Для борьбы с вирусами используются. Реферат: Борьба с компьютерными вирусами

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

Обнаружение вирусов в КС;

Блокирование работы программ-вирусов;

Устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных действий вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

Удаление вирусов;

Восстановление (при необходимости) файлов, областей памяти.

Восстановление системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу деструктивных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами, подразделяемые на:

Методы обнаружения вирусов;

Методы удаления вирусов.

Методы обнаружения вирусов:

- сканирование (осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называют полифагами). Пример – Aidstest Дмитрия Лозинского;

- обнаружение изменений (базируется на использовании программ-ревизоров, которые определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков, по результата которых программа выдает сообщение о предположительном наличии вирусов. Недостатки метода – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными; вирусы будут обнаружены только после размножения в системе);

- эвристический анализ (позволяет определить неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе. Сущность метода – проверка возможных сред обитания вирусов и выявление в них команд (групп команд), характерных для вирусов (команды создания резидентных модулей в ОП, команды прямого обращения к дискам, минуя ОС);

- использование резидентных сторожей (основан на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ: при выполнении каких-либо подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентный сторож выдает сообщение пользователю. Недостаток – значительный процент ложных тревог, что мешает работе и вызывает раздражение пользователя);

- вакцинирование программ (создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом пользователю. Метод позволяет обнаруживать все вирусы, в т.ч. и незнакомые, за исключением «стелс»-вирусов);

- аппаратно-программная защита от вирусов (самый надежный метод защиты. В настоящее время используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Можно устанавливать защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.).

Достоинства программно-аппаратных средств перед программными:

Работают постоянно;

Обнаруживают все вирусы, независимо от механизма их действия;

Блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один – зависимость от аппаратных средств ПЭВМ, изменение которых ведет к необходимости замены контроллера.

Методы удаления последствий заражения вирусами:

Существует два метода удаления последствий воздействия вирусов антивирусными программами:

первый – предполагает восстановление системы после воздействия известных вирусов (разработчики программы-фага, удаляющей вирус, должен знать структуру вируса и его характеристики размещения в среде обитания);

второй – позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами (для восстановления файлов программа восстановления должна заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вирусов. Имея информацию о незараженном файле и используя сведения об общих принципах работы вирусов, осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то восстановление возможно только с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход – уничтожить файл и восстановить его вручную).

Случилось. Нежелательный кусок вредоносного программного обеспечения проник и запущен на вашем компьютере.

Что же делать в случае заражения компьютера вредоносным ПО? Предоставляем на ваш выбор множество полезных инструментов для самостоятельной борьбы с вредоносными программами.

Хотя каждая из этих угроз имеет свои собственные определения, часто используемые одинаковые термины взаимозаменяемые но могут означать разные вещи для разных ситуаций.


вредоносные программы это все то что мешает нормально работать и безопасно пользоваться интернетом

С таким количеством вредоносных программ и множеством различных системных настроек, мы не можем охватить каждый конкретный случай. Но мы можем дать вам несколько общих направлений, чтобы помочь вам найти нужную вам помощь.

Что делать в первую очередь, если вирус попал на компьютер

Первый шаг заключается в том, что бы выявить какая у вас есть проблема. Когда вредоносная программа внедряется, вы иногда получаете сообщение об ошибке, иногда и этого не происходит.

Поэтому следите за произошедшими изменениями, такими как замедление в работе системы, веб-браузер, открывающий бесконечные всплывающие окна или его заторможенность, и и вызывают сбой.

У большинства машин есть какая-то , даже если это просто инструмент Защитника Windows, встроенный в Windows 10.


Windows защитник предлагает квалифицированную базовую защиту от вредоносных программ для пользователей Windows 10.

Меню пуск ⯮ Параметры ⯮ Обновление и безопасность ⯮ Защитник Windows ⯮ Открыть центр безопасности Защитника Windows

Дополнительное программное обеспечение безопасности для macOS не так важно, потому что интегрированные средства защиты очень эффективны, но это не значит умный бит вредоносной программы не может получить доступ в системные файлы.

