Полифаги это вирусы или антивирусные программы

Какая часть адреса указывает на домен верхнего уровня?

1. ru
2. mtu-net.ru
3. user_name
4. mtu-net

1. Что является допустимым требованием при оформлении презентации?

1. Злоупотреблять текстами;
2. Важнейшую информацию располагать на середине экрана;
3. Для представления информации использовать краевые зоны;
4. Использовать более 3 основных цветов.

1. Какой режим является наилучшим для реализации творчества при создании

1. Пустая презентация;
2. Мастер автосодержания;
3. Шаблон презентации;
4. Макеты.

1. Укажите синоним слова инсталляция.

1. Печатающее устройство;
2. Хард- диск;
3. Щелчок;
4. Установка.

1. Выберите ложное утверждение:

1. Со сжатыми папками и файлами можно работать так же, как и несжатыми файлами и папками.
2. Нельзя объединить несколько файлов в одну сжатую папку.
3. Если требуется добавить новый файл или папку в существующую сжатую папку, перетащите добавляемые файлы в эту сжатую папку.
4. Сжатую папку или файл можно переименовать.

Ответы 1 вариант 11 класс

⚠️ Никогда не ставь этот АНТИВИРУС НА СМАРТФОН! Вот почему и чем это грозит…

Источник: nsportal.ru

Антивирусы-полифаги. Определение антивирусных программ и их классификация

Каким бы ни был вирус, пользователю необходимо знать основ­ные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

• общие средства защиты информации, которые полезны также как и страховка от физической порчи дисков, неправильно работа­ющих программ или ошибочных действий пользователя;

•профилактические меры, позволяющие уменьшить вероят­ность заражения вирусом;

• специализированные программы для защиты от вирусов. Имеются две основные разновидности общих средств защиты информации, обеспечивающие:

• копирование информации — создание копий файлов и сис­темных областей дисков;

• разграничение доступа, которое предотвращает несанкциони­рованное использование информации, в частности защиту от изме­нений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые по­зволяют обнаруживать и уничтожать вирусы. Такие программы на­зываются антивирусными. Различают следующие виды антивирус­ных программ:

• программы-доктора или фаги;

• программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерного для конкретного вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Антивирусы: что это и зачем?

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы-вируса, возвращая файлы в ис­ходное состояние. В начале своей работы фаги ищут вирусы в опе­ративной памяти, уничтожая их, и только затем переходят к «лече­нию» файлов. Среди фагов выделяют полифаги, т. е. програм­мы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Nor­ton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, програм­мы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Антивирусы-полифаги — наиболее распространенные средства по борьбе с вредоносными программами. Исторически они появи­лись первыми и до сих пор удерживают несомненное лидерство в этой области.

В основе работы полифагов стоит простой принцип — поиск в программах и документах знакомых участков вирусного кода (так называемых сигнатур вирусов). В общем случае сигнатура — это та­кая запись о вирусе, которая позволяет однозначно идентифициро­вать присутствие вирусного кода в программе или документе. Чаще всего сигнатура — это непосредственно участок вирусного кода или его контрольная сумма (дайджест).

Первоначально антивирусы-полифаги работали по очень про­стому принципу — осуществляли последовательный просмотр фай­лов на предмет нахождения в них вирусных программ. Если сигна­тура вируса была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа.

Прежде чем на­чать проверку файлов, программа-фаг всегда проверяет оперативную память. Если в оперативной памяти оказывается вирус, то про­исходит его деактивация. Это вызвано тем, что зачастую вирусные программы производят заражение тех программ, которые запуска­ются или открываются в тот момент, когда вирус находится в актив­ной стадии (это связано со стремлением экономить на усилиях по поиску объектов заражения). Таким образом, если вирус останется активным в памяти, то тотальная проверка всех исполняемых фай­лов приведет к тотальному заражению системы.

В настоящее время вирусные программы значительно усложни­лись. Например, появились так называемые «stealth-вирусы». В основе их работы лежит тот факт, что операционная система при обращении к периферийным устройствам (в том числе и к жестким дискам) использует механизм прерываний. Здесь необходимо сде­лать небольшое отступление на тему «Как работает механизм пре­рываний».

При возникновении прерывания управление передается специальной программе — «Обработчику прерываний». Эта про­грамма отвечает за ввод и вывод информации в/из периферийного устройства. Кроме того, прерывания делятся на уровни взаимодей­ствия с периферией (в нашем случае — с жесткими и гибкими дис­ками).

