антивирусными. Поэтому на любом современном компьютере
должна быть обязательно установлена антивирусная программа.
4. Признаки появления вирусов
Для маскировки вируса его действия по заражению других программ и нанесению вреда
могут выполняться не всегда, а при выполнении каких-либо условий. После того как
вирус выполнит нужные ему действия, он передает управление той программе, в которой
он находится, и ее работа некоторое время не отличается от работы незараженной. Все
действия вируса могут выполняться достаточно быстро и без выдачи каких-либо
сообщений, поэтому пользователь часто и не замечает, что компьютер работает со
«странностями». К признакам появления вируса можно отнести:
замедление работы компьютера;
невозможность загрузки операционной системы;
частые «зависания» и сбои в работе компьютера;
прекращение работы или неправильная работа ранее успешно функционировавших
программ;
увеличение количества файлов на диске;
изменение размеров файлов;
периодическое появление на экране монитора неуместных системных сообщений;
уменьшение объема свободной оперативной памяти;
заметное возрастание времени доступа к жесткому диску;
изменение даты и времени создания файлов;
разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
загорание сигнальной лампочки дисковода, когда к нему нет обращения.
Надо заметить, что названные симптомы необязательно вызываются компьютерными
вирусами, они могут быть следствием других причин, поэтому компьютер следует
периодически диагностировать.
5. Характеристика антивирусных программ
Для обнаружения, удаления и защиты от
компьютерных вирусов разработано несколько
видов специальных программ, которые
позволяют обнаруживать и уничтожать
вирусы. Такие программы
называются антивирусными.
Различают следующие виды антивирусных
программ:
программы- детекторы;
программы-доктора или фаги;
программы-ревизоры;
программы-фильтры;
программы-вакцины ли иммунизаторы.
6. Программы-детекторы
Осуществляют поиск характерной для
конкретного вируса последовательности
байтов (сигнатуры вируса) в оперативной
памяти и в файлах и при обнаружении выдают
соответствующее сообщение. Недостатком
таких антивирусных программ является то, что
они могут находить только те вирусы, которые
известны разработчикам таких программ.
7. Программы-доктора
Фаги, а также программывакцины не только находят
зараженные вирусами файлы,
но и «лечат» их, т.е. удаляют
из файла тело программы
вируса, возвращая файлы в
исходное состояние. В начале
своей работы фаги ищут
вирусы в оперативной
памяти, уничтожая их, и
только затем переходят к
«лечению» файлов. Среди
фагов
выделяют полифаги, т.е.
программы-доктора,
предназначенные для поиска
и уничтожения большого
количества вирусов.
Наиболее известными
полифагами являются
программы Aidstest,Scan,
Norton AntiVirus,AVT и Doctor
Web.
8. Программы-ревизоры. Вакцины
•.
Программы-ревизоры относятся к самым надежным средствам защиты от
вирусов. Ревизоры запоминают исходное состояние программ, каталогов и
системных областей диска тогда, когда компьютер не заражен вирусом, а
затем периодически или по желанию пользователя сравнивают текущее
состояние с исходным. К числу программ-ревизоров относится широко
распространенная в России программа Adinf фирмы «Диалог-Наука».
Вакцины или иммунизаторы — это резидентные программы,
предотвращающие заражение файлов. Вакцины применяют, если
отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация
возможна только от известных вирусов. Вакцина модифицирует программу
или диск таким образом, чтобы это не отражалось на их работе, а вирус
будет воспринимать их зараженными и поэтому не внедрится. В настоящее
время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков,
полное уничтожение обнаруженных вирусов на каждом компьютере
позволяют избежать распространения вирусной эпидемии на другие
компьютеры.
9. Программы-фильтры
«Сторожа» представляют собой небольшие резидентные программы, предназначенные
для обнаружения подозрительных действий при работе компьютера, характерных для
вирусов. Такими действиями могут являться:
попытки коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы. При попытке какой-либо программы произвести
указанные действия «сторож» посылает пользователю сообщение и предлагает
запретить или разрешить соответствующее действие. Программы-фильтры весьма
полезны, так как способны обнаружить вирус на самой ранней стадии его
существования до размножения. Однако они не «лечат» файлы и диски. Для
уничтожения вирусов требуется применить другие программы, например фаги. К
недостаткам программ-сторожей можно отнести их «назойливость», а также возможные
конфликты с другим программным обеспечением.
10. Недостатки антивирусных программ
Ни одна из существующих антивирусных технологий не может
обеспечить полной защиты от вирусов
Антивирусная программа забирает часть вычислительных ресурсов
системы, нагружая центральный процессор и жёсткий диск.
Особенно это может быть заметно на слабых компьютерах.
Замедление в фоновом режиме работы может достигать 380 %.
Антивирусные программы могут видеть угрозу там, где её нет
(ложные срабатывания).
Антивирусные программы загружают обновления из Интернета, тем
самым расходуя трафик.
Различные методы шифрования и упаковки вредоносных программ
делают даже известные вирусы не обнаруживаемыми антивирусным
программным обеспечением. Для обнаружения этих
«замаскированных» вирусов требуется мощный механизм распаковки,
который может дешифровать файлы перед их проверкой. Однако во
многих антивирусных программах эта возможность отсутствует и, в
связи с этим, часто невозможно обнаружить зашифрованные вирусы.
11. Итак, что же такое антивирус?
Почему-то многие считают, что антивирус может обнаружить любой вирус,
то есть, запустив антивирусную программу, можно быть абсолютно
уверенным в их надежности. Такая точка зрения не совсем верна.
Дело в том, что антивирус — это тоже программа, конечно, написанная
профессионалом. Но эти программы способны распознавать и уничтожать
только известные вирусы. То есть антивирус против конкретного вируса
может быть написан только в том случае, когда у программиста есть в
наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная
война между авторами вирусов и антивирусов, правда, первых в нашей
стране почему-то всегда больше, чем вторых.
Но и у создателей антивирусов есть преимущество! Дело в том, что
существует большое количество вирусов, алгоритм которых практически
скопирован с алгоритма других вирусов. Как правило, такие вариации
создают непрофессиональные программисты, которые по каким-то
причинам решили написать вирус. Для борьбы с такими «копиями»
придумано новое оружие — эвристические анализаторы. С их помощью
антивирус способен находить подобные аналоги известных вирусов,
сообщая пользователю, что у него, похоже, завелся вирус
Таким образом, в этой информационной войне, как, впрочем, и в любой
другой, остаются сильнейшие. Вирусы, которые не распознаются
антивирусными детекторами, способны написать только наиболее опытные
и квалифицированные программисты.
Источник: ppt-online.org