Operasjonsprinsipp for antivirusklassifisering. Gjennomgang av antivirusprogrammer for personlige brukere. Sjekksum analyse

Antivirusprogram (antivirus) - et program for å identifisere og fjerne datavirus og andre skadevare, forhindrer deres spredning, samt gjenoppretter programmer infisert av dem.

Hovedoppgavene til moderne antivirusprogrammer:

• - Skann filer og programmer i sanntid.
• -- Skann datamaskinen på forespørsel.
• -- Skanner Internett-trafikk.
• -- Skann e-post.
• -- Beskyttelse mot angrep fra farlige nettsteder.
• -- Gjenopprette skadede filer (behandling).

Klassifisering av antivirusprogrammer:

• · detektorprogrammer gi søk og deteksjon av virus i tilfeldig tilgangsminne både på eksterne medier og når de oppdages, sender de en tilsvarende melding. Detektorer skilles ut:
  • 1. universell - de bruker i sitt arbeid for å sjekke uforanderligheten til filer ved å telle og sammenligne med en kontrollsumstandard
  • 2. spesialisert- søk etter kjente virus ved deres signatur (en gjentatt kodedel). Ulempen med slike detektorer er at de ikke klarer å oppdage alle kjente virus.

En detektor som kan oppdage flere virus kalles en polydetektor. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

• · Legeprogrammer (fager) ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til den opprinnelige tilstanden. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene skilles polyfager, dvs. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige oppdateringer av deres versjoner.
• · Revisorprogrammer er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på LCD-skjermen. Som regel sammenlignes tilstander umiddelbart etter lasting operativsystem. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere.
• · Filtrer programmer (vaktmenn) er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:
  • 1. forsøker å korrigere filer med COM- og EXE-utvidelser;
  • 2. endre filattributter;
  • 3. direkte opptak til disk på en absolutt adresse;
  • 4. skrive til oppstartssektorene på disken;

Vaksineprogrammer (immunisatorer)– Dette er residente programmer som forhindrer filinfeksjon. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. En betydelig ulempe med slike programmer er deres begrensede evne til å forhindre infeksjon fra et stort antall forskjellige virus.

Funksjoner til antivirusprogrammer

Virusbeskyttelse i sanntid

De fleste antivirusprogrammer tilbyr sanntidsbeskyttelse. Dette betyr at antivirusprogrammet beskytter datamaskinen din mot alle innkommende trusler hvert sekund. Derfor, selv om et virus ikke har infisert datamaskinen din, bør du vurdere å installere et antivirusprogram med sanntidsbeskyttelse for å forhindre videre spredning av infeksjonen.

Trusseldeteksjon

Antivirusprogrammer kan skanne hele datamaskinen for virus. De mest sårbare områdene skannes først, systemmapper, RAM. Du kan også velge skannesektorer selv, eller velge for eksempel å sjekke en spesifikk harddisk. Imidlertid er ikke alle antivirusprogrammer de samme i sine algoritmer, og noen antivirusprogrammer har en høyere gjenkjenningsrate enn andre.

Automatiske oppdateringer

Nye virus opprettes og dukker opp hver dag. Derfor er det ekstremt viktig for antivirusprogrammer å kunne oppdatere antivirusdatabaser (en liste over alle kjente virus, både gamle og nye). Automatisk oppdatering er nødvendig fordi utdatert antivirus ikke kan oppdage nye virus og trusler. I tillegg, hvis antivirusprogrammet ditt bare tilbyr manuelle oppdateringer, kan du glemme å oppdatere antivirusdefinisjonene, og datamaskinen din kan bli infisert med et nytt virus. Prøv å velge et antivirusprogram med automatiske oppdateringer.

Varsler

Antiviruset vil advare deg når et program prøver å få tilgang til datamaskinen din. Et eksempel er Internett-applikasjoner. Mange programmer som prøver å få tilgang til PC-en din er ufarlige eller du lastet dem ned frivillig og dermed gir antivirusprogrammer deg muligheten til å bestemme selv om du vil tillate eller blokkere installasjonen eller driften av dem.

INTRODUKSJON

Vi lever ved overgangen til to årtusener, når menneskeheten har gått inn i æraen med en ny vitenskapelig og teknologisk revolusjon.

Ved slutten av det tjuende århundre hadde folk mestret mange av hemmelighetene til transformasjonen av materie og energi og var i stand til å bruke denne kunnskapen til å forbedre livene sine. Men foruten materie og energi, spiller en annen komponent en stor rolle i menneskelivet - informasjon. Dette er et bredt utvalg av informasjon, meldinger, nyheter, kunnskap, ferdigheter.

I midten av vårt århundre dukket det opp spesielle enheter - datamaskiner, fokusert på å lagre og konvertere informasjon, og datarevolusjonen fant sted.

Massiv bruk i dag personlige datamaskiner, dessverre, viste seg å være assosiert med fremveksten av selvreplikerende virusprogrammer som forhindrer normal operasjon datamaskin, ødelegge filstrukturen til disker og forårsake skade på informasjon som er lagret på datamaskinen.

Til tross for lovene som er vedtatt i mange land for å bekjempe datakriminalitet og utvikling av spesielle programvare beskyttelse mot virus, øker antallet nye programvarevirus stadig. Dette krever at brukeren av en personlig datamaskin har kunnskap om viruss natur, metoder for infeksjon med virus og beskyttelse mot dem. Dette var drivkraften til å velge tema for arbeidet mitt.

Det er akkurat dette jeg snakker om i essayet mitt. Jeg viser hovedtypene av virus, vurderer mønstrene for deres funksjon, årsakene til deres utseende og måter å trenge inn i en datamaskin, og tilbyr også beskyttelses- og forebyggende tiltak.

Hensikten med arbeidet er å gjøre brukeren kjent med det grunnleggende innen datavirologi, lære hvordan man oppdager virus og bekjemper dem. Arbeidsmetode - analyse av trykte publikasjoner om dette emnet. Jeg sto overfor en vanskelig oppgave - å snakke om noe som har blitt studert veldig lite, og hvordan det ble er opp til deg å bedømme.

1. DATAVIRUS OG DERES EGENSKAPER OG KLASSIFISERING

1.1. Egenskaper til datavirus

I dag brukes personlige datamaskiner der brukeren har fri tilgang til alle ressursene til maskinen. Det var dette som åpnet muligheten for en fare som ble kjent som et datavirus.

Hva er et datavirus? En formell definisjon av dette konseptet er ennå ikke oppfunnet, og det er alvorlig tvil om at det i det hele tatt kan gis. Tallrike forsøk på å gi en "moderne" definisjon av viruset har mislyktes. For å få en følelse av kompleksiteten til problemet, prøv for eksempel å definere konseptet "redaktør". Du vil enten finne på noe veldig generelt, eller så begynner du å liste opp alt kjente typer redaktører. Begge deler kan neppe anses som akseptable. Derfor vil vi begrense oss til å vurdere noen egenskaper ved datavirus som lar oss snakke om dem som en viss klasse programmer.

