Principiul de funcționare al clasificării antivirus. Revizuirea programelor antivirus pentru utilizatorii personali. Analiza sumei de control

Program antivirus (antivirus) - un program pentru identificarea și eliminarea virusi informatici si altii malware, prevenind răspândirea lor, precum și restabilirea programelor infectate de acestea.

Sarcinile principale ale programelor antivirus moderne:

• -- Scanați fișiere și programe în timp real.
• -- Scanați computerul la cerere.
• -- Scanarea traficului de internet.
• -- Scanează e-mailul.
• -- Protecție împotriva atacurilor de la site-uri web periculoase.
• -- Recuperarea fișierelor deteriorate (tratament).

Clasificarea programelor antivirus:

• · programe de detectare oferă căutarea și detectarea virușilor în memorie cu acces aleator atât pe medii externe, cât și atunci când sunt detectate, emit un mesaj corespunzător. Detectoarele se disting:
  • 1. universal - folosesc în munca lor pentru a verifica imuabilitatea fișierelor prin numărarea și compararea cu un standard de sumă de control
  • 2. de specialitate- căutați viruși cunoscuți după semnătură (o secțiune repetată de cod). Dezavantajul unor astfel de detectoare este că nu pot detecta toți virușii cunoscuți.

Un detector care poate detecta mai mulți viruși se numește polidetector. Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

• · Programe medicale (fagi) nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. eliminați corpul programului virus din fișier, returnând fișierele la starea initiala. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Dintre fagi se disting polifagii, adică. Programe medicale concepute pentru a căuta și distruge un număr mare de viruși. Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor lor.
• · Programe de auditor sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, stările sunt comparate imediat după încărcare sistem de operare. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri.
• · Programe de filtrare (paznici) sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:
  • 1. încearcă să corecteze fișierele cu extensii COM și EXE;
  • 2. modificarea atributelor fișierului;
  • 3. înregistrare directă pe disc la o adresă absolută;
  • 4. scriere în sectoarele de boot ale discului;

Programe de vaccinare (imunizatoare)- Acestea sunt programe rezidente care previn infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. Un dezavantaj semnificativ al acestor programe este capacitatea lor limitată de a preveni infectarea cu un număr mare de viruși diferiți.

Funcțiile programelor antivirus

Protecție antivirus în timp real

Majoritatea programelor antivirus oferă protecție în timp real. Aceasta înseamnă că programul antivirus vă protejează computerul de toate amenințările primite în fiecare secundă. Prin urmare, chiar dacă un virus nu v-a infectat computerul, ar trebui să luați în considerare instalarea unui program antivirus cu protecție în timp real pentru a preveni răspândirea în continuare a infecției.

Detectarea amenințărilor

Programele antivirus pot scana întregul computer pentru viruși. Cele mai vulnerabile zone sunt scanate mai întâi, folderele de sistem, RAM. De asemenea, puteți alege singur sectoarele de scanare sau puteți alege, de exemplu, să verificați un anumit hard disk. Cu toate acestea, nu toate programele antivirus sunt la fel ca algoritmi, iar unele programe antivirus au o rată de detectare mai mare decât altele.

Actualizari automate

Noi viruși sunt creați și apar în fiecare zi. Prin urmare, este extrem de important ca programele antivirus să poată actualiza bazele de date antivirus (o listă cu toți virușii cunoscuți, atât vechi, cât și noi). Actualizare automata este necesar deoarece antivirusul învechit nu poate detecta viruși și amenințări noi. În plus, dacă programul dvs. antivirus oferă doar actualizări manuale, este posibil să uitați să actualizați definițiile antivirus și computerul poate fi infectat cu un virus nou. Încercați să alegeți un antivirus cu actualizări automate.

Alerte

Antivirusul vă va avertiza când vreun program încearcă să vă acceseze computerul. Un exemplu sunt aplicațiile de pe Internet. Multe programe care încearcă să obțină acces la PC-ul tău sunt inofensive sau le-ai descărcat voluntar și astfel programele antivirus îți oferă posibilitatea de a decide singur dacă să permiti sau să blochezi instalarea sau funcționarea acestora.

INTRODUCERE

Trăim la începutul a două milenii, când omenirea a intrat în era unei noi revoluții științifice și tehnologice.

Până la sfârșitul secolului al XX-lea, oamenii stăpâniseră multe dintre secretele transformării materiei și energiei și au putut să folosească aceste cunoștințe pentru a-și îmbunătăți viața. Dar, pe lângă materie și energie, o altă componentă joacă un rol uriaș în viața umană - informația. Aceasta este o mare varietate de informații, mesaje, știri, cunoștințe, abilități.

La mijlocul secolului nostru au apărut dispozitive speciale - calculatoarele, axate pe stocarea și convertirea informațiilor, și a avut loc revoluția computerelor.

Utilizare masivă astăzi calculatoare personale, din nefericire, s-a dovedit a fi asociat cu apariția programelor viruși cu auto-replicare care împiedică operatie normala computer, distrugând structura de fișiere a discurilor și provocând deteriorarea informațiilor stocate pe computer.

În ciuda legilor adoptate în multe țări pentru combaterea infracțiunilor informatice și dezvoltarea de special software protecție împotriva virușilor, numărul de noi viruși software este în continuă creștere. Acest lucru necesită ca utilizatorul unui computer personal să aibă cunoștințe despre natura virușilor, metodele de infectare cu viruși și protecția împotriva acestora. Acesta a fost impulsul pentru alegerea temei lucrării mele.

Exact despre asta vorbesc în eseul meu. Arăt principalele tipuri de viruși, iau în considerare modelele de funcționare a acestora, motivele apariției lor și modalitățile de pătrundere într-un computer și, de asemenea, ofer măsuri de protecție și prevenire.

Scopul lucrării este de a familiariza utilizatorul cu elementele de bază ale virologiei computerului, de a învăța cum să detecteze virușii și să le lupte. Metoda de lucru - analiza publicațiilor tipărite pe această temă. M-am confruntat cu o sarcină dificilă - să vorbesc despre ceva care a fost studiat foarte puțin și cum a ieșit depinde de tine să judeci.

1. VIRUSURI DE COMPUTER ŞI PROPRIETĂŢILE LOR SI CLASIFICARE

1.1. Proprietățile virușilor informatici

În zilele noastre se folosesc computere personale în care utilizatorul are acces gratuit la toate resursele mașinii. Acesta este ceea ce a deschis posibilitatea unui pericol care a devenit cunoscut sub numele de virus informatic.

Ce este un virus informatic? O definiție formală a acestui concept nu a fost încă inventată și există îndoieli serioase că poate fi dat deloc. Numeroase încercări de a oferi o definiție „modernă” a virusului au eșuat. Pentru a înțelege complexitatea problemei, încercați, de exemplu, să definiți conceptul de „editor”. Ori vei veni cu ceva foarte general, ori vei începe să enumerați totul tipuri cunoscute editori. Ambele pot fi considerate cu greu acceptabile. Prin urmare, ne vom limita la a lua în considerare unele proprietăți ale virușilor informatici care ne permit să vorbim despre ei ca despre o anumită clasă de programe.

