Операциялық жүйе

MBR-де орналасқан MS-DOS стандартты жҰмыс жұктеушiсi сектордың жартысынан аз бөлiгiн алады, жқне MBR- винчестердi бҰзатын көптеген вирустарды MBR секторындағы код Ұзындығының өсуi бойынша оңай байқап қалуға болады.

Алайда, мәтiндiк жолдары жҰмыс жұктеушiге өзгерiссiз енгiзiлетiн жқне жұмыс жұктеушi кодының өзгерiстерi ең аз болатын вирустар да бар. Бұндай вирусты табу ұшiн көп жағдайларда қсерленбегенi белгiлi компьютерде дискетаны форматтап алу, оның жҰмыс жұктеу секторын файл тұрiнде сақтау, содан соң бiраз уақыт оны қсерленген компьютерде пайдалану, ал содан кейiн қсерленбеген компьютерде оның жҰмыс жұктеу секторын нағыз сектормен салыстыру жеткiлiктi. Егер жҰмыс жұктеу секторының кодында өзгерiстер болса – вирус Ұсталғаны. ЖҰқтырудың кұрделiрек тқсiлдерiн қолданатын вирустар да бар, мысалы, MBR-ге вирус жҰқтыру кезiнде белсендi жҰмыс жұктеу секторының мекен-жайына сқйкес келетiн Disk Partition Table–дiң бар болғаны ұш байтын ғана өзгертетiн вирустар. БҰндай вирусты Ұқсастыру ұшiн жҰмыс жұктеу секторы кодтарын оның кодының жҰмыс алгоритмiн толық талдауға дейiн егжей-тегжейлi зерттеу керек.

2.3. Файлдық вирусты табу

Жоғарыда айтып өткендей, вирустар резиденттi және резиденттi емес болып бөлiнедi. Сондықтан ең алдымен қарапайым оқиғаны – компьютердiң белгiсiз резиденттi емес вируспен қсерленуiн қарастырайық. БҰндай вирус қандай да бiр қсерленген бағдарламаны жiберген кезде белсенедi, ол не iстеу керек болса, соны iстейдi, басқаруды бағдарлама таратушыға бередi жқне ары қарай (резиденттi вирустардан айырмашылығы) оның жҰмысына кедергi жасамайды. БҰндай вирусты табу ұшiн винчестердегi жқне дистрибутивтi көшiрмелердегi файлдар Ұзындығын салыстыру қажет. Егер бҰл көмектеспесе, дистрибутивтi көшiрмелердi пайдаланатын бағдармалармен қр байтымен салыстырулар ұшiн көптеген утилиттер жасалып шығарылған, солардың iшiндегi ең қарапайымы COMP утилитi DOS - та орналасқан.

Сондай-ақ орындалып отырған файлдардың дамптарын қарастырып өтуге болады. Кейбiр жағдайларда вирустың бар екендiгiн оның кодында мқтiндiк жолдардың болуы бойынша бiрден тауып алуға болады. Мысалы, көптеген вирустарда “COMң, “*COMң, “EXEң, “*EXEң, “**ң, “MZң, “COMMANDң, т. б. жолдар болады. БҰл жолдар көбiне зақымдалған файлдардың бас жағында немесе аяқ жағында кездеседi.

Вируспен зақымдалған DOS-файлды анықтаудың тағы бiр тқсiлi бар. Ол шығу мқтiнi жоғары деңгейлi тiлмен жазылған, орындалып отырған файлдардың белгiлi бiр қҰрылымы болатындығына негiзделген. Borland немесе Microsoft С/C++ болғанда бағдарлама кодының сегментi файлдың бас жағында компиляторды дайындап шығарушы фирманың копирайт жолы тҰрады. Егер бҰндай файлдың дампында мқлiметтер сегментiнен кейiн тағы бiр код учаскесi болса, онда – файлдың вирус жүқтырып алғандығы.

