Операциялық жүйе

4.3. Файлдарды қайта қалпына келтiру.

Жағдайлардың басым көпшiлiгiнде зақымдалған файлдарды қайта қалпына келтiру кұрделi процедура болып табылады, оны қажеттi бiлiмдерсiз – орындалып отырған файлдардың форматтары, ассемблер тiлi, т. б. – “қолмен жасау мұмкiн емес. Әрi дискте, әдетте, бiрден бiрнеше ондаған немесе жүздеген файлдар зақымдалған болып шығады және оларды зиянсыздандыру үшiн вирусқа қарсы бағдарламаны жасап шығару қажет.

Файлдарды емдеу  кезiнде мына ережелердi есепке алу қажет:

файлдардың (яғни read only, жұйелiк жқне жасырын файлдар) атрибуттарына қарамастан, барлық дисктердiң барлық каталогтарындағы барлық орынды SYS) сынақтан өткiзу және емдеу қажет.

Атрибуттарды  жқне файлдардың соңғы модификациялану мерзiмiн өзгертпей сақтаған дұрыс.

Файлдардың вируспен бiрнеше рет бұзылуы мүмкiн екендiгiн есепке алу қажет.

Файлды емдеудiң өзi де көп жағдайларда вирустардың көбею алгоритмiне бағынышты бiрнеше стандартты тқсiлдердiң бiрiмен жүргiзiледi. Көп жағдайларда бұл файл тақырыпшасын қайта қалпына келтiру жқне оның Ұзындығын кiшiрейтуге келiп тоқтайды.

4.4. Жедел жадты активсiздендiру.

Жадты активсiздендiру процедурасы да, зақымдалған файлдарды емдеу сияқты, операциялық жұйе жайлы бiлiмдi жқне ассемблер тiлiн мiндеттi тұрде бiлудi қажет етедi. Жедел жадты емдеу кезiнде вирус кодтарын табу жқне вирус ары қарай вирусқа қарсы бағдарламалар жҰмысына кедергi жасамайтындай етiп өзгерту – стелс және әсерлеу бағдарламаларының бөлiгiн сөндiрiп тастауң қажет.

БҰл ұшiн вирус кодының толық талдауы қажет болады, өйткенi “стелсң жқне зақымдану процедуралары вирустың қр тұрлi учаскелерiнде орналасуы, бiрiн-бiрi қайталауы жқне қр тұрлi жағдайларда басқаруды қолдарына алулары мұмкiн.

Жадты активсiздендiру ұшiн көп жағдайларда вирус iлiп алатын ұзiлiстердi “шауып тастауң жеткiлiктi.

Вирустың TSR-көшiрмелерiн активсiздендiру кезiнде вирустар өз кодтарын қайта қалпына келтiру ұшiн арнайы шаралар қолдануы мұмкiн екендiгiн есте сақтау қажет жқне бұл жағдайларда вирустың өзiн-өзi қайта қалпына келтiру механизмiн де бейтараптандыруға тура келедi.

Одан басқа, кейбiр вирустар, CRC тұпнҰсқалық мағынамен сқйкеспесе, өз резиденттi көшiрмелерiнiң CRC-ын есептеп шығарады жқне компьютерге қайта жұмыс жұктейдi немесе диск секторынан өшiрiп тастайды. Бұл жағдайда CRC-ын есептеп шығару процедурасын да  зиянсыздандыру қажет.

 

Компьютерлiк  вирустар ненi iстей алады жқне ненi iстей алмайды.

Дербес ЭЕМ-нiң көптеген пайдаланушыларында компьютерлiк вирустар жұмысының механизмiн бiлмегендiктен, сондй-ақ, қр түрлi сыбыстардың және баспасөздегi  компоненттi емес (хабары жоқ) жарияланулардың қсерiмен вирустан қорқудың ерекше комплексi пайда болады (вирусофобия). Бұл комплестiң екi көрiнуi бар.

