Funktionsprincip för antivirusklassificering. Granskning av antivirusprogram för personliga användare. Kontrollsummaanalys

Antivirusprogram (antivirus) - ett program för att identifiera och ta bort datorvirus och andra skadlig programvara, förhindrar deras spridning, samt återställer program infekterade av dem.

Huvuduppgifterna för moderna antivirusprogram:

• -- Skanna filer och program i realtid.
• -- Skanna din dator på begäran.
• -- Genomsökning av internettrafik.
• -- Skanna e-post.
• -- Skydd mot attacker från farliga webbplatser.
• -- Återställa skadade filer (behandling).

Klassificering av antivirusprogram:

• · detektorprogram tillhandahålla sökning och upptäckt av virus i random access minne både på externa medier och när de upptäcks skickar de ett motsvarande meddelande. Detektorer särskiljs:
  • 1. universell - de använder i sitt arbete för att kontrollera filers oföränderlighet genom att räkna och jämföra med en kontrollsummestandard
  • 2. specialiserade- sök efter kända virus genom deras signatur (en upprepad kodsektion). Nackdelen med sådana detektorer är att de inte kan upptäcka alla kända virus.

En detektor som kan upptäcka flera virus kallas en polydetektor. Nackdelen med sådana antivirusprogram är att de bara kan hitta virus som är kända för utvecklarna av sådana program.

• · Läkarprogram (fager) inte bara hitta filer infekterade med virus, utan också "behandla" dem, d.v.s. ta bort virusprogrammets kropp från filen och returnera filerna till initialtillståndet. I början av sitt arbete söker fager efter virus i RAM, förstör dem och fortsätter först sedan med att "rensa" filer. Bland fagerna urskiljs polyfager, d.v.s. Läkarprogram utformade för att söka och förstöra ett stort antal virus. Med tanke på att nya virus ständigt dyker upp blir detektorprogram och läkarprogram snabbt föråldrade och regelbundna uppdateringar av deras versioner krävs.
• · Revisorprogramär bland de mest pålitliga sätten att skydda mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan regelbundet eller på användarens begäran det aktuella tillståndet med det ursprungliga. Upptäckta ändringar visas på skärmen. Som regel jämförs tillstånd direkt efter laddning operativ system. Vid jämförelse kontrolleras fillängden, cyklisk kontrollkod (filkontrollsumma), datum och tid för ändringen och andra parametrar.
• · Filtrera program (watchmen)är små inhemska program utformade för att upptäcka misstänkta handlingar under datordrift, karakteristiska för virus. Sådana åtgärder kan vara:
  • 1. försöker korrigera filer med COM- och EXE-tillägg;
  • 2. ändra filattribut;
  • 3. direkt inspelning till disk på en absolut adress;
  • 4. skriva till skivans startsektorer;

Vaccinprogram (immunisatorer)– Det här är inbyggda program som förhindrar filinfektion. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus. Vaccinet modifierar programmet eller disken på ett sådant sätt att det inte påverkar dess funktion, och viruset kommer att uppfatta det som infekterat och därför inte slå rot. En betydande nackdel med sådana program är deras begränsade förmåga att förhindra infektion från ett stort antal olika virus.

Funktioner av antivirusprogram

Virusskydd i realtid

De flesta antivirusprogram erbjuder realtidsskydd. Det betyder att antivirusprogrammet skyddar din dator från alla inkommande hot varje sekund. Därför, även om ett virus inte har infekterat din dator, bör du överväga att installera ett antivirusprogram med realtidsskydd för att förhindra ytterligare spridning av infektionen.

Hotdetektion

Antivirusprogram kan skanna hela din dator efter virus. De mest sårbara områdena skannas först, systemmappar, BAGGE. Du kan också välja skanningssektorer själv, eller välja att till exempel kontrollera en specifik hårddisk. Alla antivirusprogram är dock inte lika i sina algoritmer, och vissa antivirusprogram har en högre upptäcktshastighet än andra.

Automatiska uppdateringar

Nya virus skapas och dyker upp varje dag. Därför är det oerhört viktigt för antivirusprogram att kunna uppdatera antivirusdatabaser (en lista över alla kända virus, både gamla och nya). Automatisk uppdateringär nödvändigt eftersom föråldrat antivirus inte kan upptäcka nya virus och hot. Dessutom, om ditt antivirusprogram bara erbjuder manuella uppdateringar, kan du glömma att uppdatera dina antivirusdefinitioner och din dator kan bli infekterad med ett nytt virus. Försök att välja ett antivirusprogram med automatiska uppdateringar.

Varningar

Antiviruset kommer att varna dig när något program försöker komma åt din dator. Ett exempel är Internetapplikationer. Många program som försöker få tillgång till din PC är ofarliga eller så har du laddat ner dem frivilligt och därmed ger antivirusprogram dig möjlighet att själv bestämma om du vill tillåta eller blockera deras installation eller drift.

INTRODUKTION

Vi lever vid tvåtusenskiftet, när mänskligheten har gått in i en era av en ny vetenskaplig och teknisk revolution.

I slutet av 1900-talet hade människor bemästrat många av hemligheterna bakom omvandlingen av materia och energi och kunde använda denna kunskap för att förbättra sina liv. Men förutom materia och energi spelar en annan komponent en stor roll i mänskligt liv - information. Detta är en mängd olika information, meddelanden, nyheter, kunskap, färdigheter.

I mitten av vårt sekel dök det upp speciella enheter - datorer, inriktade på att lagra och konvertera information, och datorrevolutionen ägde rum.

Massiv användning idag personliga datorer, tyvärr, visade sig vara associerad med uppkomsten av självreplikerande virusprogram som förhindrar normal drift dator, förstör filstrukturen på diskar och orsakar skada på information som lagras på datorn.

Trots de lagar som antagits i många länder för att bekämpa databrott och utvecklingen av särskilda programvara skydd mot virus ökar antalet nya programvirus ständigt. Detta kräver att användaren av en persondator har kunskap om virusens natur, metoder för infektion med virus och skydd mot dem. Detta var drivkraften till att välja ämnet för mitt arbete.

Det är precis vad jag pratar om i min uppsats. Jag visar huvudtyperna av virus, överväger mönstren för deras funktion, orsakerna till deras utseende och sätt att tränga in i en dator, och erbjuder även skydds- och förebyggande åtgärder.

Syftet med arbetet är att göra användaren förtrogen med grunderna i datavirologi, lära ut hur man upptäcker virus och bekämpar dem. Arbetssätt - analys av tryckta publikationer om detta ämne. Jag stod inför en svår uppgift - att prata om något som har studerats väldigt lite, och hur det blev är upp till dig att bedöma.

1. DATORVIRUS OCH DERAS EGENSKAPER OCH KLASSIFICERING

1.1. Egenskaper för datavirus

Nuförtiden används persondatorer där användaren har fri tillgång till maskinens alla resurser. Det var detta som öppnade möjligheten för en fara som blev känd som ett datavirus.

