ملخص لدرس المعلوماتية "فيروسات الكمبيوتر. برامج مكافحة الفيروسات". حسب طريقة تلوث البيئة. طرق البحث عن الفيروسات

يمكن أن تكون البرامج مختلفة: مفيدة وليست مفيدة جدًا. في الحالة الأخيرة ، نتحدث عن فيروسات الكمبيوتر سيئة السمعة. فيروس الكمبيوتر- برنامج ضار يمكنه إعادة إنتاج نسخ من نفسه والاختراق بشكل مستقل (حقن نسخ منه) في كود البرامج الأخرى وقواعد البيانات وقطاعات التمهيد للقرص الصلب وما إلى ذلك. علاوة على ذلك ، لا يقتصر هذا النوع من البرامج على "الاختراق" . الهدف النهائي لمعظم فيروسات الكمبيوتر هو إحداث بعض الضرر للمتلقي. يعود ضرر فيروسات الكمبيوتر إلى حذف الملفات ، والاستيلاء على جزء من مساحة قرص الكمبيوتر ، وحظر عمل المستخدمين ، واختراق البيانات الشخصية ، وما إلى ذلك.

أوه ، لكن ليس كل شيء فيروسات الكمبيوترمعادية جدا. يعرض بعضهم ببساطة رسائل غير ضارة من محتوى فكاهي أو إعلاني أو سياسي على شاشة العرض. لا يوجد ضرر للكمبيوتر في هذه الحالة. ما لا يمكن قوله عن المستخدم الذي يخضع جهازه العصبي لاختبار معين. اختبار لا يمكننا جميعًا التعامل معه. الفئران الممزقة ولوحات المفاتيح المشوهة والشاشات المكسورة في الإعلانات التجارية هي تأكيد حي على ذلك.

كما خمنت على الأرجح ، فإن محادثتنا اليوم ستتناول تاريخ فيروسات الكمبيوتر.

لماذا "الفيروس"؟

سأبدأ رحلتي إلى التاريخ بأصل اسم "فيروس الكمبيوتر". لماذا "فيروس" وليس "مرض" أو "إصابة"؟ الجواب بسيط - الأمر كله يتعلق بالتشابه المذهل لآلية توزيع الفيروسات البيولوجية والفيروسات الحاسوبية. مثلما يستولي الفيروس البيولوجي على خلية كائن ما ، ويتكاثر فيها ، ثم يحتل خلية جديدة ، كذلك يفعل فيروس الكمبيوتر. بعد أن اخترقت هذا البرنامج أو ذاك ، بعد أن أنشأت عددًا معينًا من النسخ لنفسه ، ضار البرمجياتيبدأ في التقاط مناطق أخرى من الكمبيوتر ، ثم ينتقل إلى الجهاز التالي. موافق ، التشبيه أكثر من واضح. في الواقع ، هذا هو سبب "الفيروس". صحيح ، ليس بيولوجيًا ، بل كمبيوتر.

لا يُعرف على وجه اليقين من ومتى كان أول من استخدم هذه العبارة. لذلك ، دون ادعاء أنني الحقيقة المطلقة ، سأعبر عن اسم الشخص الذي يتم ذكره غالبًا في هذا السياق. هذا (في الصورة على اليمين) عالم فيزياء فلكية ، وكاتب خيال علمي من الولايات المتحدة الأمريكية. يعتقد الكثير أنه في قصته "الرجل ذو الندبات"(1970) استخدمت كلمة "فيروس" لأول مرة فيما يتعلق ببرنامج كمبيوتر.

بلا نظرية - لا فيروسات!

كما هو الحال غالبًا ، تتباعد الأقوال والأفعال بشكل ملحوظ في الوقت المناسب. في حالتنا ، يمكن تأكيد ذلك من خلال حقيقة أن إثبات الأسس النظرية لإنشاء وتشغيل برامج الكمبيوتر ذاتية التكاثر (الفيروسات) قد حدث قبل عقود من ظهور العبارة نفسها.

في وقت مبكر من عام 1949 في جامعة إلينوي ، عالم رياضيات أمريكي من أصل مجري جون فون نيومانقام بتدريس دورة محاضرات حول موضوع "نظرية وتنظيم الأجهزة الآلية المعقدة". بعد ذلك ، لخص العالم الشهير مواد محاضرته ونشر في عام 1951 عملاً علميًا بعنوان مماثل "نظرية إعادة الإنتاج الذاتي للأجهزة الأوتوماتيكية". وصف جون فون نيومان في عمله بالتفصيل آلية إنشاء برنامج كمبيوتر يمكنه ، أثناء عمله ، إعادة إنتاج نفسه.