Мәлiметтердiң кез келген бұзылуын немесе компьютердегi әдеттен тыс құбылысты вирустар әрекетi деп ойлауға бейiмдiк. Мысалы, егер вирусофобтыңң дискетасы форматталмаса, ол оны дискета немесе диск жұргiзушiнiң ақаулары деп емес, вирус қсерi деп түсiндiредi. Егер қатты дискетада жаңылу блогы пайда болса, онда бұған да, әрине вирустар кiнәлi.

5. Компьютерлiк  вирустардан сақтанудың негiзгi тәсiлдерi.

5.1. Детектор-бағдарламалар жқне докторлар.

Көп жағдайларда компьютерге жҰққан вирусты табу ұшiн жасалып болған детектор-бағдармаларды тауып алуға болады. БҰл бағдарламалар пайдаланушымен көрсетiлген дисктегi файлдарды осы вирусқа тқн байттар комбинациясы бар ма екендiгiн тексередi. Ол қандай да бiр файлда табылған кезде экранға сқйкес хабар шығады. Көптеген детекторлардың зақымдалған файлдарды емдеу немесе жою режимдерi болады.

Детектор-бағдарламалар тек өздерiне “белгiлiң вирустарды ғана таба алатынын баса айтып өту керек. McAfee Associates фирмасының Scan жқне Д. Н. Лозинскийдiң Aidstest бағдарламасы мыңға жуық вирустарды табуға мұмкiндiк бередi, ал олардың саны барлығы бес мың болады. Кейбiр детектор-бағдарламалар, мысалы,  Norton AntiVirus  немесе “Диалог-МГУң фирмасының AVSP, вирустардың жаңа типтерiне де ауыса алады, оларға осы вирустарға тқн байттар комбинациясын көрсетiп жiберу ғана қажет. Алайда, кез келген   белгiсiз вирусты таба алатын бҰндай бағдарламаны жасап шығару мұмкiн емес.

Сондықтан, детекторлар бағдарламаны қсерленген деп таппаса да, оны сау деп ойлауға болмайды – онда қандай да бiр жаңа вирус немесе детектор-бағдарламаларға белгiсiз ескi вирустың аздап модификацияланған версиясы отыруы мұмкiн.

Кейбiр бағдарламалар, мысалы, Norton AntiVirus жқне DrWeb , вирус жұқтырылған файлдарды iздеудi архивтiк файлдар iшiнде де жүргiзе бiледi.

Көзге көрiнбейтiн вирустар

 Көптеген детектор-бағдарламалар көзге көрiнбейтiнң вирустарды жұқтыруды, егер бұндай вирус компьютер жадында белсендi болса, таба алмайды. Бар себеп дисктi оқу ұшiн олар DOS атқарымдарын пайдаланатындығы, ал оларды вирус iлiп қкетедi. Aidstest жқне басқа да детекторлар вирусты жедел жадты қарап шығу долымен тауып алуға қрекет жасайды, бiрақ бҰл кейбiр “айлакерң вирустарға қарсы көмектеспейдi. Сондықтан, детектор-бағдарламалар сенiмдi диагнозды тек DOS “тазаң, жазудан қорғалған дискетадан жұмыс жұктеп алғанда ғана бере алады, ол үшiн детектор-бағдарламаның көшiрмесi де осы дискетадан жiберiлген болуы тиiс.

Вирустардан емдеу

Детектор бағдарламалардың көпшiлiгiнде доктор атқарымы да бар, яғни олар зақымдалған файлдарды жқне диск салаларын алдындағы жағдайға қайтаруға әрекет жасайды. Қайта қалпына келтiрiлмеген файлдар, әдетте, жұмысқа қабiлетсiз болып қалады немесе алып тасталады.

Доктор-бағдарламалардың көпшiлiгi қандай да бiр вирустардың белгiленген жинағынан ғана “емдейң алады, сондықтан олар тез ескiредi. Бiрақ кейбiр бағдарламалар тек тауып алу тқсiлдерiне ғана емес, сондай-ақ жаңа вирустарды емдеу тқсiлдерiне де ұйрене алады. БҰндай бағдарламаларға “Диалог МГУң фирмасының AVSP-сы жатады. Басқа перспективалы әдiс – файлдарды олардың жағдайлары  жайлы алдын ала сақталған ақпарат негiзiнде қайта қалпына келтiру.