Vad är ett datavirus? En formell definition av detta begrepp har ännu inte uppfunnits, och det finns allvarliga tvivel om att det överhuvudtaget kan ges. Många försök att ge en "modern" definition av viruset har misslyckats. För att få en känsla av problemets komplexitet, försök till exempel att definiera begreppet "redaktör". Antingen kommer du på något väldigt allmänt, eller så börjar du lista allt kända typer redaktörer. Båda kan knappast anses godtagbara. Därför kommer vi att begränsa oss till att överväga vissa egenskaper hos datavirus som gör att vi kan prata om dem som en viss klass av program.

För det första är ett virus ett program. Ett sådant enkelt uttalande i sig kan skingra många legender om datavirusens extraordinära kapacitet. Ett virus kan vända bilden på din bildskärm, men det kan inte vända själva bildskärmen. Legender om mördarvirus som "förstör operatörer genom att visa ett dödligt färgschema på skärmen i den 25:e bilden" bör inte heller tas på allvar. Tyvärr publicerar en del välrenommerade publikationer då och då "de senaste nyheterna från datorfronten", som vid närmare granskning visar sig vara resultatet av en inte helt klar förståelse av ämnet.

Ett virus är ett program som har förmågan att reproducera sig själv. Denna förmåga är det enda sättet som finns i alla typer av virus. Men inte bara virus är kapabla till självreplikering. Alla operativsystem och många andra program kan skapa sina egna kopior. Kopior av viruset behöver inte bara helt sammanfalla med originalet, utan kanske inte alls sammanfalla med det!

Ett virus kan inte existera i "fullständig isolering": idag är det omöjligt att föreställa sig ett virus som inte använder koden för andra program, information om filstruktur eller bara namnen på andra program. Anledningen är tydlig: viruset måste på något sätt säkerställa att kontrollen överförs till sig själv.

1.2. Klassificering av virus

För närvarande är mer än 5 000 programvirus kända, de kan klassificeras enligt följande kriterier:

livsmiljö

¨ metod för kontaminering av livsmiljön

inflytande

¨ funktioner i algoritmen

Beroende på deras livsmiljö kan virus delas in i nätverks-, fil-, start- och filstartvirus. Nätverksvirus distribueras över olika datornätverk. Filvirus är huvudsakligen inbäddade i körbara moduler, det vill säga i filer med COM- och EXE-tillägg. Fila virus kan bäddas in i andra typer av filer, men som regel skrivna i sådana filer får de aldrig kontroll och förlorar därför förmågan att reproducera. Starta virusär inbäddade i skivans startsektor (bootsektor) eller i sektorn som innehåller systemdiskens startprogram (Master Boot Re-

sladd). Filstart Virus infekterar både filer och startsektorer på diskar.

Baserat på infektionsmetoden delas virus in i inhemska och icke-bosatta. Resident virus när en dator är infekterad (infekterad) lämnar den sin inbyggda del i RAM-minnet, som sedan fångar upp operativsystemets åtkomst till infektionsobjekt (filer, diskstartsektorer, etc.) och injicerar sig själv i dem. Inbyggda virus finns i minnet och är aktiva tills datorn stängs av eller startas om. Icke-bosatta virus infektera inte datorns minne och är aktiva under en begränsad tid.

Baserat på graden av påverkan kan virus delas in i följande typer:

¨ icke-farligt, som inte stör datorns drift, men minskar mängden ledigt RAM och diskminne, manifesteras åtgärderna hos sådana virus i vissa grafiska eller ljudeffekter

¨ farlig virus som kan leda till olika problem med din dator

¨ väldigt farligt, vars påverkan kan leda till förlust av program, förstörelse av data och radering av information i systemområden på disken.

2. HUVUDTYPER AV VIRUS OCH DERAS FUNKTIONSSCHEMA

Bland olika virus kan följande huvudgrupper särskiljas:

¨ stövel

¨ fil

¨ filstart

Låt oss nu titta närmare på var och en av dessa grupper.

2.1. Starta virus

Låt oss titta på hur ett mycket enkelt startvirus fungerar som infekterar disketter. Vi kommer medvetet att kringgå alla de många subtiliteter som oundvikligen skulle uppstå under en strikt analys av algoritmen för dess funktion.

Vad händer när du slår på datorn? Först och främst överförs kontrollen bootstrap-program, som lagras i ett läsminne (ROM), dvs. PNZ ROM.

Detta program testar hårdvaran och, om testerna lyckas, försöker hitta disketten i enhet A:

Varje diskett är märkt med sk. sektorer och spår. Sektorer kombineras till kluster, men det är inte viktigt för oss.

Bland sektorerna finns flera tjänster som används av operativsystemet för dess egna behov (dessa sektorer kan inte innehålla dina data). Bland tjänstesektorerna är vi för närvarande intresserade av en - den sk. startsektorn(boot-sektor).

Bootsektorn lagrar diskettinformation- antal ytor, antal spår, antal sektorer, etc. Men nu är vi inte intresserade av denna information, utan av små bootstrap-program(PNZ), som måste ladda själva operativsystemet och överföra kontrollen till det.

Så det normala bootstrap-schemat är som följer:

Låt oss nu titta på viruset. Bootvirus har två delar - den så kallade. huvud etc. svans. Svansen, generellt sett, kan vara tom.

Anta att du har en ren diskett och en infekterad dator, med vilket vi menar en dator med ett aktivt inbyggt virus. Så snart detta virus upptäcker att ett lämpligt offer har dykt upp i enheten - i vårt fall, en diskett som inte är skrivskyddad och ännu inte har infekterats, börjar den att infektera. När du infekterar en diskett utför viruset följande åtgärder:

Väljer ett visst område på disken och markerar det som otillgängligt för operativsystemet, detta kan göras på olika sätt, i det enklaste och traditionella fallet markeras sektorer som upptas av viruset som dåliga (dåliga)

Kopierar dess svans och den ursprungliga (friska) startsektorn till det valda området på disken

Ersätter startprogrammet i den (riktiga) bootsektorn med dess huvud

Organiserar en kontrollkedja enligt schemat.

Således är virusets chef nu den första som får kontroll, viruset installeras i minnet och överför kontrollen till den ursprungliga bootsektorn. I en kedja

PNZ (ROM) - PNZ (disk) - SYSTEM

en ny länk dyker upp:

PNZ (ROM) - VIRUS - PNZ (disk) - SYSTEM

Moralen är tydlig: Lämna aldrig disketter (av misstag) i enhet A.

Vi undersökte funktionsschemat för ett enkelt startvirus som lever i startsektorerna på disketter. Som regel kan virus infektera inte bara startsektorerna på disketter, utan också startsektorerna på hårddiskar. Dessutom, till skillnad från disketter, har hårddisken två typer av startsektorer som innehåller startprogram som får kontroll. När datorn startar från hårddisken tar startprogrammet i MBR (Master Boot Record) kontrollen först. Om din hårddisk är uppdelad i flera partitioner är bara en av dem markerad som start. Startprogrammet i MBR hittar startpartitionen för hårddisken och överför kontrollen till startprogrammet för denna partition. Koden för den senare sammanfaller med koden för startprogrammet som finns på vanliga disketter, och motsvarande uppstartssektorer skiljer sig endast i parametertabellerna. På hårddisken finns det alltså två föremål för attack av startvirus - starta programmet in MBR Och primära programmet nedladdningar av bootsektorn startdiskett.