În primul rând, un virus este un program. O afirmație atât de simplă în sine poate spulbera multe legende despre capacitățile extraordinare ale virușilor informatici. Un virus poate întoarce imaginea de pe monitor, dar nu poate răsturna monitorul în sine. Legendele despre virușii ucigași „distrugând operatorii prin afișarea unei scheme de culori mortale pe ecran în cel de-al 25-lea cadru” nu ar trebui luate în serios. Din păcate, unele publicații de renume publică din când în când „cele mai recente știri din partea computerului”, care, la o examinare mai atentă, se dovedesc a fi rezultatul unei înțelegeri nu complet clare a subiectului.

Un virus este un program care are capacitatea de a se reproduce singur. Această abilitate este singurul mijloc inerent tuturor tipurilor de viruși. Dar nu numai virușii sunt capabili de auto-replicare. Orice sistem de operare și multe alte programe sunt capabile să-și creeze propriile copii. Copiile virusului nu numai că nu trebuie să coincidă complet cu originalul, dar este posibil să nu coincidă deloc cu acesta!

Un virus nu poate exista în „izolare completă”: astăzi este imposibil să ne imaginăm un virus care nu folosește codul altor programe, informații despre structura fișierului sau chiar doar numele altor programe. Motivul este clar: virusul trebuie să se asigure cumva că controlul este transferat în sine.

1.2. Clasificarea virusurilor

În prezent, sunt cunoscuți peste 5.000 de viruși software, aceștia pot fi clasificați după următoarele criterii:

¨ habitat

¨ metoda de contaminare a habitatului

influență

¨ caracteristicile algoritmului

În funcție de habitatul lor, virușii pot fi împărțiți în viruși de rețea, de fișiere, de pornire și de pornire a fișierelor. Viruși de rețea distribuite pe diverse rețele de calculatoare. Virușii de fișiere sunt încorporați în principal în module executabile, adică în fișiere cu extensii COM și EXE. Fișieră viruși pot fi încorporate în alte tipuri de fișiere, dar, de regulă, scrise în astfel de fișiere, nu primesc niciodată controlul și, prin urmare, își pierd capacitatea de reproducere. Porniți viruși sunt încorporate în sectorul de pornire al discului (sectorul de pornire) sau în sectorul care conține programul de pornire a discului de sistem (Master Boot Re-

cordon). Fișier-boot Virușii infectează atât fișierele, cât și sectoarele de boot ale discurilor.

Pe baza metodei de infectare, virușii sunt împărțiți în rezidenți și nerezidenți. Virus rezident atunci când un computer este infectat (infectat), acesta își lasă partea rezidentă în RAM, care apoi interceptează accesul sistemului de operare la obiectele infectate (fișiere, sectoare de pornire a discului etc.) și se injectează în ele. Virușii rezidenți se află în memorie și sunt activi până când computerul este oprit sau repornit. Viruși nerezidenți nu infectează memoria computerului și sunt active pentru o perioadă limitată de timp.

În funcție de gradul de impact, virușii pot fi împărțiți în următoarele tipuri:

¨ nepericuloase, care nu interferează cu funcționarea computerului, dar reduc cantitatea de RAM liberă și de memorie pe disc, acțiunile unor astfel de viruși se manifestă în unele efecte grafice sau sonore

¨ periculos viruși care pot duce la diverse probleme cu computerul dvs

¨ foarte periculos, al cărui impact poate duce la pierderea de programe, distrugerea datelor și ștergerea informațiilor din zonele de sistem ale discului.

2. PRINCIPALE TIPURI DE VIRUSURI SI SCHEMA LOR DE FUNCTIONARE

Printre varietatea de viruși, se pot distinge următoarele grupuri principale:

¨ cizmă

¨ dosar

¨ pornirea fișierului

Acum să aruncăm o privire mai atentă la fiecare dintre aceste grupuri.

2.1. Porniți viruși

Să ne uităm la funcționarea unui virus de boot foarte simplu care infectează dischetele. Vom ocoli în mod deliberat toate numeroasele subtilități care ar fi inevitabil întâlnite în timpul unei analize stricte a algoritmului de funcționare a acestuia.

Ce se întâmplă când porniți computerul? În primul rând, controlul este transferat program bootstrap, care este stocat într-o memorie de numai citire (ROM), adică PNZ ROM.

Acest program testează hardware-ul și, dacă testele au succes, încearcă să găsească discheta în unitatea A:

Fiecare dischetă este marcată cu așa-numitul. sectoare și piste. Sectoarele sunt combinate în clustere, dar acest lucru nu este semnificativ pentru noi.

Printre sectoare există mai multe servicii, utilizate de sistemul de operare pentru propriile nevoi (aceste sectoare nu pot conține datele dumneavoastră). Dintre sectoarele de servicii, ne interesează în prezent unul - așa-numitul. sectorul de boot(sectorul cizmelor).

Sectorul de încărcare magazine informații despre dischetă- numărul de suprafețe, numărul de piste, numărul de sectoare etc. Dar acum nu ne interesează aceste informații, ci mici program bootstrap(PNZ), care trebuie să încarce sistemul de operare în sine și să îi transfere controlul.

Deci, schema de bootstrap normală este următoarea:

Acum să ne uităm la virus. Virușii de boot au două părți - așa-numitele. cap etc. coadă. Coada, în general, poate fi goală.

Să presupunem că aveți o dischetă curată și un computer infectat, prin care ne referim la un computer cu un virus rezident activ. De îndată ce acest virus detectează că o victimă potrivită a apărut în unitate - în cazul nostru, o dischetă care nu este protejată la scriere și nu a fost încă infectată, începe să se infecteze. Când infectează o dischetă, virusul efectuează următoarele acțiuni:

Selectează o anumită zonă a discului și o marchează ca inaccesibilă pentru sistemul de operare, acest lucru se poate face în diferite moduri, în cel mai simplu și tradițional caz, sectoarele ocupate de virus sunt marcate ca rele (rele)

Își copiază coada și sectorul de pornire original (sănătos) în zona selectată a discului

Înlocuiește programul de boot din sectorul (real) de boot cu capul său

Organizează un lanț de transfer de control conform schemei.

Astfel, șeful virusului este acum primul care primește controlul, virusul este instalat în memorie și transferă controlul în sectorul de boot original. Într-un lanț

PNZ (ROM) - PNZ (disc) - SISTEM

apare un nou link:

PNZ (ROM) - VIRUS - PNZ (disc) - SISTEM

Morala este clara: Nu lăsați niciodată dischete (în mod accidental) în unitatea A.

Am examinat schema de funcționare a unui virus de boot simplu care trăiește în sectoarele de boot ale dischetelor. De regulă, virușii pot infecta nu numai sectoarele de boot ale dischetelor, ci și sectoarele de boot ale hard disk-urilor. Mai mult, spre deosebire de dischete, hard disk-ul are două tipuri de sectoare de boot care conțin programe de boot care primesc control. Când computerul pornește de pe hard disk, programul de pornire din MBR (Master Boot Record) preia controlul mai întâi. Dacă hard diskul este împărțit în mai multe partiții, atunci doar una dintre ele este marcată ca boot. Programul de pornire din MBR găsește partiția de pornire a hard disk-ului și transferă controlul către programul de pornire al acestei partiții. Codul acestuia din urmă coincide cu codul programului de boot conținut pe dischetele obișnuite, iar sectoarele de boot corespunzătoare diferă doar în tabelele cu parametri. Astfel, pe hard disk există două obiecte atacate de viruși de boot - programul de pornire în MBRȘi programul primar descărcări sectorului de boot disc de pornire.