5.2.  Ревизор-бағдарламалар.

Ревизор-бағдарламалар жұмысының екi сатысы болады. Ең алдымен олар бағдарлама жқне дисктердiң жұйелiк салаларының жағдайы жайлы мқлiметтердi жадына сақтайды. Бұл кезде бағдарламалар мен дисктердiң жұйелiк салалары қсмерленбеген деп болжалданады. Осыдан кейiн ревизор-бағдарламаның көмегiмен кез-келген уақытта бағдарламалар жқне дисктедiң жұйелiк салаларының жағдайын алдындағы жағдайлармен салыстыруға болады. Анықталынған сқйкессiздiктер жайлы пайдаланушыға хабарланады.

Көптеген пайдаланушылар бағдарламалар жқне дисктер жағдайны тексеру операциялық жұйенi әр жiберген сайын өтуi үшiн ревизор-бағдарламаны AUTOEXEC.BAT бұйрық файлына жiберу бұйрығын енгiзедi. Бұл компьютерлiк вируста жұқтыруды, ол көп зиян келтiрiп ұлгермей тұрып, табуға мұмкiндiк бередi. Әрi осы ревизор-бағдарлама вируспен бүлiнген файлдарды таба алады  өзгерiстер талдауы.

Көптеген ревизор-бағдарламалар “интеллектуалдың болып табылады – олар, мысалы, бағдарламаның жаңа версияға көшуiне байланысты файлдарда пайда болған өзгерiстердi вирус енгiзген өзгерiстерден айыра алады жқне кедергi жасап, жаоған қауiп-қатер дабылын көтермейдi. Вирустар, әдетте, файлдарды өздерiне ғана тән тұрде өзгертедi жқне қр тұрлi бағдарламалық файлдарда бiрдей өзгерiстер жұргiзедi. Қалыпты жағдайларда бұндай өзгерiстер ешқашан кездеспейтiндiгi тұсiнiктi, сондықтан ревизор-бағдарлама осындай өзгерiстер фактiн көргеннен кейiн, олардың вирустармен шақырылғандығын сенiмдi тұрде хабарлай алады.

Көзге көрiнбейтiн вирустар.

Көптеген ревизор-бағдарламалар көзге көрiнбейтiнң вирустарды жұқтыруды, егео олар компьютер жадында белсендi болса, таба алмайтындығын айта кету керек. Бiрақ кейбiр ревизор-бағдарламалар, мысалы, “Диалог Наукаң фирмасының Adinf-i, бҰны DOS шақыруларын дисктi оқу ұшiн қолданбай-ақ iстей алады. Басқа бағдарламалар өте жиi қр тұрлi жартылай шараларды қолданады – вирусты жедел жадта табуға қрекет жасайды, “тазаң компьютерде жұмыс iстеуге үмiттенiп, AUTOEXEC.BAT файлының бiрiншi жолынан шақыруды талап етедi. Алайда, кейбiр “айлакерң вирустарға қарсы осының бәрi пайдасыз. Егер осындай ревизор-бағдарлама болса, онда оның жазудан қорғалған дискетадан көшiрiлген “тазаң көшiрмесiн DOS осындай дискетада қайта жҰмыс жұктеп алғаннан кейiн қлсiн-қлсiн жiберiп отыру керек.

Тексеру режимдерi. Файлдың өзгерген, өзгермегендiгiн тексеру ұшiн кейбiр ревизор-бағдарламалар файлдардың Ұзындығын тексередi. Алайда, бҰл тексерiс жеткiлiксiз – кейбiр вирустар зақымдалған файлдардың Ұзындығын өзгертпейдi. БҰған қарағанда сенiмдiрек тексерiс – барлық файолды оқып шығып, оның бақылау сомасын есепиеп шығару. Файлды оның бақылау сомасы сол қалпында қалатындай етiп өзгерту мұмкiн емес. Бiрақ дистегi барлық тексерiлiп отырған файлдарды толық оқып шығу тым ұзақ.