2.2. Fila virus

Låt oss nu överväga hur ett enkelt filvirus fungerar. Till skillnad från startvirus, som nästan alltid finns hemma, är filvirus inte nödvändigtvis inbyggda. Låt oss överväga det fungerande schemat för ett icke-resident filvirus. Låt oss säga att vi har en infekterad körbar fil. När en sådan fil lanseras får viruset kontroll, utför vissa åtgärder och överför kontrollen till "mastern" (även om det ännu inte är känt vem mastern är i en sådan situation).

Vilka åtgärder utför viruset? Den letar efter ett nytt objekt att infektera - en fil av lämplig typ som ännu inte har infekterats (om viruset är "anständigt", annars finns det några som infekterar omedelbart utan att kontrollera någonting). Genom att infektera en fil injicerar viruset sig själv i dess kod för att få kontroll när filen körs. Förutom sin huvudfunktion - reproduktion, kan viruset mycket väl göra något intrikat (säg, fråga, spela) - detta beror redan på fantasin hos författaren till viruset. Om filviruset är inbyggt, kommer det att installera sig själv i minnet och kommer att kunna infektera filer och uppvisa andra förmågor inte bara medan den infekterade filen körs. När en körbar fil infekteras ändrar ett virus alltid sin kod - alltså infektion körbar fil kan alltid upptäckas. Men genom att ändra filkoden gör viruset inte nödvändigtvis andra ändringar:

à han är inte skyldig att ändra fillängden

à oanvända kodsektioner

à behövs inte för att ändra början av filen

Slutligen inkluderar filvirus ofta virus som "har någon relation till filer" men som inte behöver vara inbäddade i sin kod. Låt oss betrakta som ett exempel det fungerande schemat för virus av den kända Dir-II-familjen. Det måste erkännas att, efter att ha dykt upp 1991, blev dessa virus orsaken till en verklig pestepidemi i Ryssland. Låt oss titta på en modell som tydligt visar den grundläggande idén om viruset. Information om filer lagras i kataloger. Varje katalogpost innehåller filnamnet, datum och tid då den skapades och några Ytterligare information, första klusternumret fil osv. reservera bytes. De senare lämnas "i reserv" och används inte av MS-DOS själv.

När körbara filer körs läser systemet det första klustret av filen och sedan alla andra kluster från katalogposten. Virus från Dir-II-familjen utför följande "omorganisation" filsystem: viruset självt skriver till vissa fria sektorer på disken, vilket det markerar som dåligt. Dessutom lagrar den information om de första klustren av körbara filer i reserverade bitar, och i stället för denna information skriver den referenser till sig själv.

Sålunda, när en fil startas, får viruset kontroll (operativsystemet startar det själv), installerar sig själv i minnet och överför kontrollen till den anropade filen.

2.3. Boot fil virus

Vi kommer inte att överväga startfilens virusmodell, eftersom du inte kommer att lära dig någon ny information. Men här är ett bra tillfälle att kort diskutera det nyligen extremt "populära" startfilsviruset OneHalf, som infekterar master boot-sektorn (MBR) och körbara filer. Den främsta destruktiva effekten är krypteringen av hårddisksektorer. Varje gång det lanseras krypterar viruset en annan del av sektorerna, och efter att ha krypterat hälften av hårddisken rapporterar det glatt detta. Det största problemet med att behandla detta virus är att det inte räcker att bara ta bort viruset från MBR och filer, du måste dekryptera informationen som krypteras av den. Den dödligaste åtgärden är att helt enkelt skriva över en ny hälsosam MBR. Huvudsaken är att inte få panik. Väg allt lugnt och rådfråga experter.

2.4. Polymorfa virus

De flesta frågor är relaterade till termen "polymorft virus". Den här typen av datavirus verkar vara den farligaste idag. Låt oss förklara vad det är.

Polymorfa virus är virus som modifierar sin kod i infekterade program på ett sådant sätt att två kopior av samma virus kanske inte matchar i en enda bit.

Sådana virus krypterar inte bara sin kod med hjälp av olika krypteringsvägar, utan innehåller också krypterings- och dekrypteringskod, vilket skiljer dem från vanliga krypteringsvirus, som också kan kryptera delar av sin kod, men som samtidigt har en konstant krypterings- och dekrypteringskod .

Polymorfa virus är virus med självmodifierande dekryptering. Syftet med sådan kryptering: om du har en infekterad och originalfil kommer du fortfarande inte att kunna analysera dess kod med hjälp av regelbunden demontering. Denna kod är krypterad och är en meningslös uppsättning kommandon. Dekryptering utförs av viruset självt under körningen. I det här fallet är alternativ möjliga: han kan dekryptera sig själv på en gång, eller så kan han utföra sådan dekryptering "i farten", han kan kryptera om avsnitt som redan har använts. Allt detta görs för att göra det svårt att analysera viruskoden.

3. HISTORIA OM DATORVIROLOGIN OCH SKÄL TILL UPPEKOMST AV VIRUS

Datavirologins historia idag verkar vara en konstant "kapplöpning om ledaren", och trots all kraft i moderna antivirusprogram är det virus som är ledarna. Bland tusentals virus är bara några dussin originella utvecklingar som använder helt fundamentalt nya idéer. Allt annat är "varianter på ett tema." Men varje originalutveckling tvingar antivirusskapare att anpassa sig till nya förhållanden och komma ikapp med virusteknologi. Det senare kan bestridas. Till exempel, 1989, lyckades en amerikansk student skapa ett virus som inaktiverade cirka 6 000 datorer från det amerikanska försvarsdepartementet. Eller epidemin av det berömda Dir-II-viruset som bröt ut 1991. Viruset använde en verkligt originell, i grunden ny teknik och lyckades till en början spridas brett på grund av ofullkomligheten hos traditionella antivirusverktyg.

Eller ökningen av datavirus i Storbritannien: Christopher Pyne lyckades skapa virusen Pathogen och Queeq, såväl som Smeg-viruset. Det var den sista som var den farligaste, den kunde läggas ovanpå de två första virusen, och på grund av detta ändrade de konfigurationen efter varje körning av programmet. Därför var det omöjligt att förstöra dem. För att sprida virus kopierade Pine datorspel och program, infekterade dem och skickade dem sedan tillbaka till nätverket. Användare laddade ner infekterade program till sina datorer och infekterade sina diskar. Situationen förvärrades av det faktum att Pine lyckades introducera virus i programmet som bekämpar dem. Genom att lansera det, istället för att förstöra virus, fick användarna ytterligare ett. Som ett resultat förstördes filer från många företag, vilket orsakade förluster på miljontals pund.

Den amerikanske programmeraren Morris blev vida känd. Han är känd som skaparen av viruset, som i november 1988 infekterade cirka 7 tusen persondatorer anslutna till Internet.

Orsakerna till uppkomsten och spridningen av datavirus är å ena sidan dolda i den mänskliga personlighetens psykologi och dess skuggsidor (avund, hämnd, fåfänga hos okända skapare, oförmågan att konstruktivt använda sina förmågor), på andra sidan, på grund av bristen på hårdvaruskydd och motverkan från operationssalen, persondatorsystem.

