Princíp fungovania klasifikácie antivírusov. Prehľad antivírusových programov pre osobných používateľov. Analýza kontrolného súčtu

Antivírusový program (antivírus) - program na identifikáciu a odstránenie počítačové vírusy a ďalšie malvéru, zabránenie ich šíreniu, ako aj obnovenie programov nimi infikovaných.

Hlavné úlohy moderných antivírusových programov:

• - Skenujte súbory a programy v reálnom čase.
• -- Skenujte svoj počítač na požiadanie.
• -- Skenovanie internetovej prevádzky.
• -- Skenovať e-mail.
• -- Ochrana pred útokmi z nebezpečných webových stránok.
• -- Obnova poškodených súborov (ošetrenie).

Klasifikácia antivírusových programov:

• · detektorové programy poskytujú vyhľadávanie a detekciu vírusov v Náhodný vstup do pamäťe ako na externých médiách, tak aj pri zistení vydajú zodpovedajúcu správu. Detektory sa rozlišujú:
  • 1. univerzálne - používajú pri svojej práci na kontrolu nemennosti súborov počítaním a porovnávaním s normou kontrolného súčtu
  • 2. špecializovaný- vyhľadávanie známych vírusov podľa ich podpisu (opakovaný úsek kódu). Nevýhodou takýchto detektorov je, že nedokážu odhaliť všetky známe vírusy.

Detektor, ktorý dokáže odhaliť viacero vírusov, sa nazýva polydetektor. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

• · Lekárske programy (fágy) súbory infikované vírusmi nielen nájsť, ale aj „liečiť“, t.j. odstráňte telo vírusového programu zo súboru a vráťte súbory do počiatočný stav. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „čistení“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. Lekárske programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a je potrebné pravidelne aktualizovať ich verzie.
• · Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Stavy sa spravidla porovnávajú ihneď po načítaní operačný systém. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre.
• · Filtrovať programy (strážcovia) sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, charakteristické pre vírusy. Takéto akcie môžu byť:
  • 1. pokúsi sa opraviť súbory s príponami COM a EXE;
  • 2. zmena atribútov súboru;
  • 3. priamy záznam na disk na absolútnej adrese;
  • 4. zápis do zavádzacích sektorov disku;

očkovacie programy (imunizátory)- Toto sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní jeho činnosť a vírus ho bude vnímať ako infikovaný, a preto sa nezakorení. Významnou nevýhodou takýchto programov je ich obmedzená schopnosť zabrániť infekcii veľkým množstvom rôznych vírusov.

Funkcie antivírusových programov

Ochrana pred vírusmi v reálnom čase

Väčšina antivírusových programov ponúka ochranu v reálnom čase. To znamená, že antivírusový program každú sekundu chráni váš počítač pred všetkými prichádzajúcimi hrozbami. Preto aj keď vírus nenapadol váš počítač, mali by ste zvážiť inštaláciu antivírusového programu s ochranou v reálnom čase, aby ste zabránili ďalšiemu šíreniu infekcie.

Detekcia hrozieb

Antivírusové programy môžu skenovať celý počítač na prítomnosť vírusov. Najskôr sa skenujú najzraniteľnejšie oblasti, systémové priečinky, RAM. Skenovacie sektory si môžete zvoliť aj sami, alebo zvoliť napríklad kontrolu konkrétneho pevný disk. Nie všetky antivírusové programy sú však vo svojich algoritmoch rovnaké a niektoré antivírusové programy majú vyššiu mieru detekcie ako iné.

Automatické aktualizácie

Nové vírusy vznikajú a objavujú sa každý deň. Preto je mimoriadne dôležité, aby antivírusové programy dokázali aktualizovať antivírusové databázy (zoznam všetkých známych vírusov, starých aj nových). Automatická aktualizácia je potrebné, pretože zastaraný antivírus nedokáže odhaliť nové vírusy a hrozby. Okrem toho, ak váš antivírusový program ponúka iba manuálne aktualizácie, môžete zabudnúť aktualizovať svoje antivírusové definície a váš počítač sa môže nakaziť novým vírusom. Skúste si vybrať antivírus s automatickými aktualizáciami.

Upozornenia

Antivírus vás upozorní, keď sa nejaký program pokúsi získať prístup k vášmu počítaču. Príkladom sú internetové aplikácie. Mnohé programy, ktoré sa snažia získať prístup k vášmu PC, sú neškodné alebo ste si ich stiahli dobrovoľne, a tak vám antivírusové programy dávajú možnosť sami sa rozhodnúť, či ich inštaláciu alebo prevádzku povolíte alebo zablokujete.

ÚVOD

Žijeme na prelome dvoch tisícročí, kedy ľudstvo vstúpilo do éry novej vedecko-technickej revolúcie.

Do konca dvadsiateho storočia ľudia ovládali mnohé tajomstvá premeny hmoty a energie a dokázali tieto poznatky využiť na zlepšenie svojho života. Okrem hmoty a energie však v ľudskom živote zohráva obrovskú úlohu ešte jedna zložka – informácie. Ide o širokú škálu informácií, správ, správ, vedomostí, zručností.

V polovici nášho storočia sa objavili špeciálne zariadenia – počítače, zamerané na ukladanie a konverziu informácií a nastala počítačová revolúcia.

Dnes masívne využitie osobné počítače, bohužiaľ sa ukázalo byť spojené so vznikom samoreprodukujúcich sa vírusových programov, ktoré zabraňujú normálna operácia počítač, ničí súborovú štruktúru diskov a spôsobuje poškodenie informácií uložených v počítači.

Napriek zákonom prijatým v mnohých krajinách na boj proti počítačovej kriminalite a vývoj špeciálnych softvér ochranu pred vírusmi, počet nových softvérových vírusov neustále rastie. To si vyžaduje, aby používateľ osobného počítača mal znalosti o povahe vírusov, spôsoboch napadnutia vírusmi a ochrane pred nimi. To bol podnet na výber témy mojej práce.

To je presne to, o čom hovorím vo svojej eseji. Ukážem hlavné typy vírusov, zvážim vzorce ich fungovania, príčiny ich výskytu a spôsoby preniknutia do počítača a tiež ponúkam ochranné a preventívne opatrenia.

Účelom práce je oboznámiť používateľa so základmi počítačovej virológie, naučiť ho detekovať vírusy a bojovať proti nim. Spôsob práce - rozbor tlačených publikácií na túto tému. Bol som postavený pred neľahkú úlohu – rozprávať o niečom, čo sa veľmi málo študovalo a ako to dopadlo, posúdite vy.

1. POČÍTAČOVÉ VÍRUSY A ICH VLASTNOSTI A KLASIFIKÁCIA

1.1. Vlastnosti počítačových vírusov

V súčasnosti sa používajú osobné počítače, v ktorých má používateľ voľný prístup ku všetkým zdrojom stroja. To otvorilo možnosť nebezpečenstva, ktoré sa stalo známym ako počítačový vírus.

Čo je počítačový vírus? Formálna definícia tohto pojmu ešte nebola vynájdená a existujú vážne pochybnosti o tom, že ju možno vôbec podať. Početné pokusy poskytnúť „modernú“ definíciu vírusu zlyhali. Aby ste získali predstavu o zložitosti problému, skúste si napríklad definovať pojem „editor“. Buď prídete na niečo veľmi všeobecné, alebo začnete všetko vypisovať známe typy redaktorov. Oboje možno len ťažko považovať za prijateľné. Preto sa obmedzíme na zváženie niektorých vlastností počítačových vírusov, ktoré nám umožňujú hovoriť o nich ako o určitej triede programov.