For det første er et virus et program. En så enkel uttalelse i seg selv kan fordrive mange legender om de ekstraordinære egenskapene til datavirus. Et virus kan snu bildet på skjermen din, men det kan ikke snu selve skjermen. Legender om drepende virus som «ødelegger operatører ved å vise et dødelig fargeskjema på skjermen i den 25. rammen» bør heller ikke tas på alvor. Dessverre publiserer noen anerkjente publikasjoner fra tid til annen "de siste nyhetene fra datafronten", som ved nærmere undersøkelse viser seg å være et resultat av en ikke helt klar forståelse av emnet.

Et virus er et program som har evnen til å reprodusere seg selv. Denne evnen er det eneste middelet som er iboende i alle typer virus. Men ikke bare virus er i stand til selvreplikasjon. Ethvert operativsystem og mange andre programmer er i stand til å lage sine egne kopier. Kopier av viruset trenger ikke bare være helt sammenfallende med originalen, men kan ikke falle sammen med det i det hele tatt!

Et virus kan ikke eksistere i "fullstendig isolasjon": i dag er det umulig å forestille seg et virus som ikke bruker koden til andre programmer, informasjon om filstruktur eller til og med bare navnene på andre programmer. Årsaken er klar: viruset må på en eller annen måte sørge for at kontrollen overføres til seg selv.

1.2. Klassifisering av virus

For tiden er mer enn 5000 programvarevirus kjent, de kan klassifiseres i henhold til følgende kriterier:

¨ habitat

¨ metode for forurensning av habitatet

innflytelse

¨ funksjoner i algoritmen

Avhengig av deres habitat, kan virus deles inn i nettverks-, fil-, oppstarts- og filoppstartvirus. Nettverksvirus distribuert over ulike datanettverk. Filvirus er hovedsakelig innebygd i kjørbare moduler, dvs. i filer med COM- og EXE-utvidelser. Fil virus kan være innebygd i andre typer filer, men som regel skrevet i slike filer får de aldri kontroll og mister derfor evnen til å reprodusere. Boot virus er innebygd i oppstartssektoren til disken (oppstartssektoren) eller i sektoren som inneholder systemdiskoppstartsprogrammet (Master Boot Re-

ledning). Fil-oppstart Virus infiserer både filer og oppstartssektorer på disker.

Basert på infeksjonsmetoden er virus delt inn i fastboende og ikke-bosatte. Resident virus når en datamaskin er infisert (infisert), forlater den sin faste del i RAM-en, som deretter avskjærer operativsystemets tilgang til infeksjonsobjekter (filer, diskoppstartssektorer, etc.) og injiserer seg selv i dem. Resident virus ligger i minnet og er aktive til datamaskinen slås av eller startes på nytt. Ikke-residente virus ikke infiser datamaskinens minne og er aktive i en begrenset tid.

Basert på graden av påvirkning, kan virus deles inn i følgende typer:

¨ ufarlig, som ikke forstyrrer driften av datamaskinen, men reduserer mengden ledig RAM og diskminne, manifesteres handlingene til slike virus i noen grafiske eller lydeffekter

¨ farlig virus som kan føre til ulike problemer med datamaskinen

¨ veldig farlig, hvis virkning kan føre til tap av programmer, ødeleggelse av data og sletting av informasjon i systemområder på disken.

2. HOVEDTYPER VIRUS OG DERES FUNKSJONSORDNING

Blant variasjonen av virus kan følgende hovedgrupper skilles:

støvel

¨ fil

¨ filoppstart

La oss nå se nærmere på hver av disse gruppene.

2.1. Boot virus

La oss se på driften av et veldig enkelt oppstartsvirus som infiserer disketter. Vi vil bevisst omgå alle de mange finesser som uunngåelig vil bli møtt under en streng analyse av algoritmen for dens funksjon.

Hva skjer når du slår på datamaskinen? Først og fremst overføres kontrollen bootstrap-program, som er lagret i et skrivebeskyttet minne (ROM), dvs. PNZ ROM.

Dette programmet tester maskinvaren og, hvis testene er vellykkede, prøver å finne disketten i stasjon A:

Hver diskett er merket med den såkalte. sektorer og spor. Sektorer er slått sammen til klynger, men dette er ikke vesentlig for oss.

Blant sektorene er det flere tjenester som brukes av operativsystemet til egne behov (disse sektorene kan ikke inneholde dataene dine). Blant tjenestesektorene er vi for tiden interessert i en - den såkalte. oppstartssektoren(boot-sektor).

Støvelsektoren lagrer diskettinformasjon- antall flater, antall spor, antall sektorer osv. Men nå er vi ikke interessert i denne informasjonen, men i små bootstrap-program(PNZ), som må laste selve operativsystemet og overføre kontrollen til det.

Så det normale bootstrap-skjemaet er som følger:

La oss nå se på viruset. Boot virus har to deler - den såkalte. hode etc. hale. Halen kan generelt sett være tom.

Anta at du har en ren diskett og en infisert datamaskin, som vi mener en datamaskin med et aktivt virus. Så snart dette viruset oppdager at et passende offer har dukket opp i stasjonen - i vårt tilfelle, en diskett som ikke er skrivebeskyttet og ennå ikke er infisert, begynner den å infisere. Når du infiserer en diskett, utfører viruset følgende handlinger:

Velger et bestemt område av disken og merker det som utilgjengelig for operativsystemet, dette kan gjøres på forskjellige måter, i det enkleste og tradisjonelle tilfellet er sektorer okkupert av viruset merket som dårlige (dårlige)

Kopierer halen og den originale (sunne) oppstartssektoren til det valgte området på disken

Erstatter oppstartsprogrammet i den (ekte) oppstartssektoren med hodet

Organiserer en kontrollkjede i henhold til ordningen.

Dermed er lederen av viruset nå den første som mottar kontroll, viruset er installert i minnet og overfører kontrollen til den opprinnelige oppstartssektoren. I en kjede

PNZ (ROM) - PNZ (disk) - SYSTEM

en ny lenke vises:

PNZ (ROM) - VIRUS - PNZ (disk) - SYSTEM

Moralen er klar: La aldri disketter (ved et uhell) ligge i stasjon A.

Vi undersøkte funksjonsskjemaet til et enkelt oppstartsvirus som lever i oppstartssektorene til disketter. Som regel kan virus infisere ikke bare oppstartssektorene til disketter, men også oppstartssektorene til harddisker. Dessuten, i motsetning til disketter, har harddisken to typer oppstartssektorer som inneholder oppstartsprogrammer som mottar kontroll. Når datamaskinen starter opp fra harddisken, tar oppstartsprogrammet i MBR (Master Boot Record) kontrollen først. Hvis harddisken din er delt inn i flere partisjoner, er bare én av dem merket som oppstart. Oppstartsprogrammet i MBR finner oppstartspartisjonen til harddisken og overfører kontrollen til oppstartsprogrammet til denne partisjonen. Koden til sistnevnte faller sammen med koden til oppstartsprogrammet på vanlige disketter, og de tilsvarende oppstartssektorene er bare forskjellige i parametertabellene. På harddisken er det således to gjenstander for angrep av oppstartsvirus - oppstartsprogram inn MBR Og primærprogram oppstartssektoren nedlastinger oppstartsdisk.