4. SÄTT FÖR ATT VIRUS KOMMER IN I EN DATOR OCH MEKANISMEN FÖR DISTRIBUTION AV VIRUSPROGRAM

De huvudsakliga sätten att virus kommer in i en dator är flyttbara diskar (diskett och laser), samt dator nätverk. En hårddisk kan bli infekterad med virus när ett program laddas från en diskett som innehåller ett virus. En sådan infektion kan också vara oavsiktlig, till exempel om disketten inte togs bort från enhet A och datorn startades om, och disketten kanske inte är en systemdiskett. Det är mycket lättare att infektera en diskett. Ett virus kan komma in på den även om disketten helt enkelt sätts in i diskettenheten på en infekterad dator och till exempel dess innehållsförteckning läses.

Viruset invaderar vanligtvis arbetsprogram på ett sådant sätt att när den startar överförs kontrollen först till honom och först efter att alla hans kommandon är klara återgår han till arbetsprogrammet. Efter att ha fått tillgång till kontroll, skriver viruset först av allt om sig självt till ett annat fungerande program och infekterar det. Efter att ha kört ett program som innehåller ett virus blir det möjligt att infektera andra filer. Oftast är skivans startsektor och körbara filer med tilläggen EXE, COM, SYS, BAT infekterade med ett virus. Det är extremt sällsynt att textfiler blir infekterade.

Efter att ha infekterat ett program kan viruset utföra någon form av sabotage, inte för allvarligt för att inte dra till sig uppmärksamhet. Och slutligen, glöm inte att återställa kontrollen till programmet från vilket det lanserades. Varje körning av ett infekterat program överför viruset till nästa. Alltså kommer all programvara att infekteras.

För att illustrera infektionsprocessen datorprogram Med ett virus är det vettigt att likna diskminne med ett gammaldags arkiv med mappar på band. Mapparna innehåller program och operationssekvensen för att introducera ett virus kommer i detta fall att se ut så här (se bilaga 1)

5. TECKN PÅ VIRUS

När din dator är infekterad med ett virus är det viktigt att upptäcka det. För att göra detta bör du känna till de viktigaste tecknen på virus. Dessa inkluderar följande:

¨ avslutande eller felaktig användning av tidigare fungerande program

¨ långsam datorprestanda

¨ oförmåga att ladda operativsystemet

¨ försvinnande av filer och kataloger eller förvrängning av deras innehåll

¨ ändra datum och tid för filändring

¨ ändra storlek på filer

¨ oväntad betydande ökning av antalet filer på disken

¨ betydande minskning av storleken på ledigt RAM

¨ visning av oväntade meddelanden eller bilder

¨ inlämnande av oförutsedda ljudsignaler

¨ frekventa frysningar och datorkraschar

Det bör noteras att ovanstående fenomen inte nödvändigtvis orsakas av närvaron av ett virus, utan kan vara resultatet av andra orsaker. Därför är det alltid svårt att korrekt diagnostisera en dators tillstånd.

6. VIRUSDETEKTION OCH SKYDD OCH FÖREBYGGANDE ÅTGÄRDER

6.1. Hur man upptäcker ett virus ? Traditionellt tillvägagångssätt

Så, en viss virusförfattare skapar ett virus och lanserar det i "livet". Han kanske går runt till sitt hjärta ett tag, men förr eller senare tar "lafan" slut. Någon kommer att misstänka att något är fel. Som regel upptäcks virus av vanliga användare som märker vissa anomalier i deras dators beteende. I de flesta fall klarar de inte av infektionen på egen hand, men detta krävs inte av dem.

Det är bara nödvändigt att viruset kommer i händerna på specialister så snart som möjligt. Professionella kommer att studera det, ta reda på "vad det gör", "hur det gör", "när det gör det", etc. I processen med sådant arbete samlas all nödvändig information om detta virus in, särskilt signaturen av viruset är isolerat - en sekvens av bytes som helt definitivt kännetecknar honom. För att bygga en signatur tas vanligtvis de viktigaste och mest karakteristiska delarna av viruskoden. Samtidigt blir mekanismerna för hur viruset fungerar tydliga, till exempel när det gäller ett startvirus är det viktigt att veta var det gömmer sin svans, var den ursprungliga bootsektorn finns och i fallet med ett filvirus, metoden för att infektera filen. Informationen som erhålls gör att du kan ta reda på:

· hur man upptäcker ett virus, för detta ändamål, metoder för att söka efter signaturer i potentiella objekt för en virusattack - filer och/eller startsektorer specificeras

· hur man neutraliserar viruset, om möjligt utvecklas algoritmer för att ta bort viruskod från drabbade objekt

6.2. Program för att upptäcka och skydda virus

Flera typer har utvecklats för att upptäcka, ta bort och skydda mot datavirus. specialprogram, som låter dig upptäcka och förstöra virus. Sådana program kallas antivirus . Det finns följande typer av antivirusprogram:

· detektorprogram

· läkarprogram eller fager

· revisionsprogram

· filterprogram

Vaccin eller immuniseringsprogram

Detektorprogram De söker efter en signatur som är kännetecknande för ett visst virus i RAM och filer och, om de hittas, skickar de ett motsvarande meddelande. Nackdelen med sådana antivirusprogram är att de bara kan hitta virus som är kända för utvecklarna av sådana program.

Läkarprogram eller fager, och vaccinprogram inte bara hitta filer infekterade med virus, utan också "behandla" dem, d.v.s. ta bort virusprogrammets kropp från filen och återställ filerna till deras ursprungliga tillstånd. I början av sitt arbete söker fager efter virus i RAM, förstör dem och fortsätter först sedan med att "rensa" filer. Bland fagerna urskiljs polyfager, d.v.s. Läkarprogram utformade för att söka och förstöra ett stort antal virus. De mest kända av dem: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Med tanke på att nya virus ständigt dyker upp blir detektorprogram och läkarprogram snabbt föråldrade och regelbundna versionsuppdateringar krävs.

Revisorprogramär bland de mest pålitliga sätten att skydda mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan regelbundet eller på användarens begäran det aktuella tillståndet med det ursprungliga. Upptäckta ändringar visas på skärmen. Som regel utförs jämförelse av tillstånd omedelbart efter att operativsystemet laddats. Vid jämförelse kontrolleras fillängden, cyklisk kontrollkod (filkontrollsumma), datum och tid för ändringen och andra parametrar. Revisorprogram har ganska utvecklade algoritmer, upptäcker smygvirus och kan till och med rensa upp ändringar i den version av programmet som kontrolleras från ändringar som gjorts av viruset. Bland revisionsprogrammen finns Adinf-programmet, som används flitigt i Ryssland.

Filtrera program eller "väktare"är små inhemska program utformade för att upptäcka misstänkta handlingar under datordrift, karakteristiska för virus. Sådana åtgärder kan vara:

· försöker korrigera filer med COM, EXE-tillägg

· ändra filattribut

direktskrivning till disk på absolut adress

· skriva till diskstartsektorer

När något program försöker utföra de angivna åtgärderna, skickar "vakten" ett meddelande till användaren och erbjuder sig att förbjuda eller tillåta motsvarande åtgärd. Filterprogram är mycket användbara eftersom de kan upptäcka ett virus i det tidigaste skedet av dess existens innan replikering. Men de "rensar" inte filer och diskar. För att förstöra virus måste du använda andra program, till exempel fager. Nackdelarna med watchdog-program inkluderar deras "intrång" (till exempel utfärdar de ständigt en varning om varje försök att kopiera en körbar fil), såväl som möjliga konflikter med andra programvara. Ett exempel på ett filterprogram är programmet Vsafe, som är en del av MS DOS-verktygspaketet.