Тексерiстiң сенiмдiлiгiн, әрi оны өткiзудiң ең ыңғайлы уақытын қамтамасыздандыру ұшiн көптеген ревизор-бағдарламаларда бағдарламалық файлдардың вирустар өте жиi өзгертетiн, ең маңызды учаскелерiнiң: EXE- файлдың тақырыпшасының, файлдың бiрiншi орындалатын бҰйрықтарының, т. б. өзгермеуiн ғана тексеретiн режимдерi болады. БҰл файлдардағы өзгерiстердi кұнделiктi тексерiп отыруға мұмкiндiк бередi. Ал ерекше қатаң тексеру ұшiн бұндай ревизор-бағдарламаларда, әдетте, файлды толық оқу режимi болады.

5.3.  Доктор-ревизорлар.

Соңғы уақытта ревизорлар мен докторлардың аса пайдалы будандары файлдар мен дисктердiң жұйелiк салаларындағы өзгерiстердi тауып қана қоймай, өзгерiстер болған жағдайда оларды алдындағы жағдайларға автоматты тұрде қайтара алатын бағдарламалар пайда болды. БҰндай бағдарламалар доктор-бағдарламаларға қарағанда қлдеқайда қмбебаптырақ болуы мұмкiн, өйткенi емдеу кезiнде олар файлдар мен диск жұйелерiнiң жағдайлары жайлы алдын ала сақталған ақпаратты пайдаланады. БҰл оларға файлдарды тiптi бағдарламаны жазуға дейiн пайда болған вирустардан да емдеуге мұмкiндiк бередi.

Әрине, олар барлық вирустардан емдей алмайды, тек файлдарды қсерлендiрудiң бағдарламаны жазу кезiнде белгiлi болған, “стандартты* механизмдерiн пайдаланған вирустардан ғана емдей алады. Одан басқа, өздерiн бағдарламаның ортасына жазып қоятын, осыдан кейiн бағдарлама жҰмыс iстей ме екендiгiн ойламайтын, AIDS сияқты “дөрекiң вирустарды жҰқтырған кезде бағдарламаларды ешкiм де емдей алмайды. Сонда да вирустардың 90-95 пайызынан қорғану – бҰл тiптi де жаман емес. Доктор-ревизорларға мысал ретiнде “Диалог Наукаң фирмасының Adinf+AdinfExt жқне “Диалог МГУң фирмасының AVSP вирусқа қарсы кешендi жұйесiн келтiруге болады.

5.4. Фильтр-бағдарламалар.

Компьютерлiк  вирус сияқты қҰбылыстың мұмкiн болу себептерi-нiң бiрi MS DOS операциялық жұйесiнде ақпаратты санкцияланбаған кiруге рҰқсаттан қорғау ұшiн тиiмдi тқсiлдердiң болмауы болып табылады. Іорғану тқсiлдерi болмағандықтан, компьютерлiк вирустар байқаусыз жқне жазасыз бағдарламаларды өзгерте, файлдардың орналасу таблицаларын, т.б. бҰза алады.

Осыған байланысты қр тұрлi фирмалар мен бағдарламашылар DOS-тың осы көрсетiлген кемшiлiгiнiң орнын белгiлi бiр дқрежеде толтыратын, вирустардан қорғануға арналған резиденттi бағдарламаларды, немесе фильтр-бағдарламаларды жасап шығарады. БҰл бағдарламалар компьютердiң жедел жадында резиденттi тұрде орналасады жқне вирустардың көбею жқне зиян шектiру ұшiн операциялық жұйеге бҰрылған кездерiн “iлiп аладың. БҰндай “кұмқндың қрекеттерге COM жқне EXE-файлдың өзгеруi, файлдан “тек оқу ұшiн ғанаң атрибутын алып тастау, дискке тура жазу, дисктi форматтау, “резиденттiң бағдарламаларды орнату жатады.

