Как действуют антивирусные программы ревизоры

Содержание

Программа-ревизор следит за изменениями файлов на компьютере. Для этого не обязательно делать копии всех файлов. Достаточно запомнить названия файлов и папок, размеры файлов и их контрольные суммы (либо специальные хеш-функции).

Как работает ревизор?

Но с конца 2015 года Роскомнадзор начал внедрять систему «Ревизор» — программно-аппаратный комплекс, который автоматически проверяет, блокирует ли оператор сайты из реестра запрещенных. Роскомнадзор потратил на создание «Ревизора» 84,2 млн руб., для операторов использование системы бесплатно.

Как действуют программы детекторы?

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.

Какие действия могут выполнять антивирусные программы?

Антиви́русная програ́мма (антиви́рус, средство антивирусной защиты, средство обнаружения вредоносных программ) — специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ и восстановления заражённых (модифицированных) такими программами файлов и .

Какой бесплатный антивирус лучше использовать!

Как работают Полифаги?

Принцип работы полифагов основан на проверке файлов, загрузочных секторов дисков и оперативной памяти и поиске в них известных и новых (неизвестных полифагу) вирусов. . Полифаги могут обеспечивать проверку файлов в процессе их загрузки в оперативную память. Такие программы называются антивирусными мониторами.

Что делает Ревизор на ЖД?

Ревизор по безопасности движения поездов Ревизоры контролируют соблюдение всех правил технической эксплуатации и могут найти недочёты, на которые другие не обращают внимания.

В чем состоит работа ревизора?

Ревизор оформляет или следит за оформлением результатов ревизии, дает рекомендации руководству предприятия или учреждения, где проводилась проверка, по устранению выявленных недостатков или нарушений, а также подает результаты ревизии в соответствующие инстанции для дальнейшего принятия необходимых мер.

В чем недостатки антивирусов мониторов?

Главный недостаток антивирусов-мониторов — значительное замедление работы системы, особенно на маломощных компьютерах. Бывает и так, что при запущенном мониторе некоторые программы работают неправильно или вообще не работают.

Какие виды антивирусов существуют?

  • сканеры;
  • ревизоры диска;
  • встроенные антивирусы;
  • антивирусы для интрасетей и Интернета

Какие основные достоинства программы блокировщик?

К достоинствам блокировщиков относятся их способность обнаруживать и останавливать вирус на самой ранней стадии его размножения.

Что не могут делать современные антивирусные программы?

  • ограничения процессора
  • ограничение памяти
  • определение и обновление сигнатур этих мобильных устройств
  • защита от спама в SMS/EMS/MMS с помощью черных и белых списков

Как Антивирусные программы выявляют вирусы?

Антивирусы делятся на сканеры и резидентные модули. Сканеры находят файлы на дисках, читают их и делают вывод об инфицировании вирусом. Резидентные антивирусы постоянно работают в оперативной памяти и проверяют каждый новый файл и программу на заражение вирусом.

Для чего нужны антивирусные программы дайте их классификацию?

Антивирусными называются программы, предназначенные для защиты данных от разрушения, обнаружения и удаления компьютерных вирусов. Различают следующие разновидности антивирусных программ: фильтры, или сторожа; детекторы; доктора, или фаги; ревизоры; иммунизаторы, или вакцины.

Какая информация сохраняется для работы ревизоров в базе данных?

Ревизоры. Принцип работы ревизоров (например, ADinf) основан на подсчете контрольных сумм для присутствующих на диске файлов. Эти контрольные суммы затем сохраняются в базе данных антивируса, как и некоторая другая информация: длины файлов, даты их последней модификации и т.

Какие вирусы могут заражать документы Word и Excel?

  • макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Access);
  • макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (Word, Excel);
Читайте также:
Требования к обеспечению надежного функционирования программы

Какая программа является антивирусом?

Антивирусная программа – программа, предназначенная для борьбы с компьютерными вирусами. В своей работе эти программы используют различные принципы для поиска и лечения зараженных файлов. . Имеются различные типы антивирусных программ – полифаги, ревизоры, блокировщики, сторожа, вакцины и пр.

Источник: openvorkuta.ru

Программы-ревизоры

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов.

Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы.

При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Антивирусные программы-ревизоры позволяют обнаружить вирус. Чаще всего обнаружением вируса дело и заканчивается. Существует блок лечения для популярного антивируса-ревизора Adinf, так называемый Cure Module, но такой блок позволяет лечить лишь те файлы, которые не были заражены на момент создания базы данных программы.

Однако обнаружить вирус на компьютере (или даже подозрение на него) антивирусы-ревизоры могут с большой степенью надежности. Обычно наиболее оптимальным является связка полифаг и ревизор. Ревизор служит для обнаружения факта заражения системы. Если система заражена, то в дело пускается полифаг. Если же ему не удалось уничтожить вирус, то можно обратиться к разработчику антивирусных средств — скорее всего, на компьютер попал новый, неизвестный разработчикам вирус.