2.2. Fișieră viruși

Să ne gândim acum cum funcționează un simplu virus de fișier. Spre deosebire de virușii de boot, care sunt aproape întotdeauna rezidenți, virușii de fișiere nu sunt neapărat rezidenți. Să luăm în considerare schema de funcționare a unui virus de fișier nerezident. Să presupunem că avem un fișier executabil infectat. Când un astfel de fișier este lansat, virusul câștigă controlul, efectuează unele acțiuni și transferă controlul „masterului” (deși nu se știe încă cine se află masterul într-o astfel de situație).

Ce acțiuni efectuează virusul? Caută un nou obiect de infectat - un fișier de tip potrivit care nu a fost încă infectat (dacă virusul este „decent”, altfel există unele care infectează imediat fără a verifica nimic). Infectând un fișier, virusul se injectează în codul său pentru a obține controlul când fișierul este executat. Pe lângă funcția sa principală - reproducere, virusul poate face ceva complicat (să spunem, să întrebați, să jucați) - asta depinde deja de imaginația autorului virusului. Dacă virusul fișierului este rezident, atunci se va instala în memorie și va putea infecta fișierele și va prezenta alte abilități nu numai în timp ce fișierul infectat rulează. Când infectează un fișier executabil, un virus își schimbă întotdeauna codul - prin urmare, infecție fisier executabil poate fi mereu descoperit. Dar prin schimbarea codului fișierului, virusul nu face neapărat alte modificări:

à nu este obligat să modifice lungimea dosarului

à secțiuni de cod neutilizate

à nu este necesar pentru a modifica începutul fișierului

În cele din urmă, virușii de fișiere includ adesea viruși care „au o anumită legătură cu fișierele”, dar nu trebuie să fie încorporați în codul lor. Să luăm ca exemplu schema de funcționare a virușilor din familia cunoscută Dir-II. Trebuie să recunoaștem că, apărând în 1991, acești viruși au devenit cauza unei adevărate epidemii de ciumă în Rusia. Să ne uităm la un model care arată clar ideea de bază a virusului. Informațiile despre fișiere sunt stocate în directoare. Fiecare intrare de director include numele fișierului, data și ora la care a fost creată și câteva Informații suplimentare, primul număr de grup dosar etc. octeți de rezervă. Acestea din urmă sunt lăsate „în rezervă” și nu sunt utilizate de MS-DOS în sine.

Când rulează fișiere executabile, sistemul citește primul cluster al fișierului și apoi toate celelalte clustere din intrarea directorului. Virușii din familia Dir-II efectuează următoarea „reorganizare” Sistemul de fișiere: virusul în sine scrie în unele sectoare libere ale discului, pe care le marchează ca fiind proaste. În plus, stochează informații despre primele grupuri de fișiere executabile în biți rezervați, iar în locul acestor informații scrie referințe la sine.

Astfel, atunci când orice fișier este lansat, virusul câștigă controlul (sistemul de operare îl lansează singur), se instalează rezident în memorie și transferă controlul fișierului apelat.

2.3. Viruși de fișiere de pornire

Nu vom lua în considerare modelul de boot-file virus, deoarece nu veți afla nicio informație nouă. Dar iată o ocazie bună de a discuta pe scurt despre recentul extrem de „popular” virus de boot-file OneHalf, care infectează sectorul de pornire principal (MBR) și fișierele executabile. Principalul efect distructiv este criptarea sectoarelor de hard disk. De fiecare dată când este lansat, virusul criptează o altă porțiune de sectoare și, după ce a criptat jumătate din hard disk, raportează cu bucurie acest lucru. Principala problemă în tratarea acestui virus este că nu este suficient să eliminați pur și simplu virusul din MBR și fișiere; trebuie să decriptați informațiile criptate de acesta. Cea mai letală acțiune este pur și simplu să suprascrieți un nou MBR sănătos. Principalul lucru este să nu intri în panică. Cântăriți totul cu calm și consultați-vă cu experți.

2.4. Viruși polimorfi

Cele mai multe întrebări sunt legate de termenul „virus polimorf”. Acest tip de virus informatic pare să fie cel mai periculos astăzi. Să explicăm despre ce este vorba.

Virușii polimorfi sunt viruși care își modifică codul în programele infectate în așa fel încât două copii ale aceluiași virus să nu se potrivească într-un singur bit.

Astfel de viruși nu numai că își criptează codul folosind căi de criptare diferite, dar conțin și coduri de generare a codificatorului și decriptorului, ceea ce îi deosebește de virușii de criptare obișnuiți, care pot cripta și secțiuni ale codului lor, dar, în același timp, au un cod de criptare și decriptare constant. .

Virușii polimorfi sunt viruși cu decriptoare care se modifică automat. Scopul unei astfel de criptări: dacă aveți un fișier infectat și original, tot nu veți putea analiza codul acestuia folosind dezasamblarea obișnuită. Acest cod este criptat și este un set de comenzi fără sens. Decriptarea este efectuată de virusul însuși în timpul execuției. În acest caz, sunt posibile opțiuni: el se poate decripta singur dintr-o dată sau poate efectua o astfel de decriptare „din mers”, poate recripta secțiunile care au fost deja folosite. Toate acestea sunt făcute pentru a face dificilă analiza codului virusului.

3. ISTORIA VIROLOGIEI COMPUTERICE ŞI MOTIVELE APARIŢIEI VIRUSURILOR

Istoria virologiei computerelor de astăzi pare a fi o „cursă pentru lider” constantă și, în ciuda puterii programelor antivirus moderne, liderii sunt virușii. Dintre miile de viruși, doar câteva zeci sunt dezvoltări originale care folosesc idei cu adevărat noi. Toate celelalte sunt „variații pe o temă”. Dar fiecare dezvoltare originală îi obligă pe creatorii de antivirus să se adapteze la noile condiții și să ajungă din urmă cu tehnologia virușilor. Acesta din urmă poate fi contestat. De exemplu, în 1989, un student american a reușit să creeze un virus care a dezactivat aproximativ 6.000 de computere ale Departamentului de Apărare al SUA. Sau epidemia celebrului virus Dir-II care a izbucnit în 1991. Virusul a folosit o tehnologie cu adevărat originală, fundamental nouă și la început a reușit să se răspândească pe scară largă din cauza imperfecțiunii instrumentelor antivirus tradiționale.

Sau creșterea numărului de viruși de computer în Marea Britanie: Christopher Pyne a reușit să creeze virușii Patogen și Queeq, precum și virusul Smeg. Era ultimul care era cel mai periculos, putea fi suprapus primilor doi viruși și, din această cauză, după fiecare rulare a programului schimbau configurația. Prin urmare, a fost imposibil să le distrugi. Pentru a răspândi viruși, Pine a copiat jocuri și programe pe computer, le-a infectat și apoi le-a trimis înapoi în rețea. Utilizatorii au descărcat programe infectate pe computerele lor și și-au infectat discurile. Situația a fost agravată de faptul că Pine a reușit să introducă viruși în programul care îi combate. Prin lansarea acestuia, în loc să distrugă virușii, utilizatorii au primit încă unul. Drept urmare, dosarele multor companii au fost distruse, provocând pierderi de milioane de lire sterline.

Programatorul american Morris a devenit cunoscut pe scară largă. El este cunoscut drept creatorul virusului, care în noiembrie 1988 a infectat aproximativ 7 mii de computere personale conectate la Internet.

