Операциялық жүйе

Файлдарды тез  арада тексеру мүмкiндiгi де антивирустың маңызды белгiсi болып табылады. Компьютерге келген файлдар мен салынған дискеталарды лезде және мәжбүрлi тұрде тексеру, егер антивирус осы вирусты детекторлай алатын болса , вирус жұқтырудан жүз пайыздық  кепiл болып табыла алады. Novel Net Ware серверлерiнiң денсаулығын ал соңғы кезде, макровирустардың жаппай таратылуынан кейiн, кiретiн шығатын почтаны сканерлеп, почта серверлерiн де бақылап, қарап жүретiн антивирустар өте пайдалы болып табылады. Егер антивирустың серверлiк вариантында байланыс жүйесiн вирусқа қарсы басқара алу мүмкiн болса, онда оның құндылығы одан да өсе түседi.

Маңыздылығы бойынша келeсi белгi – жұмыс жылдамдығы. Егер компьютердi толық тексеруге бiрнеше сағат керек болса, онда пайдаланушылардың көпшiлiгi оны жиi жiбере қоймас едi. Әрi антивирустың ақырын жұмыс iстеуi оның жылдамырақ антивирустан жақсырақ жқне көбiрек вирустарды Ұстайтындығын көрсетпейдi. Әр түрлi антивирустарда вирустарды iздеудiң әр түрлi алгоритмдерi пайдаланылады, бiр алгоритм жылдамырақ жқне сапалырақ, екiнiшсi – ақырын жұмыс iстейтiн және сапасы да төменiрек болып шығуы мүмкiн. Осының бәрi нақты бiр антивирус зерттеушiлерiнiң қабiлеттерiмен кәсiбилiгiне байланысты.

3.3. Антивирус түрлерi.

Ең танымал жқне тиiмдi вирусқа қарсы бағдарлама вирусқа қарсы сканерлер (басқа атаулары: фагалар, полифагалар) болып табылады. Олардан соң тиiмдiлiгi жқне танымалдығы жағынан CRC-сканерлер келедi. Осы екi әдiсте өте жиi вирусқа қарсы бiр қмбебап бағдарламаға бiрiгедi, бұл оның күштiлiгiн арттырады. Сондай-ақ, әртұрлi мониторлар және иммунитеттендiрушiлер де қолданылады.

3.3.1. Сканерлер. 

Вирусқа қарсы сканерлер жұмысының принципi файл, секторлар және жүйелiк жадты тексерумен оларда белгiлi жқне жаңа вирустарды негiзделген. Белгiлi виурстарды iздеу ұшiн маскалар пайдаланылады. Вирус маскасы кодтың кейбiр тұрақты, осы нақты вирусқа тқн бiр iздiлiгi болып табылады. Егер вирустың тұрақты маскасы болмаса немесе бұл масканың Ұзындығының ұлкендiгi жеткiлiксiз болса, басқа қдiстер пайдаланылады. өқсас типтi вируспен қсерлену кезiнде кездесуi мұмкiн код варианттарын сипаттайтын алгоритмдiк тiл осы қдiске мысал бола алады. БҰндай тқсiлдi кейбiр антивирустар полиморфик-вирустарды детекторлaу ұшiн қолданады. Сканерлердiң көбiнде эвристикалық сканерлеу алгоритмдерi де, яғни тексерiлiп отырған объектiдегi бұйрықтaрды талдау, әр тексерiлiп отырған объект ұшiн қандай да бiр статистика жинағы жқне шешiм қабылдау пайдаланылады. Эвристикалық сканерлеу көбiне вирустарды iздеудiң ықтималды қдiсi болғандықтан, оған ықтималдық теориясының көп заңдары таратылады. Мысалы, вирустардың табылу пайызы артқан сайын, жалған iстеп кету саны да көбiрек болады. Сканерлердiң жақсы жағына олардың әмбебаптығы, aл кемшiлiктерiне сканерлер өздерiмен тасып жұругең мәжбүр болатын вирусқа қарсы базаларының көлемi жқне вирусты iздеу жылдамдығының салыстырмалы тұрде төмендiгi жатады.