Установленный инструмент безопасности необходимо обязательно обновлять. Появились подозрения что вас атаковали, выполните тщательное сканирование системы. Не знаете, как это сделать? Само приложение должно иметь инструкции для запуска полного сканирования. Это всегда первый шаг в борьбе с вредоносными программами и вирусами.

Если ваш антивирусный инструмент не видит ничего плохого, а проблемы остались, или не может справиться с тем, что он нашел. Значит придется применять другие меры по борьбе в заразой проникшей на компьютер.

Поиск способов борьбы с конкретными угрозами

Если на вашем компьютере отображаются определенные симптомы, например, сообщение с определенным кодом ошибки или угрожающее , запустите веб-поиск для получения дополнительной информации на своем телефоне или другом компьютере

Наш совет искать помощь в Интернете может показаться, наивным. Но это часто лучший способ справиться с самыми новейшими угрозами. По данным антивирусных служб, ежедневно появляется не менее 300 новых кибер угроз.

Чтобы избавиться от ошибки, которая перегрузила встроенные антивирусные защиты вашего компьютера, вы должны следовать обновленным инструкциям. В противном случае вы можете непреднамеренно ухудшить ситуацию.

Как только в интернете появятся новые угрозы, компании по безопасности быстро публикуют исправления и инструменты борьбы с вредоносным ПО. Вот почему важно поддерживать связь с новейшими технологическими новостями.

Если ваша существующая антивирусная программа не может на данном этапе обнаружить вредоносный код, проверьте онлайн, что компании выпустили специальные инструменты для решения новой проблемы, с которой вы столкнулись.



В зависимости от того, что покажут ваши исследования и антивирусные проверки, подумайте о том, чтобы отключить компьютер от Интернета, чтобы остановить распространение вредоносного ПО и защитить файлы от повреждения.

Применение узко специальных инструментов по требованию

На этом этапе вы уже проверили свой компьютер на наличие вредоносных программ, используя обычное программное обеспечение для обеспечения безопасности, и провели некоторое исследование того, что надо делать.

Но если у вас все еще осталась проблема или ваши поисковые запросы не принесли ответа, вы можете применить сканеры вредоносных программ, онлайн.

Эти программы не требуют особых знаний для установки, и могут выступать в качестве полезных помощников для ваших существующих антивирусных приложений.

Список ссылок на скачивание бесплатных вирусных сканеров для домашнего использования

    Бесплатные сканеры или ознакомительные версии антивирусных программ.

  1. - это диагностический инструмент, предназначенный для поиска и удаления вредоносных программ с компьютеров Windows.
  2. - пакет безопасности все-в-одном включают в себя много дополнительных инструментов и функций, в том числе защиту от вирусов.
  3. - используются передовые технологии, такие как машинное обучение, чтобы защитить вас от фишинга и других типов мошеннического контента. - Bitdefender Virus Scanner легко обнаруживает вредоносное ПО на MacOS
  4. - бесплатный сканер вирусов Kaspersky Security Scan
  5. антивирусных продуктов Avira
  6. от шпионских программ. (Malwarebytes for Windows, Malwarebytes for Mac, Malwarebytes for Android)

Существуют и другие антивирусные сканеры, которые могут применяться для дополнительной проверки операционной системы, они тоже будут устранять проблемы и предоставлять вашим средствам безопасности помощь.

Но возможно что их код, внедренный в вашу систему, может привести сбою в работе имеющихся средств обеспечения безопасности, и они не будут работать должным образом.

В случае если вирус заблокировал доступ к Интернету, вы должны использовать другой компьютер для загрузки одной из этих программ по требованию на USB-накопитель, а затем запустить сканирование вирусов на зараженной машине.

✔ ✔ Если после проверки антивирусными программами и всеми подряд предложенными антивирусными сканерами ошибки или сбои продолжают иметь место, значит это может быть связано с другими факторами - от плохо установленного обновления до отказавшего жесткого диска. ✔ ✔

Удалить и сбросить

Как только вы исчерпали решения для обеспечения безопасности, у вас все еще есть пара других вариантов.