Motivele apariției și răspândirii virușilor informatici, pe de o parte, sunt ascunse în psihologia personalității umane și a părților sale umbre (invidie, răzbunare, vanitatea creatorilor nerecunoscuți, incapacitatea de a-și folosi abilitățile în mod constructiv), pe de o parte. de alta parte, din cauza lipsei de protectie hardware si contracararii din sala de operatie.sisteme de calculatoare personale.

4. MODALITĂȚI DE INTRARE A VIRUSURILOR ÎN CALCULATOR ȘI MECANISMUL DE DISTRIBUȚIE A PROGRAMULUI DE VIRUS

Principalele moduri prin care virușii intră într-un computer sunt discurile amovibile (dischetă și laser), precum și retele de calculatoare. Un hard disk se poate infecta cu viruși atunci când se încarcă un program de pe o dischetă care conține un virus. O astfel de infecție poate fi, de asemenea, accidentală, de exemplu, dacă discheta nu a fost scoasă din unitatea A și computerul a fost repornit, iar discheta poate să nu fie una de sistem. Este mult mai ușor să infectați o dischetă. Un virus poate intra în el chiar dacă discheta este pur și simplu introdusă în unitatea de disc a unui computer infectat și, de exemplu, este citit cuprinsul acestuia.

Virusul invadează de obicei program de lucruîn așa fel încât atunci când pornește, controlul îi este mai întâi transferat și numai după ce toate comenzile sale sunt finalizate, revine la programul de lucru. După ce a obținut acces la control, virusul se rescrie în primul rând într-un alt program de lucru și îl infectează. După rularea unui program care conține un virus, devine posibilă infectarea altor fișiere. Cel mai adesea, sectorul de boot al discului și fișierele executabile cu extensiile EXE, COM, SYS, BAT sunt infectate cu un virus. Este extrem de rar ca fișierele text să fie infectate.

După infectarea unui program, virusul poate efectua un fel de sabotaj, nu prea grav pentru a nu atrage atenția. Și, în sfârșit, nu uitați să returnați controlul programului din care a fost lansat. Fiecare execuție a unui program infectat transferă virusul la următorul. Astfel, tot software-ul va fi infectat.

Pentru a ilustra procesul de infecție program de calculator Cu un virus, este logic să asemuiți memoria de disc cu o arhivă de modă veche cu foldere pe bandă. Dosarele conțin programe, iar secvența operațiunilor de introducere a unui virus în acest caz va arăta astfel (vezi Anexa 1).

5. SEMNELE VIRUSURILOR

Când computerul este infectat cu un virus, este important să îl detectați. Pentru a face acest lucru, ar trebui să știți despre principalele semne ale virușilor. Acestea includ următoarele:

¨ terminarea sau funcționarea incorectă a programelor care funcționau anterior cu succes

¨ performanță lentă a computerului

¨ incapacitatea de a încărca sistemul de operare

¨ dispariția fișierelor și directoarelor sau denaturarea conținutului acestora

¨ modificarea datei și orei modificării fișierului

¨ redimensionarea fișierelor

¨ creștere semnificativă neașteptată a numărului de fișiere de pe disc

¨ reducere semnificativă a dimensiunii RAM liberă

¨ afișarea mesajelor sau imaginilor neașteptate

¨ depunerea de neprevăzut semnale sonore

¨ înghețări frecvente și blocări ale computerului

Trebuie remarcat faptul că fenomenele de mai sus nu sunt neapărat cauzate de prezența unui virus, ci pot fi rezultatul altor motive. Prin urmare, este întotdeauna dificil să diagnosticați corect starea unui computer.

6. DETECȚIA ȘI MĂSURI DE PROTECȚIE ȘI PREVENIRE A VIRUSULUI

6.1. Cum se detectează un virus ? Abordare traditionala

Deci, un anume scriitor de viruși creează un virus și îl lansează în „viață”. S-ar putea să se plimbe pe mulțumirea inimii pentru o vreme, dar mai devreme sau mai târziu „lafa” se va termina. Cineva va bănui că ceva nu este în regulă. De regulă, virușii sunt descoperiți de utilizatorii obișnuiți care observă anumite anomalii în comportamentul computerului lor. În cele mai multe cazuri, aceștia nu sunt capabili să facă față singuri cu infecția, dar acest lucru nu le este cerut.

Este necesar doar ca virusul să ajungă în mâinile specialiștilor cât mai curând posibil. Profesioniștii îl vor studia, vor afla „ce face”, „cum face”, „când face”, etc. În procesul unei astfel de lucrări, se colectează toate informațiile necesare despre acest virus, în special semnătura lui virusul este izolat – o secvență de octeți care îl caracterizează cu siguranță. Pentru a construi o semnătură, de obicei sunt luate cele mai importante și caracteristice secțiuni ale codului virusului. În același timp, mecanismele modului în care funcționează virusul devin clare, de exemplu, în cazul unui virus de boot, este important să știm unde își ascunde coada, unde se află sectorul original de boot și în cazul un virus de fișier, metoda de infectare a fișierului. Informațiile obținute vă permit să aflați:

· modul de detectare a unui virus, în acest scop, metode de căutare a semnăturilor în potențialele obiecte ale unui atac de virus - sunt specificate fișierele și/sau sectoarele de boot

· cum să neutralizezi virusul, dacă este posibil, se dezvoltă algoritmi pentru a elimina codul virusului de pe obiectele afectate

6.2. Programe de detectare și protecție a virușilor

Au fost dezvoltate mai multe tipuri pentru a detecta, elimina și proteja împotriva virușilor informatici. programe speciale, care vă permit să detectați și să distrugeți virușii. Se numesc astfel de programe antivirus . Există următoarele tipuri de programe antivirus:

· programe de detectare

· programe medicale sau fagi

· programe de audit

· programe de filtrare

Programe de vaccinare sau imunizare

Programe detectoare Ei caută o semnătură caracteristică unui anumit virus în RAM și fișiere și, dacă este găsită, emit un mesaj corespunzător. Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

Programe medicale sau fagi, și programe de vaccinare nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. eliminați corpul programului virus din fișier, readucerea fișierelor la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Dintre fagi se disting polifagii, adică. Programe medicale concepute pentru a căuta și distruge un număr mare de viruși. Cele mai cunoscute dintre ele: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor.

Programe de auditor sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, compararea stărilor se efectuează imediat după încărcarea sistemului de operare. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri. Programele de auditor au algoritmi destul de dezvoltați, detectează virușii ascunși și chiar pot curăța modificările versiunii programului verificat din modificările făcute de virus. Printre programele de audit se numără și programul Adinf, utilizat pe scară largă în Rusia.

Programe de filtrare sau "paznic" sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:

· încearcă să corecteze fișierele cu extensii COM, EXE

· modificarea atributelor fișierului

scriere directă pe disc la adresa absolută

· scrierea pe sectoarele de boot de pe disc

Când orice program încearcă să efectueze acțiunile specificate, „garda” trimite un mesaj utilizatorului și se oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile deoarece sunt capabile să detecteze un virus în cel mai timpuriu stadiu al existenței sale înainte de replicare. Cu toate acestea, nu „curăță” fișierele și discurile. Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii. Dezavantajele programelor de supraveghere includ „intruzivitatea” lor (de exemplu, emit în mod constant un avertisment cu privire la orice încercare de a copia un fișier executabil), precum și posibilele conflicte cu alte software. Un exemplu de program de filtrare este programul Vsafe, care face parte din pachetul de utilitare MS DOS.