CRC-сканерлер. 

CRC-сканерлер  жҰмысының принципi дисктегi файлдар жұйелiк секторлар ұшiн CRC-сомаларды есептеп шығаруға негiзделген. Содан соң, бҰл CRC-сомалар басқа ақпараттар: файлдар Ұзындығы, олардың соңғы модификациялану мерзiмдерi, т.б. сияқты антивирус мқлiметтерiнiң базасында сақталады. Келесi жiберу кұнiнде CRC-сканелер мәлiметтер базасындағы мәлiметтердi шын мәнiндегi есптеп шығарылған мағыналармен салыстыра тексередi.

Егер мқлiметтер базасындағы жазылған файл жайлы ақпарат шын мқнiндегi мағына мен сқйкес келмесе, CRC-сканерлер файлдың өзгертiлгенi немесе вирус жұқтырылғаны жайлы белгi бередi. “Антистелс – алгоритмдердi пайдаланатын CRC-сканерлер вирусқа қарсы күштi құрал болып табылады: вирустардың жұз пайызы компьютерде пайда болған соң-ақ табылады. Бiрақ, антивиурстың бҰл тұрiнiң тиiмдiлiгiн азайтатын кемшiлiгi бар, бұл кемшiлiк – CRC-сканерлердiң вирусты жұйеде пайда болған кезiнде Ұстай алмай, вирус компьютерге тарап кеткеннен кейiн, белгiлi бiр уақыт өткен соң ғана табуы. CRC-сkанерлер жаңа файлдарда (электрондық почта, дискета, backup –тен қайта қалпына келтiретiн файлдарда немесе архивтегi файлдарды ашу кезiнде) вирусты детекторлай алмайды, өйткенi мәлiметтер базасында бұл файлдар жайлы ақпарат жоқ. CRC- сkанерлердiң бұл әлсiздiгiн пайдаланатын вирустар әлсiн әлсiн пайда болады, жаңа жасалған файлдарды әсерлендiредi және осылай CRC-сканерлер үшiн көрiнбейдi.

3.3.3. Мониторлар. 

Вирусқа қарсы мониторлар - вирустық қауiптi жағдайларды iлiп қкетiп; ол жайлы пайдаланушыға хабар беретiн резиденттi бағдарламалар. Вирустық қауiптi жағдайларға орындалып отырған файлдарға жазуды шақырулар; дисктердiң немесе MBR винчестер жұмыс жүктейтiн секторларына жазу, бағдарламаның резиденттi болып қалуға тырысуы, т. б., яғни көбею кезiндегi вирустарға тән шақырулар жатады.

Мониторлардың жақсы жағына вирустарды олардың көбеюiнiң алғашқы сатыларында табу жқне қоршау қабiлеттiлiгi жатады, бұл бұрыннан белгiлi вирус қайдан шыққаны белгiсiз болған жағдайларда өте пайдалы болады. Кемшiлiктерiне монитор қорғаныс жүйесiн айналып өту жолдарының болуы жқне жалған iстеп кету санының көптiгi жатады, бұл бұндай вирусқа қарсы бағдарламалардан пайдаланушылардың толығымен бас тартуына себепшi болады.

Компьютердiң аппараттық компоненттерi тұрiнде орындалған вирусқа қарсы бағдарламалар сияқты вирусқа қарсы қҰраладрдың бағытын да атап өту керек. Ең таралған BIOS-қа қҰрылған, MBR винчестердегi жазудан қорғану жүйесiн, бағдарламалық мониторлармен сияқты, диск контроллерiне тура жазумен айналып өтуге болады, ал FDISK-тiң DOS утилиттерiн жiберу тез арада қорғаныс жұйесiнiң жалған iстеп кетуiне түрткi болады.

Бiрнеше бұлардан да әмбебаптырақ аппараттық мониторлар бар, бiрақ жоғарыда атaлып өткен кемшiлiктерге компьютердiң стандартты кескiн ұйлесiмдерiмен сыйысушылығы мәселелерi мен оларды орнату және жөнге салу қиындықтары қосылады. Осының бәрi аппараттық мониторларды вирусқа қарсы бағдарламалардың басқа түрлерiнiң жанында танымал емес қылады.