Po prvé, vírus je program. Takéto jednoduché tvrdenie samo o sebe môže vyvrátiť mnohé legendy o mimoriadnych schopnostiach počítačových vírusov. Vírus môže prevrátiť obraz na vašom monitore, ale nedokáže prevrátiť samotný monitor. Legendy o vražedných vírusoch, ktoré „ničia operátorov zobrazením smrtiacej farebnej schémy na obrazovke v 25. snímke“, by sa tiež nemali brať vážne. Žiaľ, niektoré renomované publikácie z času na čas uverejnia „najnovšie správy z počítačového frontu“, ktoré sa po bližšom skúmaní ukážu ako výsledok nie celkom jasného pochopenia témy.

Vírus je program, ktorý má schopnosť reprodukovať sa. Táto schopnosť je jediným prostriedkom, ktorý je vlastný všetkým typom vírusov. Ale nielen vírusy sú schopné sebareplikácie. Každý operačný systém a mnoho ďalších programov dokáže vytvárať svoje vlastné kópie. Kópie vírusu sa nielenže nemusia úplne zhodovať s originálom, ale nemusia sa s ním zhodovať vôbec!

Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúra súboru alebo dokonca len názvy iných programov. Dôvod je jasný: vírus musí nejakým spôsobom zabezpečiť prenos kontroly na seba.

1.2. Klasifikácia vírusov

V súčasnosti je známych viac ako 5 000 softvérových vírusov, ktoré možno klasifikovať podľa nasledujúcich kritérií:

¨ biotop

¨ spôsob kontaminácie biotopu

¨ vplyv

¨ vlastnosti algoritmu

V závislosti od ich biotopu možno vírusy rozdeliť na sieťové, súborové, spúšťacie a spúšťacie vírusy. Sieťové vírusy distribuované cez rôzne počítačové siete. Súborové vírusy sú uložené hlavne v spustiteľných moduloch, teda v súboroch s príponami COM a EXE. Súborové vírusy môžu byť vložené do iných typov súborov, ale spravidla zapísané v takýchto súboroch nikdy nezískajú kontrolu, a preto strácajú schopnosť reprodukovať. Spúšťacie vírusy sú vložené v zavádzacom sektore disku (Boot sektor) alebo v sektore obsahujúcom spúšťací program systémového disku (Master Boot Re-

šnúra). Spustenie súboru Vírusy infikujú súbory aj zavádzacie sektory diskov.

Na základe spôsobu infekcie sa vírusy delia na rezidentné a nerezidentné. Rezidentný vírus keď je počítač infikovaný (infikovaný), zanechá svoju rezidentnú časť v pamäti RAM, ktorá potom zachytí prístup operačného systému k infikovaným objektom (súbory, zavádzacie sektory disku atď.) a vloží sa do nich. Rezidentné vírusy sú uložené v pamäti a sú aktívne, kým sa počítač nevypne alebo nereštartuje. Nerezidentné vírusy neinfikujú pamäť počítača a sú aktívne len obmedzený čas.

Podľa stupňa dopadu možno vírusy rozdeliť do nasledujúcich typov:

¨ nie je nebezpečný, ktoré nezasahujú do prevádzky počítača, ale znižujú množstvo voľnej pamäte RAM a disku, pôsobenie takýchto vírusov sa prejavuje v niektorých grafických alebo zvukových efektoch

¨ nebezpečné vírusy, ktoré môžu viesť k rôznym problémom s počítačom

¨ veľmi nebezpečné, ktorých dopad môže viesť k strate programov, zničeniu údajov a vymazaniu informácií v systémových oblastiach disku.

2. HLAVNÉ TYPY VÍRUSOV A SCHÉMA ICH FUNGOVANIA

Medzi rôznymi vírusmi možno rozlíšiť tieto hlavné skupiny:

¨ naštartovať

¨ súbor

¨ bootovanie zo súboru

Teraz sa pozrime bližšie na každú z týchto skupín.

2.1. Spúšťacie vírusy

Pozrime sa na fungovanie veľmi jednoduchého boot vírusu, ktorý infikuje diskety. Zámerne obídeme všetky početné jemnosti, s ktorými by sme sa nevyhnutne stretli pri prísnej analýze algoritmu jeho fungovania.

Čo sa stane, keď zapnete počítač? V prvom rade sa prenáša kontrola bootstrap program, ktorá je uložená v pamäti iba na čítanie (ROM) t.j. PNZ ROM.

Tento program otestuje hardvér a ak sú testy úspešné, pokúsi sa nájsť disketu v jednotke A:

Každá disketa je označená tzv. sektory a stopy. Sektory sa spájajú do zhlukov, ale to pre nás nie je podstatné.

Medzi sektormi je niekoľko sektorov, ktoré používa operačný systém pre svoje potreby (tieto sektory nemôžu obsahovať vaše údaje). Spomedzi sektorov služieb nás momentálne zaujíma jeden – tzv. boot sektor(boot-sektor).

Ukladá boot sektor informácie o diskete- počet plôch, počet stôp, počet sektorov atď. Ale teraz nás nezaujímajú tieto informácie, ale malé bootstrap program(PNZ), ktorý musí nahrať samotný operačný systém a preniesť naň riadenie.

Takže normálna bootstrap schéma je nasledovná:

Teraz sa pozrime na vírus. Boot vírusy majú dve časti – tzv. hlavu atď. chvost. Chvost môže byť vo všeobecnosti prázdny.

Predpokladajme, že máte čistú disketu a infikovaný počítač, čím myslíme počítač s aktívnym rezidentným vírusom. Akonáhle tento vírus zistí, že sa v mechanike objavila vhodná obeť – v našom prípade disketa, ktorá nie je chránená proti zápisu a ešte nebola infikovaná, začne infikovať. Pri infikovaní diskety vírus vykoná nasledujúce akcie:

Vyberie určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, dá sa to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé (zlé)

Skopíruje svoj chvost a pôvodný (zdravý) zavádzací sektor do vybranej oblasti disku

Nahradí zavádzací program v (skutočnom) zavádzacom sektore jeho hlavou

Organizuje reťaz prenosu kontroly podľa schémy.

Hlava vírusu je teda teraz prvá, ktorá dostane kontrolu, vírus sa nainštaluje do pamäte a prenesie kontrolu do pôvodného zavádzacieho sektora. V reťazci

PNZ (ROM) - PNZ (disk) - SYSTÉM

objaví sa nový odkaz:

PNZ (ROM) - VÍRUS - PNZ (disk) - SYSTÉM

Morálka je jasná: Nikdy nenechávajte diskety (náhodne) v jednotke A.

Preskúmali sme schému fungovania jednoduchého zavádzacieho vírusu, ktorý žije v zavádzacích sektoroch diskiet. Vírusy môžu spravidla infikovať nielen boot sektory diskiet, ale aj boot sektory pevných diskov. Navyše na rozdiel od diskiet má pevný disk dva typy zavádzacích sektorov obsahujúcich zavádzacie programy, ktoré dostávajú kontrolu. Keď sa počítač zavedie z pevného disku, najprv prevezme kontrolu zavádzací program v MBR (Master Boot Record). Ak je váš pevný disk rozdelený na niekoľko oddielov, iba jeden z nich je označený ako zavádzací. Zavádzací program v MBR nájde zavádzaciu oblasť pevného disku a prenesie riadenie na zavádzací program tejto oblasti. Kód tohto sa zhoduje s kódom zavádzacieho programu na bežných disketách a príslušné zavádzacie sektory sa líšia iba v tabuľkách parametrov. Na pevnom disku sú teda dva objekty útoku zavádzacích vírusov - zavádzací program v MBR A primárny program sťahovanie zavádzacieho sektora zavádzací disk.

