Компьютерные вирусы и защита от них

Автор работы: Пользователь скрыл имя, 20 Декабря 2012 в 09:50, реферат

Краткое описание

Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов (FAT) на диске, "засоряет" оперативную память и т.д.).

Содержание

Введение…………………………………………………………… 2
Компьютерные вирусы и защита от них…………………………..3
Что такое компьютерный вирус?......................................................4
Испорченные и зараженные файлы..............................................5
Классификация вирусов.....................................................................7
Основные методы защиты от компьютерных вирусов…………..11
Программы - детекторы и доктора...................................................13
Действия при заражении вирусом....................................................16
Профилактика против заражения вирусом......................................19
Заключение. ......................................................................................20

Вложенные файлы: 1 файл

Содержание.doc

— 214.00 Кб (Скачать файл)

 

 

 

8

Моментальное  форматирование жесткого диска, тоже не из приятных, но в

большинстве случаев пользователь, с достаточным опытом, способен предотвратить  катастрофу.

Регенеративные вирусы делят свое тело на несколько частей и сохраняют их

в разных местах жесткого диска. Соответственно эти части способна

самостоятельно  находить друг друга и собираться для регенерации тела вируса. Программа - антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются  измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации. Хитрые вирусы прячутся не только от нас, но и от антивирусных программ. Эти"хамелеоны" изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно

же, по хитрому  алгоритму превращаются в подлый вирус и начинают заниматься нашим  компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как "Dr.Weber", способны с помощью так называемого эвристического анализа  обнаруживать и обезвреживать и подобные вирусы. "Невидимые" вирусы чтобы предотвратить свое обнаружение применяют так называемый метод "Stelth". Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном(незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере — на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы могут обнаруживать вирусы - "невидимки" даже на зараженных компьютерах. Так, программа Adinf фирмы "Диалог-Наука" для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSP фирмы "Диалог-МГУ" — "отключает" на время проверки вирус (последний метод работает не всегда). Некоторые антивирусные программы (например, AVSP фирмы "Диалог-МГУ") используют для борьбы с вирусом свойство "невидимых" файловых вирусов"вылечивать" зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем уже после загрузки с"чистой" дискеты, исполняемые файлы восстанавливаются в исходном виде. В последнее время получили распространение вирусы, изменяющую файловую систему на диске.

 

 

 

 

9

Эти вирусы обычно называются DIR. Такие вирусы прячут свое

тело в некоторый  участок диска (обычно в последний  кластер диска) и помечают его  в таблице размещения файлов (FAT) как конец файла. Для всех .com- и .exe- файлов, содержащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска,

содержащий  вирус, а правильный указатель в  закодированном виде прячется в неиспользуемой части элемента каталога. По этому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки. Таким образом, при работающем вирусе файловая система

кажется совершенно нормальной. При поверхностном осмотре на "чистом" компьютере зараженного диска также ничего странного не наблюдается. Разве что при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполняемой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным). При анализе на "чистом" компьютере с помощью программы ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется безнадежно испорченной. Так

программа ChkDsk выдает кучу сообщений о пересечении  файлов (".cross linked on cluster.") и о цепочках потерянных кластеров (".lost clusters found in .

chains."). Не следует исправлять эти ошибки программами ChkDsk или NDD — при этом диск окажется безнадежно испорченным. Именно так ведет себя вирус OneHalf-3544. Для исправления зараженных этими вирусами дисков надо пользоваться только специальными антивирусными программами, о которых будет рассказано далее. Можно много рассуждать о классификации вирусов. Однако стоит знать, что никогда заранее неизвестно каким вирусом будет атакован ваш компьютер. Соответственно нужно учитывать все возможные типы и принимать все возможные меры для профилактики заражения. Так, например, для того, чтобы противостоять вирусу "Чернобыль" достаточно аппаратно отключить возможность перезаписывать

Flash ПЗУ компьютера, а для предотвращения заражения загрузочными вирусами необходимо запретить загрузку компьютера с дискет. Но большинство вирусов не поддается правилам. Обычно вирусы пишутся как можно хитрее, и естественно, что они могут больше, чем представители одного класса.  Т.е. они сочетают в себе достоинства каждого вида, превращаясь в гибриды. Сложность обнаружения и борьбы с гибридными вирусами возрастает.