3.3.4. Иммунитеттiндiрушiлер.

Иммунитеттiндiрушiлер  екi типке бөлiнедi: әсерленгендiк жайлы хабарлайтын иммунитеттiндiрушiлер және қандай да бiр вирусты жұқтыруға жол бермейтiн иммунитеттiндiрушiлер. Бiрiншiлер әдетте файлдардың аяқ жағында жазылады және файлды жiберген сайын олардың өзгергенiн тексерiп отырады. Бұндай иммунитеттiндiрушiлердiң кемшiлiгi бiреу ғана, бiрақ ол өте жаман: “стелсң вирусты жұқтырғаны жайлы мүлдем хабар бере алмау. Сондықтан бұндай иммунитеттiндiрушiлер, мониторлар сияқты, қазiргi уақытта қолданылмайды.

Иммунитеттiндiрушiлердiң екiншi типi жұйенi белгiлi бiр вирус тұрiн жҰқтырудан қорғайды. Дисктегi файлдар вирус оларды қсерленген деп қалатындай болып модификацияланады. Резиденттi вирустан қорғану ұшiн алып отырған файлдарды (COM, EXE, компьютердiң есiне вирус көшiрмесiне елiктеп, оны қайталайтын бағдарлама енгiзiледi, жiберу кезiнде вирус оған кездеседi де, жұйенi қсерленiп болған деп есептейдi.

Иммунитеттендiрудiң бҰндай типi қмбебап бола алмайды, өйткенi барлық белгiлi вирустарды файлдармен қайталатуға болмайды: бiр вирустар файлдарды олардың жасалу уақыты 62 секунд белгiсiн көрсетсе, ал екiншiлерi 60 секунд болса қсерленген деп есептейдi. Алайда, бҰған қарамастан, бҰндай иммунитеттeндiрушiлер жартылай өлшем ретiнде вирусқа қарсы сканерлермен детекторленгенше компьютердi жаңа белгiсiз вирустан сенiмдi қорғай алады.

3.4. Bирусқа қарсы бағдарламаларды қолдану әдiстемесi.

Компьютерде вирус табылған кезде ең баcтысы – дүрлiкпеу. Дүрбелең ешқашан жақсылыққа қкелмеген. Ойланбай жасалған қрекеттер көңiлсiз жағдайларға қкелiп соғуы мұмкiн.

Егер вирус  жаңа файлдардың iшiнен табылса жқне қлi жұйеге енбесе, тынышсызданудың ретi жоқ. БҰл файлды өлтiрiп ары қарай тыныш жҰмыс iстей беру керек. Вирусты дисктегi немесе жҰмыс жұктеу сғекторындағы бiрнеше файлдан тапқан жағдайда мқселе кұрделiрек болады, бiрақ бқрi бiр шешiледi. Егер компьютерде Ұзақ “өмiр сұрiп жатқанң қандай да бiр файлда қандай да бiр антивирус вирус тауып алса, бҰл жалған iстеп кету болғаны. БҰл тұсiнiксiз өйткенi файл бiрнеше рет жiберiлген, ал вирус басқа файлдарға ауыспаған. Файлдарды басқа антивирустармен тексерiп көру керек.

Егер компьтерде шынымен вирус табылса, онда былай iстеу керек:

Файлдық вирус табылған жағдайларда компьютердi байланыс жұйесiнен ажыратып, жұйе ұйымдастырушысына хабар беру қажет. Егер вирус қлi байланыс жұйесiне өтпесе, бұл сервердi жқне басқа жұмыс станцияларын вирустың өтiп кетуiнен сақтайды. Егер вирус серверге енiп қойған болса, байланыс жұйесiнен ажырату оның емделiп болғаннан кейiн компьютерге енуiне жол бермейдi. Байланыс жұйесiне қосылу барлық серверлер мен жҰмыс станциялары сөндiрiлгеннен кейiн ғана мұмкiн болады.

ЖҰмысты көбейтетiн вирус табылған кезде компьютердi байланыс жұйесiнен ажырату қажет емес.  БҰл типтi вирустар байланыс жұйесi бойынша таратылмайды.