Vaccinuri sau imunizatoare- Acestea sunt programe rezidente care previn infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. În prezent, programele de vaccinare au o utilizare limitată.

Detectarea în timp util a fișierelor și discurilor infectate cu viruși și distrugerea completă a virușilor detectați pe fiecare computer ajută la evitarea răspândirii unei epidemii de viruși la alte computere.

6.3. Măsuri de bază de protecție împotriva virușilor

Pentru a evita expunerea computerului la viruși și pentru a asigura stocarea fiabilă a informațiilor pe discuri, trebuie să respectați următoarele reguli:

¨ echipați-vă computerul cu programe antivirus moderne, cum ar fi Aidstest, Doctor Web și actualizați-le în mod constant versiunile

¨ înainte de a citi informațiile stocate pe alte computere de pe dischete, verificați întotdeauna aceste dischete pentru viruși, rulând programe antivirus pe computerul dvs.

¨ când transferați fișiere în formă arhivată pe computer, verificați-le imediat după ce le dezarhivați pe hard disk, limitând zona de scanare doar la fișierele nou înregistrate

¨ verifica periodic pentru viruși hard disk-uri computer, care rulează programe antivirus pentru a testa fișierele, memoria și zonele de sistem ale discurilor de pe o dischetă protejată la scriere, după încărcarea sistemului de operare de pe o dischetă cu sistem protejat la scriere

¨ protejați-vă întotdeauna dischetele de scriere atunci când lucrați pe alte computere, dacă informațiile nu vor fi scrise pe acestea

¨ asigurați-vă că faceți copii de rezervă pe dischete ale informațiilor care sunt valoroase pentru dvs

¨ nu lăsați dischete în buzunarul unității A când porniți sau reporniți sistemul de operare pentru a preveni infectarea computerului cu viruși de boot

¨ utilizați programe antivirus pentru controlul intrării tuturor fișierelor executabile primite din rețelele de computere

¨ pentru a asigura o securitate mai mare, Aidstest și Doctor Web trebuie combinate cu utilizarea zilnică a auditorului de disc Adinf

CONCLUZIE

Așadar, putem cita o mulțime de fapte care indică faptul că amenințarea la adresa resursei informaționale crește în fiecare zi, intrând în panică factorii de decizie din bănci, întreprinderi și companii din întreaga lume. Și această amenințare vine de la virușii informatici care distorsionează sau distrug informații vitale, valoroase, care pot duce nu numai la pierderi financiare, ci și la pierderi umane.

Virus de calculator - un program special scris care se poate atașa spontan la alte programe, se poate crea copii și le poate încorpora în fișiere, zone de sistem ale computerului și în retele de calculatoare pentru a perturba funcționarea programelor, a deteriora fișierele și directoarele și pentru a crea tot felul de interferențe în funcționarea computerului.

În prezent, sunt cunoscuți peste 5.000 de viruși software, al căror număr este în continuă creștere. Sunt cazuri cunoscute când au fost create mijloace didactice, ajutând la scrierea virușilor.

Principalele tipuri de viruși: boot, file, file-boot. Cel mai periculos tip de viruși este polimorful.

Din istoria virologiei computerelor este clar că orice dezvoltare originală de computer obligă creatorii de antivirus să se adapteze la noile tehnologii și să îmbunătățească în mod constant programele antivirus.

Motivele apariției și răspândirii virușilor sunt ascunse, pe de o parte, în psihologia umană, iar pe de altă parte, din lipsa măsurilor de protecție în sistemul de operare.

Principalele căi de pătrundere a virușilor sunt discurile amovibile și rețelele de calculatoare. Pentru a preveni acest lucru, urmați măsurile de protecție. De asemenea, au fost dezvoltate mai multe tipuri de programe speciale numite programe antivirus pentru a detecta, elimina și proteja împotriva virușilor informatici. Dacă găsiți un virus pe computer, atunci, folosind abordarea tradițională, este mai bine să apelați un profesionist pentru a afla mai multe.

Dar unele proprietăți ale virușilor îi deranjează chiar și pe specialiști. Recent, era greu de imaginat că un virus ar putea supraviețui unei încărcări la rece sau să se răspândească prin fișierele documentelor. În astfel de condiții, este imposibil să nu acordăm importanță măcar educației inițiale antivirus a utilizatorilor. În ciuda gravității problemei, niciun virus nu poate provoca atât de mult rău ca un utilizator cu fața albă și mâinile tremurânde!

Asa de, sănătatea computerelor tale, siguranța datelor tale este în mâinile tale!

Bibliografie

1. Informatica: Manual / ed. Prof. N.V. Makarova. - M.: Finanțe și Statistică, 1997.

2. Enciclopedia secretelor și senzațiilor / Întocmit de. text de Yu.N. Petrova. - Mn.: Literatură, 1996.

3. Bezrukov N.N. Virușii informatici. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Tehnologii moderne lupta împotriva virușilor // PC World. - Nr. 8. - 1993.

Oamenii care lucrează constant la un computer întâmpină adesea probleme atunci când îl folosesc și încep să cheme programatori pentru ajutor, deși în majoritatea cazurilor astfel de incidente apar din cauza neatenției și lipsei de educație a utilizatorului însuși. La urma urmei, principalele probleme apar tocmai atunci când un computer este infectat cu un virus. Conceptul și clasificarea virușilor informatici stă la baza, cunoașterea cărora poate preveni 50% dintre problemele de pe computerul utilizatorului.

Cunoașterea este putere

Să încercăm să definim ce este un virus informatic. Ca în viata reala, un virus este un organism capabil de a se autocopia și de a se reproduce necontrolat. Acesta este un program care este capabil să se dezvolte independent, fără știrea utilizatorului, și să își îndeplinească funcțiile atribuite de programator. Acest lucru nu este suficient pentru a prinde un virus sau pentru a preveni infectarea computerului dvs., dar în cele mai simple cazuri vă va ajuta cel puțin să suniți un semnal de alarmă și să apelați un specialist. Clasificarea virușilor informatici îi va ajuta pe cei din urmă să selecteze cu precizie instrumentul necesar pentru a vă salva computerul. Prin urmare, vom încerca să înțelegem și noi.

Concept general

După ce am comparat puțin mai devreme un virus de computer cu un microorganism real, putem face o paralelă cu ceea ce infectează un anumit virus sau vierme. Una dintre cele fundamentale este clasificarea virușilor informatici după habitat, deoarece, în funcție de scop, va varia și locația virusului în mediul informatic. Să dăm o diagramă standard generală.

1. Fișieră viruși. Poate că cei mai des întâlniți astăzi sunt virușii care infectează fișierele de pe computer. În cele mai multe cazuri, aceștia infiltrează fișiere executabile sau biblioteci de programe pentru a-și îndeplini sarcinile. Acești viruși sunt un script scris într-un limbaj de programare de scripting (de exemplu, Java).
2. Porniți viruși. După cum sugerează și numele, acestea sunt lansate atunci când sistemul de operare pornește. Ei își scriu codul în sectorul de boot Windows.
3. Viruși de rețea. Un lucru destul de neplăcut care trimite copii ale lui însuși prin rețea, e-mail sau sisteme de mesagerie precum ICQ. Un alt punct neplăcut este că un astfel de virus se poate înmulți până când umple tot spațiul de pe computerul utilizatorului și, în cel mai rău caz, începe și să-și facă loc prin ștergerea programelor utilizatorului.
4. Viruși macro. Acestea afectează numai fișierele din aplicațiile care acceptă macrocomenzi, cum ar fi Office.