2.2. Fil virus

La oss nå vurdere hvordan et enkelt filvirus fungerer. I motsetning til oppstartsvirus, som nesten alltid er hjemmehørende, er ikke filvirus nødvendigvis hjemmehørende. La oss vurdere funksjonsskjemaet til et ikke-resident filvirus. La oss si at vi har en infisert kjørbar fil. Når en slik fil lanseres, får viruset kontroll, utfører noen handlinger og overfører kontrollen til "masteren" (selv om det ennå ikke er kjent hvem masteren er i en slik situasjon).

Hvilke handlinger utfører viruset? Den ser etter et nytt objekt å infisere - en fil av en passende type som ennå ikke er infisert (hvis viruset er "anstendig", ellers er det noen som infiserer umiddelbart uten å sjekke noe). Ved å infisere en fil, injiserer viruset seg selv i koden for å få kontroll når filen kjøres. I tillegg til hovedfunksjonen - reproduksjon, kan viruset godt gjøre noe intrikat (si, spør, lek) - dette avhenger allerede av fantasien til forfatteren av viruset. Hvis filviruset er hjemmehørende, vil det installere seg selv i minnet og vil kunne infisere filer og vise andre evner, ikke bare mens den infiserte filen kjører. Når en kjørbar fil infiseres, endrer et virus alltid koden - derfor infeksjon kjørbar fil kan alltid oppdages. Men ved å endre filkoden, gjør ikke viruset nødvendigvis andre endringer:

à han er ikke forpliktet til å endre fillengden

à ubrukte kodeseksjoner

à er ikke nødvendig for å endre begynnelsen av filen

Til slutt inkluderer filvirus ofte virus som "har noen relasjon til filer", men som ikke trenger å være innebygd i koden deres. La oss som et eksempel vurdere det fungerende skjemaet til virus fra den kjente Dir-II-familien. Det må innrømmes at etter å ha dukket opp i 1991, ble disse virusene årsaken til en ekte pestepidemi i Russland. La oss se på en modell som tydelig viser den grunnleggende ideen om viruset. Informasjon om filer lagres i kataloger. Hver katalogoppføring inkluderer filnavnet, datoen og klokkeslettet den ble opprettet, og noen Ytterligere informasjon, første klyngenummer fil, etc. reservebyte. Sistnevnte er "i reserve" og brukes ikke av MS-DOS selv.

Når du kjører kjørbare filer, leser systemet den første klyngen av filen og deretter alle andre klynger fra katalogoppføringen. Virus fra Dir-II-familien utfører følgende "omorganisering" filsystem: viruset selv skriver til noen ledige sektorer på disken, som det markerer som dårlige. I tillegg lagrer den informasjon om de første klyngene av kjørbare filer i reserverte biter, og i stedet for denne informasjonen skriver den referanser til seg selv.

Når en fil startes, får viruset kontroll (operativsystemet starter det selv), installerer seg selv i minnet og overfører kontrollen til den oppkalte filen.

2.3. Boot fil virus

Vi vil ikke vurdere oppstartsfilvirusmodellen, fordi du ikke vil lære ny informasjon. Men her er en god anledning til kort å diskutere det nylig ekstremt "populære" oppstartsfilviruset OneHalf, som infiserer master boot-sektoren (MBR) og kjørbare filer. Den viktigste destruktive effekten er kryptering av harddisksektorer. Hver gang det lanseres, krypterer viruset en annen del av sektorene, og etter å ha kryptert halvparten av harddisken, rapporterer det gladelig om dette. Hovedproblemet med å behandle dette viruset er at det ikke er nok å bare fjerne viruset fra MBR og filer; du må dekryptere informasjonen som er kryptert av den. Den dødeligste handlingen er å ganske enkelt overskrive en ny sunn MBR. Det viktigste er ikke få panikk. Vei alt rolig og rådfør deg med eksperter.

2.4. Polymorfe virus

De fleste spørsmål er relatert til begrepet "polymorft virus". Denne typen datavirus ser ut til å være den farligste i dag. La oss forklare hva det er.

Polymorfe virus er virus som modifiserer koden sin i infiserte programmer på en slik måte at to kopier av det samme viruset kanskje ikke samsvarer i en enkelt bit.

Slike virus krypterer ikke bare koden ved hjelp av forskjellige krypteringsbaner, men inneholder også krypterings- og dekrypteringskode, som skiller dem fra vanlige krypteringsvirus, som også kan kryptere deler av koden deres, men som samtidig har en konstant kryptering og dekrypteringskode. .

Polymorfe virus er virus med selvmodifiserende dekryptering. Hensikten med slik kryptering: hvis du har en infisert og original fil, vil du fortsatt ikke kunne analysere koden ved hjelp av vanlig demontering. Denne koden er kryptert og er et meningsløst sett med kommandoer. Dekryptering utføres av viruset selv under utførelse. I dette tilfellet er alternativer mulige: han kan dekryptere seg selv på en gang, eller han kan utføre slik dekryptering "i farten", han kan kryptere deler som allerede er brukt. Alt dette er gjort for å gjøre det vanskelig å analysere viruskoden.

3. HISTORIE OM DATAVIROLOGI OG ÅRSAKER TIL AT VIRUSER OPPKOMMER

Datavirologiens historie i dag ser ut til å være et konstant "kappløp for lederen", og til tross for all kraften til moderne antivirusprogrammer, er det virus som er lederne. Blant tusenvis av virus er bare noen få dusin originale utviklinger som bruker virkelig fundamentalt nye ideer. Alle resten er "variasjoner over et tema." Men hver original utvikling tvinger antivirusskapere til å tilpasse seg nye forhold og ta igjen virusteknologien. Det siste kan bestrides. For eksempel, i 1989, klarte en amerikansk student å lage et virus som deaktiverte rundt 6000 datamaskiner fra det amerikanske forsvarsdepartementet. Eller epidemien til det berømte Dir-II-viruset som brøt ut i 1991. Viruset brukte en virkelig original, fundamentalt ny teknologi og klarte først å spre seg mye på grunn av ufullkommenheten til tradisjonelle antivirusverktøy.

Eller økningen i datavirus i Storbritannia: Christopher Pyne klarte å skape virusene Pathogen og Queeq, så vel som Smeg-viruset. Det var den siste som var den farligste; den kunne legges over de to første virusene, og på grunn av dette endret de konfigurasjonen etter hver kjøring av programmet. Derfor var det umulig å ødelegge dem. For å spre virus kopierte Pine dataspill og programmer, infiserte dem og sendte dem deretter tilbake til nettverket. Brukere lastet ned infiserte programmer til datamaskinene sine og infiserte diskene deres. Situasjonen ble forverret av det faktum at Pine klarte å introdusere virus i programmet som bekjemper dem. Ved å lansere det, i stedet for å ødelegge virus, fikk brukerne et nytt. Som et resultat ble filene til mange selskaper ødelagt, noe som forårsaket tap på millioner av pund.

Den amerikanske programmereren Morris ble viden kjent. Han er kjent som skaperen av viruset, som i november 1988 infiserte rundt 7 tusen personlige datamaskiner koblet til Internett.

Årsakene til fremveksten og spredningen av datavirus er på den ene siden skjult i psykologien til den menneskelige personligheten og dens skyggesider (misunnelse, hevn, forfengelighet til ukjente skapere, manglende evne til å konstruktivt bruke ens evner), på annen side, på grunn av mangel på maskinvarebeskyttelse og motvirkning fra operasjonssalen, personlige datasystemer.