Основу работы ревизоров составляет контроль за изменениями, характерными для работы вирусных программ. В них содержится информация: о контрольных суммах неизменяемых файлов, содержимом системных областей, адресах обработчиков прерываний, размере доступной оперативной памяти и т. п. Вся остальная работа ревизора состоит в сравнении текущего состояния диска с ранее сохраненными данными, поэтому крайне важно, чтобы все контрольные таблицы создавались не на зараженной машине. Только в этом случае работа ревизора будет достаточно эффективной. Итак, перейдем к стадиям работы программы-ревизора.

Контроль оперативной памяти. Эта стадия проверки включает в себя процедуры обнаружения следов активных загрузочных и stealth-вирусов в памяти компьютера. Если такие алгоритмы будут найдены, выдается соответствующее предупреждение. Обычно сначала программа ищет уже знакомые вирусы. Далее программа проверяет, изменился ли обработчик Intl3h.

Если он изменился, то с вероятностью 90 % можно сказать, что компьютер инфицирован загрузочным вирусом (загрузочные вирусы вынуждены перехватывать это прерывание с тем, чтобы после своей активизации передать управление «нормальному» загрузочному сектору и система загрузилась без сбоев). Ревизор выдает предупреждение об этом и сообщает адрес в памяти, по которому находится новый обработчик Intl3h. В принципе информация о местонахождении обработчика необходима программистам и системным администраторам, а рядовому пользователю следует обратить внимание на предупреждение.

Даже если ревизор устанавливается на уже зараженный вирусом компьютер и реальный адрес обработчика Intl3h маскируется вирусом, в 85 % случаев ревизору удается обнаружить истинный адрес обработчика Intl3h в BIOS и работать, используя его. Если по каким-либо причинам ревизору не удалось получить реальный адрес обработчика, то выдается предупреждение. Истинный адрес обработчика прерывания достигается путем пошагового просмотра тела вируса (по алгоритму своей работы загрузочный вирус вынужден, в конце концов, передавать управление оригинальному обработчику).

Некоторые вирусы блокируют трассировку прерываний: при попытке трассировать их коды они приводят систему к «зависанию», перезагружают компьютер и т. д. Поэтому, если при трассировке прерываний компьютер начинает вести себя «странно», то следует быть очень осторожным — не исключено, что оперативная память поражена вирусом.

Важным параметром является и размер свободной оперативной памяти. Обычно ревизор запускается самым первым, до загрузки каких-либо программ. Если же размер оперативной памяти уменьшился — это верный признак присутствия в ОЗУ еще какой-то программы. Скорее всего, программа эта — вирус.

Контроль системных областей. Контроль системных областей предназначен для обнаружения вирусов, которые используют для своей активации механизм загрузки. Первой с диска загружается загрузочная запись (boot record), которая содержит в себе мини-программу, управляющую дальнейшей загрузкой.

Для жесткого диска первой производится загрузка главной загрузочной записи (Master-BootRecord или MBR).

Читайте также:
Программы с которыми работает секретарь

Необходимо дать некоторые пояснения, связанные с обнаружением загрузочных вирусов. В случае если система поражена загрузочным вирусом, то именно ему передается управление при попытке загрузиться с пораженного диска. В этом опасность вируса — если поражен жесткий диск, то управление вирусу будет передаваться при каждом включении компьютера.

Загрузочные вирусы в чистом виде передаются исключительно через дискеты, причем заражение осуществляется при попытке загрузиться с пораженной дискеты. Со временем использование дискет вообще и загрузочных дискет, в частности, сократилось до минимума. Однако способ захвата управления оказался столь удобен, что в настоящее время очень распространены вирусы, которые могут поражать как файлы, так и загрузочные сектора. Попав на «чистый» компьютер, такие вирусы первым делом поражают главную загрузочную запись. Однако методы обнаружения именно загрузочных вирусов в настоящее время крайне эффективны и приближаются к 100 % надежности.

Чтобы понять, как происходит обнаружение вируса, рассмотрим обнаружение такого вируса «вручную». Произведем загрузку С чистой дискеты (при этом прерывание 13h гарантировано не будет перехвачено загрузочным вирусом) и рассмотрим сектор 0/0/1 винчестера (это физический адрес сектора главной загрузочной записи). Если винчестер разделен (при помощи fdisk) на логические диски, то код занимает приблизительно половину сектора и начинается с байтов FAh33hCOh (вместо 33h иногда может быть 2Bh).

Заканчиваться код должен текстовыми строками типа «Missing operating system». В конце сектора размещаются внешне разрозненные байты таблицы разделов. Нужно обратить внимание на размещение активного раздела в таблице разделов.

Если операционная система расположена на диске С, а активны 2-й, 3-й или 4-й разделы, то вирус -мог изменить точку старта, сам разместившись в начале другого логического диска (заодно нужно посмотреть и там). Но также это может говорить о наличии на машине нескольких операционных систем и какого-либо boot-менеджера, обеспечивающего выборочную загрузку. Проверяем всю нулевую дорожку.

Если она чистая, то есть секторы содержат только байт-заполнитель, все в порядке. Наличие мусора, копий сектора 0/0/1 и прочего может говорить о присутствии загрузочного вируса. Впрочем, антивирусы при лечении загрузочных вирусов лишь «обезглавливают» противника (восстанавливают исходное значение сектора 0/0/1). Проверяем boot-сектор MS-DOS, он обычно расположен в секторе 0/1/1.