Есть уровень операционной системы (в среде MS DOS — прерывание 25h), есть уровень базовой системы ввода/вывода (уровень BIOS — прерывание 13h). Опытные системные программисты могут работать и напрямую, обращаясь к портам ввода/вывода устройств. Но это довольно серьезная и трудная задача. Столь мно­гоуровневая система сделана, прежде всего, с целью сохранения пе­реносимости приложений. Именно благодаря такой системе, ска­жем, оказалось возможным осуществлять запуск DOS-приложений в многозадачных средах типа MS Windows или IBM OS/2.

Но в такой системе изначально скрыта и уязвимость: управляя обработчиком прерываний, можно управлять потоком информа­ции от периферийного устройства к пользователю. Stealth-вирусы, в частности, используют механизм перехвата управления при воз­никновении прерывания. Заменяя, оригинальный обработчик пре­рывания своим кодом, stealth-вирусы контролируют чтение дан­ных с диска.

В случае, если с диска читается зараженная программа, вирус «выкусывает» собственный код (обычно код не буквально «выкусы­вается», а происходит подмена номера читаемого сектора диска). В итоге пользователь получает для чтения «чистый» код.

Таким об­разом, до тех пор, пока вектор обработчика прерываний изменен вирусным кодом, сам вирус активен в памяти компьютера, обнару­жить его простым чтением диска средствами операционной систе­мы невозможно. Схожий механизм маскировки используется и за­грузочными вирусами, о которых будет сказано дальше. В целях борьбы со stealth-вирусами ранее рекомендовалось (и, в принципе, рекомендуется и сейчас) осуществлять альтернативную загрузку си­стемы с гибкого диска и только после этого проводить поиск и уда­ление вирусных программ. В настоящее время загрузка с гибкого диска может оказаться проблематичной (для случая с Win32 — ан­тивирусными приложениями запустить их не удастся). Ввиду всего вышесказанного, антивирусы-полифаги оказываются максимально эффективными только при борьбе с уже известными вирусами, то есть с такими, чьи сигнатуры и методы поведения знакомы разра­ботчикам.

Только в этом случае вирус со 100%-ной точностью будет обна­ружен и удален из памяти компьютера, а потом — и из всех прове­ряемых файлов. Если же вирус неизвестен, то он может достаточно успешно противостоять попыткам его обнаружения и лечения. По­этому главное при пользовании любым полифагом — как можно чаще обновлять версии программы и вирусные базы.

Особняком тут стоят так называемые эвристические анализато­ры. Дело в том, что существует большое количество вирусов, алго­ритм которых практически скопирован с алгоритма других вирусов.

Как правило, такие вариации создают непрофессиональные про­граммисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими «копиями» и были придуманы эвристические анализаторы. С их помощью антивирус способен находить подоб­ные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100 %, но все же его коэффициент полезного дейст­вия больше 50 %. Вирусы, которые не распознаются антивирусны­ми детекторами, способны написать только наиболее опытные и квалифицированные программисты.

Эвристическим анализатором кода называется набор подпрог­рамм, анализирующих код исполняемых файлов, памяти или загру­зочных секторов для обнаружения в нем разных типов компьютер­ных вирусов. Основной частью эвристического анализатора являет­ся эмулятор кода. Эмулятор кода работает в режиме просмотра, то есть его основная задача — не выполнять код, а выявлять в нем все­возможные события, т. е. совокупность кода или вызов определен­ной функции операционной системы, направленные на преобразо­вание системных данных, работу с файлами, или обнаруживать час­то используемые вирусные конструкции. Грубо говоря, эмулятор просматривает код программы и выявляет те действия, которые эта программа совершает. Если действия этой программы укладываются в какую-то определенную схему, то делается вывод о наличии в программе вирусного кода.

Конечно, вероятность, как пропуска, так и ложного срабатыва­ния весьма высока. Однако, правильно используя механизм эвристи­ки, пользователь может самостоятельно прийти к верным выводам. Например, если антивирус выдает сообщение о подозрении на ви­рус для единичного файла, то вероятность ложного срабатывания весьма высока. Если же такое повторяется на многих файлах (а до этого антивирус ничего подозрительного в этих файлах не обнару­живал), то можно говорить о заражении системы вирусом с вероят­ностью, близкой к 100 %. Наиболее мощным эвристическим анали­затором в настоящее время обладает антивирус Dr.Web.