4. MÅTER FOR VIRUS Å KOMME INN I EN DATAMASKIN OG MEKANISMEN FOR DISTRIBUSJON AV VIRUSPROGRAM

De viktigste måtene virus kommer inn i en datamaskin på er flyttbare disker (floppy og laser), samt datanettverk. En harddisk kan bli infisert med virus når du laster et program fra en diskett som inneholder et virus. En slik infeksjon kan også være tilfeldig, for eksempel hvis disketten ikke ble fjernet fra stasjon A og datamaskinen ble startet på nytt, og disketten kanskje ikke er en systemdiskett. Det er mye lettere å infisere en diskett. Et virus kan komme inn på den selv om disketten bare settes inn i disketten på en infisert datamaskin og for eksempel innholdsfortegnelsen leses.

Viruset invaderer vanligvis arbeidsprogram på en slik måte at når den starter, blir kontrollen først overført til ham, og først etter at alle kommandoene hans er fullført, går han tilbake til arbeidsprogrammet. Etter å ha fått tilgang til kontroll, omskriver viruset seg først og fremst til et annet fungerende program og infiserer det. Etter å ha kjørt et program som inneholder et virus, blir det mulig å infisere andre filer. Oftest er oppstartssektoren på disken og kjørbare filer med utvidelsene EXE, COM, SYS, BAT infisert med et virus. Det er ekstremt sjeldent at tekstfiler blir infisert.

Etter å ha infisert et program, kan viruset utføre en slags sabotasje, ikke for alvorlig for ikke å tiltrekke seg oppmerksomhet. Og til slutt, ikke glem å returnere kontrollen til programmet det ble lansert fra. Hver kjøring av et infisert program overfører viruset til det neste. Dermed vil all programvare bli infisert.

For å illustrere infeksjonsprosessen dataprogram Med et virus er det fornuftig å sammenligne diskminne med et gammeldags arkiv med mapper på bånd. Mappene inneholder programmer, og operasjonssekvensen for å introdusere et virus vil i dette tilfellet se slik ut (se vedlegg 1)

5. TEGN PÅ VIRUS

Når datamaskinen din er infisert med et virus, er det viktig å oppdage det. For å gjøre dette, bør du vite om hovedtegnene på virus. Disse inkluderer følgende:

¨ avslutning eller feil drift av tidligere velfungerende programmer

¨ treg datamaskinytelse

¨ manglende evne til å laste operativsystemet

¨ forsvinning av filer og kataloger eller forvrengning av innholdet

¨ endre dato og klokkeslett for filendring

¨ endre størrelse på filer

¨ uventet betydelig økning i antall filer på disken

¨ betydelig reduksjon i størrelsen på ledig RAM

¨ visning av uventede meldinger eller bilder

¨ innsending av uforutsett lydsignaler

¨ hyppige fryser og datamaskinkrasj

Det skal bemerkes at ovennevnte fenomener ikke nødvendigvis er forårsaket av tilstedeværelsen av et virus, men kan være et resultat av andre årsaker. Derfor er det alltid vanskelig å diagnostisere tilstanden til en datamaskin riktig.

6. VIRUSDETEKSJON OG BESKYTTELSE OG FOREBYGGENDE TILTAK

6.1. Hvordan oppdage et virus ? Tradisjonell tilnærming

Så en viss virusforfatter lager et virus og lanserer det i "livet". Han kan gå rundt til hjertens lyst en stund, men før eller siden vil "lafaen" ta slutt. Noen vil mistenke at noe er galt. Som regel oppdages virus av vanlige brukere som merker visse uregelmessigheter i oppførselen til datamaskinen. I de fleste tilfeller er de ikke i stand til å takle infeksjonen på egenhånd, men dette kreves ikke av dem.

Det er bare nødvendig at viruset kommer i hendene på spesialister så snart som mulig. Fagfolk vil studere det, finne ut "hva det gjør", "hvordan det gjør", "når det gjør det", etc. I prosessen med slikt arbeid samles all nødvendig informasjon om dette viruset, spesielt signaturen til viruset er isolert - en sekvens av byte som ganske definitivt karakteriserer ham. For å bygge en signatur tas vanligvis de viktigste og mest karakteristiske delene av viruskoden. Samtidig blir mekanismene for hvordan viruset virker tydelige, for eksempel ved et oppstartsvirus er det viktig å vite hvor det skjuler halen, hvor den opprinnelige oppstartssektoren befinner seg, og i tilfelle av et filvirus, metoden for å infisere filen. Informasjonen innhentet lar deg finne ut:

· hvordan oppdage et virus, for dette formålet, metoder for å søke etter signaturer i potensielle objekter for et virusangrep - filer og/eller oppstartssektorer er spesifisert

· hvordan nøytralisere viruset, hvis mulig, utvikles algoritmer for å fjerne viruskode fra berørte objekter

6.2. Virusdeteksjons- og beskyttelsesprogrammer

Det er utviklet flere typer for å oppdage, fjerne og beskytte mot datavirus. spesielle programmer, som lar deg oppdage og ødelegge virus. Slike programmer kalles antivirus . Det finnes følgende typer antivirusprogrammer:

· detektorprogrammer

· legeprogrammer eller fager

· revisjonsprogrammer

· filterprogrammer

Vaksine- eller immuniseringsprogrammer

Detektorprogrammer De søker etter en signatur som er karakteristisk for et bestemt virus i RAM og filer, og sender en tilsvarende melding hvis de blir funnet. Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

Legeprogrammer eller fager, og vaksineprogrammer ikke bare finne filer infisert med virus, men også "behandle" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene skilles polyfager, dvs. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus. Den mest kjente av dem: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og regelmessige versjonsoppdateringer kreves.

Revisorprogrammer er blant de mest pålitelige beskyttelsesmidlene mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på LCD-skjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere. Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med rydde opp i endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset. Blant revisjonsprogrammene er Adinf-programmet, mye brukt i Russland.

Filtrer programmer eller "vaktmann" er små residente programmer utviklet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:

· forsøker å korrigere filer med COM-, EXE-utvidelser

· endre filattributter

direkte skriving til disk på absolutt adresse

· skriving til diskoppstartssektorer

Når et program prøver å utføre de spesifiserte handlingene, sender "vakten" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med vakthundprogrammer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med andre programvare. Et eksempel på et filterprogram er Vsafe-programmet, som er en del av MS DOS-verktøypakken.

Vaksiner eller immunisatorer– Dette er residente programmer som forhindrer filinfeksjon. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.

Rettidig oppdagelse av virusinfiserte filer og disker og fullstendig ødeleggelse av oppdagede virus på hver datamaskin bidrar til å unngå spredning av en virusepidemi til andre datamaskiner.