“Кұмқндың қрекетке қр сҰрату кезiнде компьютер экранына қандай қрекет талап етiлгенi жқне қандай бағдарлама оны орындағысы келетiнi жайлы хабар шығады. БҰл қрекеттi орындауға рҰқсат беруге немесе тыйым салуға болады. Егер хабарда көрсетiлген қрекет берiлген бағдарламаны орындау ұшiн қажет болмаса, онда бҰл қрекетке тыйым салу керек, өйткенi олар вируспен шақырылған болуы қбден мұмкiн:

Кейбiр фильтр-бағдарламалар кұмқнды қрекеттердi “Ұстамайдың, бағдарламаны орындауға шақырылған қрекеттерде вирус бар, жоқтығын тексередi. БҰл компьютер жҰмысын баяулататыны тұсiнiктi.

Фильтр-бағдарламалар қамтамасыз ететiн қорғану дқрежесiн асыра бағаламау қажет, өйткенi көп вирустар өздерiнiң көбеюi жқне зиян шектiру ұшiн тура операциялық жұйе бағдарламасына барады, ол ұшiн олар осы бағдарламаларды ұзiлiстер арқылы шақырудың стандартты тқсiлiн қолданбайды, ал вирустардан қорғануға арналған резиденттi бағдарламалар тек осы ұзiлiстердi ғана iлiп алады. Одан басқа, фильтр-бағдарламалар жҰмыс жұктейтiн сектор арқылы таратылатын вирустардың винчестерге жҰғуынан көмектесе алмайды, өйткенi бҰндай зақымдану DOS жҰмыс жұктеп алуы кезiнде, яғни кез келген бағдарламаны немесе драйвер қондырғысын жiбергенге дейiн болады. Алайда, фильтр-бағдарламаларды қолданудың артықшылықтары да қжептқуiр – олар көп вирустарды вирус қлi көбейiп жқне ештеңенi бұлдiрiп ұлгермей тҰрып, ең ерте сатысында тауып алуға мұмкiндiк бередi. Осылай вирустардан келетiн шығындарды минимумға дейiн жеткiзуге болады.

Вирус жұқтыру кезiндегi әрекеттер.

Компьютер вирус  жҰқтырған кезде (немесе кұмқнданған кезде) төрт ереженi сақтау маңызды:

1. Ең алдымен, асықпау жқне асығыс шешiм қабылдамау керек. “Жетi рет өлшеп, бiр рет кесң дегендей, ойланбай iстелген қрекеттер қайта қалпына келтiруге болатын файлдардың бiр бөлiгiн жоғалтуға ғана емес, компьютердiң қайта қсерленуiне де қкеп соғуы мұмкiн.

2. Сонда да бiр қрекет бiрден орындалуы тиiс – вирус өзiнiң бҰзушылық қрекеттерiн жалғастырмау ұшiн компьютердi сөнгдiру керек.

3. Компьютердi емдеу жқне қсерлену тұрiн табу бойынша барлық қрекеттер тек компьютер операциялық жұйедегi жазудан қорғалған “эталондықң дискетадан жҰмыс жұктеп алғанда ғана орындалуы қажет. Осы кезде тек жазудан қорғалған дискеталарда сақталып отырған бағдарламаларды (орындалып отырған файлдарды) ғана қолдану қажет. БҰл ереженi сақтамау өте ауыр нқтижелерге қкеп соғуы мұмкiн, өйткенi DOS жҰмыс жұктеп алуы немесе қсерленген дисктегi бағдарламаны жiберу кезiнде компьютерде вирус активтендiрiлуi мұмкiн, ал жҰмыс iстеп тҰрған вирус болғанда компьютердi емдеудiң мағынасы жоқ, өйткенi дисктер мен бағдарламалар ары қарай қсерленедi.