Vacciner eller immuniseringsmedel– Det här är inbyggda program som förhindrar filinfektion. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus. Vaccinet modifierar programmet eller disken på ett sådant sätt att det inte påverkar dess funktion, och viruset kommer att uppfatta det som infekterat och därför inte slå rot. För närvarande har vaccinprogram begränsad användning.

Snabb upptäckt av virusinfekterade filer och diskar och fullständig förstörelse av upptäckta virus på varje dator hjälper till att undvika spridning av en virusepidemi till andra datorer.

6.3. Grundläggande åtgärder för att skydda mot virus

För att undvika att utsätta din dator för virus och för att säkerställa tillförlitlig lagring av information på diskar måste du följa följande regler:

¨ utrusta din dator med moderna antivirusprogram, som Aidstest, Doctor Web, och uppdatera ständigt deras versioner

¨ Innan du läser information som lagrats på andra datorer från disketter, kontrollera alltid dessa disketter för virus genom att köra antivirusprogram på din dator

¨ när du överför filer i arkiverad form till din dator, kontrollera dem omedelbart efter att du har packat upp dem på din hårddisk, begränsa skanningsområdet till bara nyinspelade filer

¨ kontrollera regelbundet efter virus hårddiskar dator, kör antivirusprogram för att testa filer, minne och systemområden på disketter från en skrivskyddad diskett, efter att ha laddat operativsystemet från en skrivskyddad systemdiskett

¨ skydda alltid dina disketter från att skriva när du arbetar på andra datorer, om information inte kommer att skrivas till dem

¨ Se till att säkerhetskopiera information som är värdefull för dig på disketter

¨ lämna inte disketter i fickan på enhet A när du slår på eller startar om operativsystemet för att förhindra att datorn blir infekterad med startvirus

¨ använd antivirusprogram för inmatningskontroll av alla körbara filer som tas emot från datornätverk

¨ för att säkerställa större säkerhet måste Aidstest och Doctor Web kombineras med daglig användning av Adinf disk auditor

SLUTSATS

Så vi kan citera en hel del fakta som tyder på att hotet mot informationsresursen ökar varje dag, vilket skapar panik hos beslutsfattare i banker, företag och företag runt om i världen. Och detta hot kommer från datavirus som förvränger eller förstör viktig, värdefull information, vilket inte bara kan leda till ekonomiska förluster, utan också till mänskliga offer.

Datorvirus - ett specialskrivet program som spontant kan koppla till andra program, skapa kopior av sig själv och bädda in dem i filer, systemområden på datorn och i dator nätverk för att störa driften av program, skada filer och kataloger och skapa alla typer av störningar i datorns drift.

För närvarande är mer än 5 000 programvirus kända, varav antalet ökar hela tiden. Det finns kända fall när de skapades undervisningshjälpmedel, hjälpa till med att skriva virus.

De viktigaste typerna av virus: boot, file, file-boot. Den farligaste typen av virus är polymorfa.

Från datorvirologins historia är det tydligt att all original datorutveckling tvingar antivirusskapare att anpassa sig till ny teknik och ständigt förbättra antivirusprogram.

Orsakerna till uppkomsten och spridningen av virus är dolda, å ena sidan, i mänsklig psykologi, och å andra sidan, på grund av bristen på skyddsåtgärder i operativsystemet.

De huvudsakliga vägarna för virus att penetrera är flyttbara diskar och datornätverk. Följ skyddsåtgärder för att förhindra att detta händer. Dessutom har flera typer av specialprogram som kallas antivirusprogram utvecklats för att upptäcka, ta bort och skydda mot datavirus. Om du hittar ett virus på din dator är det med den traditionella metoden bättre att ringa en professionell för att ta reda på det ytterligare.

Men vissa egenskaper hos virus förbryllar även specialister. Nyligen var det svårt att föreställa sig att ett virus kunde överleva en kallstart eller spridas genom dokumentfiler. Under sådana förhållanden är det omöjligt att inte fästa vikt vid åtminstone den initiala antivirusutbildningen av användare. Trots problemets allvar kan inget virus orsaka så mycket skada som en användare med vit ansikte med darrande händer!

Så, dina datorers hälsa, säkerheten för dina data är i dina händer!

Bibliografi

1. Datavetenskap: Lärobok / red. Prof. N.V. Makarova. - M.: Finans och statistik, 1997.

2. Encyclopedia of secrets and sensations / Utarbetad av. text av Yu.N. Petrova. - Mn.: Litteratur, 1996.

3. Bezrukov N.N. Datavirus. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Modern teknik kampen mot virus // PC World. - Nr 8. - 1993.

Människor som ständigt arbetar vid en dator stöter ofta på problem när de använder den och börjar ringa programmerare för hjälp, även om sådana incidenter i de flesta fall uppstår på grund av användarens ouppmärksamhet och bristande utbildning. När allt kommer omkring kommer de största problemen just när en dator är infekterad med ett virus. Konceptet och klassificeringen av datavirus är grunden, kunskap om vilka kan förhindra 50% av problemen på användarens dator.

Kunskap är makt

Låt oss försöka definiera vad ett datavirus är. Som i verkliga livet, är ett virus en organism med förmåga att självkopiera och okontrollerad reproduktion. Detta är ett program som kan utvecklas självständigt, utan användarens vetskap, och utföra sina funktioner som programmeraren tilldelat det. Detta räcker inte för att fånga ett virus eller förhindra infektion av din dator, men i de enklaste fallen hjälper det dig åtminstone att slå larm och ringa en specialist. Klassificeringen av datavirus hjälper den senare att exakt välja det verktyg som behövs för att rädda din dator. Därför ska vi försöka förstå det också.

Allmänt koncept

Efter att ha jämfört ett datavirus med en riktig mikroorganism lite tidigare kan vi dra en parallell till vad ett specifikt virus eller mask infekterar. En av de grundläggande är klassificeringen av datavirus efter habitat, eftersom platsen för viruset i datormiljön också kommer att variera beroende på syftet. Låt oss ge ett allmänt standarddiagram.

1. Fila virus. Det kanske vanligaste idag är virus som infekterar filer på din dator. I de flesta fall infiltrerar de körbara filer eller programbibliotek för att utföra sina uppgifter. Dessa virus är ett skript skrivet i ett skriptspråk (till exempel Java).
2. Starta virus. Som namnet antyder lanseras de när operativsystemet startar. De skriver sin kod till Windows-startsektorn.
3. Nätverksvirus. En ganska obehaglig sak som skickar kopior av sig själv över nätverket, mail eller meddelandesystem som ICQ. En annan obehaglig poäng är att ett sådant virus kan föröka sig tills det fyller hela utrymmet på användarens dator, och i värsta fall börjar det också göra plats för sig själv genom att ta bort användarprogram.
4. Makrovirus. De påverkar bara filer från program som stöder makron, som Office.

