Шпаргалка по "Информатике"

Сторожа могут обнаруживать даже неизвестные вирусы, если они  очень нагло себя ведут, например, пытаются отформатировать жёсткий  диск или внести изменения в системные  файлы или области диска на жёстком диске. Впрочем, некоторые  вирусы умеют обходить такой контроль. Более мелкие пакости вирусов(изменение  программных файлов, запись в системные  области дискет и т.д.) обычно не отслеживаются, так как эти действия выполняются  не только вирусами, но и многими  программами.

Если вирус не был обнаружен детектором или  сторожем, то результаты его деятельности –обнаружит программа-ревизор.

Как правило, программы-сторожа  должны работать на компьютере постоянно, детекторы – использоваться для  проверки поступающих из внешних  источников данных (файлов и дискет), а ревизоры – запускаться раз  в день для выявления и анализа  изменений на дисках.

7.3. Антивирусные комплексы.

Поскольку функции  детектора, ревизора и сторожа дополняют  друг друга, то в современные антивирусные комплекты программ обычно входят компоненты, реализующие все эти функции. При этом часто функции детектора  и ревизора совмещаются в одной  программе.

Пример: в антивирусном комплексе Norton antiviral функции детектора  и ревизора выполняет основная программа  комплекса (NAVW.EXE или NAVW32.EXE), а функции  сторожа – отдельная резидентная  программа (NAVTSR.EXE или NAVBRES.EXE).

В антивирусном комплекте DSAV фирмы «Диалог-Наука» функции  детектора и ревизора выполняются  отдельными программами (причём в качестве детекторов предлагается использовать сразу две программы – Aidstest и Dr.Web). Однако некоторые элементы интеграции в этом комплексе всё же есть: программа-ревизор Adinf может формировать  список измененных файлов, а программа Aidstest и Dr.Web – проверять файлы  только из этого списка. Это заметно  сокращает время проверки  жёстких дисков на наличие вирусов.

А в качестве фильтра  фирма «Диалог-Наука» предлагает аппаратно-программный  комплекс Sheriff, который позволяет  на аппаратном уровне выявлять и пресекать  нежелательную деятельность вирусов: изменение загрузочных областей дисков, системных файлов DOS, иных файлов по указанию пользователя. Такая защита гораздо надёжнее, чем программная, поскольку её ни один вирус обойти не может. Однако, Sheriff имеет и недостаток – он не проверяет запускаемые  программы на наличие вирусов.

7.4. Обновление антивирусных программ.

Для программ-детекторов следует периодически обновлять  их версии. Новые вирусы сейчас появляются каждую неделю, и при использовании  версий программ полугодовой или  годовой давности очень вероятно заражение таки вирусом, который  этим программам будет неизвестен.

Замечания. 1. Для  некоторых программ (например, Norton AntiVirus ) для обновления не надо покупать новую  версию программы, а следует переписать с помощью модема новую версию базы данных со сведениями о вирусах. Обычно это можно делать бесплатно.

2. Фирма «Диалог-Наука»  позволяет приобрести годовой  абонемент, позволяющий получать  самые последние версии программ Aidstest, Dr.Web, Adinf и AdinfExt по электронной  почте или через BBS фирмы «Диалог-Наука». При продлении годового абонемента  предоставляется скидка 50%. Последние  версии базы данных со сведениями  о вирусах для программы NortonAntiVirus можно бесплатно списать по  модему с FTP-сервера ftp. symantec. com или с WWW-сервера www. symantec. com. В  обоих случаях обновление версий  выполняется не одного раза  в месяц.

8. Действия при заражении вирусом.

8.1. Симптомы заражения вирусом.

Вы можете быть уверены, что на Вашем компьютере имеется вирус, если:

Программа-детектор сообщает о наличии известного ей вируса в оперативной памяти, в  файлах или системных областях на жёстком диске.

Программа-ревизор  сообщает об изменении файлов, которые  не должны изменяться. При этом изменение  часто выполняется необычным  способом, например, содержание файла  изменено, а время его модификации  – нет.

Программа-ревизор  сообщает об изменении главной загрузочной  записи жёсткого диска (Master Boot, она содержит таблицу разделения жёсткого диска ) или загрузочной записи (Boot record), а Вы не изменяли разбиение жёсткого диска, не устанавливали новую версию операционной системы и не давали иных поводов к изменению данных областей жёсткого диска.

Программа-сторож сообщает о том, что какая-то программа  желает форматироать жёсткий диск, изменять системные области жёсткого диска и т.д. , а Вы не поручали никакой программе выполнять  подобные действия.