كان البحث العلمي الذي أجراه فون نيومان بمثابة الدافع الرئيسي للإنشاء العملي لفيروسات الكمبيوتر في المستقبل ، ويعتبر العالم نفسه بحق والد منظّر علم الفيروسات الحاسوبي.

تطوير نظرية الباحث الألماني الأمريكي فيث رزقفي عام 1972 نشر مقالاً بعنوان "أجهزة آلية ذاتية الإنتاج بأقل قدر من تبادل المعلومات". في ذلك ، يصف العالم آلية تشغيل فيروس كامل مكتوب بلغة التجميع لنظام الكمبيوتر SIEMENS 4004/35.

وواحد أكثر أهمية عمل علميفي هذا المجال يعتبر دبلوم خريج جامعة دورتموند يورغن كراوس. في عام 1980 ، في عمله للدراسات العليا بعنوان "برامج إعادة الإنتاج الذاتي" ، كشف الباحث الشاب عن أسئلة نظرية ، ووصف برامج التكاثر الذاتي لحاسوب SIEMENS الموجود بالفعل في ذلك الوقت ، وكان أول من ركز على حقيقة أن برامج الحاسوبعلى غرار الفيروسات البيولوجية.

قد يلاحظ القارئ الملاحظ أن البحث العلمي المذكور أعلاه يتعلق بتطوير برامج كمبيوتر "سلمية" حصريًا قادرة على إعادة إنتاج نفسها. لم يفكر المنظرون حتى في ضرر "مرضاهم". لقد تم القيام به من أجلهم من قبل أشخاص آخرين أدركوا في الوقت المناسب الإمكانات الهائلة لهذا النوع من البرامج من أجل "إتلاف" أجهزة الكمبيوتر وغيرها من المعدات. ولكن هذا حدث لاحقًا ، ولكن الآن دعنا ننتقل من النظرية إلى التطبيق.

يبتلع الأول

لديهم ما تحدث عنه وكتب عنه جون فون نيومان ، مجموعة من موظفي شركة أمريكية معامل بيلابتكر لعبة أصلية لأجهزة كمبيوتر IBM 7090 في عام 1961 داروين. خلال هذه اللعبة ، تم تحميل عدد معين من برامج التجميع ("الكائنات الحية") في ذاكرة الكمبيوتر. كان من المفترض أن تمتص الكائنات الحية التي تنتمي إلى لاعب واحد الكائنات الحية للاعب آخر ، فتشغل المزيد والمزيد من مساحة اللعب في هذه العملية. تم الاحتفال بالنصر من قبل اللاعب الذي استحوذت كائناته الحية على ذاكرة اللعبة بأكملها.

أولئك منكم ، أيها القراء الأعزاء ، الذين يرغبون في التعرف بالتفصيل على التسلسل الزمني لحدوث فيروسات الكمبيوتر المعروفة على هذا الكوكب ، يمكنني أن أوصي بهم باللغة الإنجليزية. ستجد هناك العديد من الحقائق المثيرة للاهتمام حول "الفيروسات الأولية" (على سبيل المثال ، القدس / 1987 أو Morris worm / 1988) وتحديث معلوماتك حول البرامج الضارة الجديدة (مثل Game Over / 2013 Trojan horse). بالطبع ، إذا كنت تستخدم اللغة الإنجليزية ، فأنت تريد ذلك.

فيروس إلى فيروس - الفتنة!

على مدى السنوات التي مرت منذ ظهور أول فيروس على الكمبيوتر ، تم تشكيل الأنواع (الأنواع) الرئيسية من البرامج الضارة. سوف أتطرق بإيجاز إلى كل منهم.

تصنيف فيروسات الكمبيوتر:

• دودة الشبكة- نوع من البرامج "العدائية" القادرة على الانتشار بشكل مستقل باستخدام شبكات الكمبيوتر المحلية أو العالمية. الممثل الأول هو دودة موريس التي سبق ذكرها.


