Лабораторная работа №7 Основы защиты информации. Работа с антивирусными пакетами. Цель работы: ознакомиться с теоретические аспекты защиты информации от вредоносных программ: разновидности вирусов, способы заражения и методы борьбы. Ознакомиться с различными видами программных средств защиты от вирусов.
Получить навыки работы с антивирусным пакетом Антивирус Касперского . Теоретические сведения Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной».
Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или FAT-таблицу, «засоряет» оперативную память и т.д.).
Как защитить компьютер от вирусов в 2020 — ТОП 10 советов — защита от взлома и хакеров — Часть 1
Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может «заразить». Это означает, что вирус может «внедриться» в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Проявление наличия вируса в работе на ПЭВМ
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное. Некоторые признаки заражения: • некоторые программы перестают работать или начинают работать неправильно; • на экран выводятся посторонние сообщения, символы и т.д.; • работа на компьютере существенно замедляется; • некоторые файлы оказываются испорченными и т.д. • операционная система не загружается; • изменение даты и времени модификации файлов; • изменение размеров файлов; • значительное увеличение количества файлов на диска; 1
• существенное уменьшение размера свободной оперативной памяти и т.п. Некоторые виды вирусов вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. Другие вирусы стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске. Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными.
Разновидности компьютерных вирусов
Вирусы классифицируют по среде обитания и по способу воздействия. По среде обитания вирусы подразделяются на следующие виды: • файловые вирусы, которые внедряются главным образом в исполняемые файлы, т.е. файлы с расширением exe, com, bat, но могут распространяться и через файлы документов; • загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска; • макровирусы, которые заражают файлы-документы и шаблоны документов Word и Excel.; • сетевые, распространяются по компьютерной сети; По способу воздействия (особенностям алгоритма) вирусы отличаются большим разнообразием.
Как защитить ПК от вирусов. Советы специалиста
Известны вирусы-паразиты, вирусы-черви, вирусы-невидимки (стелс-вирусы), вирусы-призраки (вирусы-мутанты), компаньон-вирусы, троянские кони и др. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки.
Рассмотрим «невидимые» и самомодифицирующиеся вирусы. «Невидимые» вирусы . Многие резидентные вирусы (резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них) (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Самомодифицирующиеся вирусы . Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, — модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни 2
одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.
Методы защиты от компьютерных вирусов
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов. Для защиты от вирусов можно использовать: • общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя; • профилактические меры, позволяющие уменьшить вероятность заражения вирусом; • специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств: • копирование информации — создание копий файлов и системных областей дисков; • разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).
Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. Такая комбинация называется сигнатурой . При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.
Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны».
Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова — в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам. Программы-ревизоры имеют две стадии работы.
Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю. 3
Многие программы-ревизоры являются довольно «интеллектуальными» — они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах.
Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом. Программы-фильтры , которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю.
Пользователь может разрешить или запретить выполнение соответствующей операции. Некоторые программы-фильтры не «ловят» подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны — они позволяют обнаружить многие вирусы на самой ранней стадии. Программы-вакцины , или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными.
Эти программы крайне неэффективны. Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, «эшелонированная» оборона. Рассмотрим структуру этой обороны.
Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктораревизоры. Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. В «стратегическом резерве» находятся архивные копии информации.
Это позволяет восстановить информацию при её повреждении. Итак, одним из основных методов борьбы с вирусами является своевременная профилактика их появления и распространения. Только комплексные профилактические меры защиты обеспечивают защиту от возможной потери информации. В комплекс таких мер входят: 1. Регулярное архивирование информации (создание резервных копий важных файлов и системных областей винчестера). 2. Использование только лицензионных дистрибутивных копий программных продуктов. 4
3. Систематическая проверка компьютера на наличие вирусов. Компьютер должен быть оснащен эффективным регулярно используемым и постоянно обновляемым пакетом антивирусных программ. Для обеспечения большей безопасности следует применять параллельно несколько антивирусных программ. 4. Осуществление входного контроля нового программного обеспечения, поступивших дискет.