2.2. Súborové vírusy

Pozrime sa teraz na to, ako funguje jednoduchý súborový vírus. Na rozdiel od zavádzacích vírusov, ktoré sú takmer vždy rezidentné, súborové vírusy nemusia byť nevyhnutne rezidentné. Zoberme si schému fungovania nerezidentného súborového vírusu. Povedzme, že máme infikovaný spustiteľný súbor. Keď sa takýto súbor spustí, vírus získa kontrolu, vykoná nejaké akcie a odovzdá kontrolu „masterovi“ (hoci zatiaľ nie je známe, kto je v takejto situácii hlavný).

Aké akcie vykonáva vírus? Hľadá nový objekt na infikovanie – súbor vhodného typu, ktorý ešte nebol infikovaný (ak je vírus „slušný“, v opačnom prípade existujú také, ktoré infikujú okamžite bez toho, aby čokoľvek kontrolovali). Infikovaním súboru sa vírus vloží do svojho kódu, aby získal kontrolu nad spustením súboru. Okrem svojej hlavnej funkcie - reprodukcie, môže vírus robiť aj niečo zložité (povedzte, požiadajte, zahrajte sa) - to už závisí od predstavivosti autora vírusu. Ak je súborový vírus rezidentný, nainštaluje sa do pamäte a bude môcť infikovať súbory a prejavovať ďalšie schopnosti nielen počas spustenia infikovaného súboru. Pri infikovaní spustiteľného súboru vírus vždy zmení svoj kód – teda infekcia spustiteľný súbor vždy sa dá objaviť. Ale zmenou kódu súboru vírus nemusí nevyhnutne vykonať ďalšie zmeny:

à nie je povinný meniť dĺžku súboru

à nepoužité časti kódu

à nie je potrebné zmeniť začiatok súboru

Napokon, súborové vírusy často zahŕňajú vírusy, ktoré „majú určitý vzťah k súborom“, ale nemusia byť vložené do ich kódu. Uvažujme ako príklad schému fungovania vírusov známej rodiny Dir-II. Treba priznať, že tieto vírusy, ktoré sa objavili v roku 1991, sa stali príčinou skutočnej morovej epidémie v Rusku. Pozrime sa na model, ktorý jasne ukazuje základnú myšlienku vírusu. Informácie o súboroch sú uložené v adresároch. Každá položka adresára obsahuje názov súboru, dátum a čas vytvorenia a ďalšie Ďalšie informácie, číslo prvého klastra súbor atď. rezervné bajty. Tie sú ponechané „v rezerve“ a samotný MS-DOS ich nepoužíva.

Pri spúšťaní spustiteľných súborov systém načíta prvý klaster súboru a potom všetky ostatné klastre z položky adresára. Vírusy rodiny Dir-II vykonávajú nasledujúcu „reorganizáciu“ systém súborov: samotný vírus zapisuje do niektorých voľných sektorov disku, ktoré označí ako zlé. Okrem toho ukladá informácie o prvých zhlukoch spustiteľných súborov do rezervovaných bitov a namiesto týchto informácií zapisuje odkazy na seba.

Pri spustení akéhokoľvek súboru teda vírus získa kontrolu (operačný systém ho spustí sám), nainštaluje sa rezidentne do pamäte a prenesie kontrolu na volaný súbor.

2.3. Vírusy zavádzacích súborov

Nebudeme brať do úvahy model boot-file virus, pretože sa nedozviete žiadne nové informácie. Tu je však dobrá príležitosť stručne diskutovať o nedávno mimoriadne „populárnom“ víruse zavádzacích súborov OneHalf, ktorý infikuje hlavný zavádzací sektor (MBR) a spustiteľné súbory. Hlavným deštruktívnym účinkom je šifrovanie sektorov pevného disku. Pri každom spustení vírus zašifruje ďalšiu časť sektorov a po zašifrovaní polovice pevného disku to s radosťou hlási. Hlavným problémom pri liečbe tohto vírusu je, že nestačí len odstrániť vírus z MBR a súborov, musíte dešifrovať ním zašifrované informácie. Najsmrteľnejšou akciou je jednoducho prepísať nový zdravý MBR. Hlavná vec je neprepadať panike. Všetko pokojne zvážte a poraďte sa s odborníkmi.

2.4. Polymorfné vírusy

Väčšina otázok súvisí s pojmom „polymorfný vírus“. Zdá sa, že tento typ počítačového vírusu je dnes najnebezpečnejší. Poďme si vysvetliť, čo to je.

Polymorfné vírusy sú vírusy, ktoré modifikujú svoj kód v infikovaných programoch takým spôsobom, že dve kópie toho istého vírusu sa nemusia zhodovať v jednom bite.

Takéto vírusy nielenže zašifrujú svoj kód rôznymi šifrovacími cestami, ale obsahujú aj kód na generovanie šifrovania a dešifrovania, čím sa odlišujú od bežných šifrovacích vírusov, ktoré dokážu zašifrovať aj časti svojho kódu, no zároveň majú konštantný šifrovací a dešifrovací kód. .

Polymorfné vírusy sú vírusy so samomodifikačnými dešifrovačmi. Účel takéhoto šifrovania: ak máte infikovaný a pôvodný súbor, stále nebudete môcť analyzovať jeho kód pomocou bežnej demontáže. Tento kód je zašifrovaný a je to nezmyselná sada príkazov. Dešifrovanie vykonáva samotný vírus počas vykonávania. V tomto prípade sú možné možnosti: môže sa dešifrovať sám naraz, alebo môže takéto dešifrovanie vykonať „za behu“, môže znova zašifrovať už použité úseky. To všetko sa robí preto, aby bolo ťažké analyzovať kód vírusu.

3. HISTÓRIA POČÍTAČOVEJ VIROLÓGIE A DÔVODY VZNIKU VÍRUSOV

História počítačovej virológie sa dnes zdá byť neustálym „pretekom o lídra“ a napriek všetkej sile moderných antivírusových programov sú to vírusy, ktoré sú lídrami. Spomedzi tisícok vírusov je len niekoľko desiatok originálnych vývojov, ktoré využívajú skutočne zásadne nové nápady. Všetko ostatné sú „variácie na tému“. Ale každý originálny vývoj núti tvorcov antivírusov prispôsobiť sa novým podmienkam a dobehnúť vírusovú technológiu. O tom druhom možno polemizovať. Napríklad v roku 1989 sa americkému študentovi podarilo vytvoriť vírus, ktorý znefunkčnil približne 6000 počítačov amerického ministerstva obrany. Alebo epidémia slávneho vírusu Dir-II, ktorý vypukol v roku 1991. Vírus využíval skutočne originálnu, zásadne novú technológiu a spočiatku sa mu podarilo rozšíriť vďaka nedokonalosti tradičných antivírusových nástrojov.

Alebo nárast počítačových vírusov vo Veľkej Británii: Christopherovi Pyneovi sa podarilo vytvoriť vírusy Pathogen a Queeq, ako aj vírus Smeg. Práve ten posledný bol najnebezpečnejší, mohol byť superponovaný na prvé dva vírusy, a preto po každom spustení programu menili konfiguráciu. Preto ich nebolo možné zničiť. Na šírenie vírusov Pine skopíroval počítačové hry a programy, infikoval ich a potom ich poslal späť do siete. Používatelia si stiahli infikované programy do svojich počítačov a infikovali ich disky. Situáciu zhoršila skutočnosť, že Pine dokázal zaviesť vírusy do programu, ktorý s nimi bojuje. Jeho spustením používatelia namiesto ničenia vírusov dostali ďalší. V dôsledku toho boli súbory mnohých spoločností zničené, čo spôsobilo straty vo výške miliónov libier.