Использование эвристического анализатора, помимо всего вы­шеперечисленного, позволяет также бороться с вирус-генераторами и полиморфными вирусами.

Классический метод определения вирусов по сигнатуре в этом «случае вообще оказывается неэффективен. Вирус-генераторы — это специализированный набор библиотек, который позволяет пользо­вателю легко сконструировать свой собственный вирус, даже имея слабые познания в программировании.

К написанной программе, подключаются библиотеки генератора, вставляются в нужных мес­тах вызовы внешних процедур — и вот элементарный вирус превра­тился в достаточно сложный продукт. Самое печальное, что в этом случае сигнатура вируса будет каждый раз другая, поэтому отследить вирус оказывается возможным только по характерным вызовам внешних процедур — а это уже работа эвристического анализатора. Полиморфный вирус имеет еще более сложную структуру. Само тело вируса видоизменяется от заражения к заражению, при этом сохраняя свое функциональное наполнение.

В простейшем случае — если разбросать в теле вируса случай­ным образом ничего не исполняющие, пустые операторы (типа «mov ax, ax» или «пор»), то тело вирусного кода претерпит значи­тельные изменения, а алгоритм останется прежним. В этом случае на помощь также приходит эвристический анализатор.

Источник: studopedia.su

Классификация антивирусных программ

Вне всякого сомнения, главным оружием в борьбе с вирусами, на сегодняшний день, по-прежнему остаются антивирусные программы. Они позволяют не только обнаруживать вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалять их из компьютера.

К настоящему времени в мире осталось 64 антивирусных пакета, сертифицированных ICSA и выпускаемых семнадцатью различными компаниями. Самые популярные из них – NetworkAssociationSymantec, «Лаборатория Касперского», ЗАО «ДиалогНаука» и некоторые другие.

Причем отечественное антивирусное программное обеспечение успешно конкурирует с программным обеспечением, предлагаемым зарубежными фирмами. Хорошая поддержка пользователей отечественных антивирусных программ со стороны фирм-разработчиков антивирусов, позволяет своевременно получать новые версии антивирусов, а также консультации по их использованию.

Для обнаружения, удаления и защиты от компьютерных вирусов существует несколько разновидностей программ. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

7. эвристические анализаторы.

В последнее время, разработчики антивирусных программ, предлагают пользователям комплексные решения, которые включают в себя большую часть или даже все вышеуказанные программы.

Вакцины – это программы, предназначенные для предотвращения заражения файлов от какого-либо одного, конкретного вируса. Вакцины применяются, если отсутствуют программы, могущие обезвредить данный вирус. Вакцинация возможна только от известных вирусов, которые можно обнаружить, но по какой-либо причине невозможно обезвредить. Программа-вакцина модифицирует защищаемую программу или диск таким образом, чтобы это не отражалось на их работе, но при этом настоящий вирус считал защищаемую программу зараженной и поэтому не внедрялся в ее исполняемый код.

Действия программ-вакцин основано на одном из базовых свойств компьютерных вирусов, – не заражать повторно уже инфицированную программу. Для этих целей, при заражении программ, вирусы используют так называемую «черную метку», которая бы позволяла отличать уже инфицированные программы от неинфицированных. Это может быть, например установка времени создания файла в 24 часа 1 минуту и 62 секунды. Т.к. нормальные программы не могут иметь подобного времени создания, то, обнаружив, что файл создан в это время, вирус считает, что он заражен и не пытается инфицировать его повторно.

Таким образом, программа вакцина просто создает «черную метку» конкретного вируса на защищаемой программе не изменяя её исполняемого кода, а вирус, обнаруживая такую метку, уже не пытается заразить данный файл.

«Детекторы» или «сканеры» — это программы, которые осуществляют поиск характерной для конкретного вируса сигнатуры, в оперативной памяти компьютера или в файлах на жестком диске, и при обнаружении, выдают соответствующее сообщение. Недостатком этого класса антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам.

Бороться же с обнаруженным вирусом предстоит либо другой антивирусной программе, либо системному программисту. Несколько лет назад детекторы практически уступили позиции полифагам (см. ниже), но любопытно, что они вновь возвращаются на рынок информационных технологий, по мере его развития.

«Ревизоры» — это программы, которые относятся к самым надёжным средствам защиты от вирусов.

Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. На обнаружении таких изменений основывается работа антивирусных программ, называемых «ревизорами».