При переносе на компьютер файлов в архивированном виде после распаковки их также необходимо проверять. 5. При работе на других компьютерах всегда нужно защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации. 6. При поиске вирусов следует использовать заведомо чистую операционную систему, загруженную с дискеты.
7. При работе в сети необходимо использовать антивирусные программы для входного контроля всех файлов, получаемых из компьютерных сетей. Никогда не следует запускать непроверенные файлы, полученные по компьютерным сетям. Современные технологии антивирусной защиты позволяют защитить от вируса файловые сервера, почтовые сервера и сервера приложений.
Например, антивирус Касперского для защиты файловых серверов позволяет обнаружить и нейтрализовать все типы вредоносных программ на файловых серверах и серверах приложений, работающих под управлением ОС Solaris, включая «троянские» программы, Java и ActiveX – апплеты. В состав антивируса Касперского для защиты файловых серверов входят: • антивирусный сканер, осуществляющий антивирусную проверку всех доступных файловых систем на наличие вирусов по требованию пользователя.
Проверяются в том числе архивированные и сжатые файлы; • антивирусный демон, являющийся разновидностью антивирусного сканера с оптимизированной процедурой загрузки антивирусных баз в память, осуществляет проверку данных в масштабе реального времени; • ревизор изменений, Kaspersky Inspector, отслеживает все изменения, происходящие в файловых системах компьютера. Модуль не требует обновлений антивирусной базы: контроль осуществляется на основе снятия контрольных сумм файлов (CRC – сумм) и их последующего сравнения с данными, полученными после изменения файлов. Комбинированное использование этих модулей позволяет создать антивирусную защиту, наиболее точно отвечающую системным требованиям. Обнаруженные подозрительные или инфицированные объекты могут быть помещены в предварительно указанную «карантинную» директорию для последующего анализа. Антивирус Касперского обеспечивает полномасштабную централизованную антивирусную защиту почтовых систем, работающих под управлением ОС Solaris. Проверке на наличие вирусов подвергаются все элементы электронного письма – тело, прикрепленные файлы (в том числе архивированные и компрессированные), внедренные OLE- 5
объекты, сообщения любого уровня вложенности. Обнаруженные подозрительные или инфицированные объекты могут быть вылечены, удалены, переименованы, или помещены в заранее определенную карантинную директорию для последующего анализа.
Ежедневное обновление базы вирусных сигнатур, автоматически реализуется через Интернет при помощи специально встроенного модуля и обеспечивает высокий уровень детектирования компьютерных вирусов. Задание Подготовить доклад на тему: «Общие сведения и особенности работы антивирусной программы [ Название антивирусной программы ]» ( Название антивирусной программы выбрать согласно своему варианту из раздела « Варианты заданий к работе» ). Изучить антивирусный пакет Антивирус Касперского . Подготовить отчет по лабораторной работе. Порядок выполнения 1) Сканирование папок на наличие вирусов: – Двойным щелчком на значке антивируса на панели индикации открыть главное окно программы; – Изучить содержимое окна: обратить внимание на дату последнего обновления антивирусной базы и дату последней полной проверки компьютера; – В своей личной папке создать папку Подозрительные файлы и создать там 2 файла: Текстовый файл и Документ Microsoft Word . Имена файлов ввести согласно своему варианту по Вариантам задания к работе ; – Выбрав пункт в главном окне программы пункт Поиск вирусов и добавить в окно заданий папку Подозрительные файлы . – Выполнить проверку папки. По завершению сканирования, используя кнопку «Сохранить как…» , сохранить отчет с результатами проверки в папке Подозрительные файлы . Имя файла-отчета – Scan_Log . – Закройте окно Поиск вирусов . 2) Обновление антивирусной базы: – В главном меню программы выберете пункт Сервис. – Нажмите на пункт Обновление и, используя кнопку Обновить , осуществите обновление базы известных вирусов. – По завершению обновления, используя кнопку «Сохранить как…» , сохранить отчет об обновлении в папке Подозрительные файлы . Имя файла -отчета – Upd_Log. 6
– Закройте окно Обновление, и обратите внимание на пункт Дата выпуска сигнатур . – Закройте окно Антивируса Касперского . 1) Титульный лист, оформленный согласно приведенному ранее шаблону; 2) Название и цель лабораторной работы; 3) ДОКЛАД на выбранную по варианту тему; 4) Содержимое файла Scan_Log.txt по пункту 1 Порядка выполнения работы 5) Upd_Log.txt по П.2 Порядка выполнения работы. 6) Выводы.