Егер макровирус жҰққан болса, байланыс жұйесiнен ажыратудың орнына емделу уақытында барлық компьютерлерде сқйкес редакторлардың белсендi емес екендiгiне көз жеткiзу жеткiлiктi.

Файлдық немесе жҰмыс жұктейтiн вирустар табылғанда вирустың не резиденттi емес, не резиденттi бөлiгiнiң зиянсызданғанына көз жеткiзу қажет. Жiберген кезде кейбiр антивирустар автоматты тұрде жадтағы резиденттi вирустарды зиянсыздандырады. Вирусты жадтан алып тастау оның таратылуын тоқтату ұшiн қажет. Файлдарды сканерлеу кезiнде антивирустар оларды ашады, резиденттi вирустардың көбi бҰл оқиғаны iлiп алады да, ашылып жатқан файлдарды қсерлендiредi. Нқтижесiнде вирус естен алып тасталмаған соң файлдардың басым бөлiгi қсерленген болып шығады. Осы жағдай жҰмыс жұктейтiн вирустармен де болуы мұмкiн: тексерiлiп отырған дискеталардың бқрi қсерленген болып шығуы мұмкiн.

Егер пайдаланылып отырған антивирус естегi вирусты алып тастамаса, компьютерге қсерленбегенiн бiле тұрып, жазудан қорғалған жұйелiк дискетадан жҰмысты қайта жұктеу керек. Іайта жҰмыс жұктеу “суықң болуы тиiс. өйткенi кейбiр вирустар жылы қайта жұмыс жұктеу кезiнде де “тiрi қалуғаң мұмкiндiк беретiн тқсiлдердi қолданады, сондықтан қсерленген винчестер емес, жұйелiк дискетадан DOS жҰмыс жұктеуiне кепiлдiк беру үшiн BIOS жөнге салуында “А:С жұмыс жүктеу салдарың пунктiн тексеру қажет.

Вирусқа қарсы бағдарламалардың көмегi кезiнде қсерленген файлдарды қайта қалпына келтiру жқне содан соң олардың жұмысқа қабiлеттiлiгiн тексеру қажет. Емделу алдында немесе онымен бiр уақытта қсерленген файлдардың резервтi көшiрмелерiн жасау жқне басып шығару немесе қсерленген файлдардың тiзiмiн бiр жерде сақтау. БҰл егер антивирустың емдеушi модулiнде қате кетуiне байланысты емдеу ойдағыдай болмаса, не антивирус берiлген вирусты емдеуге қабiлетсiз болып шықса, фкайлды қайта қалпына келтiру ұшiн қажет болады. БҰл жағдайларда қандай да бiр басқа антивирустардың көмегiн қолдануға мқжбұр болады.

Әрине, резервтiк көшiрмедегi қсерленген файлдарды қайта қалпына келтiру әлдеқайда сенiмдiрек, бiрақ бқрi бiр антивирус қызметтерi де қажет болады. Мүмкiн, вирустың барлық көшiр-мелерi жойылмай қалған шығар, немесе егер backup-көшiрмедегi файлдар да қсерленген болып шықса.

Көптеген вирусқа қарсы бағдарламалардың файлдарды қайта қалпына келтiру сапасы аса жақсы емес екенiн айтып өту керек. Көптеген танымал антивирустар өте жиi файлдарды емдеудiң орнына жөнделместей етiп бҰзады.

ЖҰмыс жұктейтiн вирус болғанда, олардың жҰмыс жұктейтiн бе, жоқ па екендiгiне қарамастан, барлық дискеталарды тексеру қажет. Тiптi бос дискетаның өзi де вирус таратылуының көзi болып шыға алады - ол ұшiн оны диск жұргiзушiде Ұмытып кетiп, компьютерге қайта жҰмыс жұктеу жеткiлiктi.