Este de remarcat faptul că o astfel de clasificare a virușilor nu poate fi completă, deoarece dezvoltarea acestei infecții nu stă pe loc și există viruși care pot fi clasificați în mai multe subtipuri.

Atenție - pericol!

Virușii pot fi priviți din unghiuri complet diferite. Dacă vorbim despre ele în funcție de gradul de impact asupra sistemului, atunci clasificarea virușilor informatici va arăta pe scurt astfel:

Specialistii lucreaza

Mențiune specială merită clasificarea virușilor informatici și a programelor antivirus. Majoritatea specialiștilor care lucrează în domeniu Securitatea calculatorului, au propriile clasificări și modalități de desemnare a virușilor informatici. De exemplu, binecunoscutul Laborator Kaspersky. După mulți ani de muncă, au creat poate cea mai detaliată clasificare a virușilor informatici. Kaspersky identifică următoarele tipuri de „dăunători”:

1. Virușii de rețea deja cunoscuți sunt viermi care folosesc e-mailul pentru a se răspândi.
2. Ambalatorii. Acestea sunt, mai degrabă, doar dăunători, mai degrabă decât viruși trimiși pentru un anumit scop. Sarcina lor este să arhiveze fișierele în așa fel încât dezarhivarea lor să fie imposibilă. Adesea, atunci când arhivează, acestea codifică și informații.
3. Utilități rău intenționate.
4. programe troiene. Numele lor provine din mitul calului troian. Conform prototipului lor, astfel de viruși se deghează în programe inofensive pentru a pătrunde într-un computer. Scopul lor funcțional principal este de a oferi unui atacator acces pentru a vă controla computerul. Unele subcategorii pot fi de asemenea distinse aici:

1) virusuri, pentru telecomandă computerul tau;

2) viruși pentru descărcarea de software rău intenționat de pe Internet;

3) programe care instalează neautorizat alți viruși pe computer.

Cum să te infectezi

Precautia este ca o inarmare. Asta spune înțelepciunea populară. Știind unde și cum puteți prinde un virus de computer, puteți evita problemele enorme asociate cu eliminarea acestuia. Prevenirea infecției este mult mai ușoară decât vindecarea unui computer după ce un virus a intrat în el. Există, de asemenea, o clasificare a virușilor informatici în funcție de metoda de infectare:

Protecție contra virus

După cum a devenit deja clar, există o mare varietate de programe malware. Nicio clasificare a virușilor nu va ajuta la protejarea împotriva acestora. Există atât de mulți escroci de computer și spammeri care cu propriile lor cu propriile mele mâini este imposibil să faci față tuturor. Acesta este motivul pentru care există un număr mare de programe antivirus care pot ajuta la rezolvarea acestei probleme. Să le privim din punct de vedere utilizatorii obișnuiți.

Cel mai comun program antivirus este Kaspersky Anti-Virus. Oferit utilizatorilor din toate magazinele posibile, acest program este capabil să vă protejeze în mod fiabil computerul de malware. Cu toate acestea, utilizatorii avansați sunt conștienți de efectele secundare semnificative ale acestei fiabilități. Kaspersky nu numai că supraîncărcă sistemul și declanșează o alarmă la cel mai mic pericol, dar îl împiedică și să funcționeze adecvat cu aplicațiile utilizatorului. Prin urmare în în prezent Acest antivirus este utilizat în principal în întreprinderi, deoarece achiziția lui este mai ușor de realizat prin contabilitate, iar comisioanele de verificare a securității îi sunt mult mai loiale. Este de remarcat faptul că, datorită acestui laborator, a fost creată o clasificare de bază a virușilor informatici. Mesajul că a fost găsit un virus pe computer pe care îl dă antivirusul lor, din păcate, nu conține întotdeauna informații de încredere.

NOD32 poate servi ca un înlocuitor demn pentru Kaspersky. Protejează în mod fiabil și ferm, există special concepute pentru utilizatorii obișnuiți versiuni gratuite. Funcționează ca un ceas și fără defecțiuni, dar oferă fiabilitate absolută doar într-un pachet plătit integral. Prin urmare, singurul dezavantaj al acestui antivirus va fi prețul, dacă excludeți descărcarea versiunilor piratate neacceptate.

Dr.Web poate fi considerat pe bună dreptate liderul dintre antivirusuri. Fără să urmărească faima și câștigurile, el oferă tuturor o descărcare pe site-ul său. versiune de încercare cu funcționalitate deplină. Una dintre principalele caracteristici ale „Doctor” este capacitatea de a suspenda complet sistemul de operare, ceea ce vă permite să prindeți chiar și cei mai „dăunători vicleni”. Acest program folosește propria sa clasificare a virușilor. Utilitarul găsește viermi rapid și eficient, iar virușii rezidenți nu se pot „ascunde” în RAM.

Trebuie să cunoști inamicul din vedere

Deci, clasificarea virușilor informatici a fost discutată mai sus. Probabil că ți-ar fi mai ușor de înțeles cu exemple, așa că vom oferi câteva pentru claritate.

Trj.Reboot - forțează computerul să repornească.

Relaxează-te - infectează documentele Microsoft Word, precum și variabile globale. A fost deosebit de popular și relevant pe Windows 98. Rezultatul muncii este afișarea unui mesaj informativ pe ecran.

Marburg - atacă fișierele executabile cu extensia EXE, rulându-le în directoare diferite, drept urmare dimensiunea lor crește.

Flame este un vierme de computer descoperit de Kaspersky Lab. Particularitatea sa este că constă din câteva zeci de părți, fiecare dintre ele având propria sa funcționalitate.

Gândește-te la siguranță

Acest articol a discutat despre conceptul și clasificarea virușilor informatici. Dacă ai citit cu atenție și atent tot ce este scris, probabil că ai realizat deja că protecția absolută nu există. În ciuda acestui fapt, alegerea echipamentului de protecție cade pe umerii tăi. Ultimul lucru care merită subliniat este doar câteva sfaturi utile:

1. Nu mergeți pe site-uri suspecte și nu urmați link-uri trimise de străini.
2. Nu vă lăsați păcăliți de reclamele și ferestrele pop-up de pe Internet.
3. Dacă descărcați programe de pe Internet, asigurați-vă că sursa este sigură.
4. Dacă sunteți în căutarea unui program, încercați să îl descărcați din resurse populare, și nu din spatele rețelei World Wide Web.
5. Nu utilizați medii de stocare care ar fi putut fi introduse în computere publice (cafene internet).

În urma acestora sfaturi simple, o poți face chiar și fără un antivirus. Veți avea nevoie doar de clasificarea virușilor informatici pentru studiu sau autodezvoltare.

Clasificare.

Produsele antivirus pot fi clasificate în funcție de mai multe criterii, cum ar fi: tehnologiile de protecție antivirus utilizate, funcționalitatea produsului și platformele țintă.