Контрольные вопросы 1) Что называется компьютерным вирусом? 2) Какая программа называется «зараженной»? 3) Что происходит, когда зараженная программа начинает работу? 4) Как может маскироваться вирус? 5) Каковы признаки заражения вирусом? 6) Каковы последствия заражения компьютерным вирусом?
7) По каким признакам классифицируются компьютерные вирусы? 8) Как классифицируются вирусы по среде обитания? 9) Какие типы компьютерных вирусов выделяются по способу воздействия? 10) Что могут заразить вирусы? 11) Как маскируются «невидимые» вирусы? 12) Каковы особенности самомодифицирующихся вирусов?
13) Какие методы защиты от компьютерных вирусов можно использовать? 14) В каких случаях применяют специализированные программы защиты от компьютерных вирусов? 15) На какие виды можно подразделить программы защиты от компьютерных вирусов? 16) Как действуют программы-детекторы? 17) Что называется сигнатурой?
18) Всегда ли детектор распознает зараженную программу? 19) Каков принцип действия программ-ревизоров, программ-фильтров, программ-вакцин? 20) Как выглядит многоуровневая защита от компьютерных вирусов с помощью антивирусных программ? 21) Перечислите меры защиты информации от компьютерных вирусов. 7
22) Каковы современные технологии антивирусной защиты? 23) Каковы возможности антивируса Касперского для защиты файловых серверов? почтовых серверов? 24) Какие модули входят в состав антивируса Касперского для защиты файловых систем? 25) Каково назначение этих модулей? 26) Какие элементы электронного письма подвергаются проверке на наличие вирусов?
27) Как обезвреживаются антивирусом Касперского обнаруженные подозрительные или инфицированные объекты? 28)Как обновляется база вирусных сигнатур? 8
Источник: studfile.net
Организация защиты от компьютерных вирусов
Компьютерные вирусы представляют реальную угрозу безопасности вашего компьютера, и, как водится, лучший способ лечения — это профилактика заболевания.
И если уж ваш компьютер подхватил вирус, вам не удастся с Ним справиться без специальных средств — антивирусных программ.
Что должна делать антивирусная программа?
• Проверять системные области на загрузочном диске при включении компьютера.
• Проверять файлы на установленных в дисковод сменных носителях.
• Предоставлять возможность выбора графика периодичности проверки жесткого диска.
• Автоматически проверять загружаемые файлы.
• Проверять исполняемые файлы перед их запуском.
• Обеспечивать возможность обновления версии через Интернет.
Одним из первых вирусов, пришедших в СССР в 1988 г., назывался Viena-648, и, пожалуй, именно с этого времени берет отсчет отечественное антивирусное направление, начинавшееся программой Д. Лозинского Aidstest.
В России антивирусными проблемами уже много лет профессионально занимаются в основном две серьезные фирмы: «Диалог Наука» (программы Aidstest, Doctor WEB, ADinf, комплекс Sheriff) и «Лаборатория Касперского» (Kami, программы серии AVP). Все новые вирусы в первую очередь попадают к ним. Эти фирмы имеют большой авторитет и на международной арене.
Продукция компании «Диалог Наука» хорошо знакома большому числу владельцев компьютеров. Первая версия антивирусной программы Doctor WEB с графическим интерфейсом появилась в апреле 1998 г., после чего пакет постоянно развивался и дополнялся. Сегодняшняя версия программы Doctor WEB имеет удобный, интуитивно понятный и наглядный графический интерфейс. Что касается возможностей по поиску вирусов, то их высокая оценка подтверждается победами в тестах авторитетного международного журнала «Virus Bulletin». Так, этот антивирусный пакет оказался единственным в мире, способным обнаруживать в памяти компьютера и обезвреживать вирус-невидимку нового поколения, прославившийся под именем Code Red Worm в августе 2001 г.