⯮ Просмотр установленных приложений и расширений браузера и удаление любых, которые вы не знаете или больше не нуждаетесь.

Проблема с этим методом заключается в том, что вы можете случайно удалить часть программного обеспечения, которая окажется жизненно важной. Рекомендуем найти в Интернете дополнительную информацию по приложению и надстройке которую вы хотите удалить.

⯮ Более радикальный, но чрезвычайно эффективный способ действий - вычистить компьютер, переустановить операционную систему и начать все с нуля.



Сброс и переустановка операционной системы может уничтожить любую вредоносную программу.

Переустановка операционной системы и возвращение компьютера к заводским условиям, сейчас стала намного проще, чем раньше.

Это оно! Благодаря сочетанию методов удаления, существующего (встроенного) программного обеспечения, сканеров по требованию и даже переустановке системы, вы должны теперь эффективно устранить все проблемы, возникшие на вашем компьютере. Это на 90% снизит ваши затраты по ИТ-ремонту.

Только проведя все эти мероприятия и не добившись успеха, вы с чистой совестью можете идти в ремонтную мастерскую, что бы исправить то что по силам только дипломированным специалистам.

Предотвращение будущих проблем.

Проактивная защита вашего компьютера от вредоносного ПО - это целая история, но здесь краткое изложение основ.

Будьте осторожны с открытием ссылок и вложений, а также с файлами которым вы разрешаете загружаться на своем компьютере.

Помните, что большинство вирусов и вредоносных программ найдут свой путь к вашему компьютеру через вашу электронную почту или веб-браузер, поэтому используете здравый смысл и будьте осторожны с тем, что вы открываете и загружаете.

Установите надежный антивирус, которому вы можете доверять. Для Windows 10 включенная программа Защитника Windows является надежным инструментом безопасности, даже если вы ничего не добавляете.

Хотя количество зловредных программ, ориентированных на компьютеры Apple растет, они остаются все еще более безопасными, чем машины Windows.

Не забывайте что macOS в основном защищен от вирусов, если вы устанавливаете программы только через App Store и внимательно следите за подключениям странных USB-накопителей, которые вы нашли на улице.

Убедитесь, что ваше программное обеспечение всегда исправлено и обновлено.

Большинство браузеров и операционных систем будут автоматически обновляться в фоновом режиме, но вы можете проверить наличие ожидающих исправлений в Windows, открыв Меню пуск ⯮ Параметры ⯮ Обновление и безопасность ⯮ Проверка наличия обновлений.

На компьютере MacOS просто откройте App Store и перейдите на вкладку «Обновления», чтобы узнать, доступно ли что то, что вы еще не загрузили.

Всегда будьте начеку, ведь вредоносные программы это постоянно обновляемые угрозы.

Тема. Компьютерные вирусы

1. Классификация компьютерных вирусов

1.1. Файловые вирусы

1.2. Загрузочные вирусы

2. Методы и средства борьбы с вирусами

3. Профилактика заражения вирусами

«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения в компьютерных системах. Вирусам свойственно изменение и уничтожение ПО или данных, хранящихся в вычислительных системах. Помимо этого, в процессе распространения вирусы могут себя модифицировать.

На сегодняшний день в мире насчитывается свыше 40 тысяч зарегистрированных компьютерных вирусов.

Компьютерные вирусы (КВ) классифицируются по следующим признакам:

Ê по среде обитания;

Ê по способу заражения;

Ê по степени опасности деструктивных (вредительских) воздействий;

Ê по алгоритму функционирования.

По среде обитания вирусы делятся на:

F сетевые;

F файловые;

F загрузочные;

F комбинированные.

Сетевые вирусы распространены как элементы компьютерных сетей.

Файловые – размещаются в исполняемых файлах.

Загрузочные – в загрузочных секторах внешних ЗУ (boot-секторах).

Комбинированные – размещаются в нескольких средах обитания. Такие вирусы размещаются как в загрузочных секторах на магнитных дисках, так и в теле загрузочных файлов.