• حصان طروادة, حصان طروادة- نوع من فيروسات الكمبيوتر يتم توزيعه (يتم تحميله في جهاز كمبيوتر) مباشرة بواسطة شخص. على عكس الدودة ، لا يستطيع حصان طروادة السيطرة تلقائيًا على جهاز كمبيوتر معين. كان أول حصان طروادة هو فيروس الكمبيوتر الإيدز في عام 1989.


• فيروس الكمبيوتر متعدد الأشكال- البرامج الضارة التي تحتوي على ملفات مستوى مرتفعالحماية من الكشف. بمعنى آخر ، إنه فيروس كمبيوتر تم إنشاؤه باستخدام تقنية برمجة خاصة تسمح له بالبقاء غير مكتشفة لفترة أطول. كان أول فيروس متعدد الأشكال هو الحرباء (1990).


• فيروس الشبح- فيروس كمبيوتر يمكنه إخفاء وجوده جزئيًا أو كليًا في مكان التنزيل والتفعيل. في الواقع ، هذا فيروس غير مرئي ، والفرق الرئيسي بينه وبين الفيروس متعدد الأشكال هو طريقة الإخفاء. تتمثل آلية إخفاء وجود فيروس خفي في اعتراض المكالمات إلى نظام التشغيل من برنامج مكافحة الفيروسات. يعتبر Frodo (1990) هو سلف هذه المجموعة من فيروسات الكمبيوتر.

إذا تم القيام بشيء ما ، فعندئذ يحتاجه شخص ما

ما هي أهداف مبتكري فيروسات الكمبيوتر؟ نعم ، مختلف جدا. بالنسبة للجزء الأكبر ، وفقًا للمحللين الغربيين ، نحن نتحدث عن تدمير أجهزة الكمبيوتر الخاصة بالمنافسين / الأعداء أو سرقة الأموال التي تخص الأشخاص الذين هاجمهم الفيروس.

في الوقت نفسه ، هناك أسباب أخرى ، وأحيانًا مسلية للغاية ، لتطوير فيروسات الكمبيوتر. بعض الشخصيات تنشر معلومات سياسية من خلال الفيروس. البعض الآخر ، المليء بالقلق للآخرين ، يستخدمه للإشارة إلى ضعف بعض البرامج. حتى أن هناك أشخاصًا ، يشاهدون عواقب هجوم الفيروس ، يحصلون على متعة بشرية منحرفة. استمتع ، في كلمة واحدة.

كما أنه من المستحيل استبعاد دور المطورين في إنشاء وتوزيع فيروسات الكمبيوتر. قد يتساءل المرء: كيف ذلك؟ لكن مثل هذا! كل عام ، تقدر الخسائر من هجمات الفيروسات في العالم بمليارات الدولارات الأمريكية. كما تقدر رسملة السوق الدولية لبرامج مكافحة الفيروسات المدفوعة بالمليارات. يمكنك أن تتوصل إلى فكرة بسيطة: هذا منجم ذهب لا ينضب. أولاً ، يتم إنشاء الفيروس (وإن كان ذلك بمساعدة وسطاء) ، ومن ثم يتم معالجته بشكل فعال من قبل العميل. من اجل المال.

لا يوجد شيء جديد في هذا. خاصة إذا كنت تتذكر ما لا يوبخه النشطاء اللامبالون شركات الأدوية عبر الوطنية. ثم في تخميناتي يمكنك أن تجد حبة صحية. ولا حتى واحدة.

باختصار ، التاريخ الكامل لظهور فيروسات الكمبيوتر. كوني حذرة وقد تكون السعادة والصحة وثلاثة أكياس من المال معك.

مقدمة ... ................................................ .. ........... واحد

فيروسات الكمبيوتر................................................ .................................................. ................................................ .. ..................

تاريخ تطور الفيروسات . .................................................................................. 2

فيروسات خطيرة وغير خطرة ............................................ ................... ............................... .. 3

الأشياء المصابة ................................................ .................. ................................ ............... 3

أنواع خاصة من الفيروسات .............................................. ................. ................................. ........... 4

طرق اخفاء الفيروسات . .............................................................................. 5

كيف تحمي نفسك من الفيروس ........................................... ......... ......................................... 6

برامج مكافحة الفيروسات. ............................................................................................................................................................... 7

AIDSTEST .................................................. ............................................... .. .......... ثمانية

موقع الطبيب .............................................. .. ............................................... ... . تسع

ASP ................................................. ................. ................................. ................ ................ عشرة

برنامج Microsoft Antivirus ................................................ .............................................. أحد عشر

ADINF ................................................. . ................................................. ............... 12

AVP ................................................. .. ................................................ ................... أربعة عشر

فحص مكافحة الفيروسات للبريد الإلكتروني .......................................... ..................... ............................. .................... ... خمسة عشر

الحماية من فيروسات البريد الإلكتروني . ........................................ 15

برامج مكافحة الفيروسات لخوادم البريد .............................................. ................. ................... خمسة عشر

دكتور ويب لأنظمة UNIX ............................................. .......... ... ستة عشر

كاسبيرسكي المضاد للفيروسات لفحص البريد الإلكتروني ......................................... ...... 16

دبليوخاتمة................................................. .................................................. ...... 17

المراجع ................................................. ............................................ تسعة عشر

مقدمة.

عند العمل باستخدام جهاز كمبيوتر شخصي حديث ، يمكن أن يواجه المستخدم (وخاصة المبتدئين) العديد من المشكلات: فقدان البيانات ، وتجميد النظام ، وفشل الأجزاء الفردية من الكمبيوتر ، وغيرها. قد تكون فيروسات الكمبيوتر التي اخترقت النظام أحد أسباب هذه المشكلات ، إلى جانب الأخطاء في البرامج والإجراءات غير الملائمة لمشغل الكمبيوتر الشخصي.

هناك طرق عديدة لانتشار الفيروسات. يمكن للفيروس أن يدخل إلى كمبيوتر المستخدم مع قرص مرن أو قرص مضغوط مقرصن أو رسالة بريد إلكتروني. لكي لا يقع ضحية لهذه الآفة ، يجب أن يكون كل مستخدم على دراية جيدة بمبادئ الحماية من فيروسات الكمبيوتر. بعد كل شيء ، لا أمل في أن تختفي الفيروسات مع حلول الألفية الجديدة. فضلا عن عدم وجود أمل في مواجهتها بشكل كامل في بعض الوقت المنظور ، حيث أن موهبة مؤلفي برامج مكافحة الفيروسات تعارضها خيال عاطفي رسومات الكمبيوتر.

منذ العصور القديمة ، كان من المعروف أنه عاجلاً أم آجلاً يمكن العثور على ترياق لأي سم. أصبح هذا الترياق في عالم الكمبيوتر برامج تسمى مضاد فيروسات .

فيروس الكمبيوترهو برنامج مكتوب بشكل خاص ، كقاعدة عامة ، برنامج صغير الحجم يمكنه كتابة نسخ من نفسه في برامج الكمبيوتر الموجودة في الملفات القابلة للتنفيذ ، ومناطق نظام القرص ، وبرامج التشغيل ، والمستندات ، وما إلى ذلك ، وتحتفظ هذه النسخ بالقدرة على "إعادة الإنتاج". تسمى عملية إدخال الفيروس لنسخته في برنامج آخر (منطقة النظام في القرص ، وما إلى ذلك) عدوىوبرنامج أو كائن آخر يحتوي على فيروس - مُصاب.

يعرف العلم اليوم حوالي 30 ألف فيروسات كمبيوتر. مثل الفيروسات العادية ، تحتاج فيروسات الكمبيوتر إلى "ناقل" من أجل "الانتشار" - برنامج أو وثيقة صحية تخفي فيها أجزاء من كود برنامجها. الفيروس نفسه صغير ، ونادرًا ما يقاس حجمه بالكيلو بايت. ومع ذلك ، يمكن لهذا "الطفل" أن يفعل الكثير. في تلك اللحظة ، عندما يقوم المستخدم ، دون الشك في أي شيء ، بتشغيل برنامج مصاب على جهاز الكمبيوتر الخاص به أو فتح مستند ، يتم تنشيط الفيروس ويجبر الكمبيوتر على اتباع تعليماته. هذا يؤدي إلى حذف أي معلومات ، وفي أغلب الأحيان - بشكل لا رجوع فيه. بالإضافة إلى ذلك ، يمكن للفيروسات الحديثة أن تدمر ليس البرامج فحسب ، بل الأجهزة أيضًا. على سبيل المثال ، يقومون بتدمير محتويات BIOS الخاص باللوحة الأم أو إتلاف القرص الصلب.

ظهرت الفيروسات منذ حوالي 30 عامًا. ثم ، في أواخر الستينيات ، عندما كان بإمكان المرء أن يقرأ فقط عن أجهزة الكمبيوتر في روايات الخيال العلمي ، تم اكتشاف برامج غير عادية للغاية في العديد من أجهزة الكمبيوتر "الكبيرة" الموجودة في مراكز الأبحاث الكبيرة في الولايات المتحدة. لقد كانوا غير مألوفين من حيث أنهم لم يتبعوا أوامر أي شخص ، مثل البرامج الأخرى ، لكنهم تصرفوا بمفردهم. علاوة على ذلك ، فقد أبطأوا من خلال أفعالهم الكمبيوتر بشكل كبير ، لكن في نفس الوقت لم يفسدوا أي شيء ولم يتكاثروا.

لكنها لم تدم طويلا. في السبعينيات من القرن الماضي ، تم تسجيل أول فيروسات حقيقية قادرة على التكاثر وإعطاء أسمائها الخاصة: أصيب الكمبيوتر الكبير Univac 1108 بفيروس Pervading Animal ، وأصيبت أجهزة الكمبيوتر من عائلة IBM-360/370 بعيد الميلاد. فيروس الشجرة.

بحلول الثمانينيات ، تم قياس عدد الفيروسات النشطة بالمئات. وقد أدى ظهور وانتشار أجهزة الكمبيوتر إلى ظهور وباء حقيقي - فقد وصل عدد الفيروسات إلى الآلاف. صحيح أن مصطلح "فيروس الكمبيوتر" ظهر فقط في عام 1984 - لأول مرة تم استخدامه في تقريره في مؤتمر حول أمن المعلومات من قبل موظف في جامعة ليهاي الأمريكية ف. كوان.

كانت فيروسات الكمبيوتر الأولى بسيطة ومتواضعة - فهي لم تختبئ عن المستخدمين ، بل "أضاءت" إجراءاتها المدمرة (حذف الملفات ، وتدمير البنية المنطقية للقرص) بالصور و "النكات" المعروضة على الشاشة ("قم بتسمية الارتفاع الدقيق لجبل كليمنجارو بالميليمترات! إذا قمت بإدخال إجابة خاطئة ، فسيتم تدمير جميع البيانات الموجودة على القرص الصلب الخاص بك! "). لم يكن من الصعب التعرف على مثل هذه الفيروسات - فقد "تلصق" الملفات التنفيذية (* .com أو * .exe) ، وتغير أحجامها الأصلية.

في وقت لاحق ، بدأت الفيروسات في إخفاء رمز برنامجها بحيث لا يتمكن أي برنامج مكافحة فيروسات من اكتشافه. تسمى هذه الفيروسات "غير مرئي"(خلسة).

في التسعينيات ، بدأت الفيروسات في "التحور" - تغيير كود البرنامج باستمرار ، مع إخفائه في أجزاء مختلفة من القرص الصلب. تسمى هذه الفيروسات الطافرة "متعدد الأشكال".

ساهم الإنترنت بشكل كبير في انتشار الفيروسات. لأول مرة انجذب انتباه الجمهور إلى مشكلة فيروسات الإنترنت بعد ظهور فيروس "Morris worm" الشهير - وهو فيروس تجريبي غير ضار نسبيًا ، وانتشر في جميع أنحاء شبكة الويب العالمية نتيجة إهمال منشئه. وبحلول 1996-1998. أصبح الإنترنت المورد الرئيسي للفيروسات. حتى أنه كان هناك فئة كاملة من فيروسات الإنترنت تسمى "حصان طروادة".لم تؤذي هذه البرامج الكمبيوتر والمعلومات المخزنة فيه ، ولكن يمكنها بسهولة "سرقة" كلمة المرور وتسجيل الدخول للوصول إلى الويب ، بالإضافة إلى المعلومات السرية الأخرى.

في عام 1995 ، بعد ظهور نظام التشغيل Windows 95 ، تم تسجيل فيروسات تعمل تحت Windows 95. وبعد حوالي ستة أشهر ، تم اكتشاف فيروسات عملت على مستندات تم إعدادها في برامج شائعة من مجموعة Microsoft Office. الحقيقة هي أن لغة البرمجة ، Visual Basic للتطبيقات (VBA) ، تم تضمينها في محرر نصوص Microsoft Word ومحرر جداول بيانات Microsoft Excel ، المصممة لإنشاء إضافات خاصة للمحررين - وحدات الماكرو. تم تخزين وحدات الماكرو هذه في جسم مستندات Microsoft Office ويمكن بسهولة استبدالها بالفيروسات. بعد فتح الملف المصاب ، قام الفيروس بتنشيط وإصابة جميع مستندات Microsoft Office. بدءًا فيروسات الماكروأضروا المستندات النصية فقط ، ثم بدأوا فيما بعد في إتلاف المعلومات.

خلال 1998-1999 هزت العديد من هجمات الفيروسات المدمرة العالم: نتيجة لأنشطة فيروسات ميليسا و Win95.CIH و تشيرنوبيل ، تم تعطيل حوالي مليون جهاز كمبيوتر في جميع دول العالم. دمرت الفيروسات القرص الصلب ودمرت BIOS الخاص باللوحة الأم.

ليس هناك شك في أن هجمات الفيروسات ستستمر في المستقبل. لذلك ، يمكن لمستخدمي الكمبيوتر فقط الحصول على برنامج مكافحة فيروسات جيد.

معظم الفيروسات لا تفعل شيئًا سوى نشر نفسها (تصيب البرامج الأخرى ، والأقراص ، وما إلى ذلك) ، وفي بعض الأحيان ، تصدر أي رسائل أو تأثيرات أخرى اخترعها مؤلف الفيروس: ممارسة الألعاب ، والموسيقى ، وإعادة تشغيل الكمبيوتر ، وإصدار شاشة بأنماط مختلفة ، والحظر أو تغيير وظائف مفاتيح لوحة المفاتيح ، وإبطاء الكمبيوتر ، وما إلى ذلك. ومع ذلك ، فإن هذه الفيروسات لا تتسبب في إتلاف المعلومات عمدًا. تسمى هذه الفيروسات تقليديا غير ضار. ومع ذلك ، يمكن أن تسبب هذه الفيروسات أيضًا مشكلة كبيرة (على سبيل المثال ، لن تسمح لك إعادة التشغيل كل بضع دقائق بالعمل على الإطلاق).

ومع ذلك ، فإن حوالي ثلث جميع أنواع البيانات الفاسدة الموجودة على الأقراص - إما عن عمد أو بسبب الأخطاء الموجودة في الفيروسات ، على سبيل المثال ، بسبب التنفيذ غير الصحيح لبعض الإجراءات. إذا حدث تلف في البيانات من حين لآخر فقط ولا يؤدي إلى عواقب وخيمة ، فسيتم استدعاء الفيروسات خطير >> صفة. إذا حدث تلف في البيانات بشكل متكرر أو تسببت الفيروسات في تلف كبير (تهيئة قرص ثابت ، وتغيير البيانات على القرص بشكل منهجي ، وما إلى ذلك) ، فسيتم استدعاء الفيروسات خطير جدا .

تختلف فيروسات الكمبيوتر عن بعضها البعض في الأشياء التي تصيبها ، أي ما تصيبه. يمكن لبعض الفيروسات أن تصيب عدة أنواع من الكائنات في وقت واحد.

تنتشر معظم الفيروسات عن طريق العدوى الملفات القابلة للتنفيذهؤلاء. الملفات ذات الملحق .COM و .EXE ، بالإضافة إلى العديد من الملفات المساعدة التي يتم تحميلها عند تشغيل برامج أخرى. تسمى هذه الفيروسات ملف.يبدأ الفيروس في الملفات القابلة للتنفيذ المصابة عمله في بداية البرنامج الموجود فيه.

يتم إدخال نوع شائع آخر من الفيروسات في القطاع الأولي للأقراص المرنة أو الأقراص المنطقية ، حيث يوجد محمل نظام التشغيل ، أو في القطاع الأولي لمحركات الأقراص الثابتة ، حيث يوجد جدول تقسيم للقرص الصلب وبرنامج صغير يتم التمهيد منه أحد الأقسام المشار إليها في هذا الجدول. تسمى هذه الفيروسات قابل للتمهيد، أو الأنقاض(من كلمة boot - bootloader). تبدأ هذه الفيروسات عملها عندما يقوم الكمبيوتر بالتمهيد من قرص مصاب. فيروسات التمهيد مقيمة وتصيب الأقراص المرنة التي يتم إدخالها في الكمبيوتر. توجد فيروسات تمهيد تصيب الملفات أيضًا - التمهيد ملفالفيروسات.