4. Бұзылған объектiлердi қайта қалпына келтiру

4.1. Файл-құжаттар жқне таблицаларды қайта қалпына келтiру

Word жқне Excel-дi зиянсыздандыру ұшiн барлық қажеттi ақпаратты қҰжат еместер жқне таблица еместер форматтарында сақтау жеткiлiктi. Ең қолайлысы қҰрамында алғашқы қҰжаттар-дағы барлық ақпарат бар жқне макростар жоқ мқтiндiк RTF-формат болып табылады. Содан соң, Word немесе Excel-ден шығу, барлық қсерленген Word қҰжаттарды,Excel таблицаларды,  Word-тың NORMAL.DOT-ын жқне Word пен Excel-дiң StartUP каталогтарындағы барлық қҰжаттар/таблицаларды жою қажет. Осыдан кейiн Word жқне Excel-дi жiберу жқне RTF-файлдардағы қҰжаттар/таблицаларды қайта қалпына келтiру қажет болады.

Осы процедураның нқтижесiнде вирус жұйеден алынып таста-лады, ал барлық ақпарат өзгерiссiз қалады. Алайда бҰл қдiстiң кемшiлiктерi де бар. Солардың iшiндегi ең негiзгiсi - қҰжаттар мен таблицаларды, егер олардың саны көп болса, RTF-форматқа конверсиялаудың көп еңбектi қажет ететiндiгi. °рi Excel жағдайында қр Excel-файлдағы барлық Беттердiң (Sheets) бөлек-бөлек конверсиялау қажет. Екiншi кемшiлiк – жҰмыста пайдаланылатын вирустық емес макростарды жоғалту. Сондықтан сипатталған процедураны жiберер алдында – олардың шығу мқтiнiн сақтау, ал вирусты зиянсыздандырғаннан кейiн қажеттi макростарды алғашқы тұрiнде қайта қалпына келтiру қажет.

4.2. Жұмыс жүктеу секторларын қайта қалпына келтiру

   Секторларды қайта қалпына келтiру көп жағдайларда қарапайым операция болып табылады жқне DOS-тың SYS (дискеталардың жҰмыс жұктеу секторлары және винчестердiң логикалық дисктерi) немесе FDISK/MBR (винчестердiң Master Boot Record) бҰйрығының көмегiмен жасалады.

°рине, FORMAT утилитiн қолдануға да болады, бiрақ барлық жағдайларда SYS бҰйрығы жеткiлiктi.

Секторларды емдеудi тек жедел жадта вирyс  жоқ болған жағдайда ғана жұргiзу қажет екенiн есте сақтау керек. Егер жадтағы вирус көшiрмесi зиянсызданбаған болса, вирус коды алып тасталғаннан кейiн вирустың дискетаға немесе винчестерге қайта жҰғуы қбден мұмкiн.

FDISK/MBR–ды қолдану кезiнде де абай болу керек. БҰл бҰйрық жұйеге жҰмыс жұктеушi – бағдарлама кодын қайта көшiрiп жазады жқне дисктi бөлу таблицасын (Disk Partition Table) өзгертпейдi. FDISK/MBR жҰмыс жұктейтiн вирустарының көпшiлiгi ұшiн жұз пайыздық ем болып табылады, бiрақ, егер вирус Disk Partition Table-дi шифрлесе немесе қсерлеудiң стандартты емес тқсiлдерiн қолданса,  FDISK/MBR дисктегi ақпаратты толық жоғалтып алуға қкелiп соғуы мұмкiн. Сондықтан FDISK/MBR-ды жiберер алдында Disk Partition Table -дiң дҰрыстығына көз жеткiзу керек. Ол ұшiн зақымдалмаған DOS –дискетадан жҰмыс жұктеп алу жқне бҰл таблицаның дҰрыстығын тексеру қажет.

Егер SYS/FDISK көмегiмен секторларды қайта қалпына келтiру мұмкiн болмаса, вирус жұмысының алгоритмiн ұғынып алу, дискте алғашқы жұмыс жүктеушi MBR–секторды табу жқне оны заңды орнына ауыстыру қажет. Жүйелiк жұмыс жұктеушiлердi қайта жазу кезiнде ерекше абай болу қажет, өйткенi MBR секторын немесе жҰмыс жұктеу секторын дұрыс жөндемеу нәтижесiнде дисктегi барлық ақпаратты жоғалтып алуға болады.