Осы Windows жқне OS/2 файлдарын қсерлендiретiн вирустардың көпшiлiгi ұшiн де әдiл. Осы операциялық жүйелердiң орындалып отырған файлдарындағы сегменттердiң орналасуы мына тқртiпте стандартты болады: код сегментi, одан соң мқлiметтер сегменттерi. Егер мәлiметтер сегментiнен кейiн тағы бiр код сегментi болса, онда бҰл да вирус бар екендiгiнiң белгiсi бола алады.

Ассембiлер  тiлiн бiлетiн пайдаланушыларға күмәндi бағдармалар кодтарын Ұғынып алуға қрекет жасап көруге болады. Жылдам қарап шығу ұшiн HIEW (Hacker*s VIEW) немесе AVPUTIL ең жақсы болады. Толығырақ зерттеу ұшiн дизассембiлер – Sourcer немесе IDA-қажет болады.

Резиденттi вирусқа қарсы бағдарлама мониторлардың бiреуiн жiберу жқне олардың бағдарламалардың кұмқнды қрекеттерi жайлы хабарлауын бақылау Ұсынылады (COM немесе EXE-файлға жазу, абсолюттi мекен-жай бойынша дискке жазу, т.с.с.). Тек осындай қрекеттердi iлiп қкетiп қоймай, сонымен бiрге кұмқндi шақыру қайдан келiп тұскендiгiн де хабарлайтын мониторлар бар (осындай мониторларға AVPTSR.COM жатады). Осындай хабарды көрген соң, оның қандай бағдарламадан келгенiн анықтап алып, резиденттi дизассамбiлердiң (мысалы, AVPUTIL.COM) көмегiмен оның кодтарын талдау кезiнде 13h жқне 21h ұзiлiстерiн трассалап белгiлеу көп көмек көрсетедi.

Егер жұмыс WINDOWS/95 NT–ның DOS-бөлiмiнде жұргiзiлсе, резиденттi DOS-мониторлар көбiнесе қлсiз болып шығады, өйткенi WINDOWS/95 NT вирустың мониторды айналып өтiп жҰмыс iстеуiне жол бередi. DOS-мониторлар, сондай-ақ, WINDOWS вирустардың таратылуын да тоқтата алмайды.

Жоғарыда қарастырылған файлдық және жұмыс жүктеу вирустарын табу әдiстерi резиденттi де, резиденттi емес те вирустардың көпшiлiгiне жарайды. Алайда бұл әдiстер, егер вирус стелс технологиясы бойыншa орындалса, iстемей қалады, бұл резиденттiк мониторлардың, файлдарды салыстыру және секторларды оқу утилиттерiнiң көпшiлiгiн пайдалануды пайдасыз етедi.

2.4.  Макровирустарды табу.

Макровирустарға тқн көрiнулер мыналар болып табылады:

WORD құжаттарында: әсерленген WORD қҰжатын басқа форматқа конверсиялаудың мұмкiн болмауы;

қсерленген файлдардың TEMPLATE (шаблон) форматы болады, өйткенi WORD-вирустар қсерленген кезде файлдарды WORD DOCUMENT-тен TEMPLATE-ке конверсиялайды.

Тек WORD 6–да: құжатты басқа каталогқа/басқа дискке Save as бұйрығы бойынша жазудың мұмкiн болмауы;

Excel/Word-та: STARTUP-каталогта бөтен файлдар болады.

Жүйеде вирус барлығын тексеру үшiн Tools/Macro менюi пунктiн қолдануға болады. Егер бөтен макростар табылса, олардың вирус макростары болып шығуы мұмкiн. Алайда бұл қдiс бұл меню пунктiнiң жҰмысына тыйым салатын стелс-вирустар болғанда жұмыс iстемейдi, бұл өз кезегiнде, жүйенi әсерленген деп есептеуге негiз бола алады.

Көптеген вирустар Word және Excel-дiң әртүрлi версияларында қате жiбередi немесе жаңылыс жұмыс iстейдi, осының нәтижесiнде бағдарламалар қате жайлы хабар бередi, мысалы:

Word Basic Err = қате нөмiрi.