Его внешний вид для сравнения можно найти на любой «чистой» машине. Примерно таким же способом действуют и программы-ревизоры. Их особенность в том, что они не могут судить об изначальной «чистоте» оперативной памяти, поэтому чтение Master Boot Record происходит тремя различными способами:

  • * (bios) — прямым обращением в BIOS;
  • * (il3h) — чтением через BIOS-прерывание Intl3h;
  • * (i25h) — чтением средствами операционной системы (прерывание Int25h).

Если считанная информация не совпадает, налицо действие stealth-алгоритмов.

Для большей надежности производится чтение MBR через IDE-порты жесткого диска. До сих пор еще не встречались вирусы, которые могут маскироваться от ревизора, обладающего такой функцией.

Аналогичным образом проводится проверка и простого (не главного) загрузочного сектора.

Обычно за счет того, что ревизор сохраняет резервную копию системных областей, восстановление повреждений от загрузочного вируса происходит довольно просто: если пользователь дает на то свое согласие, ревизор просто записывает системные области заново.

Контроль неизменяемых файлов. Последняя стадия проверки, направленная на обнаружение деятельности файловых вирусов, — контроль изменения файлов. Для всех файлов, которые активно используются и в то же время не должны изменяться (обычно это программы типа win.com и т. п.), создаются контрольные таблицы. В них содержатся значения контрольных сумм и размеров файлов.

Затем, в ходе дальнейшего использования ревизора, информация с дисков сравнивается с эталонной, хранящейся в таблицах. Если информация не совпадает, то весьма вероятно нахождение в системе файлового вируса. Самый явный признак — изменение размера или содержимого файла без изменения даты создания файла.

Очень важно определить, какие именно файлы являются неизменяемыми. При настройке программы ревизора данные об неизменяемых файлах заносятся в таблицы, содержащие список имен файлов и каталогов, подлежащих контролю ревизором. Каждая строка таблицы содержит одно имя или маску.

В принципе, рекомендуется внести в разряд «неизменяемых» те исполняемые файлы, путь к которым указан в переменной PATH. Они чаще всего становятся жертвой файловых вирусов.

После того как все файлы проверены, ревизоры часто сохраняют копии дополнительных областей памяти, которые могут быть испорчены вирусами. Это FLASH- и CMOS-память. Эти области памяти также изменяются достаточно редко и поэтому их изменений могут быть подозрительны.

Еще раз отметим, что наиболее эффективной антивирусной защитой будет использование «связки» ревизор — полифаг. Ревизор позволяет отследить активность вируса на диске, а полифаг служит для проверки новых файлов, а также удаления уже известных вирусов.

Читайте также:
Айка программа для ресторанов отзывы

Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

  • * попытки коррекции файлов с расширениями СОМ, ЕХЕ;
  • * изменение атрибутов файла;
  • * прямая запись на диск по абсолютному адресу;
  • * запись в загрузочные сектора диска;
  • * загрузка резидентной программы.

При попытке какой-либо программы произвести -указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски.

Для уничтожения вирусов требуется применить другие программы, например, фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

Вакцины, или иммунизаторы, — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» от вируса. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

  • · Эвристический модуль — для выявления неизвестных вирусов.
  • · Монитор — программа, которая постоянно находится в оперативной памяти ПК.
  • · Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов.
  • · Почтовая программа (проверяет электронную почту.
  • · Программа сканер — проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков.
  • · Сетевой экран — защита от хакерских атак.

Источник: studwood.net

Презентация, доклад по информатике Антивирусные программы-ревизоры

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с

  • Главная
  • Информатика
  • Презентация по информатике Антивирусные программы-ревизоры

Слайд 1Антивирусные программы -ревизоры

Антивирусные программы -ревизоры

Слайд 2Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают

исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных

Слайд 3Как правило, сравнение состояний производят сразу после загрузки операционной системы. При

сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического

Слайд 4Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить

изменения версии проверяемой программы от изменений, внесенных вирусом.

Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений,

Слайд 5ПРОГРАММЫ-РЕВИЗОРЫ (СRC-сканеры)

Принцип их работы состоит в подсчете контрольных сумм для присутствующих

на диске файлов/системных секторов.
При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями.
Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

ПРОГРАММЫ-РЕВИЗОРЫ (СRC-сканеры)Принцип их работы состоит в подсчете контрольных сумм для присутствующих на диске файлов/системных секторов.

Слайд 6Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных

действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
. попытки коррекции файлов с расширениями СОМ и ЕХЕ;
. изменение атрибутов файлов;
. прямая запись на диск по абсолютному адресу;
. запись в загрузочные сектора диска.
. загрузка резидентной программы.

Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для

Слайд 7При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение

н предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски.

При попытке какой-либо программы произвести указанные действия

Слайд 8Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам

программ- сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ- сторожей можно отнести их

Слайд 9Вакцины (иммунизаторы) — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют,

если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Источник: shareslide.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru