كيف تعمل فيروسات الكمبيوتر. فيروسات الكمبيوتر. مبادئ التشغيل وطرق الحماية من فيروسات الكمبيوتر

10.7. فيروسات الكمبيوتر

معلومات عامة

غالبًا ما يواجه مستخدمو الكمبيوتر أحد أنواع جرائم الكمبيوتر - فيروسات الكمبيوتر. هذا الأخير هو نوع خاص من البرامج الضارة التي تسبب الكثير من المتاعب للمستخدمين وموظفي صيانة أجهزة الكمبيوتر.

فيروس الكمبيوتر هو برنامج قادر على التكرار الذاتي والتكاثر ، والذي يتم إدخاله في برامج أخرى.

التشابه بين مفاهيم الكمبيوتر والفيروسات البيولوجية واضح. ومع ذلك ، ليس كل برنامج يمكنه نسخ نفسه هو فيروس كمبيوتر. دائما ما تصيب الفيروسات تلف- تتداخل مع التشغيل العادي لجهاز الكمبيوتر ، وتدمر بنية الملف ، وما إلى ذلك ، وبالتالي يتم تصنيفها على أنها برامج ضارة.

المظهر التاريخي فيروسات الكمبيوترمرتبطة بفكرة إنشاء آليات إعادة إنتاج ذاتيًا ، ولا سيما البرامج التي نشأت في الخمسينيات. في عام 1951 ، اقترح J. von Neumann طريقة لإنشاء مثل هذه الآليات ، وتم تطوير اعتباراته بشكل أكبر في أعمال باحثين آخرين. أول ما ظهر كان برامج الألعاب التي تستخدم عناصر تقنية الفيروسات المستقبلية ، وبعد ذلك ، وعلى أساس النتائج العلمية والعملية المتراكمة ، بدأ بعض الأفراد في تطوير برامج إعادة إنتاج ذاتيًا من أجل إلحاق الضرر بمستخدمي الكمبيوتر.

ركز مبتكرو الفيروسات جهودهم في مجال أجهزة الكمبيوتر بسبب كتلتها وغيابها شبه الكامل وسيلة فعالةالحماية على مستوى الأجهزة وعلى مستوى نظام التشغيل. ومن بين الدوافع التي تدفع مؤلفي الفيروسات ما يلي:

· الرغبة في "إزعاج" شخص ما ؛

· الحاجة غير الطبيعية لارتكاب جرائم ؛

· الرغبة في تأكيد الذات والإيذاء وفي نفس الوقت سوء فهم لجميع عواقب انتشار الفيروس ؛

· عدم القدرة على استخدام معرفتهم بطريقة بناءة (هذه مشكلة اقتصادية أكثر) ؛

· الثقة في الإفلات الكامل من العقاب (في عدد من البلدان لا توجد معايير للمسؤولية القانونية عن خلق وانتشار الفيروسات).

القنوات الرئيسية لدخول الفيروسات إلى كمبيوتر شخصيهي أجهزة تخزين على وسائط قابلة للإزالة ووسائل اتصال الشبكة ، ولا سيما الشبكة إنترنت.

ولوحظت أولى حالات الإصابة الجماعية بالفيروسات في عام 1987 ، عندما ظهر ما يسمى بالفيروس الباكستاني ، الذي أنشأه الأخوان أمجات وبازيت علوي. وهكذا قرروا معاقبة الأمريكيين الذين اشتروا نسخًا رخيصة غير قانونية البرمجياتفي باكستان ، حيث بدأ الأخوان يصابون بالفيروس المتطور. أصاب الفيروس أكثر من 18000 جهاز كمبيوتر في الولايات المتحدة ، وبعد أن قام برحلة حول العالم ، انتهى به الأمر في الاتحاد السوفيتي آنذاك. كان الفيروس التالي المعروف على نطاق واسع هو فيروس Lehigh (فيروس Lehigh) ، الذي انتشر في الجامعة الأمريكية الذي يحمل نفس الاسم. في غضون أسابيع قليلة ، قام بتدمير محتويات عدة مئات من الأقراص المرنة من مكتبة مركز الحوسبة بالجامعة والأقراص المرنة الشخصية للطلاب. بحلول فبراير 1989 ، تأثر حوالي 4000 جهاز كمبيوتر بهذا الفيروس في الولايات المتحدة.

في المستقبل ، بدأ عدد الفيروسات وعدد أجهزة الكمبيوتر المصابة بها في الازدياد مثل الانهيار الجليدي ، الأمر الذي استدعى اتخاذ إجراءات عاجلة ، فنية وتنظيمية وقانونية. ظهرت أدوات مختلفة لمكافحة الفيروسات ، ونتيجة لذلك بدأ الوضع يشبه سباق التسلح ووسائل الحماية ضدها. وقد تحقق تأثير معين نتيجة اعتماد عدد من البلدان المتقدمة لقوانين تشريعية بشأن جرائم الكمبيوتر ، من بينها المواد المتعلقة بإنشاء وانتشار فيروسات الكمبيوتر.

يوجد حاليًا أكثر من 20 ألف فيروس في العالم ، بما في ذلك السلالات ، أي. أنواع الفيروسات من نفس النوع. لا تتعرف الفيروسات على الحدود ، لذا فإن معظمها يدور أيضًا حول روسيا. علاوة على ذلك ، كان هناك اتجاه نحو زيادة عدد الفيروسات التي طورها المبرمجون المحليون. إذا لم يتغير الوضع ، فستتمكن روسيا في المستقبل من المطالبة بدور القائد في مجال إنشاء الفيروسات.

تصنيف الفيروسات

تتضمن دورة حياة فيروسات الكمبيوتر عادةً المراحل التالية:

1. فترة الكمون التي لا يتخذ فيها الفيروس أي إجراء ؛

2. فترة الحضانة التي يتكاثر فيها الفيروس فقط ؛

3. فترة نشطة يتم خلالها ، جنبًا إلى جنب مع التكاثر ، تنفيذ إجراءات غير مصرح بها ، والتي يتم تضمينها في خوارزمية الفيروس.

تعمل المرحلتان الأوليان على إخفاء مصدر الفيروس وقناة اختراقه وإصابة أكبر عدد ممكن من الملفات قبل اكتشاف الفيروس. يمكن تحديد مدة هذه المراحل من خلال الفاصل الزمني المنصوص عليه في الخوارزمية ، وحدوث حدث ما في النظام ، ووجود تكوين معين لأجهزة الكمبيوتر (على وجه الخصوص ، وجود محرك أقراص ثابت) ، إلخ.

الحاسوب يتم تصنيف الفيروسات حسب الميزات التالية :

· موطن ؛

· طريقة تلوث البيئة.

· طريقة التنشيط

· طريقة الظهور (الإجراءات المدمرة أو الآثار المسببة) ؛

· طريقة اخفاء.

يمكن للفيروسات أن تصيب البرامج فقط والتي بدورها يمكن احتواؤها إما في ملفات أو في بعض مكونات منطقة نظام القرص المشاركة في عملية التمهيد نظام التشغيل. وفق موطنتميز:

· فيروسات الملفاتالتي تصيب الملفات القابلة للتنفيذ ؛

· فيروسات التمهيد ، والتي تصيب مكونات منطقة النظام المستخدمة أثناء تمهيد نظام التشغيل ؛

· فيروسات تمهيد الملفات ، دمج ميزات أول مجموعتين.

فيروسات الملفات يمكن أن تصيب:

· برامج الجهاز القابلة لإعادة تحديد الموضع المستقلة الموجودة في ملفات COM ؛

· برامج الآلة القابلة للنقل المعتمدة على الموضع الموضوعة في ملفات EXE ؛

· برامج تشغيل الأجهزة (ملفات SYS و BIN) ؛

· ملفات ذات مكونات DOS ؛

· وحدات الكائن (ملفات OBJ) ؛

· الملفات التي تحتوي على برامج بلغات البرمجة (بناءً على تجميع هذه البرامج) ؛

· ملفات الدُفعات (ملفات BAT) ؛

· مكتبات الكائنات والرموز (LIB- وملفات أخرى) ؛

· ملفات التراكب (OVL- و PIF- وملفات أخرى).

في أغلب الأحيان ، يمكن أن تصيب فيروسات الملفات ملفات COM و / أو EXE.

فيروسات التمهيد يمكن أن تصيب:

· قطاع التمهيد على الأقراص المرنة ؛

· قطاع التمهيد للقرص المنطقي للنظام الذي تم إنشاؤه على القرص الصلب ؛

· محمل الإقلاع خارج النظام على القرص الصلب.

يتم توزيع فيروسات التمهيد على الأقراص المرنة على أمل أن يحاولوا التمهيد منها ، وهو ما لا يحدث كثيرًا. فيروسات الملفات لديها عدوى أعلى.

تعد فيروسات تمهيد الملفات أكثر عدوى لأنها يمكن أن تنتشر في ملفات البرامج وعلى أقراص البيانات.

طرق تلوث الموائل ، تعتمد على نوع الأخير. تسمى البيئة المصابة بالفيروس حامل الفيروس. أثناء الزرع ، يمكن تحديد موقع جسم فيروس الملف:

في نهاية الملف

في بداية الملف

· في منتصف الملف ؛

· في الجزء الخلفي (المجاني) من الكتلة الأخيرة التي يشغلها الملف.

أسهل طريقة لتنفيذ إدخال فيروس في نهاية ملف COM . عند الحصول على السيطرة ، يقوم الفيروس بتحديد ملف الضحية وتعديله على النحو التالي:

1. إلحاق نسخته الخاصة (جسم الفيروس) بالملف ؛

2. يحتفظ ببداية الملف الأصلية في هذه النسخة ؛

3. يستبدل البداية الأصلية للملف بأمر لنقل التحكم إلى جسم الفيروس.

عند إطلاق برنامج مصاب بالطريقة الموصوفة ، يبدأ إعدام جسم الفيروس مبدئيًا ، ونتيجة لذلك:

1. تمت استعادة البداية الأصلية للبرنامج (ولكن ليس في الملف ، ولكن في الذاكرة!) ؛

2. ربما تم العثور على ضحية أخرى وإصابتها ؛

3. ربما يتم تنفيذ إجراءات غير مصرح بها من قبل المستخدم ؛

4. يتم نقل التحكم إلى بداية برنامج ناقل الفيروس ، ونتيجة لذلك يتم تنفيذه بالطريقة المعتادة.

يتم زرع الفيروس في بداية ملف COM بطريقة مختلفة: يتم إنشاء ملف جديد ، وهو اتحاد جسم الفيروس ومحتويات الملف الأصلي. تؤدي الطريقتان الموصوفتان لإدخال الفيروس إلى زيادة طول الملف الأصلي.

يعد زرع الفيروس في منتصف الملف هو الأكثر تعقيدًا وتخصصًا. تكمن الصعوبة في حقيقة أنه في هذه الحالة يجب على الفيروس "معرفة" بنية ملف الضحية (على سبيل المثال ، COMMAND.COM) حتى يتمكن من التسلل ، على وجه الخصوص ، إلى منطقة المكدس. وصفها طريقة الزرع لا تؤدي إلى زيادة في طول الملف.

يمكن أن يكون مظهر (الإجراءات المدمرة) للفيروسات:

· التأثير على أداء الكمبيوتر الشخصي ؛

· تلف ملفات البرنامج ؛

· تلف ملف البيانات ؛

· تنسيق قرص أو جزء منه ؛

· استبدال المعلومات الموجودة على القرص أو جزء منه ؛

· تشويه النظام أو محمل القرص غير النظام ؛

· تدمير اتصال الملف عن طريق تشويه جدول FAT ؛

· تلف البيانات في ذاكرة CMOS.

يُطلق على معظم فيروسات المجموعة الأولى التي تسبب تأثيرات بصرية أو صوتية بشكل غير رسمي اسم "المتخيلون". يمكن لفيروسات أخرى من نفس المجموعة أن تبطئ جهاز الكمبيوتر أو تتداخل مع التشغيل العادي للمستخدم ، وتعديل وظائف البرامج التي يتم تنفيذها ، وكذلك نظام التشغيل وتعيقها. غالبًا ما يطلق على فيروسات جميع المجموعات الأخرى اسم "المخربين" بسبب الضرر الذي تسببه ، كقاعدة عامة ، لا يمكن إصلاحه.

وفق طرق التنكر تميز:

· فيروسات غير مقنعة

· فيروسات التشفير الذاتي ؛

فيروسات التخفي.

أولى مؤلفو الفيروسات الأولى اهتمامًا خاصًا بآليات التكاثر (النسخ المتماثل) مع إدخال الجثث في برامج أخرى. لم يتم إخفاء أدوات مكافحة الفيروسات. تسمى هذه الفيروسات غير قابلة للقناع.

مع ظهور أدوات مكافحة الفيروسات ، ركز مطورو الفيروسات جهودهم على توفير إخفاء لمنتجاتهم. أولاً ، تم تنفيذ فكرة التشفير الذاتي للفيروسات. في الوقت نفسه ، يتوفر جزء صغير منه فقط للقراءة الهادفة ، ويتم فك تشفير الباقي قبل بدء الفيروس مباشرة. يجعل هذا النهج من الصعب اكتشاف الفيروس وتحليل جسمه من قبل المتخصصين.

ظهرت فيروسات التخفي أيضًا ، سميت على اسم مشروع واسع النطاق لإنشاء طائرة خفية. طرق التمويه التي تستخدمها فيروسات التخفي معقدة ويمكن تقسيمها تقريبًا إلى فئتين:

1. إخفاء وجود فيروس في برنامج يحمل فيروسات ؛

2. اخفاء وجود فيروس مقيم في RAM.

1. التعديل التلقائي لجسم الفيروس ؛

2. تنفيذ تأثير حذف جسم الفيروس من حامل الفيروس عندما تتم قراءة الأخير من القرص ، على وجه الخصوص ، بواسطة مصحح الأخطاء (يتم ذلك عن طريق اعتراض المقاطعة ، بالطبع ، إذا كان هناك فيروس مقيم في ذاكرة الوصول العشوائي) ؛

3. زرع جسم الفيروس في ملف دون زيادة حجمه ؛

4. تأثير ثبات طول الملف المصاب (يتم تنفيذه بشكل مشابه للبند 2) ؛

5. الحفاظ على البداية الأصلية لملفات البرنامج دون تغيير.

على سبيل المثال ، عند قراءة دليل باستخدام DOS ، يمكن للفيروس المقيم اعتراض المقاطعة المقابلة وتقليل طول الملف بشكل مصطنع. بالطبع ، لا يتغير الطول الحقيقي للملف ، ولكن يتم تزويد المستخدم بمعلومات تخفي زيادته. من خلال العمل مع الدلائل مباشرة (تجاوز أدوات DOS) ، يمكنك الحصول على معلومات حقيقية حول خصائص الملف. يتم توفير هذه الفرص ، على وجه الخصوص ، من خلال قذيفة Norton Commander.

1. إدخال نوع الفيروس في منطقة خاصة من الوحدات المقيمة في DOS ، في الأجزاء الخلفية من المجموعات ، في ذاكرة CMOS ، وذاكرة الفيديو ، وما إلى ذلك ؛

2. تعديل قائمة المحمل غير التابعة للنظام ، كما ذكرنا سابقًا ؛

3. التلاعب بمعالجات المقاطعة ، على وجه الخصوص ، الطرق الخاصة لاستبدالها ، من أجل تجاوز أدوات مكافحة الفيروسات المقيمة ؛

4. تعديل المبلغ الإجمالي لذاكرة الوصول العشوائي.

أثناء العمل اليومي ، يكون المستخدم قادرًا على اكتشاف الفيروس من أعراضه . بطبيعة الحال ، يتم تحديد أعراض الفيروس بشكل مباشر من خلال طرق الظهور المحققة فيه ، وكذلك الخصائص الأخرى للفيروس. فيما يلي أعراض الفيروسات:

· زيادة عدد الملفات على القرص ؛

· انخفاض في الحرة ذاكرة الوصول العشوائي;

· تغيير وقت وتاريخ إنشاء الملف ؛

· زيادة حجم ملف البرنامج ؛

· ظهور مجموعات معيبة مسجلة على القرص ؛

· تشغيل غير طبيعي للبرنامج ؛

· تباطؤ البرنامج

· يضيء مصباح محرك الأقراص في وقت لا ينبغي فيه الوصول إلى القرص ؛

· زيادة ملحوظة في وقت الوصول إلى القرص الصلب ؛

· فشل في تشغيل نظام التشغيل ، ولا سيما تجميده ؛

· عدم القدرة على تمهيد نظام التشغيل

· تدمير هيكل الملف (اختفاء الملفات ، تشويه الدلائل).

إلى جانب فيروسات الكمبيوتر ، هناك برامج خطيرة أخرى ، على سبيل المثال ، ما يسمى ب "الديدان" ، والتي يشار إليها رسميًا باسم مكررات. السمة الرئيسية الخاصة بهم هي القدرة على التكاثر دون أن يتم تقديمها في برامج أخرى. يتم إنشاء أجهزة النسخ المتماثل بغرض الانتشار عبر عقد شبكة الكمبيوتر وقد تكون مليئة بالفيروسات على وجه الخصوص. في هذا الصدد ، يمكن رسم تشبيه بين "الدودة" والقنبلة الكروية.

مثال على النسخ المتماثل هو برنامج Christmas Tree ، الذي يرسم شجرة عيد الميلاد على شاشة العرض ثم يرسل نسخًا من نفسه إلى جميع عناوين البريد الإلكتروني المسجلة.

تصنيف العوامل المضادة للفيروسات.

يوجد حاليًا عدد كبير من أدوات مكافحة الفيروسات. ومع ذلك ، فجميعها لا تتمتع بخصائص الشمولية: فكل منها مصمم لفيروسات معينة ، أو أنه يحجب بعض قنوات إصابة أجهزة الكمبيوتر أو انتشار الفيروسات. في هذا الصدد ، يمكن اعتبار تطبيق أساليب الذكاء الاصطناعي على مشكلة إنشاء أدوات مكافحة الفيروسات مجال بحث واعد.

أداة مكافحة الفيروسات هي منتج برمجي يؤدي وظيفة أو أكثر من الوظائف التالية:

1. حماية بنية الملف من التلف ؛

2. الكشف عن الفيروسات

تحييد الفيروسات.

مرشح الفيروسات (رجل مراقبة) يسمى البرنامج المقيم الذي يوفر التحكم في تنفيذ الإجراءات المميزة للفيروسات ويتطلب تأكيد المستخدم لتنفيذ الإجراءات. يتم التحكم عن طريق استبدال معالجات المقاطعات المقابلة. يمكن أن تكون الإجراءات الخاضعة للرقابة:

· تحديث ملفات البرنامج ؛

· الكتابة المباشرة إلى القرص (عن طريق العنوان الفعلي) ؛

· تنسيق القرص

· وضع المقيمين للبرنامج في RAM.

كاشف هو برنامج يبحث عن الفيروسات على كل من وسائط التخزين الخارجية وذاكرة الوصول العشوائي. نتيجة تشغيل الكاشف هي قائمة بالملفات و / أو المناطق المصابة ، مما قد يشير إلى الفيروسات المحددة التي أصابتهم.

تنقسم أجهزة الكشف إلى عالمي (مدققين) ومتخصصين. كاشفات عالميةالتحقق من سلامة الملفات عن طريق حساب المجموع الاختباري ومقارنته بالمعيار. المعيار إما محدد في الوثائق الخاصة بمنتج البرنامج ، أو يمكن تحديده في بداية تشغيله.

كواشف متخصصة مهيأ لفيروسات معينة ، واحد أو أكثر. إذا كان الكاشف قادرًا على اكتشاف عدة فيروسات مختلفة ، فسيتم استدعاؤه متعدد الكاشف. يعتمد عمل الكاشف المتخصص على البحث عن سطر من التعليمات البرمجية ينتمي إلى فيروس معين ، ربما يكون محددًا بتعبير عادي. هذا الكاشف غير قادر على اكتشاف جميع الفيروسات المحتملة.

مطهر (طبيب فج) هو برنامج يزيل الفيروس مع أو بدون استعادة الموطن. يشوه عدد من الفيروسات البيئة بحيث لا يمكن استعادة حالتها الأصلية.

أكثر أجهزة الكشف عن العاثيات شهرة هي حزم البرامجمجموعة أدوات مكافحة الفيروسات Pro يفجيني كاسبيرسكي وشركة DrWeb Dialog.

جهاز تحصين (مصل) يشير إلى برنامج يمنع فيروسات معينة من تلويث البيئة أو الذاكرة. تحل أجهزة التحصين مشكلة إبطال مفعول الفيروس ليس بالقضاء عليه ، بل بإعاقة قدرته على التكاثر. هذه البرامج حاليا لا تستخدم عمليا.

طرق الحماية من فيروسات الكمبيوتر

عند الحماية من فيروسات الكمبيوتر ، فإن تعقيد التدابير المتخذة ، التنظيمية والفنية ، أكثر أهمية من أي وقت مضى. في مقدمة "دفاعها" ، يُنصح بوضع وسائل حماية البيانات من التدمير ، ورائها - وسائل الكشف عن الفيروسات ، وأخيراً ، وسائل تحييد الفيروسات.

يجب استخدام وسائل حماية البيانات من الضياع والتدمير المحتملين في جميع الأوقات وبشكل منتظم . بالإضافة إلى ذلك ، يجب الالتزام بالتوصيات التنظيمية التالية للتخلص من الإصابة بالفيروس:

· استخدم الأقراص المرنة كلما أمكن ذلك مع إغلاق فتحة الحماية ضد الكتابة ،

· لا تستخدم الأقراص المرنة غير المعروفة إلا في حالة الضرورة القصوى ؛

· لا تعطي الأقراص المرنة لأشخاص آخرين ؛

· لا تقم بتشغيل البرامج التي يكون الغرض منها غير واضح ؛ استخدام منتجات البرامج المرخصة فقط ؛

· تقييد الوصول إلى جهاز الكمبيوتر من قبل أشخاص غير مصرح لهم.

إذا كنت بحاجة إلى استخدام منتج برنامج تم الحصول عليه من مصدر غير معروف ، فيوصى بما يلي:

· اختبار منتج البرنامج بأجهزة الكشف المتخصصة عن وجود فيروسات معروفة. من غير المرغوب فيه وضع أجهزة الكشف على قرص ثابت - لهذا تحتاج إلى استخدام قرص مرن محمي ضد الكتابة.

· عمل نسخة احتياطية من ملفات منتج البرنامج الجديد ؛

· نسخ ملفاتك احتياطيًا ، حيث يلزم وجودها لتشغيل البرنامج الجديد ؛

· تنظيم عملية تجريبية لمنتج برمجي جديد على خلفية مرشح فيروسات مع ردود متعمدة على رسائله.

يجب أن تصبح الحماية من فيروسات الكمبيوتر جزءًا من مجموعة من التدابير لحماية المعلومات في كل من أجهزة الكمبيوتر الفردية وأنظمة المعلومات الآلية ككل.

بيزروكوف ن. فيروسات الكمبيوتر. - م: نوكا ، 1991. - 160 ص.

[

الفيروسات.

من المستحيل حل مشكلة الكشف النظري عن الفيروسات ، لذلك ، من الناحية العملية ، يتعين على المرء حل مشاكل معينة تتعلق بحالات معينة من البرامج الضارة. اعتمادًا على خصائص الفيروسات ، يمكن اكتشافها وتحييدها باستخدام أساليب مختلفة. وتجدر الإشارة إلى أنه من الناحية العملية تختلف التصنيفات المعتمدة من قبل مختلف الشركات المصنعة للمنتجات المضادة للفيروسات ، على الرغم من أنها مبنية على مبادئ مماثلة. لذلك ، في سياق العرض التقديمي ، ستتم صياغة المبادئ أولاً وقبل كل شيء ، وعندها فقط أمثلة من التصنيف.
التعريف العملي للفيروسيعد تعريف فيروس الكمبيوتر مشكلة تاريخية ، لأنه من الصعب تقديم تعريف واضح للفيروس ، مع تحديد الخصائص المتأصلة في الفيروسات فقط ولا تنطبق على أنظمة البرامج الأخرى. على العكس من ذلك ، عند إعطاء تعريف صارم للفيروس كبرنامج له خصائص معينة ، يمكنك على الفور تقريبًا العثور على مثال لفيروس ليس له مثل هذه الخصائص. وإليك عدة تعريفات: حسب الترتيب الزمني ، فإن التعريف الأول مأخوذ من Eugene Kaspersky (كتاب "فيروسات الكمبيوتر"): التعريف 1:الخاصية الملزمة (الضرورية) لفيروس الكمبيوتر هي القدرة على إنشاء نسخ مكررة خاصة به (ليست بالضرورة متطابقة مع الأصل) وحقنها في شبكات الكمبيوتر و / أو الملفات ، ومناطق نظام الكمبيوتر والكائنات الأخرى القابلة للتنفيذ. في الوقت نفسه ، تحتفظ التكرارات بالقدرة على زيادة التوزيع. التعريف وفقًا لـ GOST R 51188-98:
التعريف 2:الفيروس هو برنامج قادر على إنشاء نسخ منه (ليست بالضرورة مطابقة للأصل) وحقنها في الملفات ، ومناطق نظام الكمبيوتر ، وشبكات الكمبيوتر ، وكذلك تنفيذ إجراءات تدميرية أخرى. في نفس الوقت ، تحتفظ النسخ بالقدرة على التوزيع الإضافي. يصنف فيروس الكمبيوتر على أنه برامج ضارة. من السهل أن ترى أن التعريف في GOST يكرر بالكامل تقريبًا تعريف E. Kaspersky.

يكرر التعريفان 1 و 2 إلى حد كبير تعريف F. Cohen أو التنقيح الذي اقترحه D. Chess و S. كل هذه البرامج أو حتى كل "تجسيدات" أحد الفيروسات. ومع ذلك ، من الناحية العملية ، اتضح أنه يمكن اكتشاف جميع الفيروسات المعروفة بواسطة برامج مكافحة الفيروسات. تتحقق النتيجة بشكل خاص أيضًا بسبب حقيقة أن النسخ التالفة أو غير الناجحة من الفيروسات ، غير القادرة على إنشاء نسخها وتنفيذها ، يتم اكتشافها وتصنيفها على قدم المساواة مع جميع الفيروسات "الكاملة" الأخرى. لذلك ، من وجهة نظر عملية ، أي من وجهة نظر خوارزميات البحث ، فإن القدرة على التكاثر ليست ضرورية على الإطلاق لتصنيف البرنامج كفيروس. تكمن مشكلة أخرى مرتبطة بتعريف فيروس الكمبيوتر في حقيقة أن الفيروس اليوم غالبًا ما يُفهم ليس فيروسًا "تقليديًا" ، ولكن تقريبًا أي برنامج ضار. يؤدي هذا إلى حدوث ارتباك في المصطلحات ، مما يزيد من تعقيدًا حقيقة أن جميع برامج مكافحة الفيروسات الحديثة تقريبًا قادرة على اكتشاف هذه الأنواع من البرامج الضارة ، وبالتالي يصبح ارتباط البرامج الضارة بالفيروسات أكثر وأكثر استقرارًا. بناءً على ذلك ، وكذلك الغرض من مكافحة الفيروسات الأدوات ، من الآن فصاعدًا ، إذا لم يتم تحديدها بشكل منفصل ، فسيتم فهم الفيروسات على أنها البرمجيات الخبيثة. التعريف 3:برنامج ضار - برنامج كمبيوتر أو رمز محمول مصمم لتنفيذ التهديدات على المعلومات المخزنة في CS ، أو لإساءة الاستخدام الخفي لموارد CS ، أو أي تأثير آخر يتعارض مع الأداء الطبيعي لـ CS. تشمل البرامج الضارة فيروسات الكمبيوتر وأحصنة طروادة والديدان وغيرها. تعد فيروسات الكمبيوتر وأحصنة طروادة والفيروسات المتنقلة الأنواع الرئيسية من البرامج الضارة.
الفيروسات

التعريفات الكلاسيكية لفيروس الكمبيوتر مذكورة أعلاه.

دورة الحياةبسبب ال سمة مميزةالفيروسات بالمعنى التقليدي هي القدرة على التكاثر داخل جهاز كمبيوتر واحد ، ويحدث تقسيم الفيروسات إلى أنواع وفقًا لأساليب التكاثر ، ويمكن تقسيم عملية التكاثر نفسها إلى عدة مراحل: 1. الاختراق في الكمبيوتر 2. تنشيط الفيروسات البحث عن كائنات للعدوى 4. تحضير النسخ الفيروسية 5. إدخال النسخ الفيروسية

تولد ميزات تنفيذ كل مرحلة سمات ، تحدد مجموعتها بالفعل فئة الفيروس.

اختراق

تخترق الفيروسات جهاز الكمبيوتر مع الملفات المصابة أو الكائنات الأخرى (قطاعات تمهيد القرص المرن) ، وعلى عكس الديدان ، لا تؤثر على عملية الاختراق بأي شكل من الأشكال. لذلك فإن احتمالات الاختراق تتحدد بالكامل بإمكانيات الإصابة وتصنف الفيروسات وفق هذه المراحل. دورة الحياةلا يوجد معنى منفصل.

التنشيط

لتنشيط الفيروس ، يجب السيطرة على الكائن المصاب. في هذه المرحلة يحدث انقسام الفيروسات حسب أنواع الكائنات التي يمكن أن تصاب بالعدوى:

1. فيروسات التمهيد - الفيروسات التي تصيب قطاعات التمهيد للوسائط الدائمة والقابلة للإزالة. 2- فيروسات الملفات - الفيروسات التي تصيب الملفات. تنقسم هذه المجموعة أيضًا إلى ثلاثة ، اعتمادًا على البيئة التي يتم فيها تنفيذ الكود: · في الواقع ملف فيروسات - تلك التي تعمل مباشرة مع موارد نظام التشغيل. Email-Worm.Win32.Bagle يمكن أن يلاحظ من بين أحدث البرامج الضارة البرامج التي لها وظائف الفيروسات. p (بالإضافة إلى تعديلاته. q و. r). Macroviruses - الفيروسات المكتوبة بلغة الماكرو وتنفيذها في بيئة أي تطبيق. في الغالبية العظمى من الحالات ، نتحدث عن وحدات الماكرو في مستندات Microsoft Office.

يمكن أن تصيب فيروسات الماكرو ليس فقط مستندات Microsoft Word و Excel. هناك أيضًا برامج ضارة تستهدف أنواعًا أخرى من المستندات: Macro.Visio.Radiant يصيب ملفات برنامج الرسم التخطيطي المعروف -Visio ، Virus.Acad.Pobresito - مستندات AutoCAD ، Macro.AmiPro.Green - وثائق الكلمة الشائعة سابقًا معالج Ami Pro.

فيروسات البرامج النصية - الفيروسات التي يتم تنفيذها في بيئة قذيفة أوامر محددة: في وقت سابق - ملفات bat في غلاف أوامر DOS ، والآن في كثير من الأحيان VBS و JS - البرامج النصية في غلاف أوامر Windows Scripting Host (WSH). بشكل منفصل ، تجدر الإشارة إلى حقيقة أن الفيروسات ، المصممة للعمل في بيئة نظام تشغيل أو تطبيق معين ، غير قابلة للتشغيل في بيئة أنظمة تشغيل وتطبيقات أخرى. لذلك ، تم تحديد البيئة التي يمكن تشغيلها فيها كسمة منفصلة للفيروس. بالنسبة لفيروسات الملفات ، فهذه هي DOS و Windows و Linux و MacOS و OS / 2. بالنسبة لفيروسات الماكرو - Word و Excel و PowerPoint و Office. يحتاج الفيروس أحيانًا إلى إصدار معين من نظام التشغيل أو التطبيق ليعمل بشكل صحيح ، ثم يتم تحديد السمة بشكل أكثر تحديدًا: Win9x و Excel97. البحث عن الضحايا في مرحلة البحث عن الأشياء التي تصيبها ، هناك طريقتان تتصرف بهما الفيروسات ، والبحث عن الضحايا بشكل مستمر ، حتى نهاية البيئة التي تعمل فيها. فيروسات من النوع الثاني في أيام المهمة الواحدة كان يطلق على DOS عادة المقيم. مع الانتقال إلى Windows ، لم تعد مشكلة البقاء في الذاكرة ذات صلة: فجميع الفيروسات التي يتم تنفيذها في بيئة Windows ، وكذلك في بيئة تطبيق MS Office ، هي فيروسات من النوع الثاني. على العكس من ذلك ، فإن فيروسات البرامج النصية هي من النوع الأول. وفقًا لذلك ، تنطبق السمة المقيمة فقط على فيروسات ملفات DOS. وجود غير مقيم فيروس Windowsممكن ، لكن في الممارسة العملية هم استثناء نادر. بشكل منفصل ، من المنطقي النظر في ما يسمى بالفيروسات الخفية - الفيروسات التي ، أثناء وجودها باستمرار في الذاكرة ، تعترض الوصول إلى ملف مصاب وتزيل رمز الفيروس منه أثناء التنقل ، إرسال نسخة غير متغيرة من الملف استجابة لطلب. وهكذا ، تخفي هذه الفيروسات وجودها في النظام. لاكتشافها ، تحتاج أدوات مكافحة الفيروسات إلى القدرة على الوصول مباشرة إلى القرص ، وتجاوز أدوات نظام التشغيل. كانت فيروسات التخفي أكثر انتشارًا خلال حقبة DOS. تحضير النسخ الفيروسية التعريف 4:توقيع الفيروس - بمعنى واسع ، المعلومات التي تسمح لك بتحديد وجود فيروس معين بشكل لا لبس فيه في ملف أو رمز آخر. أمثلة على التوقيعات هي: تسلسل فريد من البايتات الموجودة في هذا الفيروس وغير موجودة في البرامج الأخرى ؛ المجموع الاختباري لمثل هذا التسلسل. قد تختلف عملية إعداد النسخ للتوزيع بشكل كبير عن النسخ البسيط. يحاول مؤلفو الفيروسات الأكثر تعقيدًا من الناحية التكنولوجية عمل نسخ مختلفة غير متشابهة قدر الإمكان من أجل تعقيد اكتشافهم بواسطة أدوات مكافحة الفيروسات. نتيجة لذلك ، يعد تجميع توقيع لمثل هذا الفيروس أمرًا صعبًا للغاية أو حتى مستحيلًا. تطبيق

يمكن إدخال النسخ الفيروسية بطريقتين مختلفتين اختلافًا جوهريًا:

· حقن رمز الفيروس مباشرة في الكائن المصاب. · استبدال الكائن بنسخة الفيروس. عادة ما يتم إعادة تسمية الكائن الذي يتم استبداله

بالنسبة للفيروسات ، الطريقة الأولى هي السمة المميزة في الغالب. الطريقة الثانية هي الأكثر شيوعًا من قبل الديدان وأحصنة طروادة ، وبشكل أكثر تحديدًا من قبل مكونات طروادة من الديدان ، لأن أحصنة طروادة لا تنتشر.

الضرر من البرمجيات الخبيثة

يمكن للفيروسات المتنقلة والفيروسات القيام بنفس الإجراءات التي تقوم بها أحصنة طروادة. على مستوى التنفيذ ، يمكن أن تكون هذه مكونات طروادة منفصلة ووظائف مضمنة. بالإضافة إلى ذلك ، نظرًا للطابع الجماعي ، تتميز الفيروسات والديدان أيضًا بأشكال أخرى من الأفعال الخبيثة:

· كثرة قنوات الاتصال- نوع من الضرر المتأصل في الديدان ، المرتبط بحقيقة أنه أثناء انتشار الأوبئة على نطاق واسع ، يتم إرسال أعداد هائلة من الطلبات أو الرسائل المصابة أو النسخ المباشرة من الدودة عبر قنوات الإنترنت. في بعض الحالات ، يصبح استخدام خدمات الإنترنت أثناء الوباء أمرًا صعبًا. أمثلة: Net-Worm.Win32.Slammer هجمات DDoS- نظرًا لطبيعتها الجماعية ، يمكن استخدام الديدان بشكل فعال لتنفيذ هجمات رفض الخدمة الموزعة (هجمات DDoS). في ذروة الوباء ، عندما يصاب الملايين وحتى عشرات الملايين من أجهزة الكمبيوتر ، تؤدي جميع الأنظمة المصابة التي تصل إلى مورد إنترنت معين إلى الحظر الكامل لهذا المورد. وبالتالي ، أثناء هجوم دودة MyDoom ، لم يكن موقع SCO على الويب متاحًا لمدة شهر. · فقدان البيانات- أكثر شيوعًا بالنسبة للفيروسات من أحصنة طروادة والديدان ، السلوك المرتبط بالتدمير المتعمد لبيانات معينة على كمبيوتر المستخدم. أمثلة: Virus.Win9x.CIH - حذف قطاعات بدء القرص ومحتوى Flash BIOS ، Macro.Word97 ، وبالتالي - حذف جميع الملفات الموجودة على محرك الأقراص C: محرك الأقراص ، Email-Worm.Win32.Mydoom.e - حذف الملفات ذات الامتدادات المعينة اعتمادا على مؤشر عدد عشوائي عداد تعطيل البرامج- أيضا صفة أكثر تميزا للفيروسات. نظرًا لوجود أخطاء في رمز الفيروس ، قد تعمل التطبيقات المصابة مع وجود أخطاء أو لا تعمل على الإطلاق. أمثلة: Net-Worm.Win32.Sasser.a - إعادة تشغيل جهاز كمبيوتر مصاب. - الاستخدام المكثف لموارد الكمبيوتر بواسطة البرامج الضارة يؤدي إلى انخفاض أداء كل من النظام ككل والتطبيقات الفردية. أمثلة: بدرجات متفاوتة - أي برامج ضارة

إن وجود الإجراءات المدمرة ليس بأي حال من الأحوال معيارًا إلزاميًا لتصنيف رمز البرنامج على أنه فيروس. وتجدر الإشارة أيضًا إلى أن الفيروس يمكن أن يتسبب في أضرار جسيمة من خلال عملية التكاثر الذاتي وحدها. معظم مثال رئيسي- دودة الشبكة. Win32.Slammer.

تهديدات أمن المعلوماتالنظر في التهديدات لأمن المعلومات من وجهة نظر الفيروسات. بالنظر إلى حقيقة أن العدد الإجمالي للفيروسات حتى اليوم يتجاوز 100000 ، فإن تحليل التهديدات من كل منها يستغرق وقتًا طويلاً وعديم الجدوى ، نظرًا لأن عدد الفيروسات يزداد يوميًا ، مما يعني أنه يجب تعديل القائمة الناتجة يوميًا . سنفترض أن الفيروس قادر على إدراك أي من تهديدات أمن المعلومات ، وهناك طرق عديدة لتصنيف تهديدات أمن المعلومات التي تتم معالجتها في نظام آلي. يعتمد التصنيف الأكثر شيوعًا للتهديدات على نتيجة تأثيرها على المعلومات ، أي انتهاك السرية والنزاهة والتوافر ، ولكل تهديد عدة طرق لتنفيذه بواسطة الفيروسات. تهديد الخصوصية

· سرقة المعلومات وتوزيعها باستخدام وسائل اتصال عادية أو قنوات نقل سرية: Email-Worm.Win32.Sircam - إلى جانب نسخ الفيروسات ، أرسل مستندات عشوائية وجدت على الكمبيوتر المصاب

أي نشاط يؤدي إلى استحالة الوصول إلى المعلومات ؛ مؤثرات صوتية ومرئية متنوعة: Email-Worm.Win32.Bagle.p - حظر الوصول إلى مواقع شركات مكافحة الفيروسات. يتأكد BIOS من أنه بالنسبة لكل طريقة من الطرق المذكورة أعلاه لتنفيذ التهديدات ، يمكنك إعطاء مثال محدد لفيروس يقوم بتنفيذ طريقة واحدة أو عدة طرق في نفس الوقت. استنتاجتختلف البرامج الخبيثة في ظروف الوجود ، والتقنيات المستخدمة في مراحل مختلفة من دورة الحياة ، والتأثير الخبيث الفعلي - كل هذه العوامل هي أساس التصنيف. نتيجة لذلك ، وفقًا للخاصية الرئيسية (من وجهة نظر تاريخية) - التكاثر ، تنقسم البرامج الضارة إلى ثلاثة أنواع: الفيروسات والديدان وأحصنة طروادة. إمكانية الوصول. في هذا الصدد ، عند تصميم أنظمة حماية معقدة من الفيروسات ، وحتى في حالة أكثر عمومية - أنظمة حماية المعلومات المعقدة ، من الضروري تنفيذ التدرج وتصنيف كائنات الشبكة وفقًا لأهمية المعلومات التي تتم معالجتها عليها والاحتمالية. إصابة هذه العقد بالفيروسات.

1 فيروسات الكمبيوتر

1.2 كيف تعمل الفيروسات

3 تدابير للحماية من الفيروسات. برامج مكافحة الفيروسات الأساسية

مقدمة

لتبسيط العمليات الحسابية ، اخترع شخص ما جهاز كمبيوتر من أجل حل بعض المشكلات المتعلقة بحساب وتخزين معلومات هذه الحسابات ، بعد أن توصل إلى "سلسلة من التعليمات التي تحدد إجراء الحل مهمة محددةبرامج الحاسوب. تجعل البرامج الحوسبة أسهل. تمثل الحسابات والبرامج الخاصة بالحوسبة قيمة معينة يحتاجها المهاجمون لمصلحتهم الخاصة. لسرقة المعلومات الضرورية ، ابتكر المهاجمون برامج ضارة - فيروسات.

فيروس الكمبيوتر- نوع من البرمجيات الخبيثة القادرة على إنشاء نسخ منه والتسلل إلى كود البرامج الأخرى ، ومناطق ذاكرة النظام ، وقطاعات التمهيد ، وكذلك توزيع نسخه من خلال قنوات الاتصال المختلفة من أجل تعطيل عمل أنظمة البرمجيات والأجهزة ، وحذفها الملفات ، أو جلب عدم ملاءمة هياكل وضع البيانات ، أو حظر عمل المستخدمين ، أو جعل أنظمة أجهزة الكمبيوتر غير قابلة للاستخدام.

1 فيروس الكمبيوتر

1.1 قصة قصيرةخلق الفيروسات

"أسس نظرية آليات التكاثر الذاتي جون فون نيومان ، وهو أمريكي من أصل مجري ، اقترح في عام 1951 طريقة لإنشاء مثل هذه الآليات. الأمثلة العملية لهذه البرامج معروفة منذ عام 1961.

أول فيروسات معروفة هي Virus 1،2،3 و Elk Cloner لجهاز Apple II PC ، والتي ظهرت عام 1981. في شتاء عام 1984 ، ظهرت أول أدوات مساعدة لمكافحة الفيروسات - CHK4BOMB و BOMBSQAD بواسطة Andy Hopkins. في أوائل عام 1985 ، كتب Gee Wong برنامج DPROTECT ، وهو أول مضاد فيروسات مقيم.

يعود تاريخ أوبئة الفيروس الأولى إلى 1986-1989: Brain.A (الموزعة في قطاعات التمهيد للأقراص المرنة ، تسبب في أكبر وباء) ، القدس (ظهر يوم الجمعة 13 مايو 1988 ، تدمير البرامج عند إطلاقها) ، موريس دودة (أكثر من 6200 جهاز كمبيوتر ، كانت معظم الشبكات معطلة لمدة تصل إلى خمسة أيام) ، DATACRIME (حوالي 100000 جهاز كمبيوتر مصاب في هولندا وحدها).

في الوقت نفسه ، تشكلت الفئات الرئيسية من الفيروسات الثنائية: ديدان الشبكة (دودة موريس ، 1987) ، أحصنة طروادة (الإيدز ، 1989) ، الفيروسات متعددة الأشكال (كاميليون ، 1990) ، فيروسات التخفي (فرودو ، ويل ، النصف الثاني من عام 1990) ).

في موازاة ذلك ، تتشكل الحركات المنظمة لكل من التوجهات المؤيدة والمضادة للفيروسات: في عام 1990 ، ظهرت BBS Virus Exchange المتخصصة ، والكتاب الأسود الصغير لفيروسات الكمبيوتر ، الذي كتبه مارك لودفيج ، وأول برنامج تجاري لمكافحة الفيروسات Symantec Norton AntiVirus.

في عام 1992 ، ظهر أول مُنشئ فيروسات للكمبيوتر الشخصي ، VCL (كان منشئو Amiga موجودون من قبل) ، بالإضافة إلى وحدات متعددة الأشكال جاهزة (MtE و DAME و TPE) ووحدات تشفير للتضمين في فيروسات جديدة.

في السنوات القليلة التالية ، تم أخيرًا إتقان تقنيات التخفي ومتعددة الأشكال (SMEG.Pathogen ، SMEG.Queeg ، OneHalf ، 1994 ؛ NightFall ، Nostradamus ، Nutcracker ، 1995) ، وأكثر طرق غير عاديةاختراق النظام وإصابة الملفات (Dir II - 1991، PMBS، Shadowgard، Cruncher - 1993). بالإضافة إلى ذلك ، ظهرت فيروسات تصيب ملفات الكائنات (Shifter ، 1994) وكود مصدر البرنامج (SrcVir ، 1994). مع انتشار مجموعة Microsoft Office ، انتشرت فيروسات الماكرو (Concept ، 1995).

في عام 1996 ، ظهر أول فيروس لنظام التشغيل Windows 95 - Win95.Boza ، وفي ديسمبر من نفس العام - أول فيروس مقيم له - Win95.Punch.

مع انتشار الشبكات والإنترنت ، تتجه فيروسات الملفات بشكل متزايد إليها باعتبارها القناة الرئيسية للعمل (ShareFun ، 1997 - فيروس ماكرو MS Word الذي يستخدم MS-Mail للتوزيع ؛ Win32.HLLP.DeTroie ، 1998 - عائلة من فيروسات التجسس ؛ ميليسا ، 1999 - فيروس ماكرو ودودة شبكة حطمت جميع السجلات من حيث سرعة الانتشار). تم افتتاح ذروة "أحصنة طروادة" بواسطة أداة الإدارة البعيدة المخفية BackOrifice (1998) والنظائر التي تلتها (NetBus ، Phase).

بلغ فيروس Win95.CIH ذروته بطرق غير معتادة عن طريق الكتابة فوق FlashBIOS للأجهزة المصابة (يعتبر وباء يونيو 1998 الأكثر تدميراً منذ سنوات).

في أواخر التسعينيات وأوائل القرن الحادي والعشرين ، مع التعقيد المتزايد للبرامج وبيئة النظام ، والانتقال الشامل إلى عائلات Windows NT الآمنة نسبيًا ، ودمج الشبكات كقناة رئيسية لتبادل البيانات ، ونجاح تقنيات مكافحة الفيروسات في اكتشاف الفيروسات المبنية في الخوارزميات المعقدة ، بدأ الأحدث في استبدال الحقن في الملفات بشكل متزايد بالحقن في نظام التشغيل (التشغيل التلقائي غير المعتاد ، الجذور الخفية) واستبدال تعدد الأشكال بعدد كبير من الأنواع (عدد الفيروسات المعروفة يتزايد باطراد).

في الوقت نفسه ، فتح اكتشاف العديد من نقاط الضعف في Windows والبرامج الشائعة الأخرى الطريق لاستغلال الديدان. في عام 2004 ، تسببت الأوبئة ذات النسب غير المسبوقة بواسطة MsBlast (وفقًا لمايكروسوفت - أكثر من 16 مليون نظام]) و Sasser و Mydoom (تقدر الخسائر بـ 500 مليون و 4 مليارات دولار ، على التوالي).

بالإضافة إلى ذلك ، فإن الفيروسات المتجانسة تفسح المجال إلى حد كبير أمام مجموعات البرامج الضارة والمساعدات المنفصلة الأدوار (أحصنة طروادة ، وأدوات التنزيل / القطارات ، ومواقع التصيد ، و spambots ، والعناكب). تزدهر التقنيات الاجتماعية - البريد العشوائي والتصيد الاحتيالي - كوسيلة للعدوى لتجاوز آليات حماية البرامج.

في البداية ، استنادًا إلى أحصنة طروادة ، ومع تطور تقنيات شبكة النظير للنظير - وبشكل مستقل - أكثر نظرة حديثةالفيروسات - ديدان الروبوتات (روستوك ، 2006 ، حوالي 150 ألف روبوت ؛ كونفيكر ، 2008-2009 ، أكثر من 7 ملايين روبوت ؛ كراكن ، 2009 ، حوالي 500 ألف روبوت). تم أخيرًا إضفاء الطابع الرسمي على الفيروسات ، من بين البرامج الضارة الأخرى ، كوسيلة للجرائم الإلكترونية.

1.2 كيف تعمل الفيروسات

لا توجد مخططات محددة لمبادئ عمل الفيروسات ، حيث يوجد العديد من مجموعات الفيروسات المختلفة ، ولكل مجموعة آليات عملها الخاصة. في المتوسط ​​، يمر الفيروس بثلاث مراحل في تطوره: 1) العدوى - 2) التكاثر - 3) الهجوم.

"1) العدوى. لقد درسنا بالفعل بإيجاز مرحلة الإصابة. تحدث العدوى عند تشغيل برنامج مصاب أو عند الوصول إلى وسائط بها تعليمات برمجية ضارة في منطقة النظام. عادةً ما يدخل رمز الفيروس أولاً في ذاكرة الوصول العشوائي لجهاز كمبيوتر قيد التشغيل ، حيث يتم نسخه إلى أجهزة التخزين.

2) التكاثر. يحدث تكاثر الفيروس كسلسلة من العدوى المتتالية. إذا تم تكوين ملف قابل للتنفيذ مصاب على الكمبيوتر ، فعند تشغيله ، ينتقل رمز الفيروس إلى ذاكرة الوصول العشوائي (يصبح الفيروس برنامجًا مقيمًا) ، حيث يتم إصابة الملفات الأخرى عند إطلاقها. بادئ ذي بدء ، تتأثر ملفات نظام التشغيل نفسه. كلما عملت الآلية في كثير من الأحيان ، تأثرت المزيد من الملفات.

إذا كنا لا نتحدث عن فيروس ملف ، بل عن فيروس تمهيد ، فعند تحميل نظام التشغيل ينتقل كود الفيروس من قطاعات خدمات الوسائط إلى ذاكرة الوصول العشوائي ، ثم يتم نسخها من هناك إلى قطاعات خدمات الوسائط الأخرى (على سبيل المثال ، الأقراص المرنة) ، والتي يتم تسجيلها على هذا الكمبيوتر.

3) الهجوم. هجوم الفيروسات هو المرحلة الأخيرة من تطور الفيروس. أثناء الهجوم ، يقوم الفيروس بأفعال تدميرية أكثر أو أقل وفي نفس الوقت يتجلى بالتأكيد. إذا بدأ كل فيروس فور دخوله الكمبيوتر هجومًا فوريًا ، فلن تكون هناك فيروسات لفترة طويلة - كان من الممكن القضاء عليها. هذا أمر طبيعي ، لأنه عندما تدمر الفيروسات المدمرة كل ما هو موجود على الكمبيوتر ، فإنها تموت هي نفسها. وإذا لم يكن الفيروس مدمرًا ، ولكنه ببساطة ضار ، فعندئذٍ أثناء الهجوم يفسد نفسه ، يقع تحت نيران معدات الحماية ويموت. لذلك ، تحتاج معظم الفيروسات إلى مرحلة تكاثر سلبية. حتى ينتج الفيروس عددًا كافيًا من النسخ الخاصة به ، فمن غير المجدي إطلاق آلية التشغيل الخاصة به. يمكن تشغيل آلية هجوم الفيروسات بواسطة عداد عند إنشاء عدد معين من النسخ ، بواسطة ساعة النظام في تاريخ معين ، بواسطة أوامر من مركز التحكم عن بعد إذا كان الكمبيوتر على شبكة ، عند تشغيل ملفات معينة أو يتم فتح مستندات معينة ، وما إلى ذلك "

1) من خلال الوسائط المادية:

تصيب الأقراص المرنة ومحركات الأقراص المحمولة الكمبيوتر بالفيروسات التي تحدد مساراتها وانتقالاتها في ملف التشغيل التلقائي لهذه الوسائط autorun.inf ، مع تحديد اتجاهها لفتح الملفات الضارة

2) البريد الإلكتروني (البريد الإلكتروني)

تحتوي رسائل البريد الإلكتروني المرسلة إلى البريد الإلكتروني على ملفات ضارة (على سبيل المثال ، ملفات وسائط) وروابط إلى مواقع ويب. قد لا تحمل الروابط أي ضرر (رمز فيروسي) ، فهي تعمل كإعادة إرسال إلى المواقع التي تحتوي على رمز فيروسي.

3) صفحات الويب

"العدوى عبر صفحات الإنترنت ممكنة أيضًا بسبب وجود العديد من المحتويات" النشطة "على صفحات الويب العالمية: البرامج النصية ومكونات ActiveX. في هذه الحالة ، يتم استخدام نقاط الضعف في البرامج المثبتة على جهاز الكمبيوتر الخاص بالمستخدم أو الثغرات الأمنية في برنامج مالك الموقع (وهو الأمر الأكثر خطورة ، حيث تتعرض المواقع المحترمة ذات التدفق الكبير للزائرين للإصابة) ، والمستخدمين المطمئنين ، الوصول إلى مثل هذا الموقع ، والمخاطرة بإصابة أجهزة الكمبيوتر الخاصة بهم. "

4) التنفيذ عبر الشبكة

يمكن أن تنتشر البرامج الضارة عبر الإنترنت أو شبكة الإنترانت الخاصة بالشركة (شبكة المنطقة المحلية).

من خلال نقاط الضعف في الشبكة ، مثل أخطاء البرمجة والعيوب في تصميم النظام وكلمات المرور الضعيفة وعدد من الأسباب الأخرى ، تدخل دودة الشبكة (نوع من البرامج الضارة التي تنتشر بشكل مستقل عبر شبكات الكمبيوتر المحلية والعالمية) في نظام تشغيل الكمبيوتر ، و ثم تعمل الديدان على إصابة أجهزة الكمبيوتر الأخرى على الشبكة ، وعادةً ما تكون لهجمات البريد العشوائي أو هجمات DDoS. يتم تنفيذ هجوم DDoS من قبل المتسللين على نظام الكمبيوتر من أجل إخفاقه ، أي إنشاء مثل هذه الشروط التي لا يمكن بموجبها للمستخدمين القانونيين للنظام الوصول إلى موارد النظام المقدمة (الخوادم) ، أو هذا الوصول صعب ، ويعمل البريد العشوائي على توزيع الإعلانات التجارية دون موافقة المستخدم.

5) برامج تشغيل أنظمة التشغيل

يمكن أن تنتشر البرامج الضارة أيضًا من خلال برامج تشغيل أنظمة التشغيل ، على الرغم من ندرة استخدام قناة توزيع الفيروسات هذه.

يمكن للفيروس أن يصيب نفسه في ملف البرنامج لبرنامج تشغيل نظام التشغيل (على سبيل المثال ، في برنامج تشغيل القرص) ويقوم بعمليات النظام تحت سيطرته.

وتجدر الإشارة إلى أنه في بيئة نظام التشغيل Microsoft Windows NT / 2000 / XP / 2003 ، لمثل هذا الحقن ، يجب تشغيل رمز البرنامج الخاص بالبرنامج الضار بامتيازات المسؤول.

يمكن أن يعمل البرنامج الخبيث أيضًا كخدمة في Microsoft Windows NT / 2000 / XP / 2003.

يمكن أن يصيب فيروس أو برنامج ضار آخر برنامج تشغيل نظام التشغيل Linux / FreeBSD وأنظمة التشغيل الأخرى الشبيهة بـ Unix إذا كان رمز الفيروس يعمل بامتيازات المسؤول (الجذر).

1.4 أعراض الإصابة بالفيروس

· "الفتح التلقائي للنوافذ ذات المحتوى غير المألوف عند بدء تشغيل الكمبيوتر ؛

منع الوصول إلى المواقع الرسمية لشركات مكافحة الفيروسات ، أو إلى مواقع الويب التي تقدم خدمات لـ "معالجة" أجهزة الكمبيوتر من البرامج الضارة ؛

ظهور عمليات جديدة غير معروفة في ناتج مدير المهام (على سبيل المثال ، نافذة "العمليات" لمدير مهام Windows) ؛

الظهور في فروع السجل المسؤول عن التشغيل التلقائي والإدخالات الجديدة ؛

حظر تغيير إعدادات الكمبيوتر في حساب المسؤول ؛

عدم القدرة على تشغيل الملف القابل للتنفيذ (يتم عرض رسالة خطأ) ؛

ظهور النوافذ المنبثقة أو رسائل النظام بنص غير عادي ، بما في ذلك تلك التي تحتوي على عناوين وأسماء ويب غير معروفة ؛

إعادة تشغيل الكمبيوتر أثناء بدء أي برنامج ؛

· الإغلاق العرضي و / أو غير المنتظم للكمبيوتر ؛

تعطل البرنامج العشوائي.

ومع ذلك ، يجب أن يؤخذ في الاعتبار أنه على الرغم من عدم وجود أعراض ، فقد يكون الكمبيوتر مصابًا ببرامج ضارة.

2 تصنيف فيروسات الكمبيوتر

التصنيف الموحد للفيروسات لـ هذه اللحظةغير موجود ، ولكن في المتوسط ​​، بناءً على الميزات المذكورة أدناه ، يمكن بناء التصنيف التالي:

حسب الموطن

حسب طريقة إصابة الموطن

من خلال التأثير المدمر

حسب خصائص خوارزمية الفيروس

تصنيف الموائل

فيروسات التمهيداختراق قطاعات التمهيد لأجهزة تخزين البيانات (محركات الأقراص الثابتة والأقراص المرنة وأجهزة التخزين المحمولة). عندما يتم تمهيد نظام التشغيل من قرص مصاب ، يتم تنشيط الفيروس. قد تتمثل إجراءاته في تعطيل تشغيل أداة تحميل نظام التشغيل ، مما يجعل من المستحيل العمل ، أو تغيير جدول الملفات ، مما يجعل الوصول إليه غير ممكن.
ملفات معينة.
فيروسات الملفاتغالبًا ما يتم تضمينها في الوحدات التنفيذية للبرامج (الملفات التي يتم تشغيل برنامج معين بها) ، مما يسمح بتنشيطها في وقت تشغيل البرنامج ، مما يؤثر على وظائفه. أقل شيوعًا ، يمكن أن تتسلل فيروسات الملفات إلى نظام التشغيل أو مكتبات برامج التطبيقات والملفات الدفعية القابلة للتنفيذ وملفات تسجيل Windows وملفات البرامج النصية وملفات برنامج التشغيل. يمكن إجراء الحقن إما عن طريق تغيير رمز الملف المهاجم ، أو عن طريق إنشاء نسخة معدلة منه. وبالتالي ، يتم تنشيط الفيروس ، كونه في ملف ، عند الوصول إلى هذا الملف ، الذي يبدأه المستخدم أو نظام التشغيل نفسه. فيروسات الملفات هي أكثر أنواع فيروسات الكمبيوتر شيوعًا.

فيروسات تمهيد الملفاتإفقار قدرات المجموعتين السابقتين مما يسمح لهما بتشكيل تهديد خطير للكمبيوتر.

فيروسات الشبكةموزعة من خلال خدمات الشبكة والبروتوكولات. مثل توزيع البريد والوصول إلى الملفات عبر FTP والوصول إلى الملفات عبر خدمات LAN. ما يجعلها خطيرة للغاية ، حيث أن الإصابة لا تبقى داخل جهاز كمبيوتر واحد أو حتى شبكة محلية واحدة ، ولكنها تبدأ بالانتشار عبر قنوات الاتصال المختلفة.

الفيروسات الكبيرةتصيب ملفات أنظمة المكاتب الحديثة (Microsoft Office ، Open Office…) من خلال إمكانية استخدام وحدات الماكرو في هذه الأنظمة. الماكرو عبارة عن مجموعة محددة مسبقًا من الإجراءات أو البرامج الثابتة المضمنة في مستند ويتم استدعاؤها مباشرة منه لتعديل هذا المستند أو وظائف أخرى. إنه الماكرو الهدف من فيروسات الماكرو.

التصنيف حسب طريقة إصابة الموطن

حسب طريقة إصابة الموطن ، تنقسم الفيروسات إلى نوعين: مقيم وغير مقيم.

فيروس مقيمعند إصابة جهاز كمبيوتر ، فإنه يترك الجزء الموجود به في ذاكرة الوصول العشوائي ، والتي تقوم بعد ذلك باعتراض مكالمات نظام التشغيل للأشياء المصابة وحقن نفسها فيها. توجد الفيروسات المقيمة في الذاكرة وتظل نشطة حتى يتم إيقاف تشغيل الكمبيوتر أو إعادة تشغيله.

على عكس المقيم غير مقيمتدخل الفيروسات إلى ذاكرة الوصول العشوائي للكمبيوتر فقط في وقت نشاطها ، والتي تؤدي خلالها وظيفة مدمرة ووظيفة العدوى. ثم تغادر الفيروسات ذاكرة الوصول العشوائي تمامًا ، وتبقى في الموطن. إذا وضع فيروس برنامجًا في ذاكرة الوصول العشوائي (RAM) لا يصيب بيئته ، فإن هذا الفيروس يعتبر غير مقيم.

التصنيف حسب التأثير المدمر

بواسطة درجة الخطر لمصادر المعلوماتيمكن تقسيم فيروسات كمبيوتر المستخدم إلى: فيروسات غير ضارة ؛ فيروسات خطيرة ؛ فيروسات خطيرة جدًا.

غير ضارتعمل فيروسات الكمبيوتر عادةً كقراصنة لإظهار قدرتها على البرمجة عن طريق إصابة كمبيوتر المستخدم بملفات الوسائط المختلفة (وفقًا للإحصاءات).

يُطلق على هذا النوع من الفيروسات اسم غير ضار ، ولا يزال يسبب الضرر ، باستخدام موارد الكمبيوتر ، مما يؤدي إلى إبطاء عمله.

خطيرتسمى الفيروسات مثل هذه الفيروسات ، والغرض منها تقليل الإجراءات الحسابية للكمبيوتر واحتلال قنوات الاتصال ، ولا تنتهك هذه الإجراءات سلامة وسرية المعلومات المخزنة في أجهزة التخزين. المشاكل المرتبطة بالفيروسات هي الحاجة إلى إعادة تنفيذ البرامج ، أو إعادة تشغيل نظام التشغيل ، أو إعادة إرسال البيانات عبر قنوات الاتصال.

"خطير جدايجب اعتبارها فيروسات تتسبب في انتهاك السرية ، وتدمير ، وتعديل لا رجعة فيه (بما في ذلك التشفير) للمعلومات ، وكذلك الفيروسات التي تمنع الوصول إلى المعلومات ، وتؤدي إلى فشل الأجهزة وتضر بصحة المستخدمين. تمحو هذه الفيروسات الملفات الفردية ، ومناطق ذاكرة النظام ، وتنسيق الأقراص ، والحصول على وصول غير مصرح به إلى المعلومات ، وتشفير البيانات ، وما إلى ذلك "

حقيقة مثيرة للاهتمام:

هناك منشورات تشير إلى الفيروسات التي تسبب أعطالًا في الأجهزة. من المفترض أنه عند تردد الرنين ، يمكن تدمير الأجزاء المتحركة للأجهزة الكهروميكانيكية ، على سبيل المثال ، في نظام تحديد المواقع لمحرك الأقراص المغناطيسية. هذا هو الوضع الذي يمكن إنشاؤه باستخدام برنامج فيروسات. يجادل مؤلفون آخرون أنه من الممكن تعيين أنماط الاستخدام المكثف للدوائر الإلكترونية الفردية (على سبيل المثال ، الدوائر المتكاملة الكبيرة) ، والتي ترتفع درجة حرارتها وتفشل فيها.

أدى استخدام الذاكرة الدائمة القابلة لإعادة الكتابة في أجهزة الكمبيوتر الحديثة إلى ظهور فيروسات تعمل على تعديل برامج BIOS ، مما أدى إلى الحاجة إلى استبدال أجهزة التخزين الدائمة.

من الممكن أيضًا التأثير على نفسية الشخص - مشغل الكمبيوتر عن طريق اختيار صورة فيديو معروضة على شاشة العرض بتردد معين (كل إطار خامس وعشرين). يتم إدراك الإطارات المضمنة لمعلومات الفيديو هذه من قبل شخص على مستوى اللاوعي. نتيجة لهذا التعرض ، من الممكن حدوث أضرار جسيمة لنفسية الإنسان. في عام 1997 ، تم إدخال 700 ياباني إلى المستشفى بسبب أعراض الصرع بعد مشاهدة رسم كاريكاتوري للكمبيوتر على شاشة التلفزيون. يُعتقد أنه بهذه الطريقة تم اختبار إمكانية التأثير على الشخص من خلال تضمين الإطار الخامس والعشرين.

التصنيف حسب خصائص خوارزمية الفيروس

فيروسات الأقمار الصناعية هي فيروساتلا تغير الملفات. آلية عملهم هي إنشاء نسخ من الملفات القابلة للتنفيذ. على سبيل المثال ، في MS-DOS ، تقوم هذه الفيروسات بإنشاء نسخ للملفات التي لها ملحق .EXE. يتم إعطاء النسخة نفس اسم الملف القابل للتنفيذ ، ولكن تم تغيير الامتداد إلى .COM. عند تشغيل ملف باسم شائع ، يقوم نظام التشغيل أولاً بتحميل الملف بملحق .COM ، وهو برنامج فيروسات ، للتنفيذ. يقوم ملف الفيروس بعد ذلك بتشغيل الملف بملحق .EXE.

فيروسات النسخ المتماثل (دودة)- الفيروسات ، وتتمثل مهمتها الرئيسية في التكاثر بأسرع ما يمكن في جميع الأماكن الممكنة لتخزين البيانات والاتصالات. غالبًا لا يتخذون أي إجراءات مدمرة بأنفسهم ، لكنهم يمثلون وسيلة نقل لأنواع أخرى من التعليمات البرمجية الضارة.

حصان طروادة- حصلوا على أسمائهم تكريما لـ "حصان طروادة" ، حيث أن لديهم نفس مبدأ التشغيل. يقوم هذا النوع من الفيروسات بتدليك وحداته ضمن وحدات البرامج المستخدمة ، وإنشاء ملفات بأسماء ومعلمات متشابهة ، وأيضًا استبدال الإدخالات في سجل النظام ، وتغيير روابط وحدات العمل الخاصة بالبرامج إلى وحداتها الخاصة ، مما يتسبب في ظهور وحدات الفيروسات. . تتمثل الإجراءات المدمرة في تدمير بيانات المستخدم ، وإرسال الرسائل الاقتحامية (SPAM) وتتبع إجراءات المستخدم. غالبًا ما لا يستطيعون التكاثر بمفردهم. من الصعب جدًا اكتشافها ، نظرًا لأن فحص نظام الملفات ببساطة لا يكفي.

فيروسات التخفي (التخفي)- سميت على اسم الطائرة الشبحية "الشبح" ، وهي الأكثر صعوبة في الكشف عنها ، حيث أن لديها خوارزمياتها الخاصة للتخفي من المسح. يتم إخفاءها عن طريق استبدال التعليمات البرمجية الضارة برمز مفيد أثناء المسح ، وتعطيل الوحدات الوظيفية مؤقتًا إذا تم اكتشاف عملية المسح ، وإخفاء عملياتها في الذاكرة ، وما إلى ذلك.

الفيروسات متعددة الأشكال (ذاتية التشفير)- الفيروسات التي يتم تخزين شفرتها الضارة وتوزيعها في شكل مشفر ، مما يسمح لمعظم الماسحات الضوئية بالوصول إليها.

فيروسات حصيرةليس للفيروسات تواقيع دائمة. يغير مثل هذا الفيروس باستمرار سلاسل الكود الخاص به في عملية التشغيل والتكاثر. وبالتالي ، تصبح غير معرضة للخطر لفحص بسيط لمكافحة الفيروسات. لاكتشافها ، من الضروري تطبيق التحليل الكشف عن مجريات الأمور.

الفيروسات "يستريح"- خطيرة جدًا ، حيث يمكن أن تكون في حالة راحة لفترة طويلة جدًا ، منتشرة عبر شبكات الكمبيوتر. يحدث تنشيط الفيروس في ظل حالة معينة ، غالبًا في تاريخ محدد ، مما قد يتسبب في انتشار عدوى متزامنة على نطاق واسع. مثال على مثل هذا الفيروس هو فيروس CHIH أو Chernobyl ، الذي تم تفعيله في ذكرى حادث تشيرنوبيل ، مما تسبب في فشل الآلاف من أجهزة الكمبيوتر.

3 تدابير للوقاية من الفيروسات برامج أساسية لمكافحة الفيروسات

حتى الآن ، تعتبر تدابير الحماية ضد الفيروسات ذات الطبيعة المختلفة برامج تسمى مكافحة الفيروسات.

برنامج مكافحة الفيروسات (مضاد الفيروسات) هو برنامج متخصص للكشف عن فيروسات الكمبيوتر ، وكذلك البرامج غير المرغوب فيها (تعتبر ضارة) بشكل عام واستعادة الملفات المصابة (المعدلة) بهذه البرامج ، وكذلك للوقاية - منع الإصابة (تعديل) الملفات أو نظام التشغيل الذي يحتوي على تعليمات برمجية ضارة.

وفقًا لخصائصها ، تنقسم مضادات الفيروسات إلى أنواع مثل: برامج الكاشف. برامج الطبيب أو العاثيات ؛ مدققو البرامج (المفتشون) ؛ برامج التصفية (المراقبون) ؛ برامج اللقاحات أو المناعة ؛ الماسح الضوئي.

تسمح لك برامج الكاشف باكتشاف الملفات المصابة بأحد الفيروسات المعروفة. تتحقق هذه البرامج لمعرفة ما إذا كانت الملفات الموجودة على محرك الأقراص المحدد من قبل المستخدم تحتوي على مجموعة من وحدات البايت الخاصة بفيروس معين. عندما يتم العثور عليه في أي ملف ، يتم عرض رسالة مقابلة على الشاشة. العديد من أجهزة الكشف لديها طرق لمعالجة أو تدمير الملفات المصابة.

يجب التأكيد على أن برامج الكشف يمكنها فقط اكتشاف الفيروسات "المعروفة" لها. يمكن لبعض برامج الكاشف أن تضبط أنواعًا جديدة من الفيروسات ، فهي تحتاج فقط إلى تحديد مجموعات البايت المتأصلة في هذه الفيروسات. ومع ذلك ، من المستحيل تطوير مثل هذا البرنامج الذي يمكنه اكتشاف أي فيروس غير معروف من قبل.

وبالتالي ، من حقيقة أن البرنامج لا تتعرف عليه أجهزة الكشف على أنه مصاب ، فهذا لا يعني أنه صحي - البعض فيروس جديدأو نسخة معدلة قليلاً من فيروس قديم غير معروفة لبرامج الكشف.

معظم برامج الكاشف لها وظيفة "طبيب" ، أي يحاولون استعادة الملفات المصابة أو مناطق القرص إلى حالتها الأصلية. تلك الملفات التي لا يمكن استعادتها ، كقاعدة عامة ، تصبح غير قابلة للتشغيل أو محذوفة.

دكتور ويبتم إنشاء البرنامج في عام 1994 بواسطة I. A. Danilov وينتمي إلى فئة Doctor-detectors ، ولديه ما يسمى بـ "المحلل الكشف عن مجريات الأمور" - وهي خوارزمية تسمح لك باكتشاف الفيروسات غير المعروفة. أصبح "Healing Web" ، كما يُترجم اسم البرنامج من اللغة الإنجليزية ، إجابة المبرمجين المحليين على غزو الفيروسات الطافرة ذاتية التعديل. يقوم الأخير ، أثناء التكاثر ، بتعديل أجسامهم بحيث لا توجد سلسلة مميزة واحدة من البايتات التي كانت موجودة في الإصدار الأصلي للفيروس.

يدعم هذا البرنامج حقيقة أن المديرية العامة لموارد المعلومات التابعة لرئيس الاتحاد الروسي حصلت على ترخيص كبير (لـ 2000 جهاز كمبيوتر) ، وثاني أكبر مشتر لـ "الويب" - "Inkombank".

ايدستست- البرنامج من ابتكارها عام 1988 من قبل د. Lozinsky وهو طبيب كاشف. تم تصميم Aidstest لإصلاح البرامج المصابة بالفيروسات الشائعة (غير متعددة الأشكال) التي لا تغير كودها. يرجع هذا القيد إلى حقيقة أن هذا البرنامج يبحث عن الفيروسات باستخدام رموز التعريف. ولكن في الوقت نفسه ، يتم تحقيق سرعة عالية جدًا في فحص الملفات.

المدققون على مرحلتين من العمل. أولاً ، يقومون بتخزين معلومات حول حالة البرامج ومناطق نظام الأقراص (قطاع التمهيد والقطاع الذي يحتوي على جدول تقسيم القرص الثابت). من المفترض في هذه اللحظة عدم إصابة البرامج ومناطق النظام الخاصة بالأقراص. بعد ذلك ، باستخدام برنامج Auditor ، يمكنك في أي وقت مقارنة حالة البرامج ومجالات نظام الأقراص مع الأصل. يتم الإبلاغ عن التناقضات المحددة للمستخدم.

ADinf (منظار القرص المتقدم)ينتمي إلى فئة مدققي البرامج. تم إنشاء هذا البرنامج بواسطة D. Yu. Mostov في عام 1991.

يتميز برنامج مكافحة الفيروسات بسرعة عالية في العمل ، فهو قادر على مقاومة الفيروسات الموجودة في الذاكرة بنجاح. يسمح لك بالتحكم في القرص من خلال قراءته حسب القطاع من خلال BIOS وبدون استخدام نظام DOS المقاطعات التي يمكن للفيروس اعتراضها.

لتطهير الملفات المصابة ، يتم استخدام وحدة معالجة ADinf ، والتي لم يتم تضمينها في حزمة ADinf ويتم توفيرها بشكل منفصل. مبدأ تشغيل الوحدة هو حفظ قاعدة بيانات صغيرة تصف الملفات الخاضعة للرقابة. بالعمل معًا ، يمكن لهذه البرامج اكتشاف وإزالة حوالي 97٪ من فيروسات الملفات و 100٪ من فيروسات قطاع التمهيد. على سبيل المثال ، تم اكتشاف فيروس SatanBug سيئ السمعة بسهولة ، وتمت استعادة الملفات المصابة به تلقائيًا. علاوة على ذلك ، حتى أولئك المستخدمين الذين اشتروا ADinf و ADinf Cure Module قبل بضعة أشهر من ظهور هذا الفيروس تمكنوا من التخلص منه دون صعوبة.

AVP (مضاد- فايروس حماية) يجمع البرنامج بين كاشف وطبيب ومدقق حسابات ، بل وحتى لديه بعض وظائف مرشح المقيم (حظر الكتابة إلى الملفات ذات السمة READ ONLY). مجموعة مكافحة الفيروسات ، وهي نسخة موسعة من مجموعة أدوات مكافحة الفيروسات المعروفة "دكتور كاسبيرسكي". أثناء تشغيل البرنامج ، يتم اختباره بحثًا عن فيروسات غير معروفة. يوجد أيضًا برنامج مقيم يراقب النشاط المشبوه على الكمبيوتر ويمنحك القدرة على عرض بطاقة الذاكرة. تساعد مجموعة خاصة من الأدوات على اكتشاف الفيروسات الجديدة وفهمها.

يمكن لمضاد الفيروسات أن يعالج كل من الفيروسات المعروفة وغير المعروفة ، ويمكن للمستخدم نفسه إبلاغ البرنامج عن طريقة علاج الأخيرة. بالإضافة إلى ذلك ، يمكن أن يعالج AVP فيروسات التعديل الذاتي وفيروسات التخفي (التخفي).

نورتون مكافحة الفيروسات- تنتمي حزمة مكافحة الفيروسات إلى نوع أدوات "التثبيت والنسيان". يتم تعيين جميع معلمات التكوين الضرورية والأنشطة المجدولة (فحص القرص ، والتحقق من البرامج الجديدة والمعدلة ، وتشغيل الأداة المساعدة Auto-Protect Windows ، والتحقق من قطاع التمهيد لمحرك الأقراص A: قبل إعادة التشغيل) بشكل افتراضي. يوجد برنامج لفحص القرص لنظامي DOS و Windows. من بين أمور أخرى ، يقوم برنامج Norton AntiVirus باكتشاف وتدمير حتى الفيروسات متعددة الأشكال ، كما يستجيب بنجاح للنشاط الشبيه بالفيروسات ويحارب الفيروسات غير المعروفة.

الفلاتر أو أجهزة المراقبة الموجودة في ذاكرة الوصول العشوائي للكمبيوتر وتعترض تلك المكالمات إلى نظام التشغيل التي تستخدمها الفيروسات للتكاثر وإحداث الضرر وإبلاغ المستخدم عنها. يمكن للمستخدم تمكين أو تعطيل العملية المقابلة.

بعض برامج التصفية لا "تلتقط" الإجراءات المشبوهة ، ولكنها تتحقق من البرامج المطلوبة للتنفيذ بحثًا عن الفيروسات. هذا يتسبب في إبطاء الكمبيوتر.

ومع ذلك ، فإن مزايا استخدام برامج التصفية مهمة للغاية - فهي تسمح لك باكتشاف العديد من الفيروسات في مرحلة مبكرة جدًا ، عندما لا يكون للفيروس الوقت الكافي للتكاثر وإفساد شيء ما. بهذه الطريقة ، يمكن تقليل الخسائر من الفيروس.

تقوم اللقاحات ، أو أجهزة المناعة ، بتعديل البرامج والأقراص بطريقة لا تؤثر على تشغيل البرامج ، ولكن الفيروس الذي يتم التطعيم ضده يعتبر هذه البرامج أو الأقراص مصابة بالفعل. هذه البرامج غير فعالة للغاية. إنهم يتتبعون العمليات التي يحتمل أن تكون خطرة عن طريق إصدار طلب مماثل للمستخدم للسماح / حظر العملية.

عيوب برامج مكافحة الفيروسات:

لا يمكن لأي من تقنيات مكافحة الفيروسات الحالية أن توفر حماية كاملة ضد الفيروسات.

يأخذ برنامج مكافحة الفيروسات جزءًا من موارد الحوسبة للنظام ، ويقوم بتحميل المعالج المركزي والقرص الصلب. يمكن أن يكون هذا ملحوظًا بشكل خاص على أجهزة الكمبيوتر الضعيفة. يمكن أن تصل تباطؤ الخلفية إلى 380٪.

يمكن أن ترى برامج مكافحة الفيروسات تهديدًا في حالة عدم وجود أي تهديد (إيجابيات خاطئة).

تقوم برامج مكافحة الفيروسات بتنزيل التحديثات من الإنترنت ، وبالتالي تستهلك النطاق الترددي.

تجعل الطرق المختلفة لتشفير البرامج الضارة وتغليفها حتى الفيروسات المعروفة غير قابلة للكشف عن طريق برامج مكافحة الفيروسات. يتطلب الكشف عن هذه الفيروسات "المقنعة" محرك فك ضغط قوي يمكنه فك تشفير الملفات قبل فحصها. ومع ذلك ، لا تحتوي العديد من برامج مكافحة الفيروسات على هذه الميزة ، وبالتالي ، غالبًا ما يكون من المستحيل اكتشاف الفيروسات المشفرة. .

فيروسات الكمبيوتر

والملفات التالفة والمصابة
تصنيف الفيروسات الوقاية والسيطرة على فيروسات الكمبيوتر

المقدمة

حاليًا ، ترتبط العديد من مجالات النشاط البشري باستخدام أجهزة الكمبيوتر. لماذا هذه الآلات الإلكترونية متأصلة بشدة في حياتنا؟ كل شيء تافه جدا. يقومون بإجراء العمليات الحسابية والتصميمية الروتينية ، مما يحرر عقولنا من أجل المزيد من المهام الضرورية والمسؤولة. نتيجة لذلك ، يتم تقليل التعب بشكل حاد ، ونبدأ في العمل بشكل أكثر إنتاجية من دون استخدام الكمبيوتر.
إمكانيات أجهزة الكمبيوتر الحديثة تدهش أغنى خيال. إنهم قادرون على أداء العديد من المهام في نفس الوقت ، والتي يكون تعقيدها مرتفعًا جدًا. لذلك ، يفكر بعض المصنّعين في إنشاء ذكاء اصطناعي. والآن يشبه عمل الكمبيوتر عمل المساعد الإلكتروني الذكي لشخص ما.
لكن من كان يظن أن هذه المعجزة الإلكترونية للتكنولوجيا تتميز بأمراض شبيهة بأمراض الإنسان. هو ، مثل أي شخص ، يمكن أن يهاجمه "فيروس" لكن بواسطة كمبيوتر واحد. وإذا لم تتخذ أي إجراء ، فسوف "يمرض" الكمبيوتر قريبًا ، أي سيبدأ في أداء إجراءات غير صحيحة أو حتى "يموت" أي الأضرار التي يسببها "الفيروس" ستكون خطيرة للغاية. ما هي فيروسات الكمبيوتر وكيفية التعامل معها سيتم مناقشتها بشكل أكبر.

فيروسات الكمبيوتر

ما هو فيروس الكمبيوتر؟

حتى الآن ، هناك عدة أنواع رئيسية من البرامج الضارة:
- فيروس الكمبيوتر الكلاسيكي ؛
- حصان طروادة أو حصان طروادة (طروادة) ؛
- دودة (دودة) ؛
- جاسوس أو جاسوس ، كيلوغر
-الجذر.
- بوت أو غيبوبة.

في وقت من الأوقات ، كانت الفيروسات الكلاسيكية هي الأكثر انتشارًا - ولكن من النادر أن يضع منشئوها هدفًا محددًا لإلحاق الضرر بالمستخدم النهائي ، بل تم إنشاؤه من أغراض تعليمية. يسعى كتاب الفيروسات اليوم إلى تحقيق أهداف واضحة ومفهومة تمامًا - المال ، وأصبح "أطفالهم" أكثر خطورة بكثير من أسلافهم. لذا اسمحوا لي أن أقدم لكم أكثر الحيوانات المفترسة الخطيرةمساحة المعلومات اليوم هي أحصنة طروادة والديدان.
حصلت طروادة أو طروادة على اسمها من التشابه بين طريقة الإصابة والحركة التكتيكية الشهيرة أثناء حصار طروادة. مثال على عدوى حصان طروادة - تلقيت رسالة من "أحد المعارف" مع النص: - "مرحبًا! لقد عدت لتوي من البحر - لقد استمتعت براحة رائعة! ها هي صوري - انظروا." ، ومرفقة الملفات ذات الامتداد ".JPG". هذه الملفات نفسها هي حصان طروادة التي يتم إخفاء الشفرة الخبيثة في أعماقها. المصادر الأكثر شيوعًا للإصابة هي البريد الإلكتروني ومواقع المواعدة ومواقع الموسيقى ومواقع البرامج المجانية. ماذا تفعل "طروادة"؟ كقاعدة عامة ، تتمثل مهمتها في فتح الطريق أمام الفيروسات الأخرى ، لتكون بمثابة نقطة انطلاق أولى. كيف تتجنب الإصابة بـ "طروادة"؟ هنا كل شيء يشبه الحياة - احمِ نفسك وتجنب العلاقات غير الرسمية =). تنطبق هذه القاعدة على أي فيروسات وبرامج ضارة أخرى. إذا تم إرسال بريد إلكتروني إليك - قبل النظر في المرفقات ، تحقق من المرسل ، واحفظ المرفق على جهاز الكمبيوتر الخاص بك وتحقق منه باستخدام برنامج مكافحة فيروسات ، ثم افتحه فقط.

دودة أو دودة - سمة من سمات هذه البرامج في التطور والاستقلالية. عندما تدخل دودة الكمبيوتر ، فإنها عادة ما تهاجم برامج البريد وأجهزة الاستدعاء عبر الإنترنت. بعد الوصول إلى البريد أو جهاز النداء ، يبدأ في إرسال رسائل / رسائل تحتوي على نسخة معدلة من نفسه. بعد ذلك ، إما يقوم بالتدمير الذاتي أو يصيب الملفات القابلة للتنفيذ (EXE ، COM ، BAT). نظرًا لأن الفيروس يتغير من تلقاء نفسه ، فهو غير معرض للخطر حتى يتم اكتشافه في قاعدة بيانات برنامج مكافحة الفيروسات الخاص بك. هذا هو السبب في أن برامج مكافحة الفيروسات المرخصة اليوم هي حاجة ملحة لأي مالك للكمبيوتر الشخصي.

فيروس الكمبيوتر هو برنامج صغير مكتوب خصيصًا يمكنه "أن ينسب" نفسه إلى برامج أخرى (أي "يصيبها") ، بالإضافة إلى تنفيذ العديد من الإجراءات غير المرغوب فيها على جهاز الكمبيوتر. يسمى البرنامج الذي يحتوي على فيروس مصاب. عندما يبدأ مثل هذا البرنامج ، يتولى الفيروس السيطرة أولاً. يعثر الفيروس على البرامج الأخرى و "يصيبها" ، كما يقوم ببعض الإجراءات الضارة (على سبيل المثال ، يفسد الملفات أو جدول تخصيص الملفات (FAT) على القرص ، "يلوث" ذاكرة الوصول العشوائي ، وما إلى ذلك). لإخفاء فيروس ، قد لا يتم دائمًا تنفيذ إجراءات لإصابة البرامج الأخرى والتسبب في ضرر ، ولكن ، على سبيل المثال ، في ظل ظروف معينة. بعد أن يقوم الفيروس بالإجراءات التي يحتاجها ، فإنه ينقل التحكم إلى البرنامج الموجود فيه ، ويعمل كالمعتاد. وهكذا ، ظاهريًا ، يبدو عمل البرنامج المصاب هو نفسه عمل برنامج غير مصاب.
تم تصميم العديد من أنواع الفيروسات بحيث يظل الفيروس في ذاكرة الكمبيوتر عند بدء تشغيل برنامج مصاب ، ومن حين لآخر يصيب البرامج وينفذ إجراءات غير مرغوب فيها على الكمبيوتر.
يمكن تنفيذ جميع إجراءات الفيروس بسرعة كبيرة وبدون إصدار أي رسائل ، فمن الصعب للغاية ، بل يكاد يكون من المستحيل ، بالنسبة لهذا المستخدم تحديد أن شيئًا غير عادي يحدث على الكمبيوتر.
طالما تم إصابة عدد قليل نسبيًا من البرامج على الكمبيوتر ، يمكن أن يكون وجود فيروس غير مرئي تقريبًا. ومع ذلك ، بعد مرور بعض الوقت ، يحدث شيء غريب على الكمبيوتر ، على سبيل المثال:
- توقف بعض البرامج عن العمل أو بدأت في العمل بشكل غير صحيح ؛
- يتم عرض الرسائل والرموز الدخيلة وما إلى ذلك على الشاشة ؛
- يتباطأ العمل على الكمبيوتر بشكل ملحوظ ؛
- بعض الملفات تالفة ، إلخ.
عند هذه النقطة ، كقاعدة عامة ، فإن الكثير (أو حتى معظم) البرامج التقنية التي تعمل بها مصابة بفيروس ، وبعض الملفات والأقراص تالفة. علاوة على ذلك ، ربما تم بالفعل نقل البرامج المصابة من جهاز الكمبيوتر الخاص بك باستخدام أقراص مرنة أو شبكة محلية إلى أجهزة الكمبيوتر الخاصة بزملائك وأصدقائك.
بعض الفيروسات غدرا جدا. في البداية ، يصيبون عددًا كبيرًا من البرامج والأقراص بشكل غير محسوس ، ثم يتسببون في أضرار بالغة الخطورة ، على سبيل المثال ، يقومون بتهيئة القرص الصلب بالكامل على الكمبيوتر ، وبطبيعة الحال بعد ذلك يصبح من المستحيل استعادة البيانات. وهناك فيروسات تتصرف بسرية تامة ، وتفسد تدريجيًا البيانات الموجودة على القرص الصلب أو تحول جدول تخصيص الملفات (FAT).
وبالتالي ، إذا لم تتخذ تدابير للحماية من الفيروس ، فقد تكون عواقب الإصابة خطيرة للغاية. على سبيل المثال ، في بداية عام 1989 تسبب الفيروس الذي كتبه الطالب الأمريكي موريس في إصابة وتعطيل آلاف أجهزة الكمبيوتر ، بما في ذلك تلك التابعة لوزارة الدفاع الأمريكية. وحكمت المحكمة على كاتب الفيروس بالسجن ثلاثة أشهر وغرامة قدرها 270 ألف دولار. كان من الممكن أن تكون العقوبة أشد ، لكن المحكمة أخذت في الاعتبار أن الفيروس لم يفسد البيانات ، بل تضاعف فقط.
لكي يكون برنامج الفيروسات غير مرئي ، يجب أن يكون صغيرًا. لذلك ، عادةً ما تتم كتابة الفيروسات بلغات تجميع منخفضة المستوى أو بأوامر لغة C منخفضة المستوى.
تتم كتابة الفيروسات بواسطة مبرمجين أو طلاب ذوي خبرة لمجرد الفضول أو للانتقام من شخص أو مؤسسة تعاملت معهم بطريقة لا تستحقها أو لأغراض التخريب التجاري أو الموجه. مهما كانت أهداف المؤلف ، قد ينتهي الفيروس على جهاز الكمبيوتر الخاص بك ويحاول القيام بنفس الإجراءات الضارة مثل تلك التي قام بها الشخص الذي تم إنشاؤه من أجله.
وتجدر الإشارة إلى أن كتابة الفيروس ليست مهمة صعبة ، ويمكن لطالب البرمجة الوصول إليها تمامًا. لذلك ، كل أسبوع تظهر المزيد والمزيد من الفيروسات الجديدة في العالم. والكثير منهم مصنوع في بلدنا.

الملفات التالفة والمصابة

يمكن لفيروس الكمبيوتر أن يفسد ، أي تعديل أي ملف على الأقراص المتوفرة على الكمبيوتر بشكل غير لائق. لكن الفيروس يمكن أن "يصيب" بعض أنواع الملفات. وهذا يعني أن الفيروس يمكن أن "يتسلل" إلى هذه الملفات ، أي. تعديلها بحيث تحتوي على فيروس يمكن ، في ظل ظروف معينة ، بدء العمل.
وتجدر الإشارة إلى أن نصوص البرامج والوثائق وملفات معلومات قاعدة البيانات وجداول البيانات وغيرها من الملفات المماثلة لا يمكن أن تصاب بفيروس شائع ، بل يمكن أن يفسدها فقط. لا يتم إصابة مثل هذه الملفات إلا عن طريق فيروسات ماكرو. يمكن لهذه الفيروسات أن تصيب مستنداتك.
محمل نظام التشغيل وسجل التمهيد الرئيسي للقرص الصلب. الفيروسات التي تصيب هذه المناطق تسمى فيروسات التمهيد أو BOOT. يبدأ مثل هذا الفيروس عمله عند التمهيد الأولي لجهاز الكمبيوتر ويصبح مقيمًا ، أي بشكل دائم في ذاكرة الكمبيوتر. آلية التوزيع هي إصابة سجلات التمهيد التي يتم إدخالها في أقراص الكمبيوتر. غالبًا ما تتكون هذه الفيروسات من جزأين ، نظرًا لأن سجل التمهيد صغير ومن الصعب وضع برنامج الفيروس بأكمله فيه. يوجد جزء من الفيروس في جزء آخر من القرص ، على سبيل المثال ، في نهاية الدليل الجذر للقرص أو في كتلة في منطقة بيانات القرص (عادةً ما يتم إعلان مثل هذه المجموعة معيبة لمنع حدوث الفيروس من الكتابة عند كتابة البيانات).
ملفات برامج تشغيل الأجهزة المحددة في جملة DEVICE لملف CONFIG.SYS. يبدأ الفيروس الموجود فيهم عمله في كل مرة يتم فيها الوصول إلى الجهاز المقابل. تعد الفيروسات التي تصيب برامج تشغيل الأجهزة نادرة جدًا لأنه نادرًا ما يتم نسخ برامج التشغيل من كمبيوتر إلى آخر. الأمر نفسه ينطبق على ملفات النظام DOS (MSDOS.SYS و IO.SYS) - إصابتهما ممكنة أيضًا من الناحية النظرية ، لكنها غير فعالة لانتشار الفيروس.

كقاعدة عامة ، يمكن أن يصيب كل نوع محدد من الفيروسات نوعًا واحدًا أو نوعين فقط من الملفات. غالبًا ما توجد فيروسات تصيب الملفات القابلة للتنفيذ. في المرتبة الثانية من حيث الانتشار هي فيروسات التمهيد. تصيب بعض الفيروسات كلا من الملفات ومناطق تمهيد القرص. تعد الفيروسات التي تصيب برامج تشغيل الأجهزة نادرة للغاية ، وعادة ما تصيب هذه الفيروسات أيضًا الملفات القابلة للتنفيذ.

تصنيف الفيروسات

يمكن تقسيم الفيروسات إلى فئات وفقًا لمعايير مختلفة. وهنا على سبيل المثال على أساس الغدر:

الفيروسات التي تصيب جهاز الكمبيوتر على الفور هيئ القرص الصلب ، وتفسد جدول تخصيص الملفات ، وتفسد قطاعات التمهيد ، وتمحو ما يسمى Flash ROM (حيث يوجد BIOS) للكمبيوتر (فيروس تشيرنوبيل) ، وبعبارة أخرى ، تسبب ضررًا لا يمكن إصلاحه إلى الكمبيوتر في أسرع وقت ممكن. يتضمن هذا أيضًا نتائج تظلمات المبرمجين الذين يكتبون فيروسات ضد برامج مكافحة الفيروسات. يشير هذا إلى ما يسمى بالحساسية تجاه بعض برامج مكافحة الفيروسات. هذه الفيروسات خادعة للغاية. هنا ، على سبيل المثال ، حساسية من الدكتور ويبر عند استدعاء هذا البرنامج ، دون تردد ، تمنع مضاد الفيروسات ، ويفسد كل ما هو موجود في الدليل مع مضاد الفيروسات و C: WINDOWS. نتيجة لذلك ، يجب عليك إعادة تثبيت نظام التشغيل ثم محاربة الفيروس بوسائل أخرى.
- فيروسات مصممة لعمر طويل في الكمبيوتر. إنهم يصيبون برنامجًا تلو الآخر بشكل تدريجي وحذر دون الإعلان عن وجودهم واستبدال مناطق بدء البرامج بروابط إلى المكان الذي يوجد فيه جسم الفيروس. بالإضافة إلى ذلك ، يقومون بإجراء تغيير في بنية القرص غير محسوس للمستخدم ، والذي سيشعر نفسه فقط عندما يتم فقدان بعض البيانات بشكل ميؤوس منه (على سبيل المثال ، فيروس "OneHalf-3544" ، "Yankey-2C").
على أساس طرق النقل والاستنساخ ، يمكن أيضًا إجراء تقسيم.
في السابق ، كانت الفيروسات تؤثر بشكل أساسي على الملفات القابلة للتنفيذ فقط (ذات الامتدادات .com و. exe). في الواقع ، يعد الفيروس برنامجًا ويجب تنفيذه.
الآن يتم إرسال الفيروسات عن طريق البريد الإلكتروني كبرامج تجريبية أو كصور ، على سبيل المثال ، إذا تلقيت ملف "PicturesForYou.jpg" عن طريق البريد الإلكتروني ، فلا تتسرع في النظر إليه ، خاصة أنه جاء من العدم. إذا نظرت إلى الاسم عن كثب ، فقد اتضح أنه يحتوي على 42 مسافة إضافية وامتداد exe. صالح. هذا حقيقي الاسم الكاملسيكون الملف كالتالي:
"PicturesForYou.jpg .exe". الآن أي شخص يفهم ما تحمله هذه الصورة بالفعل. هذا ليس ملف صورة يستدعيه عارض الصور عند تنشيطه ، ولكنه فيروس وقح محجوب قليلاً ينتظر تنشيطه بمجرد نقرة على الماوس أو ضغطة مفتاح. أنت نفسك تقوم بتنزيل مثل هذا الفيروس على جهاز الكمبيوتر الخاص بك ، تحت غلاف بعض الصور ، مثل "حصان طروادة". ومن هنا جاءت التسمية العامية لمثل هذه الفيروسات مثل "أحصنة طروادة".
في الوقت الحالي ، هناك قذائف من قنوات المعلومات مثل Internet Explorer و Outlook Express و Microsoft Office. ظهرت الآن فئات قليلة من ما يسمى بـ "فيروسات الماكرو". تحتوي على أوامر مخفية لهذه الأصداف غير مرغوب فيها للمستخدم العادي. ولم يعد هذا الرمز هو رمز الكمبيوتر ، أي أنه لم يعد برنامجًا ، بل نص البرنامج الذي تنفذه الصدفة. وبالتالي ، يمكن كتابتها بأي تنسيق مطلوب: html. فقط ذات طبيعة معينة ، لأن الغلاف ليس لديه أوامر ، على سبيل المثال ، لتهيئة محرك الأقراص الثابتة. لكن لا يزال هذا النوع من الفيروسات يستحق الاهتمام ، لأنه بمساعدة الارتباطات التشعبية المخفية يمكنه تنزيل جسم الفيروس بشكل مستقل من الإنترنت إلى جهاز الكمبيوتر الخاص بك ، ويمكن لبعض الفيروسات التحديث والتنزيل في أجزاء عبر الإنترنت من خوادم معينة . على سبيل المثال ، طور أحد الطلاب اليابانيين مثل هذا الفيروس الذي يربط "محمل" صغير بأي تنسيق لبيانات الإدخال من الإنترنت. علاوة على ذلك ، يقوم هذا المُحمل بتنزيل جسم الفيروس بشكل مستقل من الإنترنت من الخادم بعنوان Babilon5 IP. هناك أربعة من هذه الجثث. كل واحد منهم قادر على تدمير جهاز الكمبيوتر الخاص بك من تلقاء نفسه ، ولكن له غرض محدد. هذا النوع من الفيروسات هجين بين فيروسات الماكرو والفيروسات العادية. ولكن تجدر الإشارة إلى أن الهجينة هي الأكثر ثباتًا ودهاءً وخطورةً وتعددًا بين الفيروسات. في الآونة الأخيرة ، كانت هناك فضيحة حول مبرمج ، وفقًا للخبراء ، أنشأ وبدأ في نشر فيروس ماكرو أصاب الملفات النصية لبرنامج Microsoft Word. تم حسابه من تاريخ ووقت إنشاء المستند الأصلي ، والذي يتم تخزينه في الأجزاء غير المرئية من ملفات .doc. من المحتمل أن يكون الملف قد أنشأه شخص آخر قبل إرفاق الفيروس به ، ثم يظل سؤال المهاجم مفتوحًا. لكن الخبراء يقولون إنه هو.
على سبيل المثال ، فيروس Win32.HLLM.Klez. يتم توزيع أحد أنواع دودة الشبكة الخطيرة عن طريق إرسال نسخ منه عن طريق البريد الإلكتروني. بالإضافة إلى ذلك ، يمكن أن تنتشر هذه الدودة عبر شبكة محلية ، مما يؤدي إلى إصابة أجهزة الكمبيوتر التي تعد أقراصها موارد شبكة مشتركة قابلة للكتابة. بمجرد دخولها إلى النظام ، ترسل الدودة نفسها إلى العناوين الموجودة في دفتر عناوين Windows وفي قاعدة بيانات ICQ وفي الملفات المحلية. تستخدم الرسائل المصابة التي يرسلها هذا الفيروس المتنقل أحد الأخطاء المعروفة نسبيًا في نظام أمان Internet Explorer ، والذي يسمح بتشغيل ملف برنامج (به فيروس) مرفق برسالة ليتم تشغيله تلقائيًا عند عرض البريد في Outlook و Outlook Express.
دعونا نحاول النظر في طرق التنكر والحماية التي تستخدمها الفيروسات ضدنا نحن المستخدمين العاديين وبرامج مكافحة الفيروسات.
الغدر هو الأساس والأكثر الطريق السريعقم بخدعة قذرة قبل أن يتم اكتشافها. فيروس Chernobyl ، على سبيل المثال ، يمسح BIOS تمامًا (برنامج بدء التشغيل الموجود في شريحة ROM التي تضمن تشغيل الكمبيوتر). بعد ذلك ، لن يتمكن الكمبيوتر من عرض أي شيء على الإطلاق. ولكن يتم حظر عملها بسهولة إذا تم تثبيت مفتاح داخل الكمبيوتر يمنع الكتابة إلى منطقة ROM. لذلك ، كان هذا هو الأول ، ولكن أيضًا ، كما أعتقد ، آخر ممثل لفيروسات الأجهزة.
تقسم الفيروسات المتجددة أجسامها إلى عدة أجزاء وتخزنها فيها أماكن مختلفةقرص صلب. وفقًا لذلك ، يمكن لهذه الأجزاء أن تجد بعضها البعض وتتجمع بشكل مستقل لتجديد جسم الفيروس. برنامج مكافحة الفيروسات يكتشف ويقتل فقط جسم الفيروس ، ولا يتم تضمين أجزاء من هذا الجسم في قاعدة بيانات مكافحة الفيروسات ، حيث يتم تغييرها. يساعد التنسيق المستهدف منخفض المستوى لمحرك الأقراص الثابتة في مكافحة مثل هذه الفيروسات. يجب اتخاذ الاحتياطات للحفاظ على المعلومات.
لا تختبئ الفيروسات الماكرة منا فحسب ، بل تختبئ أيضًا من برامج مكافحة الفيروسات. هذه "الحرباء" تغير نفسها بمساعدة العمليات الأكثر مكراً وتعقيداً ، باستخدام كل من البيانات الحالية (وقت إنشاء الملف) وباستخدام ما يقرب من نصف مجموعة تعليمات المعالج بالكامل. في مرحلة معينة ، بالطبع ، وفقًا لخوارزمية ماكرة ، يتحولون إلى فيروس دنيء ويبدأون في التعامل مع جهاز الكمبيوتر الخاص بنا. هذا هو أصعب نوع من الفيروسات للكشف عنه ، لكن بعض البرامج المضادة للفيروسات ، مثل "دكتور ويبر" ، قادرة على اكتشاف وتحييد الفيروسات المماثلة باستخدام ما يسمى بالتحليل الإرشادي.
تستخدم الفيروسات "غير المرئية" ما يسمى بطريقة "Stelth" لمنع اكتشافها. وهو يتألف من حقيقة أن فيروسًا مقيمًا في الذاكرة يعترض مكالمات DOS (وبالتالي برامج التطبيق) إلى الملفات ومناطق القرص المصابة ويصدرها في شكلها الأصلي (غير المصاب). بالطبع ، لا يُلاحظ هذا التأثير إلا على جهاز كمبيوتر مصاب - على جهاز كمبيوتر "نظيف" ، يمكن بسهولة اكتشاف التغييرات في الملفات ومناطق تمهيد القرص. لكن يمكن لبعض برامج مكافحة الفيروسات اكتشاف الفيروسات "غير المرئية" حتى على أجهزة الكمبيوتر المصابة.
ظهرت دودة شبكة راندون في مارس 2003. ينتشر عبر قنوات IRC وموارد الشبكة المحلية ويصيب أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows2000 و Windows XP. لاختراق جهاز كمبيوتر ، فإنه يتصل بشبكة محلية أو خادم IRC ، ويفحص المستخدمين الموجودين عليه ، ويؤسس اتصالًا معهم على المنفذ 445 ويحاول تخمين كلمة المرور من القائمة المدمجة للعبارات الأكثر استخدامًا. إذا تم اختراق النظام بنجاح ، يقوم Random بإرسال حصان طروادة Apher إليه ، والذي يقوم بدوره بتنزيل باقي مكونات الدودة من موقع ويب بعيد. بعد ذلك ، يقوم "Randon" بتثبيت مكوناته في دليل نظام Windows ، ويسجل ملفه الرئيسي. لإخفاء وجوده في الذاكرة ، فإنه يستخدم أداة خاصة HideWindows ، والتي تعد أيضًا أحد مكونات الفيروس المتنقل. بفضلها ، اتضح أنه غير مرئي للمستخدم ، بحيث لا يمكن اكتشاف عملية Randon النشطة إلا في إدارة مهام Windows. له آثار جانبية- إنشاء قدر كبير من حركة المرور الزائدة على الجهاز المصاب وتجاوز قنوات IRC.
وفقًا لـ Kaspersky Lab ، أحد المطورين الرائدين لبرامج مكافحة الفيروسات ، يقدم مراجعة لنشاط الفيروس لشهر مارس 2003 (الجدول 2 والشكل 1)