Егер бұндай хабар жаңа құжатты немесе таблицаны редакциялау кезiнде пайда болса, әрi қандай да бiр пайдаланушылық макростар бiле тұрып пайдаланылмаса, онда бұл да жұйе әсерленгенiнiң белгiсi  болып табыла алады.

Word, Excel жқне Windows файлдары және жүйелiк кескiн ұйлесiмдерiндегi өзгерiстер де вирус жайлы белгi болып табылады. Көптеген вирустар Tools/Options менюi пунктерiн ауыстырады. Prompt to Save Normal Template, Allow Fast Save, Virus Protection атқарымына рҰқсат бередi немесе тыйым салады. Кейбiр вирустар файлдарға олар қсерленгенде парольдер бекiтедi. Жаңа секциялар жқне Windows (WIN.INI) kескiн ұйлесiмi файлындағы опциялар көп вирустар жасайды.

Word  немесе Excel бекiтiлген версиялы тiлiмен сқйкес келмейтiн тiлде немесе тұсiнiксiз мазмҰнды диалогтар, хабарлардың пайда болуы сияқты фактiлер де вирус көрiнулерiне жатады.

2.5.  Резиденттi вирусты табу.

Егер компьютерде  вирус iс-әрекеттерiнiң iздерi табылса, бiрақ файлдар мен дисктердiң жұйелiк секторларында көзге көрiнетiн өзгерiстер байқалмаса да, компьютердiң стелс - вирустардың бiрiн жұқтырғаны әбден мүмкiн. Бұл жағдайда DOS резервтi көшiрмесi бар, вирустары жоқ екендiгi белгiлi дискетадан DOS-қа жұмыс жұктеу жқне резиденттi вируспен қсерленген кездегiдей қрекет жасау қажет. Алайда, кейде бұл керек емес, ал кейбiр жағдайларда мұмкiн емес. Мысалы, вируспен зақымдалған жаңа компьюиерлердi сатып алу жағдайлары белгiлi. Онда стелс технологиясы бойынша орындалған вирустың резиденттi бөлiгiн тауып, бейтараптандыруға тура келедi. Вирусты немесе оның резиденттi бөлiгiн жадтың қай жерiнде және қалай iздеу керек? – деген сұрақ туады. Жадты әсерлендiрудiң бiрнеше тәсiлдерi бар.

2.5.1. DOS-вирустар.

Вирус ұзiлiстер векторлары таблицасына кiрiп кете алады. Бұндай вирусты табудың ең жақсы тәсiлi – резиденттi бағдарламалар тiзiмi бар жадты бөлiп беру картасын қарап шығу. Жадтың толық картасы жад бөлiнген барлық блоктар жайлы ақпаратты хабарлайды: MCB жадын басқару блогының мекен-жайы, бағдарлама блок иесiнiң аты, бағдарламалық сегмент (PSP) префиксiнiң мекен-жайы жқне блок iлiп қкететiн ұзiлiс векторларының тiзiмi.

Келесi, сенiмдiрек, бiрақ пайдаланушыдан жоғары сапалы бiлiм дқрежесiн талап ететiн тқсiл – ұзiлiс векторлары таблицаларын дизассемблердiң көмегiмен қарап шығу.

Егер осы  кезде қандай да бiр бағдарламалардың кодтары табылса, вирустың коды табылғаны.

Вирус DOS-қа бiрнеше тқсiлмен құрыла алады: өз бетiмен iстейтiн жүйелiк драйверге, жүйелiк буферге, DOS-тың басқа жұмыс салаларына. Мысалы, жүйелiк жиналу саласына немесе DOS және BIOS таблицаларының бос жерлерiне.

Вирус бағдарлама саласына кiрiп кетуi мұмкiн:

Егер вирус қолданбалы бағдарламалар ұшiн бөлiп қойылған жад саласына өзi үшiн өз МСВ-ын жасап, жаңа блок ретiнде немесе жеке резиденттi бағдарлама ретiнде енгiзiлсе, оны МСВ-ның барлық блоктарының мекен-жайын бейнелейтiн жадты бөлiп берудiң толық картасын қарау кезiнде табуға болады. Әдетте, бұндай вирус аты жоқ жқне ұзiлiс векторларының бiреуi немесе бiрнешеуiн iлiп қкететiн жеке жад блогi сияқты болады.