По способу заражения среды обитания КВ делятся на:

F резидентные;

F нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из сети, загрузочного сектора, файла в оперативную память ЭВМ.

Нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, считается нерезидентным. Вредительские действия КВ зависят от целей и квалификации их создателей.

По степени опасности для информационных ресурсов пользователя КВ подразделяются на: безвредные; опасные; очень опасные .

Безвредные – не приносящие ущерб ресурсам компьютерных систем. Результатом действия таких вирусов является вывод на экран невинных текстов, картинок, исполнение музыкальных фрагментов и т.п. Но при всей безобидности такие вирусы приводят к расходу ресурсов системы, снижая эффективность ее функционирования. Помимо этого, при модернизации операционной системы или аппаратных средств вирусы, созданные ранее, могут привести к нарушениям штатного алгоритма работы системы.

Опасные – вызывающие существенное снижение эффективности компьютерной системы, но не приводящие к нарушению целостности и конфиденциальности информации. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи.

Очень опасные – вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, блокирование доступа к информации, отказ аппаратных средств. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, шифруют данные и т.д.

Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных ЗУ.

В последнее время наблюдается воздействие на психику человека-оператора ЭВМ с помощью подбора видеоизображения с определенной частотой (каждый 25-й кадр). Такие встроенные кадры наносят серьезный ущерб психике человека.

Согласно особенностям алгоритма функционирования вирусы можно разделить на два класса:

1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, которые, в свою очередь, делятся на две группы:

· вирусы-«спутники» (companion);

· вирусы-«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия – в создании копий исполняемых файлов.

Например. В MS DOS такие вирусы создают копии для файлов с расширением.EZE. Копия остается с тем же именем, а расширение изменяется на.COM. При запуске с общим именем операционная система загружает первым файл с расширением.COM , являющийся программой-вирусом. Файл-вирус запускает затем файл с расширением.EZE.

Вирусы-«черви» не изменяют файлов и не записываются в загрузочные секторы дисков. Они попадают в рабочую станцию по сети и рассылаются далее по другим абонентам сети. Одни вирусы-«черви» создают рабочие копии вируса на диске, другие – размещаются только в оперативной памяти ЭВМ.

2) вирусы, изменяющие среду обитания при распространении, делятся на:

  • студенческие;
  • «стелс» - вирусы (вирусы-невидимки);
  • полиморфные.

Студенческие – нерезидентные, содержат ошибки, которые легко обнаружить и удалить.

«Стелс» - вирус – резидентный, маскируется под программы ОС, может перемещаться в памяти, активизируется при возникновении прерываний, выполняет определенные действия, в том числе и по маскировке, и только затем управление передаётся на программы ОС, обрабатывающие эти прерывания. Вирусы-невидимки способны противодействовать резидентным антивирусным средствам.

Полиморфные – не имеют постоянных опознавательных групп – сигнатур (двоичная последовательность или последовательность символов), однозначно идентифицирующих зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов с тем, чтобы избежать многократного заражения одних и тех же объектов, которые могут повысить вероятность обнаружения вируса.

«Стелс» - вирусы и полиморфные создаются квалифицированными специалистами, которые хорошо знают работу аппаратных средств и операционной системы и владеют навыками с машиноориентированными системами программирования.

Удобство работы с известными вирусами предоставляют каталоги вирусов, где содержатся сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие деструктивной функции и ошибки.

Файловые вирусы – могут внедряться только в исполняемые файлы: командные файлы (состоящие из команд ОС), саморазархивирующиеся файлы, пользовательские и системные программы, документы (таблицы), имеющие макрокоманды. Вирус может внедряться в файлы следующих типов: командные (BAT), загружаемые драйверы (SYS), программы в машинных кодах (EZE, COM), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS).

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.

Заголовок вируса

В начало файла вирус внедряется одним из трех способов:

1. начало файла переписывается в конец, а вирус занимает освободившееся место;

2. считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла;

3. вирус записывается в начало файла без сохранения содержимого, что приводит к неработоспособности файла.