Americký programátor Morris sa stal všeobecne známym. Je známy ako tvorca vírusu, ktorý v novembri 1988 infikoval asi 7 tisíc osobných počítačov pripojených na internet.

Príčiny vzniku a šírenia počítačových vírusov sú na jednej strane skryté v psychológii ľudskej osobnosti a jej tieňových stránkach (závisť, pomsta, ješitnosť neuznaných tvorcov, neschopnosť konštruktívne využiť svoje schopnosti), na na druhej strane kvôli nedostatočnej hardvérovej ochrane a protireakcii z operačnej sály.systémy osobných počítačov.

4. SPÔSOBY VSTUPU VÍRUSOV DO POČÍTAČA A MECHANIZMUS DISTRIBÚCIE VÍRUSOVÉHO PROGRAMU

Hlavnými spôsobmi, akými vírusy vstupujú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Pevný disk sa môže infikovať vírusmi pri načítaní programu z diskety, ktorá obsahuje vírus. Takáto infekcia môže byť aj náhodná, napríklad ak disketa nebola vybratá z jednotky A a počítač bol reštartovaný a disketa nemusí byť systémová. Je oveľa jednoduchšie infikovať disketu. Vírus sa naň môže dostať aj vtedy, ak sa disketa jednoducho vloží do diskovej jednotky infikovaného počítača a napríklad sa prečíta jej obsah.

Vírus zvyčajne napadne pracovný program a to tak, že keď sa spustí, riadenie sa najskôr prenesie na neho a až po dokončení všetkých jeho príkazov sa vráti do pracovného programu. Po získaní prístupu ku kontrole sa vírus najskôr prepíše do iného pracovného programu a infikuje ho. Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory. Najčastejšie je vírusom infikovaný boot sektor disku a spustiteľné súbory s príponami EXE, COM, SYS, BAT. Infikovanie textových súborov je extrémne zriedkavé.

Po infikovaní programu môže vírus vykonať nejakú sabotáž, nie príliš závažnú, aby nevzbudila pozornosť. A nakoniec nezabudnite vrátiť ovládanie programu, z ktorého bol spustený. Každé spustenie infikovaného programu prenáša vírus na ďalší. Všetok softvér bude teda infikovaný.

Pre ilustráciu infekčného procesu počítačový program Pri víruse má zmysel prirovnať diskovú pamäť k staromódnemu archívu so zložkami na páske. Priečinky obsahujú programy a postupnosť operácií na zavedenie vírusu bude v tomto prípade vyzerať takto. (Pozri Príloha 1)

5. ZNAKY VÍRUSOV

Keď je váš počítač infikovaný vírusom, je dôležité ho odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch vírusov. Patria sem nasledujúce položky:

¨ ukončenie alebo nesprávne fungovanie predtým úspešne fungujúcich programov

¨ pomalý výkon počítača

¨ nemožnosť načítať operačný systém

¨ zmiznutie súborov a adresárov alebo skreslenie ich obsahu

¨ zmena dátumu a času úpravy súboru

¨ zmena veľkosti súborov

¨ neočakávané výrazné zvýšenie počtu súborov na disku

¨ výrazné zníženie veľkosti voľnej pamäte RAM

¨ zobrazenie neočakávaných správ alebo obrázkov

¨ predloženie nepredvídaných zvukové signály

¨ časté zamŕzanie a pády počítača

Treba poznamenať, že vyššie uvedené javy nie sú nevyhnutne spôsobené prítomnosťou vírusu, ale môžu byť výsledkom iných dôvodov. Preto je vždy ťažké správne diagnostikovať stav počítača.

6. DETEKCIA VÍRUSOV A OCHRANNÉ A PREVENČNÉ OPATRENIA

6.1. Ako zistiť vírus ? Tradičný prístup

Takže istý autor vírusov vytvorí vírus a uvedie ho do „života“. Chvíľu sa môže prechádzať dosýta, ale skôr či neskôr sa „lafa“ skončí. Niekto bude mať podozrenie, že niečo nie je v poriadku. Vírusy spravidla objavujú bežní používatelia, ktorí si všimnú určité anomálie v správaní svojho počítača. Vo väčšine prípadov sa s infekciou nedokážu vyrovnať sami, ale to sa od nich nevyžaduje.

Je len potrebné, aby sa vírus čo najskôr dostal do rúk špecialistov. Odborníci ho preštudujú, zistia „čo robí“, „ako robí“, „kedy robí“ atď. V procese takejto práce sa zbierajú všetky potrebné informácie o tomto víruse, najmä podpis vírus je izolovaný - sekvencia bajtov, ktorá ho celkom určite charakterizuje. Na vytvorenie podpisu sa zvyčajne berú najdôležitejšie a najcharakteristickejšie časti kódu vírusu. Zároveň sa objasnia mechanizmy fungovania vírusu, napríklad pri boot víruse je dôležité vedieť, kde skrýva svoj chvost, kde sa nachádza pôvodný boot sektor a v prípade tzv. súborový vírus, spôsob infikovania súboru. Získané informácie vám umožňujú zistiť:

· ako detekovať vírus, na tento účel sú určené metódy na vyhľadávanie signatúr v potenciálnych objektoch vírusového útoku - špecifikujú sa súbory a/alebo zavádzacie sektory

· ako neutralizovať vírus, ak je to možné, vyvíjajú sa algoritmy na odstránenie vírusového kódu z postihnutých objektov

6.2. Programy na detekciu a ochranu vírusov

Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov. špeciálne programy, ktoré vám umožňujú detekovať a ničiť vírusy. Takéto programy sú tzv antivírus . Existujú nasledujúce typy antivírusových programov:

· programy detektorov

· doktorské programy alebo fágy

· programy auditu

· filtračné programy

Očkovacie alebo imunizačné programy

Programy detektorov V RAM a súboroch hľadajú signatúru charakteristickú pre konkrétny vírus a ak sa nájdu, vydajú zodpovedajúcu správu. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

Lekárske programy alebo fágy, a očkovacie programy súbory infikované vírusmi nielen nájsť, ale aj „liečiť“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „čistení“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. Lekárske programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a vyžadujú sa pravidelné aktualizácie verzií.

Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Porovnávanie stavov sa spravidla vykonáva ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú dostatočne vyvinuté algoritmy, detegujú stealth vírusy a dokonca dokážu vyčistiť zmeny vo verzii kontrolovaného programu od zmien vykonaných vírusom. Medzi programy auditu patrí program Adinf, ktorý sa v Rusku bežne používa.

Filtrovať programy alebo "strážca" sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, charakteristické pre vírusy. Takéto akcie môžu byť:

· pokusy o opravu súborov s príponami COM, EXE

· zmena atribútov súboru

priamy zápis na disk na absolútnu adresu

· zápis do zavádzacích sektorov disku

Keď sa ktorýkoľvek program pokúsi vykonať zadané akcie, „strážca“ odošle správu používateľovi a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtračné programy sú veľmi užitočné, pretože dokážu odhaliť vírus v najskoršom štádiu jeho existencie pred replikáciou. Súbory a disky však „nečistia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Nevýhody sledovacích programov zahŕňajú ich „dotieravosť“ (napríklad neustále upozorňujú na akýkoľvek pokus o skopírovanie spustiteľného súboru), ako aj možné konflikty s inými softvér. Príkladom filtrovacieho programu je program Vsafe, ktorý je súčasťou obslužného balíka MS DOS.

Vakcíny alebo imunizátory- Toto sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní jeho činnosť a vírus ho bude vnímať ako infikovaný, a preto sa nezakorení. V súčasnosti majú očkovacie programy obmedzené využitie.