6.3. Grunnleggende tiltak for å beskytte mot virus

For å unngå å utsette datamaskinen for virus og sikre pålitelig lagring av informasjon på disker, må du følge følgende regler:

¨ utstyr datamaskinen din med moderne antivirusprogrammer, som Aidstest, Doctor Web, og oppdater stadig versjonene deres

¨ før du leser informasjon som er lagret på andre datamaskiner fra disketter, må du alltid sjekke disse diskettene for virus ved å kjøre antivirusprogrammer på datamaskinen din

¨ når du overfører filer i arkivert form til datamaskinen din, må du sjekke dem umiddelbart etter at du har pakket dem ut på harddisken, og begrense skanneområdet til bare nylig innspilte filer

¨ sjekk med jevne mellomrom for virus harddisker datamaskin, kjører antivirusprogrammer for å teste filer, minne og systemområder på disker fra en skrivebeskyttet diskett, etter å ha lastet operativsystemet fra en skrivebeskyttet systemdiskett

¨ Beskytt alltid diskettene dine mot skriving når du arbeider på andre datamaskiner, hvis informasjon ikke vil bli skrevet til dem

¨ sørg for å lage sikkerhetskopier på disketter av informasjon som er verdifull for deg

¨ ikke legg igjen disketter i lommen på stasjon A når du slår på eller omstarter operativsystemet for å forhindre at datamaskinen blir infisert med oppstartsvirus

¨ bruk antivirusprogrammer for inndatakontroll av alle kjørbare filer mottatt fra datanettverk

¨ for å sikre større sikkerhet, må Aidstest og Doctor Web kombineres med daglig bruk av Adinf diskrevisor

KONKLUSJON

Så vi kan sitere mange fakta som indikerer at trusselen mot informasjonsressursen øker hver dag, og får beslutningstakere i banker, bedrifter og selskaper rundt om i verden i panikk. Og denne trusselen kommer fra datavirus som forvrenger eller ødelegger viktig, verdifull informasjon, som ikke bare kan føre til økonomiske tap, men også til menneskelige skader.

Datavirus - et spesialskrevet program som spontant kan koble seg til andre programmer, lage kopier av seg selv og bygge dem inn i filer, systemområder på datamaskinen og i datanettverk for å forstyrre driften av programmer, skade filer og kataloger, og skape alle slags forstyrrelser i driften av datamaskinen.

For tiden er mer enn 5000 programvarevirus kjent, hvorav antallet øker stadig. Det er kjente tilfeller når de ble opprettet læremidler, hjelpe til med å skrive virus.

Hovedtypene av virus: oppstart, fil, filoppstart. Den farligste typen virus er polymorfe.

Fra datavirologiens historie er det klart at enhver original datautvikling tvinger antivirusskapere til å tilpasse seg nye teknologier og stadig forbedre antivirusprogrammer.

Årsakene til utseendet og spredningen av virus er skjult, på den ene siden, i menneskelig psykologi, og på den annen side på grunn av mangelen på beskyttelsestiltak i operativsystemet.

Hovedveiene for virus å trenge inn er flyttbare disker og datanettverk. Følg beskyttelsestiltak for å forhindre at dette skjer. Det er også utviklet flere typer spesialprogrammer kalt antivirusprogrammer for å oppdage, fjerne og beskytte mot datavirus. Hvis du finner et virus på datamaskinen din, er det ved å bruke den tradisjonelle tilnærmingen bedre å ringe en profesjonell for å finne ut av det videre.

Men noen egenskaper ved virus pusler til og med spesialister. For nylig var det vanskelig å forestille seg at et virus kunne overleve en kald oppstart eller spre seg gjennom dokumentfiler. Under slike forhold er det umulig å ikke legge vekt på i det minste den første antivirusopplæringen til brukere. Til tross for alvorlighetsgraden av problemet, kan ingen virus forårsake så mye skade som en bruker med hvit ansikt med skjelvende hender!

Så, helsen til datamaskinene dine, sikkerheten til dataene dine er i dine hender!

Bibliografi

1. Datavitenskap: Lærebok / utg. Prof. N.V. Makarova. - M.: Finans og statistikk, 1997.

2. Encyclopedia of secrets and sensations / Utarbeidet av. tekst av Yu.N. Petrova. - Mn.: Litteratur, 1996.

3. Bezrukov N.N. Datavirus. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Moderne teknologier kamp mot virus // PC World. - Nr. 8. - 1993.

Folk som konstant jobber ved en datamaskin, støter ofte på problemer når de bruker den og begynner å ringe programmerere for å få hjelp, selv om slike hendelser i de fleste tilfeller skjer på grunn av uoppmerksomhet og mangel på utdanning til brukeren selv. Tross alt kommer hovedproblemene nettopp når en datamaskin er infisert med et virus. Konseptet og klassifiseringen av datavirus er grunnlaget, kunnskap om som kan forhindre 50% av problemene på brukerens datamaskin.

Kunnskap er makt

La oss prøve å definere hva et datavirus er. Som i det virkelige liv, et virus er en organisme som er i stand til selvkopiering og ukontrollert reproduksjon. Dette er et program som er i stand til å utvikle seg uavhengig, uten brukerens viten, og utføre funksjonene som er tildelt det av programmereren. Dette er ikke nok til å fange et virus eller forhindre infeksjon av datamaskinen din, men i de enkleste tilfellene vil det hjelpe deg i det minste å slå alarm og ringe en spesialist. Klassifiseringen av datavirus vil hjelpe sistnevnte nøyaktig å velge verktøyet som er nødvendig for å lagre datamaskinen din. Derfor vil vi prøve å forstå det også.

Generelt konsept

Etter å ha sammenlignet et datavirus med en ekte mikroorganisme litt tidligere, kan vi trekke en parallell til hva et spesifikt virus eller orm infiserer. En av de grunnleggende er klassifiseringen av datavirus etter habitat, fordi, avhengig av formålet, vil plasseringen av viruset i datamiljøet også variere. La oss gi et generelt standarddiagram.

1. Fil virus. Kanskje det vanligste i dag er virus som infiserer filer på datamaskinen din. I de fleste tilfeller infiltrerer de kjørbare filer eller programbiblioteker for å utføre oppgavene sine. Disse virusene er et skript skrevet i et skriptprogrammeringsspråk (for eksempel Java).
2. Boot virus. Som navnet antyder, lanseres de når operativsystemet starter opp. De skriver koden sin til Windows-oppstartssektoren.
3. Nettverksvirus. En ganske ubehagelig ting som sender kopier av seg selv over nettverket, mail eller meldingssystemer som ICQ. Et annet ubehagelig poeng er at et slikt virus kan formere seg til det fyller hele plassen på brukerens datamaskin, og i verste fall begynner det også å gi plass til seg selv ved å slette brukerprogrammer.
4. Makrovirus. De påvirker bare filer fra programmer som støtter makroer, for eksempel Office.

Det er verdt å merke seg at en slik klassifisering av virus ikke kan være fullstendig, siden utviklingen av denne infeksjonen ikke står stille, og det er virus som kan klassifiseres i flere undertyper.

Forsiktig - fare!