В середину файла вирус внедряется следующими способами: файл «раздвигается» и в освободившееся место записывается вирус; а также вирус внедряется в середину файла без сохранения участка файла, на место которого поместился вирус. Например, вирус Mutant применяет метод сжатия отдельных участков файла, при этом первоначальная длина файла после внедрения вируса не изменяется.

Внедрение вируса в конец файла наиболее распространено. Как и в случае внедрения вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса.

Особое место среди файловых вирусов занимают макровирусы, представляющие собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др. (редакторы MS Word, MS Office, MS Excel, использующие макроязыки Word Basic, Visual Basic).

Загрузочные вирусы заражают загрузочные (Boot) сектора гибких дисков и Boot – сектора или Master Boot Record (MBR) жестких дисков.

Заголовок вируса Тело вируса

Загрузочные вирусы являются резидентными. Заражение происходит при загрузке ОС с дисков. Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в ОП, заражает загрузочные сектора всех гибких дисков, а не только системные диски. Если диск был заражен, то этого достаточно для заражения ЭВМ. Чаще всего это происходит при перезагрузке ОС после «зависания» или отказов ЭВМ.

Методы и средства борьбы с вирусами

Антивирусные средства применяются для решения таких задач, как:

F обнаружение вирусов в компьютерных системах;

F блокирование работы программ-вирусов;

F устранение последствий программ-вирусов.

При обнаружении вируса необходимо сразу прекратить работу программы –вируса, чтобы минимизировать ущерб от его воздействия. Следует заметить, что не существует антивирусных средств, которые гарантировали бы обнаружение всех возможных вирусов. Для борьбы с вирусами используются программные, аппаратно-программные средства, которые применяются в определенной последовательности и комбинации. Существуют методы обнаружения и методы удаления вирусов.

К методам обнаружения вирусов относятся:

ü сканирование – самый простой метод обнаружения ошибок. Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Самой известной программой-вирусом в России является Aidstest Дмитрия Лозинского;

ü обнаружение изменений – осуществляется программами-ревизорами, которые определяют и запоминают характеристики всех областей на дисках, где обычно размещаются вирусы. Программы-ревизоры запоминают в специальных файлах области главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, контролируют объем установленной оперативной памяти и т.д.

Достоинство – возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов. Программы-ревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор Adinf , разработанная Д.Ю.Мостовым, работает с диском непосредственно по секторам через BIOS.

Недостаток – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы обнаруживаются только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы подвергнуты частым изменениям.

ü эвристический анализ – для обнаружения вирусов используется не так давно. Сущность эвристического анализа – в проверке возможных сред обитания вирусов и выявлении в них команд таких, как команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. При их обнаружении эвристические анализаторы выдают сообщение о возможном заражении. Такой анализатор имеется в антивирусной программе Doktor Web .

ü использование резидентных сторожей - основан на применении программ, постоянно находящихся в ОП ЭВМ. При выполнении какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентным сторожем пользователю выдается сообщение. Недостаток – выдача большого процента ложных тревог, что отрицательно сказывается на работе пользователя. Примером данного метода является программа Vsafe , входящая в состав MS DOS.

ü вакцинирование программ – это создание специального модуля для контроля ее целостности. При заражении вакцинированного файла, модуль контроля обнаруживает изменение контрольной суммы и выдает об этом сообщение. Данный метод обнаруживает все вирусы, за исключением «стелс»-вирусов.

ü аппаратно-программная защита – самая надежная защита от вирусов. Для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускаются. Следовательно, установить защиту можно на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

Преимущества аппаратно-программных антивирусных средств перед программными следующие:

e работают постоянно;

e обнаруживают все вирусы, независимо от механизма их действия;

e блокируют запрещенные действия, вызванные работой вируса или неквалифицированным пользователем.

Недостаток – зависимость от аппаратных средств ПЭВМ, так как их изменение ведет к необходимости замены контроллера.

Примером аппаратно-программной защиты является комплекс Sheriff .

Классификация компьютерных вирусов

Лекция 10. Компьютерные вирусы и механизмы борьбы с ними

Контрольные вопросы

1. Дайте определение несанкционированного доступа к информации.