Včasná detekcia súborov a diskov infikovaných vírusmi a úplné zničenie zistených vírusov na každom počítači pomáha zabrániť šíreniu vírusovej epidémie na ďalšie počítače.

6.3. Základné opatrenia na ochranu pred vírusmi

Aby ste predišli vystaveniu počítača vírusom a zabezpečili spoľahlivé ukladanie informácií na disky, musíte dodržiavať nasledujúce pravidlá:

¨ vybavte svoj počítač modernými antivírusovými programami, ako sú Aidstest, Doctor Web a neustále aktualizujte ich verzie

¨ pred čítaním informácií uložených na iných počítačoch z diskiet vždy skontrolujte tieto diskety na prítomnosť vírusov spustením antivírusových programov na vašom počítači

¨ pri prenose súborov v archivovanej forme do počítača ich skontrolujte ihneď po rozbalení na pevnom disku, pričom oblasť skenovania obmedzte len na novo zaznamenané súbory

¨ pravidelne kontrolujte prítomnosť vírusov pevné disky počítač, spúšťanie antivírusových programov na testovanie súborov, pamäte a systémových oblastí diskov z diskety s ochranou proti zápisu, po načítaní operačného systému zo systémovej diskety chránenej proti zápisu

¨ vždy chráňte svoje diskety pred zápisom pri práci na iných počítačoch, ak sa na ne nebudú zapisovať informácie

¨ nezabudnite si na diskety vytvoriť záložné kópie informácií, ktoré sú pre vás cenné

¨ pri zapínaní alebo reštartovaní operačného systému nenechávajte diskety vo vrecku jednotky A, aby ste zabránili infikovaniu počítača zavádzacími vírusmi

¨ používať antivírusové programy na kontrolu vstupu všetkých spustiteľných súborov prijatých z počítačových sietí

¨ na zaistenie vyššej bezpečnosti je potrebné skombinovať Aidstest a Doctor Web s každodenným používaním Adinf disku audítora

ZÁVER

Môžeme teda citovať množstvo faktov, ktoré naznačujú, že ohrozenie informačného zdroja každým dňom narastá, čo vyvoláva paniku u rozhodovacích orgánov v bankách, podnikoch a spoločnostiach po celom svete. A táto hrozba pochádza z počítačových vírusov, ktoré skresľujú alebo ničia životne dôležité, cenné informácie, čo môže viesť nielen k finančným stratám, ale aj k ľudským obetiam.

Počítačový vírus - špeciálne napísaný program, ktorý sa dokáže spontánne pripojiť k iným programom, vytvárať svoje kópie a vkladať ich do súborov, systémových oblastí počítača a do počítačové siete s cieľom narušiť činnosť programov, poškodiť súbory a adresáre a vytvoriť všetky druhy rušenia v prevádzke počítača.

V súčasnosti je známych viac ako 5000 softvérových vírusov, ktorých počet neustále rastie. Sú známe prípady, kedy vznikli učebné pomôcky, pomáha pri písaní vírusov.

Hlavné typy vírusov: boot, file, file-boot. Najnebezpečnejší typ vírusov je polymorfný.

Z histórie počítačovej virológie je zrejmé, že akýkoľvek originálny počítačový vývoj núti tvorcov antivírusov prispôsobovať sa novým technológiám a neustále vylepšovať antivírusové programy.

Dôvody výskytu a šírenia vírusov sú skryté na jednej strane v psychológii človeka a na druhej strane kvôli nedostatku ochranných opatrení v operačnom systéme.

Hlavnými cestami prieniku vírusov sú vymeniteľné disky a počítačové siete. Aby ste tomu zabránili, dodržujte ochranné opatrenia. Taktiež bolo vyvinutých niekoľko typov špeciálnych programov nazývaných antivírusové programy na detekciu, odstránenie a ochranu pred počítačovými vírusmi. Ak vo svojom počítači nájdete vírus, je lepšie zavolať odborníka, aby to zistil pomocou tradičného prístupu.

Ale niektoré vlastnosti vírusov lámu hlavu aj špecialistom. Len nedávno bolo ťažké si predstaviť, že by vírus mohol prežiť studený štart alebo sa šíriť cez súbory dokumentov. V takýchto podmienkach nemožno neprikladať dôležitosť aspoň počiatočnej antivírusovej výchove používateľov. Napriek vážnosti problému žiadny vírus nemôže spôsobiť toľko škody ako beloškár s trasúcimi sa rukami!

takže, zdravie vašich počítačov, bezpečnosť vašich údajov je vo vašich rukách!

Bibliografia

1. Informatika: Učebnica / vyd. Na túto tému sa vyjadril prof. N.V. Makarova. - M.: Financie a štatistika, 1997.

2. Encyklopédia tajomstiev a vnemov / Pripravil. text od Yu.N. Petrovej. - Mn.: Literatúra, 1996.

3. Bezrukov N.N. Počítačové vírusy. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Moderné technológie boj proti vírusom // PC World. - č. 8. - 1993.

Ľudia, ktorí neustále pracujú na počítači, sa pri jeho používaní často stretávajú s problémami a začínajú volať programátorov na pomoc, hoci vo väčšine prípadov k takýmto incidentom dochádza v dôsledku nepozornosti a nedostatočného vzdelania samotného používateľa. Koniec koncov, hlavné problémy prichádzajú práve vtedy, keď je počítač infikovaný vírusom. Základom je pojem a klasifikácia počítačových vírusov, ktorých znalosť môže zabrániť 50% problémov na počítači používateľa.

Poznanie je moc

Skúsme definovať, čo je to počítačový vírus. Ako v skutočný život, vírus je organizmus schopný samokopírovania a nekontrolovaného rozmnožovania. Ide o program, ktorý sa môže vyvíjať samostatne, bez vedomia používateľa a vykonávať funkcie, ktoré mu pridelil programátor. Na zachytenie vírusu alebo zabránenie infekcii počítača to nestačí, no v najjednoduchších prípadoch vám to pomôže aspoň zazvoniť na poplach a zavolať špecialistu. Klasifikácia počítačových vírusov im pomôže presne vybrať nástroj potrebný na záchranu vášho počítača. Preto sa to pokúsime pochopiť aj my.

Všeobecná koncepcia

Keď sme trochu skôr porovnali počítačový vírus so skutočným mikroorganizmom, môžeme urobiť paralelu s tým, čo konkrétny vírus alebo červ infikuje. Jednou zo základných je klasifikácia počítačových vírusov podľa biotopu, pretože v závislosti od účelu sa bude líšiť aj umiestnenie vírusu v prostredí počítača. Uveďme všeobecný štandardný diagram.

1. Súborové vírusy. Azda najčastejšie sú dnes vírusy, ktoré infikujú súbory vo vašom počítači. Vo väčšine prípadov infiltrujú spustiteľné súbory alebo programové knižnice, aby mohli vykonávať svoje úlohy. Tieto vírusy sú skripty napísané v skriptovacom programovacom jazyku (napríklad Java).
2. Spúšťacie vírusy. Ako už názov napovedá, spúšťajú sa pri zavádzaní operačného systému. Zapisujú svoj kód do zavádzacieho sektora systému Windows.
3. Sieťové vírusy. Pomerne nepríjemná vec, ktorá posiela svoje kópie cez sieť, poštu alebo systémy správ, ako je ICQ. Ďalším nepríjemným bodom je, že takýto vírus sa môže množiť, kým nezaplní celý priestor v počítači používateľa, a v najhoršom prípade si začne vytvárať miesto aj vymazaním používateľských programov.
4. Makrovírusy. Ovplyvňujú iba súbory z aplikácií, ktoré podporujú makrá, ako je napríklad Office.