Det är värt att notera att en sådan klassificering av virus inte kan vara fullständig, eftersom utvecklingen av denna infektion inte står stilla, och det finns virus som kan klassificeras i flera undertyper.

Varning - fara!

Virus kan ses från helt olika vinklar. Om vi ​​pratar om dem enligt graden av påverkan på systemet, kommer klassificeringen av datavirus kort att se ut så här:

Specialister arbetar

Klassificeringen av datavirus och antivirusprogram förtjänar särskilt omnämnande. De flesta specialister som arbetar inom området datorsäkerhet, har sina egna klassificeringar och sätt att beteckna datorvirus. Till exempel det välkända Kaspersky Laboratory. Efter många års arbete skapade de den kanske mest detaljerade klassificeringen av datavirus. Kaspersky identifierar följande typer av "skadedjur":

1. Redan kända nätverksvirus är maskar som använder e-post för att sprida sig.
2. Packare. Dessa är snarare bara skadedjur, snarare än virus som skickas för ett specifikt ändamål. Deras uppgift är att arkivera filer på ett sådant sätt att det är omöjligt att avarkivera dem. Ofta kodar de också information vid arkivering.
3. Skadliga verktyg.
4. Trojanska program. Deras namn kommer från myten om den trojanska hästen. Trogen sin prototyp maskerar sådana virus sig som ofarliga program för att penetrera en dator. Deras huvudsakliga funktionella syfte är att ge en angripare åtkomst att kontrollera din dator. Vissa underkategorier kan också särskiljas här:

1) virus, för fjärrkontroll din dator;

2) virus för nedladdning av skadlig programvara från Internet;

3) program som otillåtet installerar andra virus på datorn.

Hur man blir smittad

Förvarnad är förberedd. Detta är vad folklig visdom säger. Genom att veta var och hur du kan fånga ett datavirus kan du undvika de enorma problem som är förknippade med att ta bort det. Att förhindra infektion är mycket lättare än att bota en dator efter att ett virus har kommit in i den. Det finns också en klassificering av datavirus enligt infektionsmetoden:

Virusskydd

Som redan har blivit uppenbart finns det ett stort utbud av skadlig programvara. Ingen klassificering av virus hjälper till att skydda mot dem. Det finns så många datorbedragare och spammare som har sina egna med mina egna händer det är omöjligt att klara av alla. Det är därför det finns ett stort antal antivirusprogram som kan hjälpa till att hantera detta problem. Låt oss titta på dem ur synvinkeln vanliga användare.

Det vanligaste antivirusprogrammet är Kaspersky Anti-Virus. Erbjuds till användare i alla möjliga butiker, detta program kan på ett tillförlitligt sätt skydda din dator från skadlig programvara. Men avancerade användare är medvetna om de betydande bieffekterna av denna tillförlitlighet. Kaspersky överbelastar inte bara systemet och larmar vid minsta fara, utan hindrar det också från att fungera korrekt med användarapplikationer. Därför, i för närvarande Detta antivirus används främst i företag, eftersom köpet är lättare att genomföra genom bokföring och säkerhetsverifieringskommissioner är mycket mer lojala mot det. Det är värt att notera att, tack vare detta laboratorium, skapades en grundläggande klassificering av datavirus. Meddelandet om att ett virus hittats på datorn som deras antivirus ger innehåller tyvärr inte alltid tillförlitlig information.

NOD32 kan fungera som en värdig ersättare för Kaspersky. Pålitligt och stadigt skyddar, det är speciellt utformade för vanliga användare gratisversioner. Den fungerar som en klocka och utan fel, men den ger absolut tillförlitlighet endast i ett fullt betalt paket. Därför kommer den enda nackdelen med detta antivirus att vara priset, om du utesluter nedladdning av hackade versioner som inte stöds.

Dr.Web kan med rätta anses vara ledande bland antivirus. Utan att jaga berömmelse och inkomster ger han alla en nedladdning på sin webbplats. testversion med full funktionalitet. En av huvudfunktionerna hos "Doctor" är förmågan att helt avbryta driften av operativsystemet, vilket gör att du kan fånga även de mest "luriga skadedjuren". Detta program använder sin egen klassificering av virus. Verktyget hittar datormaskar snabbt och effektivt, och inbyggda virus kan inte "gömma sig" i RAM.

Du måste känna fienden på sikt

Så klassificeringen av datavirus diskuterades ovan. Det skulle förmodligen vara lättare för dig att förstå med exempel, så vi kommer att ge några för tydlighetens skull.

Trj.Reboot - tvingar din dator att starta om.

Slappna av - infekterar dokument Microsoft Word, såväl som globala variabler. Det var särskilt populärt och relevant på Windows 98. Resultatet av arbetet är visningen av ett informationsmeddelande på skärmen.

Marburg - attackerar körbara filer med EXE-tillägg, kör dem i olika kataloger, vilket resulterar i att deras storlek ökar.

Flame är en datormask upptäckt av Kaspersky Lab. Dess egenhet är att den består av flera dussin delar, som var och en har sin egen funktionalitet.

Tänk på säkerheten

Den här artikeln diskuterade konceptet och klassificeringen av datavirus. Om du noggrant och eftertänksamt har läst allt som skrivits har du förmodligen redan insett att absolut skydd inte existerar. Trots detta faller valet av skyddsutrustning på dina axlar. Det sista som är värt att påpeka är bara ett par användbara tips:

1. Gå inte till misstänkta webbplatser eller följ länkar som skickas av främlingar.
2. Låt dig inte luras av annonser och popup-fönster på Internet.
3. Om du laddar ner program från Internet, se till att källan är säker.
4. Om du letar efter något program, försök att ladda ner det från populära resurser och inte från World Wide Webs bakvatten.
5. Använd inte lagringsmedia som kan ha satts in i offentliga datorer (internetkaféer).

Efter dessa enkla tips, du kan göra det även utan antivirus. Du behöver bara klassificeringen av datavirus för studier eller självutveckling.

Klassificering.

Antivirusprodukter kan klassificeras enligt flera kriterier, såsom: den antivirusskyddsteknik som används, produktfunktionalitet och målplattformar.

Enligt de antivirusskyddstekniker som används:

• Klassiska antivirusprodukter (produkter som endast använder signaturdetekteringsmetoden)
• Proaktiva antivirusskyddsprodukter (produkter som endast använder proaktiva antivirusskyddstekniker);
• Kombinerade produkter (produkter som använder både klassiska, signaturbaserade skyddsmetoder och proaktiva)

Efter produktfunktionalitet:

• Antivirusprodukter (produkter som endast ger antivirusskydd)
• Kombinationsprodukter (produkter som inte bara ger skydd mot skadlig programvara, utan även skräppostfiltrering, datakryptering och säkerhetskopiering och andra funktioner)

Efter målplattform:

• Antivirusprodukter för Windows operativsystem
• Antivirusprodukter för *NIX operativsystem (denna familj inkluderar BSD, Linux, etc.)
• Antivirusprodukter för MacOS-familjen av operativsystem
• Antivirusprodukter för mobila plattformar ( Windows Mobile, Symbian, iOS, BlackBerry, Android, Windows Phone 7, etc.)