Программа-ревизор  сообщила о наличии в памяти «невидимых» («стелс») вирусов. Это проявляется  в том, что для некоторых файлов или областей дисков при чтении средствами DOS и при чтении с помощью прямых обращений к диску выдаётся разное содержимое.

Вирус сам Вам  представился, выведя соответствующее  сообщение.

Вы можете подозревать  наличие вируса, если:

Антивирусная программа  сообщает об обнаружении неизвестного вируса.

На экран или  принтер начинают выводиться посторонние  сообщения, символы и т.д.

Некоторые файлы  оказываются испорченными.

Некоторые программы  перестают работать или начинают работать неправильно.

Работа на компьютере существенно замедляется.

Впрочем, похожие  явления могут вызываться не вирусом, а неправильно работающими программами, сбоями в аппаратуре и т.д.

8.2. Пять правил при заражении  компьютера вирусом.

При заражении компьютера вирусом ( или при подозрении на это ) важно соблюдать пять правил.

Прежде всего, не надо торопиться и принимать опрометчивых явлений. Как говориться, « семь раз  отмерь, один раз отрежь» - непродуманные  действия могут привести не только к потере части данных, которые  можно было бы восстановить, но и  к повторному заражению компьютера.

Тем не менее, одно действие должно быть выполнено немедленно. Если Вы не абсолютно уверены в  том, что обнаружили вирус до того, как он успел активизироваться на Вашем компьютере, то надо выключить  компьютер, чтобы вирус не продолжал  своих разрушительных действий.

Все действия по обнаружению  вида заражения и лечению компьютера следует выполнять только при  правильной загрузке компьютера с защищённой от записи «эталонной» дискеты с операционной системой. При этом следует использовать только программы ( исполнимые файлы ), хранящиеся на защищённых от записи дискетах. Несоблюдение этого правила может привести к очень тяжёлым последствиям, поскольку при загрузке DOS или запуске программы с заражённого диска в компьютере может быть активирован вирус, а при  работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

Лечение от вируса обычно несложно, но иногда ( при существенных разрушениях, причинённых вирусом) оно очень затруднительно. Если Вы не обладаете достаточными знаниями и опытом для лечения компьютера, попросите помочь Вам более опытных  коллег.

Лечение компьютера от вируса – процесс творческий, поэтому любые рекомендации по этому  поводу не надо воспринимать как догму. Тем более писатели вирусов нет-нет, да и придумают что-то новое, и  некоторые рекомендации по борьбе с  вирусами из-за этого устареют…

Замечание: некоторые  пользователи предпочитают лечить компьютер  при заражении вирусом, не загружаясь с «чистой» дискеты, считая, что так  удобнее. Что ж, раньше были хирурги, не считавшие нужным мыть руки перед  операциями. Одни больные выздоравливали, а другие умирали от внесённой  инфекции…

9. Раннее обнаружение вируса.

Если Вы используете  резидентную программу-сторожа для  защиты от вируса, то наличие вируса можно обнаружить на самом раннем этапе, когда вирус ещё не успел  активизироваться, заразить другие программы  или диски и испортить какие-либо данные. Например, при обращении  к дискете программа-сторож может  вывести сообщение, что на диске  имеется загрузочный вирус, и  предложить его удалить. Тогда для  удаления вируса достаточно согласиться  с предложением программы-сторожа. Никаких других действий в этом случае предпринимать не надо. Аналогично, если при проверке полученной со стороны  дискеты или скачанного по электронной  почте файла программами-детекторами  типа Aidstest, Dr.Web и т.д. было получено сообщение, что дискета или файл содержит вирус, то надо вылечить только эту  дискету или файл (разумеется, если Вы не загружались с дискеты и  не запускали полученные программные  файлы ).

10. Выяснение сведений о вирусе.

Если какая-либо из программ-детекторов сообщит о  том, что она нашла известный  ей вирус, то желательно прочесть в  её документации или встроенном справочнике  сведения о данном типе вируса. Например, в комплект поставки программ-детекторов Aidstest и Dr.Web входят текстовые файлы  с описаниями знакомых им вирусов. Сведения о вирусах позволят Вам оценить  возможные последствия заражения  и выбрать необходимые меры по их устранению. Например, если компьютер  оказался заражён неопасным загрузочным  вирусом, то кроме удаления вируса с  жёсткого диска и дискет, которыми Вы пользовались, делать ничего не надо. А устранение последствий устранения вирусом, изменяющим случайно выбранные  участки диска, могут быть гораздо  серьёзнее – обычно при этом приходиться  заново устанавливать все пакеты программ с дистрибутивов, а собственные  данные – с резервных копий.

11. Удаление вирусов.