2. Сравните два подхода к организации разграничения доступа.

3. Поясните принцип действия и концепцию создания системы разграничения доступа.

4. Приведите примеры современных систем защиты ПЭВМ и их возможности.

5. Поясните сущность защиты информации от копирования.

6. Какие методы применяются для защиты программных средств от исследования?


10.1. Классификация компьютерных вирусов

10.2. Методы и средства борьбы с вирусами

10.3 Профилактика заражения вирусами компьютерных систем

Литература:

1. Завгородний В.И. комплексная защита информации в компьютерных системах: Учебное пособие. – Логос, 201. – С.159-179.

Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность для информации в КС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возможностей КС и чрезмерное преувеличение опасности вирусов. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к мини-

муму вероятность заражения и потерь от их воздействия.

Термин "компьютерный вирус" был введен сравнительно недавно - в середине 80-х годов. Малые размеры, способность быстро распространяться, размножаясь и внедряясь в объекты (заражая их), негативное воздействие на систему - все эти признаки биологических вирусов присущи и вредительским программам, получившим по этой причине название "компьютерные вирусы". Вместе с термином "вирус" при работе с компьютерными вирусами используются и другие медицинские термины: "заражение", "среда обитания", "профилактика" и др.

"Компьютерные вирусы" - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.

В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам :


По среде обитания;

По способу заражения;

По степени опасности деструктивных (вредительских) воздействий;

По алгоритму функционирования.

Посреде обитания

Сетевые;

Файловые;

Загрузочные;

Комбинированные.

Средой обитаниясетевых вирусов являются элементы компьютерных сетей.Файловые вирусы размещаются в исполняемых файлах.Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми.Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.

Поспособу заражения среды обитания компьютерные вирусы делятся на:

Резидентные;

Нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. В отличие от резидентныхнерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.

Арсенал деструктивных или вредительских возможностей компьютерных вирусов весьма обширен. Деструктивные возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.

Постепени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:

- безвредные вирусы;

- опасные вирусы;

- очень опасные вирусы.

Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности программиста. Другими словами, создание компьютерных вирусов для таких людей - своеобразная попытка самоутверждения. Деструктивное воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т.п.

Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы мо­гут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.

К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.

Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.п.

Известны публикации, в которых упоминаются вирусы, вызывающие неисправности аппаратных средств. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например, в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и, может быть, создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.

Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.

Возможны также воздействия на психику человека - оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека. В 1997 году 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению. Предполагают, что именно таким образом была опробована возможность воздействия на человека с помощью встраивания 25-го кадра .

В соответствии сособенностями алгоритма функционирования вирусы можно разделить на два класса:

Вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

Вирусы, изменяющие среду обитания при распространении.

В свою очередь, вирусы,не изменяющие среду обитания, могут быть разделены на две группы:

- вирусы - "спутники" (companion);

- вирусы - "черви" (worm).

Вирусы - "спутники" не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS DOS такие вирусы создают копии для файлов, имеющих расширение.ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на.СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением.ЕХЕ.

Вирусы - "черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы,изменяющие среду обитания, делятся на:

- студенческие;

- "стелс" - вирусы (вирусы-невидимки);

- полиморфные.

К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.

"Стелс" - вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

"Стелс" - вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. "Стелс"- вирусы обладают способностью противодействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока:

Блок заражения (распространения),

Блок маскирования и

Блок выполнения деструктивных действий.

Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются, либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.

1. Файловые вирусы

Структура файлового вируса. Файловые вирусы могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды. Макрокоманды или макросы представляют собой исполняемые программы для автоматизации работы с документами (таблицами). Поэтому такие документы (таблицы) можно рассматривать как исполняемый файл.

Для IBM - совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макро вирусы могут внедрятся и в другие файлы, содержащие макрокоманды.

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла (рис.10.1).

Компьютерный вирус становится опасным только после запуска компьютером вирусной программы. Способность к самовоспроизводству является отличительным свойством живых организмов, но тысячи компьютерных вирусов научились размножаться и распространяться самостоятельно. Они могут самостоятельно заражать сотни компьютеров, реализуя другое свойство живых организмов – стремление к захвату новых территорий.