Virus kan sees fra helt andre vinkler. Hvis vi snakker om dem i henhold til graden av innvirkning på systemet, vil klassifiseringen av datavirus kort se slik ut:

Spesialister jobber

Klassifiseringen av datavirus og antivirusprogrammer fortjener spesiell omtale. De fleste spesialister som jobber på feltet datasikkerhet, har sine egne klassifikasjoner og måter å betegne datavirus på. For eksempel det velkjente Kaspersky Laboratory. Etter mange års arbeid skapte de kanskje den mest detaljerte klassifiseringen av datavirus. Kaspersky identifiserer følgende typer "skadedyr":

1. Allerede kjente nettverksvirus er ormer som bruker e-post til å spre seg.
2. Pakkere. Dette er snarere bare skadedyr, og ikke virus sendt til et bestemt formål. Deres oppgave er å arkivere filer på en slik måte at det er umulig å avarkivere dem. Ofte, når de arkiverer, koder de også informasjon.
3. Ondsinnede verktøy.
4. Trojanske programmer. Navnet deres kommer fra myten om den trojanske hesten. Tro mot sin prototype, forkler slike virus seg som ufarlige programmer for å trenge inn i en datamaskin. Deres viktigste funksjonelle formål er å gi en angriper tilgang til å kontrollere datamaskinen din. Noen underkategorier kan også skilles ut her:

1) virus, for fjernkontroll din datamaskin;

2) virus for nedlasting av skadelig programvare fra Internett;

3) programmer som uautorisert installerer andre virus på datamaskinen.

Hvordan bli smittet

Forvarslet er forbevæpnet. Dette er hva folkevisdommen sier. Ved å vite hvor og hvordan du kan fange et datavirus, kan du unngå de enorme problemene forbundet med å fjerne det. Å forhindre infeksjon er mye enklere enn å kurere en datamaskin etter at et virus har kommet inn i den. Det er også en klassifisering av datavirus i henhold til infeksjonsmetoden:

Virusbeskyttelse

Som allerede har blitt klart, finnes det et stort utvalg av skadelig programvare. Ingen klassifisering av virus vil bidra til å beskytte mot dem. Det er så mange datamaskinsvindlere og spammere som med sine egne med mine egne hender det er umulig å takle alle. Dette er grunnen til at det er et stort antall antivirusprogrammer som kan hjelpe med å takle dette problemet. La oss se på dem fra synspunktet vanlige brukere.

Det vanligste antivirusprogrammet er Kaspersky Anti-Virus. Tilbys til brukere i alle mulige butikker, er dette programmet i stand til å pålitelig beskytte datamaskinen din mot skadelig programvare. Imidlertid er avanserte brukere klar over de betydelige bivirkningene av denne påliteligheten. Kaspersky overbelaster ikke bare systemet og utløser en alarm ved den minste fare, men hindrer det også i å fungere tilstrekkelig med brukerapplikasjoner. Derfor i for tiden Dette antiviruset brukes hovedsakelig i bedrifter, siden kjøpet er lettere å gjennomføre gjennom regnskap, og sier mye mer lojale mot det. Det er verdt å merke seg at takket være dette laboratoriet ble det opprettet en grunnleggende klassifisering av datavirus. Meldingen om at det ble funnet et virus på datamaskinen som deres antivirus gir, inneholder dessverre ikke alltid pålitelig informasjon.

NOD32 kan tjene som en verdig erstatning for Kaspersky. Pålitelig og fast beskytter, det er spesielt designet for vanlige brukere gratis versjoner. Den fungerer som en klokke og uten feil, men den gir absolutt pålitelighet kun i en fullt betalt pakke. Derfor vil den eneste ulempen med dette antiviruset være prisen hvis du utelukker nedlasting av hackede versjoner som ikke støttes.

Dr.Web kan med rette betraktes som ledende blant antivirus. Uten å jage berømmelse og inntjening gir han alle en nedlasting på nettstedet sitt. prøveversjon med full funksjonalitet. En av hovedtrekkene til "Doctor" er muligheten til å fullstendig suspendere driften av operativsystemet, som lar deg fange selv de mest "utspekulerte skadedyrene". Dette programmet bruker sin egen klassifisering av virus. Verktøyet finner dataormer raskt og effektivt, og fastboende virus kan ikke "gjemme seg" i RAM.

Du må kjenne fienden ved synet

Så klassifiseringen av datavirus ble diskutert ovenfor. Det ville sannsynligvis vært lettere for deg å forstå med eksempler, så vi vil gi noen for klarhet.

Trj.Reboot - tvinger datamaskinen til å starte på nytt.

Slapp av - infiserer dokumenter Microsoft Word, samt globale variabler. Det var spesielt populært og relevant på Windows 98. Resultatet av arbeidet er visningen av en informasjonsmelding på skjermen.

Marburg - angriper kjørbare filer med EXE-utvidelse, kjører dem i forskjellige kataloger, som et resultat av at størrelsen deres øker.

Flame er en dataorm oppdaget av Kaspersky Lab. Dens særegenhet er at den består av flere dusin deler, som hver har sin egen funksjonalitet.

Tenk på sikkerhet

Denne artikkelen diskuterte konseptet og klassifiseringen av datavirus. Hvis du nøye og nøye har lest alt som er skrevet, har du sannsynligvis allerede innsett at absolutt beskyttelse ikke eksisterer. Til tross for dette faller valget av verneutstyr på dine skuldre. Det siste som er verdt å påpeke er bare et par nyttige tips:

1. Ikke gå til mistenkelige nettsteder eller følg lenker sendt av fremmede.
2. Ikke la deg lure av annonser og popup-vinduer på Internett.
3. Hvis du laster ned programmer fra Internett, sørg for at kilden er trygg.
4. Hvis du leter etter et program, prøv å laste det ned fra populære ressurser, og ikke fra bakvannene til World Wide Web.
5. Ikke bruk lagringsmedier som kan ha blitt satt inn i offentlige datamaskiner (internettkafeer).

Følger disse enkle tips, kan du gjøre det selv uten antivirus. Du trenger bare klassifiseringen av datavirus for studier eller selvutvikling.

Klassifisering.

Antivirusprodukter kan klassifiseres i henhold til flere kriterier, for eksempel: asom brukes, produktfunksjonalitet og målplattformer.

I henhold til asom brukes:

• Klassiske antivirusprodukter (produkter som kun bruker signaturdeteksjonsmetoden)
• Proaktive antivirusbeskyttelsesprodukter (produkter som kun bruker proaktive);
• Kombinerte produkter (produkter som bruker både klassiske, signaturbaserte beskyttelsesmetoder og proaktive)

Etter produktfunksjonalitet:

• Antivirusprodukter (produkter som kun gir antivirusbeskyttelse)
• Kombinasjonsprodukter (produkter som ikke bare gir beskyttelse mot skadelig programvare, men også spamfiltrering, datakryptering og sikkerhetskopiering og andre funksjoner)

Etter målplattform:

• Antivirusprodukter for Windows-operativsystemer
• Antivirusprodukter for *NIX-operativsystemer (denne familien inkluderer BSD, Linux, etc.)
• Antivirusprodukter for MacOS-familien av operativsystemer
• Antivirusprodukter for mobile plattformer ( Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 osv.)

Antivirusprodukter for bedriftsbrukere kan også klassifiseres etter beskyttelsesobjekter:

• Antivirusprodukter for å beskytte arbeidsstasjoner
• Antivirusprodukter for å beskytte fil- og terminalservere
• Antivirusprodukter for å beskytte e-post og Internett-gatewayer
• Antivirusprodukter for å beskytte virtualiseringsservere
• etc.

Kjennetegn på antivirusprogrammer.

Antivirusprogrammer er delt inn i: detektorprogrammer, legeprogrammer, auditørprogrammer, filterprogrammer, vaksineprogrammer.