Stojí za zmienku, že takáto klasifikácia vírusov nemôže byť úplná, pretože vývoj tejto infekcie sa nezastaví a existujú vírusy, ktoré možno klasifikovať do niekoľkých podtypov.

Pozor – nebezpečenstvo!

Na vírusy sa dá pozerať z úplne iných uhlov pohľadu. Ak o nich hovoríme podľa stupňa vplyvu na systém, klasifikácia počítačových vírusov bude stručne vyzerať takto:

Špecialisti pracujú

Osobitnú zmienku si zaslúži klasifikácia počítačových vírusov a antivírusových programov. Väčšina špecialistov pracujúcich v danej oblasti počítačová bezpečnosť, majú svoje vlastné klasifikácie a spôsoby označovania počítačových vírusov. Napríklad známe laboratórium Kaspersky. Po dlhých rokoch práce vytvorili azda najpodrobnejšiu klasifikáciu počítačových vírusov. Kaspersky identifikuje nasledujúce typy „škodcov“:

1. Už známe sieťové vírusy sú červy, ktoré na šírenie využívajú e-mail.
2. Packers. Sú to skôr len škodcovia, než vírusy odoslané na konkrétny účel. Ich úlohou je archivovať súbory tak, aby ich zrušenie nebolo možné. Často pri archivácii aj kódujú informácie.
3. Škodlivé nástroje.
4. Trójske kone. Ich názov pochádza z mýtu o trójskom koni. Verné svojmu prototypu, takéto vírusy sa maskujú ako neškodné programy, aby prenikli do počítača. Ich hlavným funkčným účelom je poskytnúť útočníkovi prístup na ovládanie vášho počítača. Niektoré podkategórie možno rozlíšiť aj tu:

1) vírusy, napr diaľkové ovládanie tvoj počitač;

2) vírusy na sťahovanie škodlivého softvéru z internetu;

3) programy, ktoré neoprávnene inštalujú do počítača iné vírusy.

Ako sa nakaziť

Vopred varovaný je predpažený. Tak hovorí ľudová múdrosť. Ak viete, kde a ako môžete chytiť počítačový vírus, môžete sa vyhnúť obrovským problémom spojeným s jeho odstránením. Zabrániť infekcii je oveľa jednoduchšie ako vyliečiť počítač po tom, čo sa doň dostal vírus. Existuje aj klasifikácia počítačových vírusov podľa spôsobu infekcie:

Ochrana pred vírusom

Ako už bolo jasné, existuje veľké množstvo škodlivého softvéru. Žiadna klasifikácia vírusov nepomôže chrániť sa pred nimi. Existuje toľko počítačových podvodníkov a spamerov, že s ich vlastnými vlastnými rukami s každým sa nedá vyrovnať. To je dôvod, prečo existuje veľké množstvo antivírusových programov, ktoré môžu pomôcť vyrovnať sa s týmto problémom. Pozrime sa na ne z uhla pohľadu bežných používateľov.

Najbežnejším antivírusovým programom je Kaspersky Anti-Virus. Tento program, ktorý je ponúkaný používateľom vo všetkých možných obchodoch, dokáže spoľahlivo ochrániť váš počítač pred škodlivým softvérom. Pokročilí používatelia si však uvedomujú významné vedľajšie účinky tejto spoľahlivosti. Kaspersky nielenže preťažuje systém a spustí alarm pri najmenšom nebezpečenstve, ale tiež mu bráni v adekvátnej práci s používateľskými aplikáciami. Preto v v súčasnosti Tento antivírus sa používa hlavne v podnikoch, pretože jeho nákup je ľahšie uskutočniteľný prostredníctvom účtovníctva a provízie na overenie bezpečnosti sú mu oveľa lojálnejšie. Stojí za zmienku, že vďaka tomuto laboratóriu vznikla základná klasifikácia počítačových vírusov. Správa, že v počítači bol nájdený vírus, ktorý im dáva ich antivírus, bohužiaľ nie vždy obsahuje spoľahlivé informácie.

NOD32 môže slúžiť ako dôstojná náhrada za Kaspersky. Spoľahlivo a pevne chráni, sú špeciálne navrhnuté pre bežných používateľov bezplatné verzie. Funguje ako hodinky a bez porúch, no absolútnu spoľahlivosť poskytuje len v plne platenom balíku. Preto jedinou nevýhodou tohto antivírusu bude cena, ak vylúčite sťahovanie nepodporovaných napadnutých verzií.

Dr.Web možno právom považovať za lídra medzi antivírusmi. Bez toho, aby sa naháňal za slávou a zárobkami, poskytuje všetkým sťahovanie na svojej webovej stránke. skúšobná verzia s plnou funkčnosťou. Jednou z hlavných funkcií „Doctor“ je schopnosť úplne pozastaviť operačný systém, čo vám umožní chytiť aj tých „prefíkaných škodcov“. Tento program používa vlastnú klasifikáciu vírusov. Nástroj rýchlo a efektívne nájde počítačové červy a rezidentné vírusy sa nedokážu „skryť“ v pamäti RAM.

Nepriateľa musíte poznať zrakom

Klasifikácia počítačových vírusov bola teda diskutovaná vyššie. Na príkladoch by vám to bolo asi ľahšie porozumieť, preto pre názornosť uvedieme niekoľko.

Trj.Reboot - vynúti reštart počítača.

Relax - infikuje dokumenty Microsoft Word ako aj globálne premenné. Populárny a relevantný bol najmä na Windows 98. Výsledkom práce je zobrazenie informačnej správy na obrazovke.

Marburg - útočí na spustiteľné súbory s príponou EXE a spúšťa ich v rôznych adresároch, v dôsledku čoho sa ich veľkosť zvyšuje.

Flame je počítačový červ objavený spoločnosťou Kaspersky Lab. Jeho zvláštnosťou je, že sa skladá z niekoľkých desiatok častí, z ktorých každá má svoju funkčnosť.

Myslite na bezpečnosť

Tento článok sa zaoberá pojmom a klasifikáciou počítačových vírusov. Ak ste si pozorne a premyslene prečítali všetko napísané, pravdepodobne ste si už uvedomili, že absolútna ochrana neexistuje. Napriek tomu výber ochranných prostriedkov padá na vaše plecia. Posledná vec, ktorú stojí za zmienku, je len niekoľko užitočných tipov:

1. Nechoďte na podozrivé stránky ani nesledujte odkazy odoslané cudzími ľuďmi.
2. Nenechajte sa zmiasť reklamami a vyskakovacími oknami na internete.
3. Ak sťahujete programy z internetu, uistite sa, že zdroj je bezpečný.
4. Ak hľadáte akýkoľvek program, skúste si ho stiahnuť z populárnych zdrojov a nie zo stojatých vôd World Wide Web.
5. Nepoužívajte pamäťové médiá, ktoré mohli byť vložené do verejných počítačov (internetových kaviarní).

Po týchto jednoduché tipy, zvládnete to aj bez antivírusu. Klasifikáciu počítačových vírusov budete potrebovať len na štúdium alebo vlastný rozvoj.

Klasifikácia.

Antivírusové produkty možno klasifikovať podľa niekoľkých kritérií, ako sú: použité technológie antivírusovej ochrany, funkčnosť produktu a cieľové platformy.