Для современных вирусов характерен так же и «инстинкт самосохранения» , который проявляется в том, что вирус пытается, прежде всего, повредить потенциально опасные антивирусные программы. В этом случае, работу компьютерных вирусов можно сравнить с главной проблемой конца XX начала XXI века, то есть с вирусом СПИДа. Он поражает в первую очередь иммунную систему организма, тем самым лишая организм возможности бороться за выживание.

Со временем, вирусы научились мимикрировать , то есть «притворяться» безопасными, даже полезными программами. Раньше это свойство считали характерным только для вируса животного мира.

Компьютерные вирусы уязвимы: самые простые и безобидные могут быть легко уничтожены антивирусными программами, в то время как более сильные и высокоорганизованные вирусы вполне могут и обойти защиту и успеть заразить ещё несколько компьютеров.

Естественно, вирусы, которые создаются на базе других, ранее созданных вирусов, более сильные и более приспособленные к новым условиям. И тем труднее найти на них управу. Но наше счастье в том, что в царстве компьютерных вирусов не реализовано несколько других важных свойств живых организмов: в частности, вирусы могут себя копировать, но ещё не научились самостоятельно мутировать. Пока не научились...

Пока у компьютеров отсутствует стремление к самосохранению и система, блокирующая потенциально опасные команды. Но это положение продлится недолго.

У крупнейших компаний есть предложения на создание операционной системы Nitix , которая сравнивается с иммунной системой человеческого организма. В этой системе безопасность поставлена на первое место.

Способ действия заключается в том, что если сети, управляемой системой Nitix , подключается компьютер, несущий вирус, пытающийся загрузить некий опасный код с определённого адреса, то система блокирует его действия. Дальше срабатывает принцип компьютерного иммунитета: система запоминает URL -адрес, с которого была проведена попытка заражения, и передаёт его копию на все машины, подключённые к сети, блокируя в дальнейшем все попытки обращения по этому адресу. То есть происходит изоляция компьютера от сети. Практически так же работает и иммунитет в человеческом организме. После контакта с вирусом в крови остаются антитела, которые мгновенно блокируют повторные попытки заражения. На этом и основан принцип вакцинации людей.

Если у человеческого организма есть хоть какая-то защита, то как же быть с компьютерами? Но не всё так плохо. На данный момент для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые называют антивирусами . Можно различить следующие виды этих программ:

  • Программы-детекторы
  • Программы-доктора или фаги
  • Программы-ревизоры
  • Программы-фильтры
  • Программы-вакцины ли иммунизаторы
  • Программы-сторожа

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующие сообщения. Но у этих программ есть существенный минус – они могут находить только те вирусы, которые известны разработчикам этих программ

Программы-доктора или фаги , а также программы-вакцины не только находят заражённые вирусами файлы, но и «лечат» их, удаляя из файла тело программы-вируса, тем самым, возвращая файлы в исходное состояние. Сначала фаги ищут вирусы в оперативной памяти, уничтожая их, и только потом приступают к «лечению» файлов. Среди фагов выделяются полифаги – программы-доктора предназначенные для поиска и уничтожения большого количества вирусов. Среди них наиболее известны: Doctor Web, Scan, Aidstest, Norton AntiVirus. Но у этих программ тоже есть минус – они быстро устаревают, а, следовательно, постоянно требуют обновления.

Программы-ревизоры (ревизор – значит проверяющий) можно отнести к наиболее надёжным средствам защиты компьютера от вирусов. Они запоминают исходное состояние программ, системных областей диска и компьютера, когда компьютер ещё не был заражён вирусом. Затем программа периодически или по желанию пользователя сравнивает текущее состояние с исходным. Обнаруженные изменения выводятся на монитор. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают Stealth -вирусы , могут очистить версии проверяемой программы от изменений, вносимых вирусом. Наиболее распространённая программа-ревизор – это Adinf .