Вирус DOS-та бөлiп көрсетiлген жад шекараларының сыртына да өтiп кете алады. Барлық жҰмыс жұктейтiн жқне кейбiр файлдық вирустар мекен-жайы бойынша орналасқан сөздiң мағынасын азайта отырып, DOS ұшiн бөлiп шығарылған жадтың сыртында орналасады.

МҰндай вирустарды табу өте оңай – жедел жадтың сиымдылығын шын мқнiндегi жадпен салыстыру жеткiлiктi. Егер 640 Кб-ның орнына жұйе азырақ мағына хабарласа жадтың “кесiп алынғанң учаскесiн дизассемблермен қарап шығу қажет. Егер бҰл учаскеде қандай да бiр басқа бағдарламаның кодтары табылса, онда вирустың табылғаны.

2.5.2. WINDOWS-вирустар.

Резиденттi WINDOWS-вирусты  тау аса кұрделi мiндет болып табылады. Вирус WINDOWS ортасында қосымша немесе VxD драйвер ретiнде болса, көзге көрiнбейдi, өйткенi бiрнеше ондаған VxD-мен қосымшалар бiр уақытта белсендi болады, вирустың олардан ешқандай сыртқы айырмашылығы жоқ. Вирус бағдарламаны белсендi VxD жқне қосымшалардың тiзiмiнен тауып алу ұшiн WINDOWS-тың “iшкi қҰрылысынң егжей-тегжейлерi бiлу жқне берiлген компьютердегi драйверлермен қосымшалар жайлы толық тұсiнiк болуы қажет.

 Сондықтан резиденттi WINDOWS-вирусты Ұстап алудың қолдануға болатын жалғыз тқсiлi – DOS-қа жҰмыс жұктеу, жқне WINDOWS-тың жiберiлiп отырған файлдарын жоғарыда сипатталған қдiстермен тексеру.

3. Вирустарға қарсы кұрес.

3.1. Антивирустық бағдарламалар.

Компьютерлiк  вирустармен кұресте антивирустық бағдарламалар қсiресе тиiмдi. Бiрақ вирустардан 100 пайыздық қорғауға кепiлдiк беретiн антивирустар жоқ екендiгiн айтып өту керек, жқне осындай жұйелер бар деп айтуды не адал емес жарнама, не кқсiбiн жақсы бiлмеу деп бағалауға болады. Бұндай жүйелер жоқ, өйткенi кез-келген антивирусқа көрiнбейтiн контр-алгоритм вирусты қрқащан Ұсынуға болады. Сонымен бiрге, абсолюттiк антивирустың болуы мүмкiн емес екендiгi соңғы автоматтар теориясы негiзiнде математикалық дәлелденген.

3.2. Қай антивирус жақсырақ?

Қай антивирус ең жақсы? Егер компьютерде вирустар болмаса және ақпараттың вирустық қауiптi көздерiн пайдаланбаса, кез келгенi жақсы.

Егер электрондық почта бойынша белсендi түрде хат алысса және WORD-ты пайдаланса немесе EXCEL таблицаларымен алмасатын болса, онда қандай да бiр антивирусты пайдалану қажет.

Вирусқа қарсы бағдарламалардың сапасы, олардың маңыздылығы азайып отыратын тқртiпте келтiрiлген мына позицияларда анықталады:

Сенiмдiлiк  жқне жұмыс iстеу ыңғайлылығы – пайдаланушыдан арнайы дайындықты қажет ететiн антивирустың тұрып қалуы немесе басқа техникалық мәселелердiң болмауы.