Detektorprogrammer søker etter og oppdager virus i RAM og eksterne medier, og når de oppdages, gir de en tilsvarende melding. Det finnes universelle og spesialiserte detektorer.

Universelle detektorer bruker i sitt arbeid å sjekke filers uforanderlighet ved å telle og sammenligne med en kontrollsumstandard. Ulempen med universelle detektorer er forbundet med manglende evne til å bestemme årsakene til filkorrupsjon.

Spesialiserte detektorer søker etter kjente virus ved sin signatur (en gjentatt kodedel). Ulempen med slike detektorer er at de ikke klarer å oppdage alle kjente virus.

En detektor som kan oppdage flere virus kalles en polydetektor.

Ulempen med slike antivirusprogrammer er at de kun kan finne virus som er kjent for utviklerne av slike programmer.

Legeprogrammer (fager) finner ikke bare filer infisert med virus, men "behandler" dem, dvs. fjern hoveddelen av virusprogrammet fra filen, og returner filene til deres opprinnelige tilstand. I begynnelsen av arbeidet søker fager etter virus i RAM, ødelegger dem, og bare deretter fortsetter de med å "rense" filer. Blant fagene skilles polyfager, dvs. Legeprogrammer utviklet for å søke og ødelegge et stort antall virus.

Tatt i betraktning at det stadig dukker opp nye virus, blir detektorprogrammer og legeprogrammer raskt utdaterte, og det kreves jevnlige oppdateringer av deres versjoner.

Revisjonsprogrammer er blant de mest pålitelige metodene for beskyttelse mot virus. Revisorer husker den opprinnelige tilstanden til programmer, kataloger og systemområder på disken når datamaskinen ikke er infisert med virus, og sammenligner deretter med jevne mellomrom eller på brukerens forespørsel den nåværende tilstanden med den opprinnelige. Registrerte endringer vises på videoskjermen. Som regel utføres sammenligning av tilstander umiddelbart etter innlasting av operativsystemet. Ved sammenligning kontrolleres fillengden, syklisk kontrollkode (filkontrollsum), dato og klokkeslett for endring og andre parametere.

Revisorprogrammer har ganske utviklet algoritmer, oppdager stealth-virus og kan til og med skille endringer i versjonen av programmet som kontrolleres fra endringer gjort av viruset.

Filterprogrammer (watchmen) er små residente programmer designet for å oppdage mistenkelige handlinger under datamaskindrift, karakteristisk for virus. Slike handlinger kan være:

Forsøk på å korrigere filer med COM- og EXE-utvidelser;

Endre filattributter;

Direkte skriving til disk på absolutt adresse;

Når et program prøver å utføre de angitte handlingene, sender "vaktmannen" en melding til brukeren og tilbyr å forby eller tillate den tilsvarende handlingen. Filterprogrammer er svært nyttige fordi de er i stand til å oppdage et virus på det tidligste stadiet av dets eksistens før replikering. Imidlertid "renser" de ikke filer og disker. For å ødelegge virus må du bruke andre programmer, for eksempel fager. Ulempene med watchdog-programmer inkluderer deres "påtrengende" (for eksempel advarer de konstant om ethvert forsøk på å kopiere en kjørbar fil), samt mulige konflikter med annen programvare.

Vaksiner (immunisatorer) er lokale programmer som hindrer filer i å bli infisert. Vaksiner brukes hvis det ikke finnes legeprogrammer som "behandler" dette viruset. Vaksinasjon er kun mulig mot kjente virus. Vaksinen modifiserer programmet eller disken på en slik måte at den ikke påvirker driften, og viruset vil oppfatte den som infisert og vil derfor ikke slå rot. For tiden har vaksineprogrammer begrenset bruk.

En betydelig ulempe med slike programmer er deres begrensede evne til å forhindre infeksjon fra et stort antall forskjellige virus.

Eksempler på antivirusprogrammer

Når du velger et antivirusprogram, er det nødvendig å ta hensyn til ikke bare prosentandelen av virusdeteksjon, men også muligheten til å oppdage nye virus, antall virus i antivirus database, oppdateringsfrekvensen, tilstedeværelsen av tilleggsfunksjoner.

Foreløpig skal et seriøst antivirus kunne gjenkjenne minst 25 000 virus. Dette betyr ikke at de alle er "gratis". Faktisk har de fleste av dem enten sluttet å eksistere eller er i laboratorier og distribueres ikke. I virkeligheten kan du finne 200-300 virus, og bare noen få dusin av dem utgjør en fare.

Det finnes mange antivirusprogrammer. La oss se på de mest kjente av dem.

Norton AntiVirus 4.0 og 5.0 (produsent: Symantec).

Et av de mest kjente og populære antivirusene. Prosentandelen av virusgjenkjenning er svært høy (nær 100%). Programmet bruker en mekanisme som lar deg gjenkjenne nye ukjente virus.

Norton AntiVirus sitt grensesnitt inkluderer en LiveUpdate-funksjon som lar deg oppdatere både programmet og et sett med virussignaturer via nettet med et enkelt klikk. Problemer med Anti-Virus Master detaljert informasjon om et oppdaget virus, og gir deg også valget mellom å fjerne viruset enten automatisk, eller mer forsiktig, gjennom en trinn-for-trinn-prosedyre som lar deg se hver av handlingene som utføres under fjerningsprosessen.

Antivirusdatabaser oppdateres veldig ofte (noen ganger dukker det opp oppdateringer flere ganger i uken). Det er en beboermonitor.

Ulempen med dette programmet er at det er vanskelig å konfigurere (selv om det praktisk talt ikke er nødvendig å endre de grunnleggende innstillingene).

Dr Solomon's AntiVirus (produsent: Dr Solomon's Software).

Regnes som en av de mest beste antivirus(Eugene Kaspersky sa en gang at dette er den eneste konkurrenten til hans AVP). Oppdager nesten 100 % av kjente og nye virus. Et stort antall funksjoner, skanner, monitor, heuristikk og alt du trenger for å motstå virus.

McAfee VirusScan (produsent: "McAfee Associates")

Dette er en av de mest kjente antiviruspakkene. Det fjerner virus veldig bra, men VirusScan er verre enn andre pakker når det gjelder å oppdage nye varianter av filvirus. Den installeres raskt og enkelt ved å bruke standardinnstillinger, men kan tilpasses for å passe dine behov. Du kan skanne alle filer eller bare programvarefiler, distribuere eller ikke distribuere skanneprosedyren til komprimerte filer. Den har mange funksjoner for arbeid med Internett.

.Dr.Web (produsent: Dialogue Science)

Populær innenlands antivirus. Den gjenkjenner virus godt, men databasen inneholder mye færre av dem enn andre antivirusprogrammer.

Antiviral Toolkit Pro (produsent: Kaspersky Lab).

Dette antiviruset er anerkjent over hele verden som et av de mest pålitelige. Til tross for dens brukervennlighet har den alt nødvendig arsenal for å bekjempe virus. Heuristisk mekanisme, redundant skanning, skanning av arkiver og pakkede filer - dette er ikke en fullstendig liste over dens evner.

Kaspersky Lab overvåker nøye oppkomsten av nye virus og utgir umiddelbart oppdateringer til antivirusdatabasene. Det er en resident monitor for å overvåke kjørbare filer.