Podľa použitých antivírusových ochranných technológií:

• Klasické antivírusové produkty (produkty, ktoré používajú iba metódu detekcie podpisov)
• Proaktívne produkty antivírusovej ochrany (produkty, ktoré používajú iba technológie proaktívnej antivírusovej ochrany);
• Kombinované produkty (produkty využívajúce klasické metódy ochrany založené na podpise, ako aj proaktívne)

Podľa funkčnosti produktu:

• Antivírusové produkty (produkty, ktoré poskytujú iba antivírusovú ochranu)
• Kombinované produkty (produkty, ktoré poskytujú nielen ochranu proti malvéru, ale aj filtrovanie spamu, šifrovanie a zálohovanie údajov a ďalšie funkcie)

Podľa cieľovej platformy:

• Antivírusové produkty pre operačné systémy Windows
• Antivírusové produkty pre operačné systémy *NIX (táto rodina zahŕňa BSD, Linux atď.)
• Antivírusové produkty pre rodinu operačných systémov MacOS
• Antivírusové produkty pre mobilné platformy ( Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7 atď.)

Antivírusové produkty pre podnikových používateľov možno klasifikovať aj podľa objektov ochrany:

• Antivírusové produkty na ochranu pracovných staníc
• Antivírusové produkty na ochranu súborových a terminálových serverov
• Antivírusové produkty na ochranu e-mailových a internetových brán
• Antivírusové produkty na ochranu virtualizačných serverov
• atď.

Charakteristika antivírusových programov.

Antivírusové programy sa delia na: programy na detekciu, programy pre lekárov, programy pre audítorov, programy na filtrovanie, programy na očkovacie látky.

Detekčné programy vyhľadávajú a detegujú vírusy v RAM a externých médiách, a keď ich zistia, vydajú príslušnú správu. Existujú univerzálne a špecializované detektory.

Univerzálne detektory pri svojej práci využívajú kontrolu nemennosti súborov počítaním a porovnávaním so štandardom kontrolného súčtu. Nevýhoda univerzálnych detektorov je spojená s nemožnosťou určiť príčiny poškodenia súborov.

Špecializované detektory vyhľadávajú známe vírusy podľa ich podpisu (opakovaný úsek kódu). Nevýhodou takýchto detektorov je, že nedokážu odhaliť všetky známe vírusy.

Detektor, ktorý dokáže odhaliť viacero vírusov, sa nazýva polydetektor.

Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.

Lekárske programy (fágy) nielen nachádzajú súbory infikované vírusmi, ale ich aj „liečia“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „čistení“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. Lekárske programy určené na vyhľadávanie a ničenie veľkého počtu vírusov.

Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a je potrebné pravidelne aktualizovať ich verzie.

Auditovacie programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke video monitora. Porovnávanie stavov sa spravidla vykonáva ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre.

Audítorské programy majú dobre vyvinuté algoritmy, detegujú stealth vírusy a dokonca dokážu rozlíšiť zmeny vo verzii kontrolovaného programu od zmien vykonaných vírusom.

Filtračné programy (strážcovia) sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, charakteristické pre vírusy. Takéto akcie môžu byť:

Pokusy o opravu súborov s príponami COM a EXE;

Zmena atribútov súboru;

Priamy zápis na disk na absolútnu adresu;

Keď sa ktorýkoľvek program pokúsi vykonať zadané akcie, „strážca“ pošle používateľovi správu a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtračné programy sú veľmi užitočné, pretože dokážu odhaliť vírus v najskoršom štádiu jeho existencie pred replikáciou. Súbory a disky však „nečistia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Nevýhody sledovacích programov zahŕňajú ich „dotieravosť“ (napríklad neustále vydávajú varovanie pred pokusom o skopírovanie spustiteľného súboru), ako aj možné konflikty s iným softvérom.

Vakcíny (imunizátory) sú rezidentné programy, ktoré zabraňujú infikovaniu súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní jeho činnosť a vírus ho bude vnímať ako infikovaný, a preto sa nezakorení. V súčasnosti majú očkovacie programy obmedzené využitie.

Významnou nevýhodou takýchto programov je ich obmedzená schopnosť zabrániť infekcii veľkým množstvom rôznych vírusov.

Príklady antivírusových programov

Pri výbere antivírusového programu je potrebné brať do úvahy nielen percento detekcie vírusov, ale aj schopnosť detekovať nové vírusy, počet vírusov v antivírusová databáza, frekvencia jeho aktualizácie, prítomnosť ďalších funkcií.

V súčasnosti by mal byť seriózny antivírus schopný rozpoznať aspoň 25 000 vírusov. To neznamená, že sú všetky „zadarmo“. V skutočnosti väčšina z nich buď prestala existovať, alebo je v laboratóriách a nie je distribuovaná. V skutočnosti môžete nájsť 200-300 vírusov a len niekoľko desiatok z nich predstavuje nebezpečenstvo.

Existuje veľa antivírusových programov. Pozrime sa na najznámejšie z nich.

Norton AntiVirus 4.0 a 5.0 (výrobca: Symantec).

Jeden z najznámejších a najpopulárnejších antivírusov. Percento rozpoznania vírusu je veľmi vysoké (takmer 100 %). Program využíva mechanizmus, ktorý umožňuje rozpoznať nové neznáme vírusy.

Rozhranie Norton AntiVirus obsahuje funkciu LiveUpdate, ktorá vám umožňuje aktualizovať program aj súbor vírusových signatúr cez web kliknutím na jediné tlačidlo. Problémy s programom Anti-Virus Master detailné informácie o zistenom víruse a tiež vám dáva možnosť odstrániť vírus buď automaticky, alebo opatrnejšie, prostredníctvom postupu krok za krokom, ktorý vám umožní vidieť každú z akcií vykonaných počas procesu odstránenia.

Antivírusové databázy sa aktualizujú veľmi často (niekedy sa aktualizácie objavujú niekoľkokrát týždenne). K dispozícii je rezidentný monitor.

Nevýhodou tohto programu je náročná konfigurácia (aj keď prakticky nie je potrebné meniť základné nastavenia).

Dr Solomon's AntiVirus (výrobca: Dr Solomon's Software).

Považovaný za jeden z najviac najlepšie antivírusy(Eugene Kaspersky raz povedal, že toto je jediný konkurent jeho AVP). Detekuje takmer 100% známych a nových vírusov. Veľké množstvo funkcií, skener, monitor, heuristika a všetko, čo potrebujete na úspešné odolanie vírusom.

McAfee VirusScan (výrobca: "McAfee Associates")

Toto je jeden z najznámejších antivírusových balíkov. Odstraňuje vírusy veľmi dobre, ale VirusScan je horší ako iné balíky pri zisťovaní nových druhov súborových vírusov. Inštaluje sa rýchlo a jednoducho pomocou predvolených nastavení, ale dá sa prispôsobiť vašim potrebám. Môžete skenovať všetky súbory alebo len súbory softvéru, distribuovať alebo nedistribuovať postup skenovania komprimované súbory. Má veľa funkcií pre prácu s internetom.

.Dr.Web (výrobca: Dialogue Science)

Populárny domáci antivírus. Vírusy rozpoznáva dobre, no jeho databáza ich obsahuje oveľa menej ako iné antivírusové programy.

Antiviral Toolkit Pro (výrobca: Kaspersky Lab).

Tento antivírus je na celom svete uznávaný ako jeden z najspoľahlivejších. Napriek ľahkému použitiu má všetok potrebný arzenál na boj proti vírusom. Heuristický mechanizmus, redundantné skenovanie, skenovanie archívov a zabalených súborov - to nie je úplný zoznam jeho možností.

Spoločnosť Kaspersky Lab pozorne monitoruje výskyt nových vírusov a okamžite vydáva aktualizácie svojich antivírusových databáz. K dispozícii je rezidentný monitor na monitorovanie spustiteľných súborov.