Если какая-либо из программ-детекторов обнаружила вирус, то следует с помощью этой программы  излечить или удалить заражённые объекты. Как правило, для системных  областей диска программа-детектор предлагает выбрать их излечение  или оставление без изменений, а  для файлов – лечение, удаление или  оставление без изменений. Удаление заражённых файлов обычно предпочтительнее их лечения, если заражённый файл входит в пакет программ, который можно  заново установить с дистрибутивных дисков.

Чтобы не пропустить вирус в каком-либо файле, желательно задать режим поиска вируса во всех файлах, а вен только в программных  файлах, а также режим поиска в  архивах. Если Вы используете архивы видов, не поддерживаемых программой-детектором, то может потребоваться распаковать  архив во временны каталог и проверить  его содержимое программой-детектором.

Если Вы лечили ( а не удаляли ) какие-либо файлы, рекомендуется  ещё раз проверить компьютер  всеми имеющимися детекторами на отсутствие вирусов – ведь некоторые  файлы могли быть заражены несколькими  вирусами, «наслаивающимися» один на другой.

Замечание: Norton AntiVirus для Windows поддерживает архивы формата .ZIP, Norton AntiVirus для Windows 95 - . ZIP и LZH, Dr.Web - . ARJ, . ZIP, . LZH, . RAR, . ZOO и . ICE, а Aidstest – не умеет искать вирусы в архивах  вообще.

12. Что могут и чего не могут  компьютерные вирусы.

12.1. Вирусофобия.

У многих пользователей  компьютеров из-за незнания механизма  работы компьютерных вирусов, а также  под влиянием различных слухов и  некомпетентны публикаций в печати, создаётся своеобразный комплекс боязни вирусов («вирусофобия»). Этот комплекс имеет два проявления.

Склонность приписывать  любое повреждение данных или  необычное явление на компьютере действию вирусов. Например, если у  «вирусофоба» не форматируется дискета, то он объясняет это не дефектами  дискеты или дисковода, а действием  вирусов. Если программа «зависает», то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные  явления на компьютере чаще вызваны  ошибками пользователя, программ или  дефектами оборудования, чем действием  вирусов.

Преувеличенные  представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод заражённую дискету, чтобы компьютер  заразился вирусом. Распространено также мнение, что для компьютеров, объединённых в сеть, или даже просто стоящих в одной комнате, заражение  одного компьютера обязательно тут  же приведёт к заражению остальных.

12.2. И её последствия.

Вирусофобия вообще не так безобидна, как это может  показаться на первый взгляд. Она приводит, например, к следующим последствиям.

Принятие неадекватных, я бы даже сказал, экстремистских, мер  при появлении вируса или даже при подозрении на наличии вируса.

Неоправданная изоляция от окружающего мира из-за боязни заражения  вирусами.

Расплывчатые (мягко  выражаясь ) представления многих руководителей  о способностях вирусов позволяют  многим пользователям и программистам  ссылаться на вирусы как на причину  любых задержек и трудностей. К  сожалению, в большинстве случаев  фраза «Я всё сделал(а), но тут  появился вирус и всё испортил»  означает, что за работу вообще не принимались.

Лучшим лекарством от вирусофобии является знание того, как работают вирусы, что они могут  и чего они не могут. Вирусы  являются обычными программами и не могут совершать никаких сверхъестественных действий.

13. Что могут вирусы.

Хотя вирусы –  это всего лишь программы, но зачастую они сделаны с весьма большой  изобретательностью и коварством. Так, некоторые вирусы могут :

Обманывать резидентные  программы-сторожа, например, выполняя заражение и порчу информации не с помощью вызова функций операционной системы, а посредством прямого  обращения к программам ввода-вывода BIOS или даже портам контроллера жёстких  дисков или дискет.

Выживать при  перезагрузке – как при нажатии Ctrl Alt Del, так и при загрузке с  чистой системной дискеты после  нажатия кнопки «Reset» или выключения и включения компьютера.

Заражать файлы  в архивах (для извлечения файлов из архива и помещения их в архив  вызывается программа-архиватор, а  вывод на экран при этом блокируется ).

Заражать файлы  только при помещении их на дискеты  или в архивы (маскируясь тем самым  от обнаружения программами-ревизорами).

Бороться с антивирусными  программами, например, уничтожая их файлы или портя таблицы со сведениями о файлах программы-ревизора.

Долгое время  никак не проявлять своего присутствия, активизируясь через несколько  недель или даже месяцев после  заражения компьютера.

Шифровать системные  области дисков или данные на диске, так что доступ к ним  становиться возможен только при наличии данного вируса в памяти.