Они построены на принципе, обратном принципу построения сканеров. Ревизоры не знают в лицо конкретные вирусы, но они запоминают информацию о каждом конкретном логическом диске и по изменению этой информации, позволяют надежно обнаруживать как известные, так и новые, неизвестные вирусы.

В случае обнаружения изменения сведений об имеющихся на диске данных, вся соответствующая информация об измененном объекте предоставляется пользователю. А тот уже сам должен принять решение: стоит ли, например, проверять данный файл на вирус (если это исполняемый файл) или проигнорировать сообщение, если файл изменялся самим пользователем.

Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, его контрольная сумма, дата и время модификации, и некоторые другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, позволяющие обнаруживать даже вирусы таких классов как «стелс» — вирусы и «полиморфные» вирусы, а некоторые даже могут восстановить исходную версию проверяемой программы, удалив изменения, внесенные вирусом.

Преимуществом ревизоров являются – высочайшая скорость проверки дисков (во много десятков раз превышающая скорость работы сканеров) и высокая надежность обнаружения даже неизвестных вирусов.

«Сторожа» — это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, возникающих при работе пользователя на компьютере, и характерных для вирусов. К числу таких действий могут относиться:

1. попытки коррекции файлов с расширениями COM, EXE, DLL и т.д., обычно неизменяемых;

2. изменение атрибутов файла;

3. прямая запись на диск по абсолютному адресу;

4. запись в загрузочные сектора диска;

5. загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие.

Одним из самых крупных недостатков программ этого класса является то, что при неправильной (а иногда даже и при правильной) настройке, они буквально «засыпают» пользователя предупреждениями, в результате чего их обычно отключают.

«Мониторы» (или программы-фильтры) – это антивирусные программы, основанные по принципу полифага, и использующие для обнаружения вирусов базу данных их сигнатур. Антивирусный монитор располагается резидентно в памяти компьютера, и проверяет на наличие вирусов только те программы, над которыми производит какие-либо манипуляции пользователь, или операционная система.

Обычно антивирусные мониторы проверяют все файлы, над которыми производятся следующие манипуляции:

1. запуск программы на выполнение;

2. изменение атрибутов файла;

3. открытие документ (MicrosoftOffice);

4. копирование или перемещение файла;

5. редактирование файла;

Программы-фильтры являются полезными с той точки зрения, что помогают пользователю обнаружить вирус на самой ранней стадии его существования, еще до того момента, когда распространение вируса примет характер эпидемии.

«Полифаги» — это программы, которые способны благополучно удалить вирус и восстановить работоспособность испорченных программ.

Для каждого вируса, путем анализа его кода, способов заражения файлов и т.д. выделяется некоторая, характерная только для него, последовательность байт. Эта последовательность называется сигнатурой данного вируса. Поиск вирусов, в простейшем случае, сводится к поиску их сигнатур. После обнаружения вируса в теле программы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки), полифаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит и т.д.

Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Вирусные базы современных сканеров содержат более 40000 масок вирусов.

Недостатком простых сканеров является их неспособность обнаруживать «полиморфные» вирусы, полностью меняющие свой код. Современные полифаги используют другие методы поиска вирусов. Для этого они используют более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ.Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-полифаги быстро устаревают, и требуется регулярное обновление версий баз данных, содержащих сигнатуры вновь появившихся вирусов. Как результат, сканеры устаревают уже в момент выхода новой версии.

Эвристические анализаторы – программы, выполняющие под своим контролем, проверяемые программы и обнаруживающие действия, характерные для вирусов. Благодаря этому эвристические анализаторы способны находить «полиморфные» вирусы также легко, как и обычные вирусы, не использующие механизма маскировки, кроме того, они могут обнаруживать вирусы, ранее неизвестные авторам антивирусной программы.

Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:

Самое популярное на сайте:

Понятие конституционного строя РФ и его основы Каждое государство характеризуется определенными чертами, в которых выражается его специфика.
Анализ производства и реализации продукции (работ, услуг) Анализ деятельности организаций начинается с изучения объемов производства и реализации продукции (работ, услуг).
Проблема Север – Юг: общая характеристика Проблема Север – Юг связана с проводимым на эмпирическом уровне делением мира на богатые северные и бедные южные страны.
Краткий словарь философских терминов Философия — это культура разумного мышления, которое осуществляется в рационально-понятийной форме.
Метод кейс-стади Метод кейс-стади (case study) является самостоятельным методом, но его основа – поиск обучающимися решения конкретной ситуации.

Источник: studopedia.ru