Evgeny Kaspersky v roku 1992 použil nasledujúcu klasifikáciu antivírusov v závislosti od princípu ich fungovania (určujúceho funkčnosť):

Ø Skenery (zastaraná verzia – „polyfágy“, „detektory“) – zisťujú prítomnosť vírusu pomocou databázy podpisov, v ktorej sú uložené podpisy (alebo ich kontrolné súčty) vírusov. Ich účinnosť je určená relevantnosťou vírusovej databázy a prítomnosťou heuristického analyzátora.

Ø audítori (trieda blízka IDS) - zapamätať si stav súborového systému, čo umožňuje analyzovať zmeny v budúcnosti.

Ø Strážcovia (rezidentné monitory alebo filtre ) - monitorovať potenciálne nebezpečné operácie a vydávať používateľovi príslušnú požiadavku na povolenie/zakázanie operácie.

Ø Vakcíny (imunizátory ) - zmeniť naštepený súbor tak, aby vírus, proti ktorému sa štep podáva, už považoval súbor za infikovaný. V moderných podmienkach, keď sa počet možných vírusov meria v stovkách tisíc, tento prístup nie je použiteľný.

Moderné antivírusy kombinujú všetky vyššie uvedené funkcie.

Antivírusy možno tiež rozdeliť na:

Produkty pre domácich užívateľov:

Vlastne antivírusy;

Ku klasickému antivírusu sa pridávajú kombinované produkty (napríklad antispam, firewall, anti-rootkit atď.);

Firemné produkty:

Serverové antivírusy;

Antivírusy na pracovných staniciach („koncový bod“).

Zdieľanie antivírusových programov poskytuje dobré výsledky, pretože sa navzájom dobre dopĺňajú:

Prichádzajúce z externých zdrojovúdaje sú overené detektorový program. Ak ste zabudli skontrolovať tieto údaje a bol spustený infikovaný program, môže ho zachytiť strážny program. Pravda, v oboch prípadoch sú vírusy známe týmto antivírusovým programom spoľahlivo detegované. To predstavuje nie viac ako 80-90% prípadov.

- strážca dokáže odhaliť aj neznáme vírusy, ak sa správajú veľmi arogantne (snažia sa formátovať HDD alebo vykonať zmeny v systémových súboroch). Ale niektoré vírusy môžu takúto kontrolu obísť.

Ak vírus nebol detekovaný detektorom alebo strážcom, potom budú zistené výsledky jeho činnosti program - audítor.

Spravidla by mali na počítači neustále bežať watchdogové programy, detektory by sa mali používať na kontrolu údajov prichádzajúcich z externých zdrojov (súbory a diskety) a raz denne by sa mali spúšťať audítori na identifikáciu a analýzu zmien na diskoch. To všetko je potrebné kombinovať s pravidelným zálohovaním dát a používaním preventívnych opatrení na zníženie pravdepodobnosti nákazy vírusom.

Akýkoľvek antivírusový program „spomaľuje“ činnosť počítača, ale je spoľahlivým prostriedkom proti škodlivým účinkom vírusov.

Falošné antivírusy (falošné antivírusy).

V roku 2009 začali rôzni výrobcovia antivírusov hlásiť rozšírené používanie nového typu antivírusov – falošných antivírusov alebo rogueware. V skutočnosti tieto programy buď vôbec nie sú antivírusy (to znamená, že nie sú schopné bojovať proti malvéru), alebo sú dokonca vírusmi (kradnú údaje o kreditných kartách atď.).

Falošné antivírusy sa používajú na vymáhanie peňazí od používateľov podvodom. Jedným zo spôsobov, ako infikovať počítač falošným antivírusom, je nasledujúci. Používateľ skončí na „infikovanej“ stránke, ktorá mu zobrazí varovnú správu ako: „Vo vašom počítači bol zistený vírus.“ Potom je používateľ vyzvaný na stiahnutie voľný program(falošný antivírus) na odstránenie vírusu. Falošný antivírus po inštalácii preskenuje PC a vraj v počítači zistí veľa vírusov. Na odstránenie škodlivého softvéru ponúka falošný antivírus kúpiť platenú verziu programu. Šokovaný používateľ zaplatí (sumy od 50 do 80 USD) a falošný antivírus vyčistí PC od neexistujúcich vírusov.

Antivírusy pre SIM, flash karty a USB zariadenia

V súčasnosti vyrábané mobilné telefóny majú širokú škálu rozhraní a možností prenosu dát. Spotrebitelia by si pred pripojením akýchkoľvek malých zariadení mali dôkladne preštudovať metódy ochrany.

Pre spotrebiteľov sú vhodnejšie metódy ochrany ako hardvér, prípadne antivírusy na zariadeniach USB alebo na SIM mobilné telefóny. Technické posúdenie a preskúmanie spôsobu inštalácie antivírusového programu na mobilný telefón by sa malo považovať za proces skenovania, ktorý môže ovplyvniť iné legitímne aplikácie v telefóne.

Antivírusové programy na SIM karte s antivírusom zabudovaným do malej oblasti pamäte poskytujú ochranu proti malvéru/vírusom a zároveň chránia PIN a informácie používateľa telefónu. Antivírusy na flash kartách dávajú používateľovi možnosť vymieňať si informácie a používať tieto produkty s rôznymi hardvérovými zariadeniami, ako aj odosielať tieto údaje do iných zariadení pomocou rôznych komunikačných kanálov.

Antivírusy, mobilné zariadenia a inovatívne riešenia

V budúcnosti je možné, že mobilné telefóny budú infikované vírusom. Čoraz viac vývojárov v tejto oblasti ponúka antivírusové programy na boj proti vírusom a ochranu mobilných telefónov. IN mobilné zariadenia Existujú nasledujúce typy vírusovej kontroly:

– obmedzenia procesora;

- obmedzenie pamäte;

– identifikáciu a aktualizáciu podpisov týchto mobilných zariadení.

Záver: Antivírusový program (antivírus) je spočiatku program na detekciu a liečbu škodlivých objektov alebo infikovaných súborov, ako aj na prevenciu - zabránenie napadnutiu súboru alebo operačného systému škodlivým kódom. V závislosti od princípu fungovania antivírusových programov existuje nasledujúca klasifikácia antivírusov: skenery (zastaraná verzia - „polyfágy“, „detektory“); audítori (trieda blízka IDS); strážcovia (rezidentné monitory alebo filtre); vakcíny (imunizátory).

ZÁVER

Pokrok vo výpočtovej technike v posledných rokoch neprispel len k hospodárskemu rozvoju, obchodu a komunikáciám; zabezpečili efektívnu výmenu informácií, ale poskytli aj jedinečné nástroje osobám páchajúcim počítačovú trestnú činnosť. Čím intenzívnejší je proces informatizácie, tým reálnejší je rast počítačovej kriminality a moderná spoločnosť nielen pociťuje ekonomické dôsledky počítačových zločinov, ale stáva sa aj čoraz závislejšou od počítačovej kriminality. Všetky tieto aspekty nás zaväzujú venovať čoraz väčšiu pozornosť ochrane informácií, ďalšiemu vývoju legislatívneho rámca v oblasti informačná bezpečnosť. Celý rozsah opatrení by sa mal zredukovať na ochranu štátu informačné zdroje; na úpravu vzťahov vznikajúcich pri tvorbe a využívaní informačných zdrojov; vytváranie a používanie informačných technológií; ochrany informácií a práv subjektov zúčastňujúcich sa na informačných procesov; ako aj definovanie základných pojmov používaných v legislatíve.

Docent Katedry organizácie bezpečnosti a konvoje vo väzenskom systéme

Kandidát technických vied

Podplukovník vnútornej služby V.G. Zárubský