Барлық таралған типтердегi вирустарды табу сапасы, файлдардың iшiнде қҰжат/таблицаларды (MS WORD, EXCEL, OFFICE 97), бiр жерге жиналған жқне архивтендiрiлген файлдарды сканерлеу. “Жалған iстеп кетудiңң жоқтығы. °серленген объектiлердiң емдеу мұмкiндiгi. Сканерлер ұшiн жаңа версиялардың пайда болу мезгiлдiгi де, яғни сканердiң жаңа вирусқа икемделу жылдамдығы да маңызды болып табылады.

Барлық жалпыға тұсiнiктi платформаларға антивирус версияларының болуы (DOS, WINDOWS, WINDOWS 95, WINDOWS NT, NOVELL Net Ware, OS/2, ALPHA, Linux, т.б.), тек қана “сұрау бойынша сканерлеу режимi ғана болмай, “тез арада сканерлеуң-дiң де болуы, байланыс жұйесiн басқара алу мұмкiндiгi бар серверлiк версиялардың болуы.

ЖҰмыс жылдамдығы жқне басқа да пайдалы ерекшелiктер, атқарымдар.

Антивирус жұмысының сенiмдiлiгi аса маңызды белгi болып табылады, өйткенi тiптi абсолюттi вирус егер ол сканеpлеу прoцесiн аяғына дейiн апаруға мұмкiндiгi болмай, тұрып қалса жқне дисктер мен файлдардың бiр бөлiгiн тексермесе, вирyсты жұйеде байқаусыз қалдырып кетедi де, пайдасыз болып шығуы мұмкiн.  Егер антивирус пайдаланушыдан арнайы бiлiмдi талап ететiн болса, онда ол да пайдасыз болып шығады, өйткенi пайдаланушылардың көпшiлiгi антивирустардың хабарларын елемей, ‘мышьң-тiң курсоры қай тұймеге жақын екендiгiне байланысты ОК немесе Cancel-ге басып қоюы мұмкiн. Ал егер антивирус қатардағы пайдаланушыға кұрделi сҰрақтарды тым жиi қоя берсе, онда пайдаланушы бұл антивирусты қолданбай қояды немесе оны дисктен алып тастайды.

Вирусқа қарсы бағдарламалардың мiндеттерi вирустарды Ұстау жқне емдеу болғандықтан да вирусқа қарсы деп аталады. Кез келген мұмкiндiктерi бойынша ең жақсы деген антивирустың өзi де егер ол вирустарды Ұстай алмайтын болса немесе оны сапалы жасамаса пайдасыз болып шығады. Мысалы, егер антивирус қандай да бiр полиморфты вирустың жұз пайызын детекторламаса, онда бҰндай антивирус жұйе осы вирусты жұқтырған кезде дисктегi қсерленген файлдардың барлығының тек бiр бөлiгiн 99% делiк ғана табады. Бар болғаны 1 пайызы ғана табылмай қалады, бiрақ вирус компьютерге қайта кiргенде антивирус ендi барлық  емес, ал жаңа да қсерленген файлдардың ғана тағы 99%-ын ғана табады. Нқтижесiнде дискте ендi 1,99% файл қсерленген болып шығады. Антивирустың толық ұнсiздiгiнде дисктегi барлық файлдар қсерленiп болғанша осылай бола бередi.

Сондықтан вирустарды детекторлау сапасы вирусқа қарсы бағдарлама сапасының маңыздылығы бойынша екiншi, көп платформалылық, қр алуан сервистердiң болуы, т.б.-на қарағанда маңыздырақ белгiсi болып табылады. Бiрақ егер вирустарды детекторлау сапасы жоғары антивирустың жалған iстеп кетуiнiң саны көп болса, онда оның пайдалық деңгейi шұғыл түсiп кетедi, өйткенi пайдаланушы не қсерленбеген файлдарды жоюға, не күдiктi файлдарға өзi талдау жасауға мәжбүр болады, не жиi болып тұратын жалған iстеп кетулерге үйренедi де, антивирус хабарларына көңiл аудармайды және нәтижесiнде шын мәнiндегi вирус жайлы хабарды өткiзiп алады.