أكثر 20 برنامجًا ضارًا شيوعًا

فاتورة غير مدفوعة. 2
الاسم المشاركة في إجمالي عدد حوادث الفيروسات (٪)
1. آي-وورم كليز 37.60٪
2. I-Worm.Sobig 10.75٪
3. I-Worm.Lentin 9.03٪
4. I-Worm.Avron 3.30٪
5- كلمة ماكرو 97 ، وبالتالي 2.62٪
6- آي وورم تاناتوس 1.38٪
7. ماكرو. Word 97 ماركر 1.21٪
8. Worm.Win32.Opasoft 1.13٪
9. I-Worm.Hybris 1.04٪
10- فوز 95.CIH 0.69٪
11. دودة الفوز 32. التخلي 0.58٪
12. في بي اس ريدلوف 0.57٪
13. الباب الخلفي الموت 0.51٪
14- فوز 95 مسافات 0.51٪
15- آي وورم رورون 0.49٪
16.تروجان PSW.Gip 0.49٪
17. Backdoor.NetDevil 0.48٪
18.Win32.HLLP.Hantaner 0.45٪
19. TrojanDropper.Win32.Delf 0.42٪
20. تروجان دروببر Win32.Yabinder 0.41٪
برامج ضارة أخرى * 26.33٪

* غير مدرج في أكثر 20 شيوعًا

منع ومكافحة فيروسات الكمبيوتر

الطرق الأساسية للحماية من فيروسات الكمبيوتر

للحماية من الفيروسات ، يمكنك استخدام:
- الوسائل العامة لحماية المعلومات ، والتي تكون مفيدة أيضًا كتأمين ضد الأضرار المادية للأقراص أو البرامج التي تعمل بشكل غير صحيح أو أفعال المستخدم الخاطئة ؛
- تدابير وقائية لتقليل احتمالية الإصابة بفيروس الكمبيوتر ؛
- برامج متخصصة للحماية من الفيروسات.
- أدوات أمن المعلومات الشائعة مفيدة لأكثر من مجرد الحماية من الفيروسات. هناك نوعان رئيسيان من هذه الصناديق:
نسخ المعلومات - إنشاء نسخ من الملفات ومناطق أقراص النظام ؛
يمنع التحكم في الوصول الاستخدام غير المصرح به للمعلومات ، ولا سيما الحماية من التغييرات التي تطرأ على البرامج والبيانات عن طريق الفيروسات والبرامج المعطلة والإجراءات الخاطئة للمستخدمين.
رغم الأموال العامةأمن المعلومات مهم جدًا للحماية من فيروسات الكمبيوتر ، لكنها وحدها ليست كافية. من الضروري استخدام برامج متخصصة للحماية من فيروسات الكمبيوتر. يمكن تقسيم هذه البرامج إلى عدة أنواع:
تسمح لك برامج الكاشف باكتشاف الملفات المصابة بأحد الفيروسات العديدة المعروفة.
البرامج - الأطباء ، أو العاثيات ، "تعالج الفيروسات" البرامج أو الأقراص المصابة ، "تقضم" جسم الفيروس من البرامج المصابة ، أي استعادة البرنامج إلى الحالة التي كان عليها قبل الإصابة بالفيروس.
البرامج - يتذكر المدققون أولاً المعلومات حول حالة البرامج ومجالات نظام الأقراص ، ثم يقارنون حالتها بالحالة الأصلية. إذا تم العثور على تناقضات ، يتم إبلاغ المستخدم بها.
الأطباء - المدققون هم هجين من المراجعين والأطباء ، أي البرامج التي لا تكتشف التغييرات في الملفات ومناطق النظام الخاصة بالأقراص فحسب ، بل يمكنها أيضًا إعادتها تلقائيًا إلى حالتها الأصلية.
توجد برامج التصفية في ذاكرة الوصول العشوائي للكمبيوتر وتعترض تلك المكالمات إلى نظام التشغيل التي تستخدمها الفيروسات للتكاثر والضرر ، وإبلاغ المستخدم بها. يمكن للمستخدم تمكين أو تعطيل العملية المقابلة.
البرامج - اللقاحات ، أو المناعة ، تقوم بتعديل البرامج والأقراص بشكل لا يؤثر على عمل البرامج ، لكن الفيروس الذي يتم التطعيم ضده يعتبر هذه البرامج والأقراص مصابة بالفعل. هذه البرامج غير فعالة للغاية ولا يتم أخذها في الاعتبار.
لسوء الحظ ، لا يوجد نوع واحد من برامج مكافحة الفيروسات يوفر حماية كاملة ضد فيروسات الكمبيوتر. لذلك ، فإن أفضل استراتيجية للحماية من الفيروسات هي دفاع متعدد المستويات "متعدد الطبقات". دعونا نصف هيكل هذا الدفاع.
تتوافق وسائل الاستطلاع في "الدفاع" ضد الفيروسات مع البرامج - أجهزة الكشف التي تسمح لك بفحص البرامج المستلمة حديثًا بحثًا عن وجود فيروسات.
في طليعة الدفاع توجد برامج التصفية (برامج مقيمة للحماية من الفيروسات). يمكن أن تكون هذه البرامج هي أول من يبلغ عن هجوم فيروسي ويمنع إصابة البرامج والقرص.
المستوى الثاني للدفاع يتكون من مدققي البرامج ، وأطباء البرامج ، والأطباء - المراجعين. يكتشف المدققون هجومًا حتى عندما يتمكن الفيروس من "التسرب" عبر خط الدفاع الأمامي. تُستخدم برامج الطبيب لاستعادة البرامج المصابة إذا لم يكن هناك نسخ منها في الأرشيف. لكنهم لا يفعلون الشيء الصحيح دائمًا. يكتشف الأطباء المدققون هجومًا للفيروس ويعالجون الفيروسات - الملفات المصابة ، ويتحكمون في صحة علاج الفيروسات ، وإذا كان من المستحيل علاج الفيروسات ، فإنهم يوصون بالتأكيد بإزالة الفيروسات (الملفات المصابة).
أعمق طبقة دفاع هي وسائل التحكم في الوصول. فهي لا تسمح للفيروسات والبرامج التي تسيء التصرف ، حتى لو دخلت إلى الكمبيوتر ، بإفساد بيانات مهمة.
وأخيرًا ، يوجد في "الاحتياطي الاستراتيجي" نسخ أرشيفية للمعلومات وأقراص "مرجعية" مع منتجات برمجية. أنها تسمح لك باستعادة المعلومات في حالة تلفها على القرص الصلب.

برامج - كاشفات و اطباء

في معظم الحالات ، لاكتشاف فيروس أصاب جهاز كمبيوتر ، يمكنك العثور على برامج كشف مطورة بالفعل. تتحقق هذه البرامج لمعرفة ما إذا كانت الملفات الموجودة على محرك الأقراص المحدد من قبل المستخدم تحتوي على مجموعة من وحدات البايت الخاصة بفيروس معين. عندما يتم العثور عليه في أي ملف ، يتم عرض رسالة مقابلة على الشاشة. العديد من أجهزة الكشف لديها علاج فيروسات أو وضع إزالة فيروسات.
وتجدر الإشارة إلى أن برنامج الكاشف يمكنه فقط اكتشاف الفيروسات المعروفة له (أي أنها مدرجة في قاعدة بيانات مكافحة الفيروسات لهذا البرنامج).
أحد هذه البرامج هو KIS Kaspersky.
كل شيء فيه يحتوي على واجهة مريحة ومفهومة. البرنامج مصمم لنظام التشغيل Windows XP و Windows Vista مما يسمح له بالعمل بالتوازي مع التطبيقات الأخرى. كاسبيرسكي لاب هي الشركة الروسية الرائدة في تطوير أنظمة الحماية ضد الفيروسات.
هناك أيضا أفاست.
هؤلاء هم المدافعون عن جهاز الكمبيوتر الخاص بك ثبتوا في العمل - علاج معظم الفيروسات وإزالة الفيروسات في حالة تهديدها الخطير أو عدم قدرتها على التحمل.
تحتوي معظم برامج الكاشف أيضًا على وظيفة "طبيب" ، أي يحاولون إعادة الملفات المصابة ومناطق القرص إلى حالتها الأصلية - لمعالجة الفيروسات. عادةً ما تكون الملفات التي لا يمكن معالجتها غير قابلة للتشغيل أو يتم حذفها.

الوقاية من الإصابة بالفيروس

لنلقِ نظرة على بعض الإجراءات التي يمكن أن تقلل من احتمالية إصابة جهاز كمبيوتر بفيروس ، بالإضافة إلى تقليل الضرر الناتج عن الإصابة بالفيروس في حالة حدوثه.
1. سيكون من الجيد أن يكون لديك ، وإذا لزم الأمر ، نسخ أرشيفية ومرجعية من البرامج وحزم البيانات المستخدمة. قبل أرشفة البيانات ، يُنصح بفحصها بحثًا عن وجود فيروس.
2. يُنصح أيضًا بنسخ معلومات خدمة القرص (FAT ، قطاعات التمهيد) و CMOS (ذاكرة الكمبيوتر غير المتطايرة) إلى الأقراص المرنة. يمكن نسخ هذه المعلومات واستعادتها باستخدام برنامج Norton Utilities Rescue.
3. يجب عليك تعيين الحماية ضد الكتابة على أقراص الأرشيف.
4. يجب ألا تشترك في نسخ برامج غير مرخصة وغير قانونية من أجهزة كمبيوتر أخرى. قد يكون لديهم فيروس.
5. يجب فحص جميع البيانات الواردة من الخارج بحثاً عن الفيروسات ، وخاصة الملفات "التي يتم تنزيلها" من الإنترنت.
6. من الضروري تحضير حزمة استرداد مسبقًا على أقراص مرنة مع حماية ضد الكتابة.
7. طوال مدة العمل العادية ، والتي لا تتعلق باستعادة جهاز الكمبيوتر ، يجدر تعطيل التمهيد من قرص مرن. سيؤدي ذلك إلى منع الإصابة بفيروس التمهيد.
8. استخدام برامج الفلاتر للكشف المبكر عن الفيروسات.
9. قم بفحص القرص بشكل دوري باستخدام برامج الكشف أو كواشف الأطباء أو المراجعين لاكتشاف الأعطال المحتملة في الدفاع.
10. تحديث قاعدة بيانات برامج مكافحة الفيروسات.
11. أبعد المستخدمين المشبوهين عن جهاز الكمبيوتر الخاص بك.

استنتاج

في الختام ، أود أن أحذر من الحرب الشديدة الحماسة ضد فيروسات الكمبيوتر. إن إجراء فحص كامل للفيروسات لمحرك الأقراص الثابتة كل يوم ليس أيضًا خطوة رائعة في منع العدوى. أرى الطريقة المتحضرة الوحيدة للحماية من الفيروسات في مراعاة الاحتياطات الوقائية عند العمل على الكمبيوتر. وتحتاج أيضًا إلى الاستعانة بالمتخصصين للتعامل مع فيروسات الكمبيوتر. بالإضافة إلى ذلك ، حتى إذا كان الفيروس لا يزال يخترق الكمبيوتر ، فهذا ليس سببًا للذعر.
غالبًا ما تكون المشكلة الرئيسية للإنترنت ليست الفيروسات والمتسللين ، ولكنها ظاهرة شائعة مثل الأمية الحاسوبية. باستخدام تشبيه كاسبيرسكي ، الجهل بقواعد الطريق. الأشخاص الذين تعلموا مؤخرًا كيفية تلقي البريد وإرساله يشيطنون فيروسات الكمبيوتر ، ويكادون يتخيلونها على أنها ديدان سوداء غير مرئية تزحف على طول الأسلاك. وهنا عدد قليل قواعد بسيطة، مراقبة يمكنك محاولة تجنب الإصابة بالفيروسات. أولاً: إنهم لا يخافون من فيروسات الكمبيوتر ، فهم جميعاً يعالجون. ثانيًا ، قم بتعيين Microsoft Outlook للعمل في منطقة المواقع المحظورة ، مما سيمنعه من تنفيذ برامج معينة تلقائيًا - وهو المبدأ الأساسي لانتشار فيروسات الكمبيوتر. ثالثًا ، لا تفتح رسائل البريد الإلكتروني الواردة من المستلمين المشبوهين. رابعًا: استخدام مضاد فيروسات جديد ، والأهم من ذلك ، ترخيص LICENSE.

إرسال عملك الجيد في قاعدة المعرفة أمر بسيط. استخدم النموذج أدناه

سيكون الطلاب وطلاب الدراسات العليا والعلماء الشباب الذين يستخدمون قاعدة المعرفة في دراساتهم وعملهم ممتنين جدًا لك.

وثائق مماثلة

ميزات ومبادئ أمن البرمجيات. أسباب تكوين فيروسات للعدوى برامج الحاسوب. الخصائص العامةفيروسات الكمبيوتر ووسائل إبطال مفعولها. تصنيف طرق الحماية ضد فيروسات الكمبيوتر.

الملخص ، تمت الإضافة في 05/08/2012


رحلة قصيرةفي تاريخ الفيروسات. الجوانب الاجتماعية لمشكلة فيروسات الكمبيوتر. طرق مواجهة فيروسات الكمبيوتر. المصطلحات المستخدمة عند مناقشة برامج مكافحة الفيروسات. تصنيف الفيروسات. الموقف تجاه مؤلفي الفيروسات.

ورقة المصطلح ، تمت إضافة 2011/03/21


تاريخ فيروسات الكمبيوتر. تصنيف فيروسات الكمبيوتر حسب الموطن وطريقة الإصابة والقدرات التدميرية وميزات خوارزمية الفيروس. علامات وجود فيروس في الكمبيوتر. الطرق الأساسية للحماية من الفيروسات.

عرض تقديمي ، تمت إضافة 08/13/2013


أصل فيروسات الكمبيوتر. طرق اختراق الفيروسات للكمبيوتر وآلية توزيع برامج الفيروسات. علامات ظهور الفيروسات. تحييد الفيروس. تدابير الوقاية. تصنيف الفيروسات حسب الإمكانيات التدميرية.

الملخص ، تمت إضافة 01.12.2006


خصائص وتصنيف فيروسات الكمبيوتر واستخدام الفيروسات غير المرئية. مخططات عمل فيروسات التمهيد والملفات البسيطة. أحصنة طروادة ، إشارات مرجعية للبرامج وديدان الشبكة. علامات ظهور الفيروسات وطرق الوقاية منها.

الملخص ، تمت إضافة 01/11/2012


تاريخ فيروسات الكمبيوتر. مبدأ الفيروس ومصادره الرئيسية. العلامات المبكرة لعدوى الكمبيوتر. علامات المرحلة النشطة للفيروس. الحماية من فيروسات الكمبيوتر. المسؤولية عن جرائم الكمبيوتر - إدخال الفيروسات.

العرض التقديمي ، تمت إضافة 10/10/2011


تاريخ إنشاء فيروسات الكمبيوتر وخصائصها وتصنيفها. طرق اختراق فيروسات الكمبيوتر للحاسوب وطرق الحماية منها. مفهوم برنامج مضاد للفيروسات. أنواع البرامج المتخصصة للحماية. نظرة عامة على التطبيقات الحالية.

ورقة مصطلح تمت إضافتها في 08/05/2013