 

 

 

 

10

 

Основные методы защиты от компьютерных вирусов

 

 

Для защиты от вирусов можно использовать:

 

Общие средства защиты информации, которые полезны  также ка страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

 

профилактические  меры, позволяющие уменьшить вероятность заражения вирусом;

 

специализированные  программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов.

 

 

Имеются две  основные разновидности этих средств:

 

 

копирование информации — создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование

информации, в  частности, защиту от изменений программ и данных вирусами, неправильно работающими  программами и ошибочными действиями пользователей. Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов. Эти программы можно разделить на несколько видов:

Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы - доктора, или фаги, "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.

Доктора - ревизоры — это гибриды ревизоров и докторов, т.е. программы,

которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть  их в исходное состояние.

 

11

 

Программы - фильтры располагаются резидентно в оперативной памяти

компьютера  и перехватывают те обращения  к операционной системе, которые  используются вирусами для размножения  и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить  выполнение соответствующей операции.

Программы - вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится  вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Стратегия защиты от вирусов. Ни один тип антивирусных программ по

отдельности не дает, к сожалению, полной защиты от вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, "эшелонная" оборона. Опишем структуру этой обороны. Средствам разведки в "обороне" от вирусов соответствуют программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны  находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел "просочиться" через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.

Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют  вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные. И наконец, в "стратегическом резерве" находятся архивные копии информации и

"эталонные"  дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

 

 

 

 

 

 

 

 

 

 

 

 

                                                     12

 

Программы - детекторы и доктора

 

В большинстве  случаев для обнаружения вируса, заразившего Ваш компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения или уничтожения зараженных файлов. Следует отметить, программа - детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы).

Например программа AVP Касперского способна обнаружить на 10 Февраля

2000 года 33556 вирусов. Ниже приведено диалоговое окно этой антивирусной программы. Все в ней отличается удобным и понятным интерфейсом. Программа выполнена для операционной системы Windows'95/'98/NT/3.11, что позволяет ей работать параллельно с другими приложениями.

 

 

 

 

 

                                                        13

 

Рис.1

Некоторые программы, такие как Dr.Weber, могут с помощью эвристического анализа находить модифицированные вирусы. Ниже приведено диалоговое окно антивирусной программы Dr.Weber. Программа написана под операционную систему MS DOS.

 

 

 

 

 

 

Рис. 2

Тем не менее, невозможно разработать такую программу, которая могла бы

обнаруживать  любой заранее неизвестный вирус. Многие  антивирусные программы  способны находить зараженные файлы  даже внутри архивов

Лечение от вирусов. Большинство программ - детекторов имеют также и

функцию "доктора", т.е. они пытаются вернуть зараженные файлы и области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило делаются неработоспособными или удаляются.

 

 

 

 

 

 

 

 

                                                         14

Большинство  программ докторов умеют "лечить" только от некоторого

фиксированного  количества вирусов, по этому они  быстро устаревают. Но некоторые программы  могут обучаться не только способам обнаружения, но и способам лечения  от новых вирусов. К таким программам относится AVSP фирмы "Диалог-МГУ". Другой перспективный подход — восстановление файлов на основе заранее сохраненной информации об их состоянии. Этим занимаются программы - ревизоры и доктора - ревизоры.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

                                                   15

 

Действия при заражении вирусом

 

При заражении  компьютера вирусом (или подозрении на это) важно соблюдать четыре правила. Прежде всего не надо торопиться и принимать опрометчивых решений. Как говорится, "семь раз отмерь, один раз отрежь" — непродуманные действия могут привести не только к потере части файлов, которые можно было бы восстановить, но и к повторному заражению компьютера. Тем не менее одно действие должно быть выполнено немедленно, — надо выключить компьютер, чтобы вирус не продолжал свою работу. Все действия по обнаружению вида заражения и л лечению компьютера следует выполнять только после перезагрузки компьютера с защищенной от записи"эталонной" дискеты с операционной системой. При этом следует пользоваться исполняемыми файлами находящимися только на защищенных от записи"эталонных" дискетах.

Несоблюдение  этого правила может привести к очень тяжелым

последствиям, поскольку при загрузке ОС или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

Если Вы не обладаете достаточными опытом и знаниями для лечения компьютера, попросите о помощи более опытных коллег или специалистов.

Информация о работе Компьютерные вирусы и защита от них