Evgeny Kaspersky i 1992 brukte følgende klassifisering av antivirus avhengig av deres driftsprinsipp (bestemme funksjonalitet):

Ø Skannere (utdatert versjon - "polyfager", "detektorer") - bestemme tilstedeværelsen av et virus ved å bruke en signaturdatabase som lagrer signaturer (eller deres kontrollsummer) av virus. Effektiviteten deres bestemmes av relevansen til virusdatabasen og tilstedeværelsen av en heuristisk analysator.

Ø Revisorer (en klasse nær IDS) - husk tilstanden til filsystemet, som gjør det mulig å analysere endringer i fremtiden.

Ø Vaktmenn (beboerovervåkere eller filtre ) - overvåke potensielt farlige operasjoner, og gi brukeren en passende forespørsel om å tillate/forby operasjonen.

Ø Vaksiner (immunisatorer ) - endre den podede filen på en slik måte at viruset som graften gis mot allerede anser filen som infisert. I moderne forhold, når antall mulige virus måles i hundretusener, er denne tilnærmingen ikke aktuelt.

Moderne antivirus kombinerer alle de ovennevnte funksjonene.

Antivirus kan også deles inn i:

Produkter for hjemmebrukere:

Faktisk antivirus;

Kombinerte produkter (for eksempel antispam, brannmur, anti-rootkit, etc. legges til det klassiske antiviruset);

Bedriftsprodukter:

Server antivirus;

Antivirus på arbeidsstasjoner ("endepunkt").

Deling av antivirusprogrammer gir gode resultater, siden de utfyller hverandre godt:

Kommer fra eksterne kilder data er verifisert detektorprogram. Hvis du glemte å sjekke disse dataene og et infisert program ble lansert, kan det bli fanget opp av et vaktprogram. Riktignok blir virus kjent for disse antivirusprogrammene i begge tilfeller oppdaget pålitelig. Dette utgjør ikke mer enn 80-90% av tilfellene.

- vaktmann kan til og med oppdage ukjente virus hvis de oppfører seg veldig arrogant (prøver å formatere HDD eller gjør endringer i systemfiler). Men noen virus kan omgå slik kontroll.

Hvis viruset ikke ble oppdaget av en detektor eller vakt, vil resultatene av aktiviteten bli oppdaget program - revisor.

Som regel bør vakthundprogrammer kjøres på datamaskinen konstant, detektorer bør brukes til å sjekke data som kommer fra eksterne kilder (filer og disketter), og auditorer bør startes en gang om dagen for å identifisere og analysere endringer på disker. Alt dette må kombineres med regelmessig sikkerhetskopiering av data og bruk av forebyggende tiltak for å redusere sannsynligheten for å få virus.

Ethvert antivirusprogram "senker ned" datamaskinens drift, men er et pålitelig middel mot skadelige virkninger av virus.

Falske antivirus (falske antivirus).

I 2009 begynte forskjellige antivirusprodusenter å rapportere om utbredt bruk av en ny type antivirus - falske antivirus eller rogueware. Faktisk er disse programmene enten ikke antivirus i det hele tatt (det vil si at de ikke er i stand til å bekjempe skadelig programvare) eller er til og med virus (de stjeler kredittkortdata osv.).

Falske antivirus brukes til å presse penger fra brukere gjennom bedrag. En av måtene å infisere en PC med et falsk antivirus på er som følger. Brukeren havner på et "infisert" nettsted, som gir ham en advarsel som: "Et virus har blitt oppdaget på datamaskinen din." Deretter blir brukeren bedt om å laste ned gratis program(falsk antivirus) for å fjerne viruset. Etter installasjonen skanner det falske antiviruset PC-en og oppdager visstnok mange virus på datamaskinen. For å fjerne skadelig programvare tilbyr et falskt antivirus å kjøpe en betalt versjon av programmet. Den sjokkerte brukeren betaler (beløper fra $50 til $80) og det falske antiviruset renser PC-en for ikke-eksisterende virus.

Antivirus for SIM, flash-kort og USB-enheter

Mobiltelefoner som produseres i dag har et bredt spekter av grensesnitt og dataoverføringsmuligheter. Forbrukere bør nøye gjennomgå beskyttelsesmetoder før de kobler til små enheter.

Beskyttelsesmetoder som maskinvare, muligens antivirus på USB-enheter eller på SIM, er mer egnet for forbrukere mobiltelefoner. Den tekniske vurderingen og gjennomgangen av hvordan du installerer et antivirusprogram på en mobiltelefon bør betraktes som en skanneprosess som kan påvirke andre legitime applikasjoner på den telefonen.

Antivirusprogrammer på SIM med antivirus innebygd i et lite minneområde gir anti-malware/virusbeskyttelse samtidig som de beskytter telefonbrukerens PIN-kode og informasjon. Antivirus på flash-kort gir brukeren muligheten til å utveksle informasjon og bruke disse produktene med ulike maskinvareenheter, samt sende disse dataene til andre enheter ved hjelp av ulike kommunikasjonskanaler.

Antivirus, mobile enheter og innovative løsninger

I fremtiden er det mulig at mobiltelefoner blir infisert med virus. Flere og flere utviklere på dette området tilbyr antivirusprogrammer for å bekjempe virus og beskytte mobiltelefoner. I mobile enheter Det finnes følgende typer viruskontroll:

– prosessorbegrensninger;

- minnebegrensning;

– identifisere og oppdatere signaturene til disse mobile enhetene.

Konklusjon: Et antivirusprogram (antivirus) er i utgangspunktet et program for å oppdage og behandle skadelige objekter eller infiserte filer, samt for forebygging - forhindre infeksjon av en fil eller operativsystem med ondsinnet kode. Avhengig av prinsippet om drift av antivirusprogrammer, er det følgende klassifisering av antivirus: skannere (utdatert versjon - "polyfager", "detektorer"); revisorer (klasse nær IDS); vaktmenn (beboermonitorer eller filtre); vaksiner (immunisatorer).

KONKLUSJON

Fremskritt innen datateknologi de siste årene har ikke bare bidratt til økonomisk utvikling, handel og kommunikasjon; sørget for effektiv informasjonsutveksling, men også gitt unike verktøy til personer som begår datakriminalitet. Jo mer intensiv databehandlingsprosessen er, jo mer reell blir veksten av datakriminalitet, og det moderne samfunnet føler ikke bare de økonomiske konsekvensene av datakriminalitet, men blir også mer og mer avhengig av databehandling. Alle disse aspektene forplikter oss til å vie mer og mer oppmerksomhet til beskyttelse av informasjon, videreutvikling av lovverket på området informasjonssikkerhet. Hele spekteret av tiltak bør reduseres til beskyttelse av staten informasjonsressurser; til regulering av forhold som oppstår under dannelse og bruk av informasjonsressurser; opprettelse og bruk informasjonsteknologier; beskyttelse av informasjon og rettigheter til subjekter som deltar i informasjonsprosesser; samt å definere de grunnleggende begrepene som brukes i lovverket.

Førsteamanuensis ved Institutt for organisering av sikkerhet og konvoiering i kriminalomsorgen

Kandidat for tekniske vitenskaper

Oberstløytnant i Interntjenesten V.G. Zarubsky