Conform tehnologiilor de protecție antivirus utilizate:

• Produse antivirus clasice (produse care folosesc numai metoda de detectare a semnăturii)
• Produse de protecție antivirus proactivă (produse care utilizează numai tehnologii de protecție antivirus proactivă);
• Produse combinate (produse care utilizează atât metode clasice de protecție bazate pe semnătură, cât și cele proactive)

După funcționalitatea produsului:

• Produse antivirus (produse care oferă doar protecție antivirus)
• Produse combinate (produse care oferă nu numai protecție anti-malware, ci și filtrare de spam, criptare și copiere de rezervă a datelor și alte funcții)

După platforma țintă:

• Produse antivirus pentru sistemele de operare Windows
• Produse antivirus pentru sistemele de operare *NIX (aceasta familie include BSD, Linux etc.)
• Produse antivirus pentru familia de sisteme de operare MacOS
• Produse antivirus pentru platforme mobile ( Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 etc.)

Produsele antivirus pentru utilizatorii corporativi pot fi, de asemenea, clasificate după obiecte de protecție:

• Produse antivirus pentru a proteja stațiile de lucru
• Produse antivirus pentru protejarea serverelor de fișiere și terminale
• Produse antivirus pentru a proteja e-mailul și gateway-urile de internet
• Produse antivirus pentru a proteja serverele de virtualizare
• etc.

Caracteristicile programelor antivirus.

Programele antivirus se împart în: programe detectoare, programe medicale, programe de auditor, programe de filtrare, programe de vaccinare.

Programele detectoare caută și detectează viruși în RAM și medii externe și, atunci când sunt detectați, emit un mesaj corespunzător. Există detectoare universale și specializate.

Detectoarele universale în activitatea lor utilizează verificarea imuabilității fișierelor prin numărarea și compararea cu un standard de sumă de control. Dezavantajul detectorilor universali este asociat cu incapacitatea de a determina cauzele coruperii fișierelor.

Detectoarele specializate caută viruși cunoscuți după semnătură (o secțiune repetată a codului). Dezavantajul unor astfel de detectoare este că nu pot detecta toți virușii cunoscuți.

Un detector care poate detecta mai mulți viruși se numește polidetector.

Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

Programele medicale (fagii) nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. eliminați corpul programului virus din fișier, readucerea fișierelor la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „curățarea” fișierelor. Dintre fagi se disting polifagii, adică. Programe medicale concepute pentru a căuta și distruge un număr mare de viruși.

Având în vedere că apar în mod constant noi viruși, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate ale versiunilor lor.

Programele de audit sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului video. De regulă, compararea stărilor se efectuează imediat după încărcarea sistemului de operare. La comparare, sunt verificate lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri.

Programele de auditor au algoritmi destul de dezvoltați, detectează virușii ascunși și chiar pot distinge modificările versiunii programului verificat de modificările făcute de virus.

Programele de filtrare (watchmen) sunt mici programe rezidente concepute pentru a detecta acțiunile suspecte în timpul funcționării computerului, caracteristice virușilor. Astfel de acțiuni pot fi:

Încercarea de a corecta fișierele cu extensii COM și EXE;

Modificarea atributelor fișierului;

Scriere directă pe disc la adresa absolută;

Când orice program încearcă să efectueze acțiunile specificate, „paznicul” trimite un mesaj utilizatorului și oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile deoarece sunt capabile să detecteze un virus în cel mai timpuriu stadiu al existenței sale înainte de replicare. Cu toate acestea, nu „curăță” fișierele și discurile. Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii. Dezavantajele programelor de supraveghere includ „intruzivitatea” lor (de exemplu, emit în mod constant un avertisment cu privire la orice încercare de a copia un fișier executabil), precum și posibilele conflicte cu alt software.

Vaccinurile (imunizatoarele) sunt programe rezidente care împiedică infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu afecteze funcționarea acestuia, iar virusul îl va percepe ca fiind infectat și, prin urmare, nu va prinde rădăcini. În prezent, programele de vaccinare au o utilizare limitată.

Un dezavantaj semnificativ al acestor programe este capacitatea lor limitată de a preveni infectarea cu un număr mare de viruși diferiți.

Exemple de programe antivirus

Atunci când alegeți un program antivirus, este necesar să luați în considerare nu numai procentul de detectare a virușilor, ci și capacitatea de a detecta noi viruși, numărul de viruși din baza de date antivirus, frecvența sa de actualizare, prezența funcțiilor suplimentare.

În prezent, un antivirus serios ar trebui să poată recunoaște cel puțin 25.000 de viruși. Acest lucru nu înseamnă că toți sunt „liberi”. De fapt, cele mai multe dintre ele fie au încetat să mai existe, fie sunt în laboratoare și nu sunt distribuite. În realitate, puteți găsi 200-300 de viruși și doar câteva zeci dintre ei reprezintă un pericol.

Există multe programe antivirus. Să ne uităm la cele mai faimoase dintre ele.

Norton AntiVirus 4.0 și 5.0 (producător: Symantec).

Unul dintre cele mai cunoscute și populare antivirusuri. Procentul de recunoaștere a virusului este foarte mare (aproape de 100%). Programul folosește un mecanism care vă permite să recunoașteți noi viruși necunoscuți.

Interfața Norton AntiVirus include o caracteristică LiveUpdate care vă permite să actualizați atât programul, cât și un set de semnături de viruși prin Web, cu un singur clic. Probleme cu Anti-Virus Master informatii detaliate despre un virus detectat și, de asemenea, vă oferă posibilitatea de a elimina virusul fie automat, fie mai atent, printr-o procedură pas cu pas care vă permite să vedeți fiecare dintre acțiunile efectuate în timpul procesului de eliminare.

Bazele de date antivirus sunt actualizate foarte des (uneori, actualizările apar de câteva ori pe săptămână). Există un monitor rezident.

Dezavantajul acestui program este că este dificil de configurat (deși practic nu este nevoie să schimbați setările de bază).

Dr Solomon's AntiVirus (producător: Dr Solomon's Software).

Considerat unul dintre cele mai multe cele mai bune antivirusuri(Eugene Kaspersky a spus odată că acesta este singurul concurent al AVP-ului său). Detectează aproape 100% dintre virușii cunoscuți și noi. Un număr mare de funcții, scaner, monitor, euristică și tot ce aveți nevoie pentru a rezista cu succes virușilor.

McAfee VirusScan (producător: „Asociații McAfee”)

Acesta este unul dintre cele mai cunoscute pachete antivirus. Îndepărtează virușii foarte bine, dar VirusScan este mai rău decât alte pachete în detectarea noilor varietăți de viruși de fișiere. Se instalează rapid și ușor folosind setările implicite, dar poate fi personalizat pentru a se potrivi nevoilor dvs. Puteți scana toate fișierele sau doar fișierele software, să distribuiți sau să nu distribuiți procedura de scanare fișiere comprimate. Are multe funcții pentru a lucra cu Internetul.

.Dr.Web (producător: Dialogue Science)

Antivirus domestic popular. Recunoaște bine virușii, dar baza de date conține mult mai puțini dintre ei decât alte programe antivirus.

Antiviral Toolkit Pro (producător: Kaspersky Lab).

Acest antivirus este recunoscut în întreaga lume drept unul dintre cele mai de încredere. În ciuda ușurinței sale de utilizare, are tot arsenalul necesar pentru a lupta împotriva virușilor. Mecanism euristic, scanare redundantă, scanarea arhivelor și a fișierelor împachetate - aceasta nu este o listă completă a capabilităților sale.

Kaspersky Lab monitorizează îndeaproape apariția de noi viruși și lansează cu promptitudine actualizări pentru bazele sale de date antivirus. Există un monitor rezident pentru a monitoriza fișierele executabile.