«Лаборатория Касперского» является крупнейшим российским разработчиком антивирусных систем безопасности: в 1999 г. 50 % российских пользователей выбрали качество и надежность антивирусных программ этой фирмы. Разработка основного продукта «Лаборатории Касперского» — антивирусного комплекса «Антивирус Касперского» серии AVP— началась в 1989 г.
«Лаборатория Касперского» — признанный лидер в антивирусных технологиях. Многие функциональные особенности практически всех современных антивирусов были впервые разработаны именно в этой компании. Исключительные надежность и качество антивирусных программ подтверждаются многочисленными наградами и сертификатами российских и зарубежных компьютерных изданий, независимых тестовых лабораторий.
Учитывая многообразие путей распространения вирусов, не стоит рассчитывать на то, что вы сможете обойтись без специальной антивирусной программы. Как правило, такую программу Можно использовать периодически или запускать в фоновом режиме, чтобы отлавливать вирусы непосредственно при загрузке файлов или копировании со сменного носителя. Проверка в фоновом режиме — более надежный способ защиты (контроль ведется постоянно), требующий, однако, увеличенного объема памяти и повышенной производительности системы.
Можно установить на компьютере антивирусный монитор (сторож) — резидентную антивирусную программу, которая постоянно находится в оперативной памяти и контролирует операции обращения к файлам и секторам. Прежде чем разрешить доступ к объекту (программе, файлу), сторож проверяет его на наличие вируса. Таким образом, он позволяет обнаружить вирус до момента реального заражения системы.
Примерами таких программ являются McAfee VirusShield (антивирусный комплект McAfee VirusScan) и AVP «Monitor (комплект AntiViral Toolkit Pro Касперского). Необходимо учитывать, что далеко не все программы-мониторы снабжены «лечащим» блоком, поэтому, чтобы обезвредить вирус, придется либо удалять зараженный файл, либо установить соответствующий «лечащий» блок (антивирусную программу).
Популярные антивирусные программы позволяют выбрать режим защиты от вирусов. Кроме того, фирмы-разработчики таких программ постоянно обновляют используемую для обнаружения вирусов базу данных и, как правило, размещают ее на Web-узле в открытом доступе для зарегистрированных пользователей. Если вы принадлежите к числу таковых, ежемесячно заглядывайте на узел, чтобы сделать свежую «прививку».
Проблемы вирусных атак волнуют и разработчиков программ-приложений. Большое внимание при разработке версии Office было уделено безопасности работы с документами. Так, например, для предотвращения заражения документов вирусами для Office разработан новый программный интерфейс Microsoft Office Antivirus API, предоставляющий возможность антивирусным программам независимых разработчиков проверять документы Office непосредственно перед их загрузкой в приложение. Кроме того, в Office улучшена встроенная система защиты от макровирусов, имеющая теперь несколько уровней безопасности.
Советы по организации антивирусной защиты. Ниже приведенные советы помогут вам избежать неприятностей, связанных с вирусным заражением компьютера.
1. Если хотите избежать больших затрат и потерь, сразу предусмотрите приобретение и установку комплексной антивирусной программно-аппаратной защиты для вашей компьютерной системы. Если таковая пока не установлена, не забывайте регулярно проверять свой компьютер свежими версиями антивирусных программ и установите программу-ревизор диска (например, ADinf), которая будет отслеживать все изменения, происходящие на вашем Компьютере, и вовремя сигнализировать о вирусной опасности.
2.Не разрешайте посторонним работать на вашем компьютере, по крайней мере, без вашего разрешения.
3.Возьмите за строгое правило обязательно проверять все дискеты, которые вы используете на своем компьютере, несмотря на все уверения их владельца, последними версиями антивирусных программ (Doctor WEB, AVP и др.).
4.Если вы не собираетесь ничего записывать на дискеты в 3,5 дюйма, особенно при их использовании на «чужом» компьютере, непременно защитите их от записи, поставив защелку за щиты от записи вниз (на себя) так, чтобы полностью открыть оконце. Этим вы закроете доступ на них вирусам с чужого компьютера. Все дистрибутивы программного обеспечения, записанные на дискетах, следует также защитить от записи.