Antivirusprodukter för företagsanvändare kan också klassificeras efter skyddsobjekt:

• Antivirusprodukter för att skydda arbetsstationer
• Antivirusprodukter för att skydda fil- och terminalservrar
• Antivirusprodukter för att skydda e-post och Internet-gateways
• Antivirusprodukter för att skydda virtualiseringsservrar
• etc.

Egenskaper för antivirusprogram.

Antivirusprogram är indelade i: detektorprogram, läkarprogram, auditörprogram, filterprogram, vaccinprogram.

Detektorprogram söker efter och upptäcker virus i RAM-minne och externa media, och när de upptäcks skickar de ett motsvarande meddelande. Det finns universella och specialiserade detektorer.

Universaldetektorer använder i sitt arbete att kontrollera filers oföränderlighet genom att räkna och jämföra med en kontrollsummestandard. Nackdelen med universella detektorer är förknippad med oförmågan att fastställa orsakerna till filkorruption.

Specialiserade detektorer söker efter kända virus genom sin signatur (en upprepad kodsektion). Nackdelen med sådana detektorer är att de inte kan upptäcka alla kända virus.

En detektor som kan upptäcka flera virus kallas en polydetektor.

Nackdelen med sådana antivirusprogram är att de bara kan hitta virus som är kända för utvecklarna av sådana program.

Läkarprogram (fager) hittar inte bara filer infekterade med virus, utan "behandlar" dem också, d.v.s. ta bort virusprogrammets kropp från filen och återställ filerna till deras ursprungliga tillstånd. I början av sitt arbete söker fager efter virus i RAM, förstör dem och fortsätter först sedan med att "rensa" filer. Bland fagerna urskiljs polyfager, d.v.s. Läkarprogram utformade för att söka och förstöra ett stort antal virus.

Med tanke på att nya virus ständigt dyker upp blir detektorprogram och läkarprogram snabbt föråldrade och regelbundna uppdateringar av deras versioner krävs.

Revisionsprogram är bland de mest tillförlitliga skyddsmedlen mot virus. Revisorer kommer ihåg det initiala tillståndet för program, kataloger och systemområden på disken när datorn inte är infekterad med ett virus, och jämför sedan regelbundet eller på användarens begäran det aktuella tillståndet med det ursprungliga. Upptäckta ändringar visas på videoskärmen. Som regel utförs jämförelse av tillstånd omedelbart efter att operativsystemet laddats. Vid jämförelse kontrolleras fillängden, cyklisk kontrollkod (filkontrollsumma), datum och tid för ändringen och andra parametrar.

Auditorprogram har ganska utvecklade algoritmer, upptäcker smygvirus och kan till och med särskilja ändringar i den version av programmet som kontrolleras från ändringar gjorda av viruset.

Filterprogram (watchmen) är små inbyggda program utformade för att upptäcka misstänkta handlingar under datordrift, karakteristiska för virus. Sådana åtgärder kan vara:

Försök att korrigera filer med COM- och EXE-tillägg;

Ändra filattribut;

Skriv direkt till disk på absolut adress;

När något program försöker utföra de angivna åtgärderna, skickar "väktaren" ett meddelande till användaren och erbjuder sig att förbjuda eller tillåta motsvarande åtgärd. Filterprogram är mycket användbara eftersom de kan upptäcka ett virus i det tidigaste skedet av dess existens innan replikering. Men de "rensar" inte filer och diskar. För att förstöra virus måste du använda andra program, till exempel fager. Nackdelarna med watchdog-program inkluderar deras "intrång" (till exempel utfärdar de ständigt en varning om varje försök att kopiera en körbar fil), såväl som möjliga konflikter med annan programvara.

Vacciner (immunisatorer) är inbyggda program som förhindrar att filer blir infekterade. Vacciner används om det inte finns några läkarprogram som "behandlar" detta virus. Vaccination är endast möjlig mot kända virus. Vaccinet modifierar programmet eller disken på ett sådant sätt att det inte påverkar dess funktion, och viruset kommer att uppfatta det som infekterat och därför inte slå rot. För närvarande har vaccinprogram begränsad användning.

En betydande nackdel med sådana program är deras begränsade förmåga att förhindra infektion från ett stort antal olika virus.

Exempel på antivirusprogram

När du väljer ett antivirusprogram är det nödvändigt att inte bara ta hänsyn till procentandelen virusupptäckt, utan också förmågan att upptäcka nya virus, antalet virus i antivirusdatabas, dess uppdateringsfrekvens, närvaron av ytterligare funktioner.

För närvarande bör ett seriöst antivirus kunna känna igen minst 25 000 virus. Detta betyder inte att de alla är "fria". Faktum är att de flesta av dem antingen har upphört att existera eller befinner sig i laboratorier och distribueras inte. I verkligheten kan du hitta 200-300 virus, och bara några dussin av dem utgör en fara.

Det finns många antivirusprogram. Låt oss titta på de mest kända av dem.

Norton AntiVirus 4.0 och 5.0 (tillverkare: Symantec).

Ett av de mest kända och populära antivirusprogrammen. Andelen virusigenkänning är mycket hög (nära 100%). Programmet använder en mekanism som låter dig känna igen nya okända virus.

Norton AntiVirus gränssnitt innehåller en LiveUpdate-funktion som låter dig uppdatera både programmet och en uppsättning virussignaturer via webben med ett enda klick. Problem med Anti-Virus Master detaljerad information om ett upptäckt virus, och ger dig också valet att ta bort viruset antingen automatiskt eller mer noggrant, genom en steg-för-steg-procedur som låter dig se var och en av de åtgärder som utförs under borttagningsprocessen.

Antivirusdatabaser uppdateras väldigt ofta (ibland dyker det upp uppdateringar flera gånger i veckan). Det finns en boendeövervakare.

Nackdelen med detta program är att det är svårt att konfigurera (även om det praktiskt taget inte finns något behov av att ändra grundinställningarna).

Dr Solomon's AntiVirus (tillverkare: Dr Solomon's Software).

Anses vara en av de mest bästa antivirus(Eugene Kaspersky sa en gång att detta är den enda konkurrenten till hans AVP). Upptäcker nästan 100 % av kända och nya virus. Ett stort antal funktioner, skanner, monitor, heuristik och allt du behöver för att framgångsrikt motstå virus.

McAfee VirusScan (tillverkare: "McAfee Associates")

Detta är ett av de mest kända antiviruspaketen. Det tar bort virus mycket bra, men VirusScan är värre än andra paket när det gäller att upptäcka nya varianter av filvirus. Den installeras snabbt och enkelt med standardinställningar, men kan anpassas för att passa dina behov. Du kan skanna alla filer eller bara programfiler, distribuera eller inte distribuera skanningsproceduren till komprimerade filer. Den har många funktioner för att arbeta med Internet.

.Dr.Web (tillverkare: Dialogue Science)

Populärt inhemskt antivirus. Den känner igen virus väl, men dess databas innehåller mycket färre av dem än andra antivirusprogram.

Antiviral Toolkit Pro (tillverkare: Kaspersky Lab).

Detta antivirus är känt över hela världen som ett av de mest pålitliga. Trots sin lätthet att använda har den all nödvändig arsenal för att bekämpa virus. Heuristisk mekanism, redundant skanning, skanning av arkiv och packade filer - detta är inte en komplett lista över dess möjligheter.