Evgeny Kaspersky în 1992 a folosit următoarea clasificare a antivirusurilor în funcție de principiul lor de funcționare (determinarea funcționalității):

Ø Scanere (versiune învechită - „polifage”, „detectoare”) - determină prezența unui virus folosind o bază de date de semnături care stochează semnăturile (sau sumele lor de verificare) ale virușilor. Eficacitatea lor este determinată de relevanța bazei de date de virus și de prezența unui analizor euristic.

Ø Auditorii (o clasă apropiată de IDS) - amintiți-vă starea sistemului de fișiere, ceea ce face posibilă analizarea modificărilor în viitor.

Ø Paznicii (monitoare rezidente sau filtre ) - monitorizează operațiunile potențial periculoase, emitând utilizatorului o cerere corespunzătoare pentru a permite/interzice operarea.

Ø Vaccinuri (imunizatoare ) - modificați fișierul grefat în așa fel încât virusul împotriva căruia se administrează grefa să considere deja fișierul infectat. În condițiile moderne, când numărul de viruși posibili este măsurat în sute de mii, această abordare nu este aplicabilă.

Antivirusurile moderne combină toate funcțiile de mai sus.

Antivirusurile pot fi, de asemenea, împărțite în:

Produse pentru utilizatorii casnici:

De fapt, antivirusuri;

La clasicul antivirus se adaugă produse combinate (de exemplu, antispam, firewall, anti-rootkit etc.);

Produse corporative:

Antivirusuri de server;

Antivirusuri pe stațiile de lucru („endpoint”).

Partajarea programelor antivirus dă rezultate bune, deoarece acestea se completează bine:

Provin de la surse externe datele sunt verificate program detector. Dacă ați uitat să verificați aceste date și a fost lansat un program infectat, acesta poate fi prins de un program de pază. Adevărat, în ambele cazuri, virușii cunoscuți acestor programe antivirus sunt detectați în mod fiabil. Aceasta reprezintă nu mai mult de 80-90% din cazuri.

- paznic poate chiar detecta viruși necunoscuți dacă se comportă foarte arogant (încercând să formateze HDD sau efectuați modificări la fișierele de sistem). Dar unii viruși pot ocoli un astfel de control.

Dacă virusul nu a fost detectat de un detector sau de un gardian, atunci rezultatele activității sale vor fi detectate program – auditor.

De regulă, programele de supraveghere ar trebui să ruleze pe computer în mod constant, detectoarele trebuie folosite pentru a verifica datele provenite din surse externe (fișiere și dischete), iar auditorii ar trebui să fie lansati o dată pe zi pentru a identifica și analiza modificările de pe discuri. Toate acestea trebuie combinate cu backup-uri regulate de date și utilizarea unor măsuri preventive pentru a reduce probabilitatea de a contracta un virus.

Orice program antivirus „încetinește” funcționarea computerului, dar este un remediu de încredere împotriva efectelor dăunătoare ale virușilor.

Antivirusuri false (antivirusuri false).

În 2009, diverși producători de antivirus au început să raporteze utilizarea pe scară largă a unui nou tip de antivirus - antivirusuri false sau rogueware. De fapt, aceste programe fie nu sunt deloc antivirus (adică nu sunt capabile să lupte împotriva programelor malware), fie sunt chiar viruși (fură datele cărților de credit etc.).

Antivirusurile false sunt folosite pentru a stoarce bani de la utilizatori prin înșelăciune. Una dintre modalitățile de a infecta un computer cu un antivirus fals este după cum urmează. Utilizatorul ajunge pe un site „infectat”, care îi dă un mesaj de avertizare precum: „Un virus a fost detectat pe computerul tău”. După care utilizatorului i se solicită să descarce program gratuit(antivirus fals) pentru a elimina virusul. După instalare, antivirusul fals scanează computerul și se presupune că detectează o mulțime de viruși pe computer. Pentru a elimina programele malware, un antivirus fals oferă să cumpere o versiune plătită a programului. Utilizatorul șocat plătește (sume de la 50 USD la 80 USD) iar antivirusul fals curăță PC-ul de viruși inexistenți.

Antivirusuri pentru SIM, carduri flash și dispozitive USB

Telefoanele mobile produse astăzi au o gamă largă de interfețe și capacități de transfer de date. Consumatorii ar trebui să revizuiască cu atenție metodele de protecție înainte de a conecta orice dispozitive mici.

Metodele de protecție precum hardware, eventual antivirusuri pe dispozitive USB sau pe SIM, sunt mai potrivite pentru consumatori telefoane mobile. Evaluarea tehnică și revizuirea modului de instalare a unui program antivirus pe un telefon mobil ar trebui să fie considerată un proces de scanare care poate afecta alte aplicații legitime de pe telefonul respectiv.

Programele antivirus de pe SIM cu antivirus încorporat într-o zonă mică de memorie oferă protecție anti-malware/virus, protejând în același timp PIN-ul și informațiile utilizatorului telefonului. Antivirusurile de pe carduri flash oferă utilizatorului posibilitatea de a schimba informații și de a utiliza aceste produse cu diverse dispozitive hardware, precum și de a trimite aceste date către alte dispozitive folosind diverse canale de comunicare.

Antivirusuri, dispozitive mobile și soluții inovatoare

În viitor, este posibil ca telefoanele mobile să fie infectate cu un virus. Tot mai mulți dezvoltatori din acest domeniu oferă programe antivirus pentru combaterea virușilor și protejarea telefoanelor mobile. ÎN dispozitive mobile Există următoarele tipuri de control al virușilor:

– limitări ale procesorului;

– limitarea memoriei;

– identificarea și actualizarea semnăturilor acestor dispozitive mobile.

Concluzie: Un program antivirus (antivirus) este inițial un program pentru detectarea și tratarea obiectelor rău intenționate sau a fișierelor infectate, precum și pentru prevenirea - prevenirea infectării unui fișier sau a unui sistem de operare cu cod rău intenționat. În funcție de principiul de funcționare al programelor antivirus, există următoarea clasificare a antivirusurilor: scanere (versiune învechită - „polifage”, „detectoare”); auditori (clasa apropiată IDS); paznici (monitoare rezidente sau filtre); vaccinuri (imunizatoare).

CONCLUZIE

Progresele în tehnologie informatică din ultimii ani nu au contribuit doar la dezvoltarea economică, comerțul și comunicațiile; a asigurat un schimb eficient de informații, dar a oferit și instrumente unice persoanelor care comit infracțiuni informatice. Cu cât procesul de informatizare este mai intens, cu atât creșterea criminalității informatice devine mai reală, iar societatea modernă nu numai că resimte consecințele economice ale infracțiunilor informatice, ci devine tot mai dependentă de informatizare. Toate aceste aspecte ne obligă să acordăm din ce în ce mai multă atenție protecției informațiilor, dezvoltării în continuare a cadrului legislativ în domeniu. securitatea informatiei. Întreaga gamă de măsuri ar trebui redusă la protecția statului resurse informaționale; la reglementarea relațiilor apărute în timpul formării și utilizării resurselor informaționale; crearea si utilizarea tehnologia Informatiei; protecția informațiilor și a drepturilor subiecților care participă la procesele informaţionale; precum şi definirea conceptelor de bază utilizate în legislaţie.

Conferențiar al Departamentului de Organizare a Securității și Convoiajului în Sistemul Penitenciar

Candidat la Științe Tehnice

Locotenent colonel al Serviciului Intern V.G. Zarubsky