5. Настоятельно советуем проверять на наличие вирусов все CD-ROM, в том числе и фирменные, но особенно купленные с рук или взятые со стороны.
6. Соблюдайте осторожность, обмениваясь файлами с другими пользователями. Этот совет особенно актуален, когда дело касается файлов, загружаемых вами из сети Интернет или приложенных к электронным посланиям. Поэтому лучше сразу проверять все входящие файлы (документы, программы) на наличие вируса, что не плохо умеют делать антивирусные мониторы, например AVP Monitor.
7. Делайте резервные копии своих данных. Это поможет восстановить информацию в случае воздействия вируса, сбоя в системе или выхода из строя жесткого диска.
8. Проверяйте на наличие вирусов старые файлы и диски. Обычные вирусы, равно как и макровирусы, пробуждаются только в тот момент, когда вы открываете или загружаете инфицированный файл. Таким образом, вирусы могут долгое время незаметно храниться на жестком диске в зараженных программах и файлах данных, приложениях к непрочитанным электронным письмам и сжатых файлах.
Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор.
Источник: zdamsam.ru
2.7.2. Защита информации от компьютерных вирусов
Под компьютерным вирусом понимается специальная программа, способная самопроизвольно присоединяться к другим программам («заражать» их). При запуске последних вирус может выполнять различные нежелательные действия:
· портить файлы и каталоги (при файловой организации программной среды);
· модифицировать и уничтожать данные;
· переполнять машинную память;
· создавать помехи в работе ЭВМ и т.п.
Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той зараженной программе, в которой он находится в момент ее запуска, и она работает так
же, как обычно. Внешне работа зараженной программы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно в оперативной памяти, вследствие чего до перезагрузки операционной системы он время от времени заражает программы и выполняет вредные действия на компьютере.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Многие резидентные вирусы предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают сведения о них в исходном (неискаженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.
Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, – модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью программ-дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, затрудняет нахождение таких вирусов программами-детекторами.
Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено небольшое количество программ, наличие вируса может быть практически незаметно. Однако спустя некоторое время на компьютере начинает твориться что-то странное, например:
· некоторые программы перестают работать или начинают работать неправильно;
· на экран выводятся посторонние сообщения, символы и т.д.;
· работа на компьютере существенно замедляется;
· некоторые файлы оказываются испорченными и т.д.
К этому моменту, как правило, уже большинство программ являются зараженными вирусом, а некоторые файлы и диски – испорченными. Более того, зараженные программы с одного компьютера могли быть перенесены с помощью цифровых носителей или по локальной сети на другие компьютеры.
Некоторые виды вирусов ведут себя еще более коварно. Они вначале незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу и постепенно портят данные на жестком диске компьютера.
Методы защиты от компьютерных вирусов
Каким бы ни был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
· общие средства защиты информации – страховку от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
· профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
· специализированные программы для защиты от вирусов.
Общие средства зашиты информации необходимы не только для защиты от вирусов. Имеются две основные разновидности этих средств:
· средства резервного копирования информации – создание копий файлов и системных областей дисков;
· средства разграничения доступа – предотвращают несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами, а также ошибочные действия пользователей.
Несмотря на то, что общие средства защиты информации очень важны, их одних для защиты от вирусов все же недостаточно. Поэтому для защиты от вирусов необходимо применять специализированные программы.
В настоящее время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов искусственного интеллекта к проблеме создания антивирусных средств.
Антивирусным средством называют программный продукт, выполняющий одну или несколько из следующих функций:
1) защиту файловой структуры от разрушения;
2) обнаружение вирусов;
3) нейтрализацию вирусов.
Антивирусные программы можно разделить на несколько видов:
Детектором называется программа, осуществляющая поиск вирусов, как на внешних носителях информации, так и в оперативном запоминающем устройстве (ОЗУ). Результатом работы детектора является список инфицированных файлов и (или) областей, возможно, с указанием конкретных вирусов, их заразивших.
Детекторы делятся на универсальные и специализированные.
Универсальные детекторы проверяют целостность файлов путем подсчета их контрольной суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации.