Kaspersky Lab övervakar noga uppkomsten av nya virus och släpper omedelbart uppdateringar till sina antivirusdatabaser. Det finns en inbyggd monitor för att övervaka körbara filer.

Evgeny Kaspersky 1992 använde följande klassificering av antivirus beroende på deras funktionsprincip (avgör funktionalitet):

Ø Skannrar (föråldrad version - "polyfager", "detektorer") - bestäm förekomsten av ett virus med hjälp av en signaturdatabas som lagrar signaturer (eller deras kontrollsummor) av virus. Deras effektivitet bestäms av virusdatabasens relevans och närvaron av en heuristisk analysator.

Ø Revisorer (en klass nära IDS) - kom ihåg filsystemets tillstånd, vilket gör det möjligt att analysera förändringar i framtiden.

Ø Väktare (invånare övervakar eller filter ) - övervaka potentiellt farliga operationer, utfärdar användaren en lämplig begäran om att tillåta/förbjuda operationen.

Ø Vacciner (immuniseringsmedel ) - ändra den ympade filen på ett sådant sätt att viruset som transplantatet ges mot redan anser att filen är infekterad. I moderna förhållanden, när antalet möjliga virus mäts i hundratusentals, är detta tillvägagångssätt inte tillämpligt.

Moderna antivirus kombinerar alla ovanstående funktioner.

Antivirus kan också delas in i:

Produkter för hemanvändare:

Egentligen antivirus;

Kombinerade produkter (till exempel antispam, brandvägg, anti-rootkit, etc. läggs till i det klassiska antivirusprogrammet);

Företagsprodukter:

Server-antivirus;

Antivirus på arbetsstationer ("slutpunkt").

Att dela antivirusprogram ger bra resultat, eftersom de kompletterar varandra väl:

Kommer från Externa källor data verifieras detektorprogram. Om du har glömt att kontrollera dessa uppgifter och ett infekterat program startades, kan det fångas upp av ett vaktprogram. Det är sant att i båda fallen detekteras virus som är kända för dessa antivirusprogram på ett tillförlitligt sätt. Detta står för inte mer än 80-90% av fallen.

- väktare kan till och med upptäcka okända virus om de beter sig väldigt arrogant (försöker formatera HDD eller gör ändringar i systemfiler). Men vissa virus kan kringgå sådan kontroll.

Om viruset inte upptäcktes av en detektor eller vakt, kommer resultaten av dess aktivitet att upptäckas program - revisor.

Som regel bör watchdog-program köras på datorn konstant, detektorer bör användas för att kontrollera data som kommer från externa källor (filer och disketter), och auditörer bör startas en gång om dagen för att identifiera och analysera ändringar på diskar. Allt detta måste kombineras med regelbundna säkerhetskopieringar av data och användning av förebyggande åtgärder för att minska risken för att smittas av virus.

Alla antivirusprogram "bromsar ner" datorns drift, men är ett pålitligt botemedel mot de skadliga effekterna av virus.

Falska antivirus (falska antivirus).

Under 2009 började olika antivirustillverkare rapportera om den utbredda användningen av en ny typ av antivirus - falska antivirus eller rogueware. Faktum är att dessa program antingen inte är antivirus alls (det vill säga att de inte kan bekämpa skadlig programvara) eller till och med virus (de stjäl kreditkortsdata, etc.).

Falska antivirus används för att pressa pengar från användare genom bedrägeri. Ett av sätten att infektera en dator med ett falskt antivirus är följande. Användaren hamnar på en "infekterad" webbplats, vilket ger honom ett varningsmeddelande som: "Ett virus har upptäckts på din dator." Därefter uppmanas användaren att ladda ner gratis program(falskt antivirus) för att ta bort viruset. Efter installationen skannar det falska antivirusprogrammet igenom datorn och upptäcker förmodligen många virus på datorn. För att ta bort skadlig programvara erbjuder ett falskt antivirus att köpa en betalversion av programmet. Den chockade användaren betalar (uppgår från $50 till $80) och det falska antivirusprogrammet rensar datorn från icke-existerande virus.

Antivirus för SIM, flash-kort och USB-enheter

Mobiltelefoner som tillverkas idag har ett brett utbud av gränssnitt och dataöverföringsmöjligheter. Konsumenter bör noggrant granska skyddsmetoderna innan de ansluter några små enheter.

Skyddsmetoder som hårdvara, eventuellt antivirus på USB-enheter eller på SIM, är mer lämpade för konsumenter mobiltelefoner. Den tekniska bedömningen och granskningen av hur man installerar ett antivirusprogram på en mobiltelefon bör betraktas som en skanningsprocess som kan påverka andra legitima applikationer på den telefonen.

Antivirusprogram på SIM med antivirus inbyggt i ett litet minnesområde ger anti-malware/virusskydd samtidigt som telefonanvändarens PIN-kod och information skyddas. Antivirus på flash-kort ger användaren möjligheten att utbyta information och använda dessa produkter med olika hårdvaruenheter, samt skicka dessa data till andra enheter med hjälp av olika kommunikationskanaler.

Antivirus, mobila enheter och innovativa lösningar

I framtiden är det möjligt att mobiltelefoner kommer att infekteras med ett virus. Fler och fler utvecklare inom detta område erbjuder antivirusprogram för att bekämpa virus och skydda mobiltelefoner. I Mobil enheter Det finns följande typer av viruskontroll:

– processorbegränsningar;

– minnesbegränsning;

– identifiera och uppdatera signaturerna för dessa mobila enheter.

Slutsats: Ett antivirusprogram (antivirus) är initialt ett program för att upptäcka och behandla skadliga objekt eller infekterade filer, samt för att förebygga - förhindra infektion av en fil eller ett operativsystem med skadlig kod. Beroende på principen för drift av antivirusprogram finns det följande klassificering av antivirus: skannrar (föråldrad version - "polyfager", "detektorer"); revisorer (klass nära IDS); väktare (invånare övervakare eller filter); vacciner (immunisatorer).

SLUTSATS

De senaste årens framsteg inom datateknik har inte bara bidragit till ekonomisk utveckling, handel och kommunikationer; säkerställde ett effektivt informationsutbyte, men gav också unika verktyg till personer som begår databrott. Ju mer intensiv datoriseringsprocessen är, desto mer verklig blir databrottslighetens tillväxt, och det moderna samhället känner inte bara av de ekonomiska konsekvenserna av databrott, utan blir också mer och mer beroende av datorisering. Alla dessa aspekter tvingar oss att ägna mer och mer uppmärksamhet åt skyddet av information, vidareutvecklingen av den rättsliga ramen på området informationssäkerhet. Hela skalan av åtgärder bör reduceras till att skydda staten informationsresurser; till reglering av relationer som uppstår under bildandet och användningen av informationsresurser; skapande och användning informationsteknik; skydd av information och rättigheter för subjekt som deltar i informationsprocesser; samt definiera de grundläggande begrepp som används i lagstiftningen.

Docent vid institutionen för organisation av säkerhet och konvojering i kriminalvården

Kandidat för tekniska vetenskaper

Överstelöjtnant vid inrikestjänsten V.G. Zarubsky