Программы-фильтры или «сторожа» - небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе ПК, характерных для вирусов. Такими действиями могут быть:

  • Попытки коррекции файлов с расширениями СОМ, ЕХЕ.
  • Изменение атрибутов файла.
  • Прямая запись на диск по абсолютному адресу.
  • Запись в загрузочные сектора диска.

Программы-фильтры весьма полезны, так как они способны обнаружить вирус на самой ранней стадии его существования в ПК. Но они не способны «лечить» файлы. Поэтому для идеального использования и защиты ПК, нужно применять дополнительно и другие программы, способные уничтожить вирус. К недостаткам программ-сторожей относится их назойливость, а также возможны конфликты с другим программным обеспечением.

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Их применяют, если отсутствуют программы, «лечащие» тот или иной вид вируса. В настоящее время программы-вакцины имеют ограниченное применение.

Профилактика заражения компьютерными вирусами

Следует соблюдать следующие правила:

  1. Оснастите свой компьютер современными антивирусными программами и постоянно обновляйте их.
  2. Перед считыванием с носителей информации, записанной на других компьютерах, поверяйте эти носители на наличие вирусов, запуская антивирусные программы.
  3. При переносе на свой компьютер файлов в архивированном виде, поверяйте их сразу же после разархивации на жёстком диске, ограничивая область проверки только вновь записанными файлами.
  4. Периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищённых от записи дискет, предварительно загрузив операционную систему с защитой от записей с системной дискеты
  5. Всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации.
  6. Обязательно делайте архивные копии на дискетах информации особенно ценной для Вас.
  7. Не оставляйте в кармане дисковода А дискеты при включении или перезагрузки оперативной системы, чтобы исключить заражение компьютера загрузочными вирусами.
  8. Используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.
  9. Проверяйте e-mail , даже если письмо пришло от хорошо известного вам человека (это обусловлено не тем, что он хочет Вам навредить, а из-за того, что он полный Lamer (бестолковый пользователь), а его комп заражён).

    10. Пользователи, здоровье Ваших компьютеров, сохранность Ваших данных в Ваших руках!

  10. Резервное копирование информации (создание копий файлов и системных областей жестких дисков);
  11. Избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются с компьютерными программами;
  12. Перезагрузка компьютера перед началом работы, в частности, с случае, если за этим компьютером работали другие пользователи;
  13. ограничение доступа к информации, в частности физическая защита носителей информации во время копирования файлов с неё;
  14. Разные антивирусные программы.

Способы противодействия компьютерным вирусам можно разделить на несколько групп:

профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;

методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;

способы обнаружения и удаления неизвестного вируса.

Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы. Однако сразу хотелось бы отметить, что не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, и заявления о существовании таких систем можно расценить как либо недобросовестную рекламу, либо непрофессионализм. Таких систем не существует, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса (обратное, к счастью, тоже верно: на любой алгоритм вируса всегда можно создать антивирус). Более того, невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства - Фред Коэн.

Следует также обратить внимание на несколько терминов, применяемых при обсуждении антивирусных программ:

«ложное срабатывание» (False positive) - детектирование вируса в незараженном объекте (файле, секторе или системной памяти). Обратный термин - «False negative», т.е. недетектирование вируса в зараженном объекте;

«сканирование по запросу» («on-demand»).- поиск вирусов по запросу пользователя. В этом режиме антивирусная программа неактивна до тех пор, пока не будет вызвана пользователем из командной строки, командного файла или программы-расписания (system scheduler);

«сканирование на-лету» («real-time», «on-the-fly») - постоянная проверка на вирусы объектов, к которым происходит обращение (запуск, открытие, создание и т.п.). В этом режиме антивирус постоянно активен, он присутствует в памяти «резидентно» и проверяет объекты без запроса пользователя.

Copyright МБОУ "Гимназия ¹ 75" г. Казань 2014

Исследование

Цели исследования:

выявить уровень знаний преподавателей и учащихся гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.

Похожие публикации
© 2024. orln.ru Интернет. Компьютеры. Windows. Android. Все права защищены