Специализированные детекторы настроены на конкретные вирусы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов, то его называют полидетектором. Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно заданной регулярным выражением. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.
Детектор не способен обнаружить все возможные вирусы. Следует особо подчеркнуть, что программы-детекторы могут выявлять только те вирусы, которые им известны. Некоторые программы-детекторы могут, настраиваться на новые типы вирусов, для этого им лишь необходимо указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы
обнаруживать любой заранее неизвестный вирус. Поэтому очевидно, что из того, что программа не опознается детекторами как зараженная, не следует, что она здорова – в ней может находиться какой-нибудь новый вирус или даже слегка модифицированная версия старого вируса, неизвестные детекторам.
Многие программы-детекторы не умеют обнаруживать заражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции операционной системы, которые перехватываются вирусом. Ряд детекторов пытается выявить вирус путем просмотра оперативной памяти, но против некоторых «хитрых» вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке операционной системы (ОС) с «чистой», защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с загрузочной дискеты.
Некоторые детекторы умеют ловить «невидимые» вирусы, даже когда они активны.
Для этого они читают диск, не используя команды ОС. Правда, этот метод работает не на всех дисководах.
Большинство программ-детекторов имеют функцию «доктора» или фага, т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Дезинфектором (доктором, фагом) называется программа, осуществляющая удаление вируса как с восстановлением, так и без восстановления среды обитания.
Ряд вирусов искажает среду обитания таким образом, что ее исходное состояние не может быть восстановлено. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными и удаляются программой-фагом.
Наиболее известными полидетекторами-фагами являются программные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы «ДиалогНаука». Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов. К таким программам относится, например, AVSP фирмы «ДиалогНаука».
Программы-ревизоры имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.ВАТ. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.
Многие программы-ревизоры являются «интеллектуальными» – они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Следует заметить, что многие программы-ревизоры не умеют обнаруживать заражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера. Но некоторые программы-ревизоры, например ADinf фирмы «ДиалогНаука», все же умеют делать и это, не используя вызовы операционной системы для чтения диска (правда, они работают не на всех дисководах). Другие программы часто используют различные полумеры: пытаются обнаружить вирус в оперативной памяти, требуют вызова из первой строки файла AUTOEXEC.BAT, надеясь работать на «чистом» компьютере, и т.д. Увы, против некоторых «хитрых» вирусов все это бесполезно.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но одна такая проверка недостаточна – некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка – прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.
В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. доктора-ревизоры. Это такие программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Но даже такие программы, как доктора-ревизоры, могут лечить не от всех вирусов, а только от тех, которые используют «стандартные», известные на момент написания программы механизмы заражения файлов.
Вирус-фильтром (монитором, сторожем) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя подтверждения на производство действий. Контроль осуществляется путем подмены обработчиков соответствующих прерываний. В качестве контролируемых действий могут выступать:
· обновление программных файлов;
· прямая запись на диск (по физическому адресу);
· резидентное размещение программы в ОЗУ.
Программы-фильтры располагаются резидентно в оперативной памяти компьютера, перехватывают обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Некоторые программы-мониторы не отслеживают подозрительные действия, а проверяют вызываемые на выполнение программы на наличие вирусов. Это вызывает замедление работы компьютера. Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
Иммунизатором (вакциной) называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способности к размножению.
Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого
производится вакцинация, считает эти программы или диски уже зараженными. Эти программы малоэффективны, поэтому в настоящее время практически не используются.
Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, «эшелонированная» оборона. Опишем структуру этой обороны. Это неформальное описание позволит лучше понять методику применения антивирусных средств.
Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.
Самый глубокий эшелон обороны – это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
В «стратегическом резерве» находятся архивные копии информации. Это позволяет восстановить информацию при ее повреждении.
При заражении компьютера вирусом (или при подозрении на это) важно соблюдать четыре правила:
1) прежде всего не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, но к повторному заражению компьютера;
2) надо немедленно выключить компьютер, чтобы вирус не продолжал своих разрушительных действий;
3) все действия по обнаружению вида заражения и лечению компьютера следует выполнять при загрузке компьютера с защищенного от записи диска с ОС (обязательное правило).
Источник: libraryno.ru