يمكن لبعض الفيروسات أن تصيب السائقين،أي ، الملفات المحددة في عبارة DEVICE أو DEVICEHIGH لملف CONFIG.SYS. يبدأ فيروس موجود في برنامج التشغيل عمله عند تحميل برنامج التشغيل هذا من ملف CONFIG.SYS أثناء التمهيد الأولي لجهاز الكمبيوتر. عادةً ما تصيب الفيروسات التي تصيب برامج التشغيل أيضًا الملفات القابلة للتنفيذ أو قطاعات القرص ، لأنها بخلاف ذلك لن تكون قادرة على الانتشار - بعد كل شيء ، نادرًا ما يتم نسخ برامج التشغيل من كمبيوتر إلى آخر.

من النادر جدًا أن تصيب الفيروسات ملفات نظام DOS(IO.SYS أو MSDOS.SYS). يتم تنشيط هذه الفيروسات عند بدء تشغيل الكمبيوتر. عادةً ما تصيب هذه الفيروسات أيضًا قطاعات التمهيد للأقراص المرنة ، وإلا فلن تتمكن من الانتشار.

جدا مجموعة متنوعة نادرةالفيروسات هي فيروسات تصيب ملفات دفعية. عادة ، تشكل هذه الفيروسات ملفًا قابلاً للتنفيذ على القرص باستخدام أوامر ملف دفعي ، قم بتشغيل هذا الملف ، ويقوم بإعادة إنتاج الفيروس ، وبعد ذلك يتم مسح هذا الملف. يبدأ الفيروس في ملفات الأوامر المصابة عمله عند تنفيذ ملف الأوامر الموجود فيه. في بعض الأحيان يتم إدراج استدعاء لملف دفعي مصاب في ملف AUTOEXE.BAT.

وقت طويلتم اعتبار إصابة ملفات المستندات بالفيروسات أمرًا مستحيلًا ، نظرًا لعدم احتواء المستندات على برامج قابلة للتنفيذ. ومع ذلك ، قام مبرمجو Microsoft ببناء لغة الماكرو WordBasic القوية في مستندات Word لـ Windows. على WordBasic أصبح من الممكن كتابة الفيروسات. يتم إطلاق الفيروس عند فتح المستندات المصابة للتحرير. في الوقت نفسه ، تتم كتابة وحدات ماكرو الفيروس في القالب العمومي NORMAL.DOT ، بحيث يتم أثناء جلسات العمل الجديدة مع Word لـ فيروس windowsسيتم تفعيله تلقائيًا.

من الممكن أيضًا إصابة الكائنات الأخرى التي تحتوي على برامج بأي شكل - نصوص البرامج وجداول البيانات وما إلى ذلك. على سبيل المثال ، يصيب فيروس AsmVirus.238 ملفات برنامج لغة التجميع (ملفات .ASM) عن طريق إدراج تعليمات التجميع فيها ، والتي ، عند ترجمتها ، تولد رمز فيروس. ومع ذلك ، فإن عدد المستخدمين الذين يبرمجون بلغة التجميع صغير ، لذا لا يمكن أن ينتشر مثل هذا الفيروس على نطاق واسع.

تحتوي جداول البيانات على وحدات ماكرو ، بما في ذلك وحدات الماكرو التي يتم تنفيذها تلقائيًا عند فتح جدول البيانات. لذلك ، يمكن إنشاء فيروسات لهم ، على غرار الفيروسات ل مستندات Wordللنوافذ. حتى الآن ، تم إنشاء مثل هذه الفيروسات لجداول بيانات Excel.

الفيروس عبارة عن برنامج ، لذا فإن الكائنات التي لا تحتوي على برامج ولا يمكن تحويلها إلى برامج لا يمكن أن تصاب بفيروس. الكائنات التي لا تحتوي على برامج يمكن أن يتلفها فيروس فقط ، وليس مصابًا. تتضمن هذه الكائنات ملفات نصية (باستثناء الملفات الدفعية ونصوص البرامج) ، ووثائق برامج تحرير المستندات البسيطة مثل LEXICON أو Multi-Edit ، وملفات معلومات قاعدة البيانات ، وما إلى ذلك.

تتطلب بعض أنواع الفيروسات علاجًا خاصًا ، لأن طرق العلاج القياسية لها يمكن أن تؤدي إلى فقدان المعلومات (فيروسات من عائلة DIR) أو لا تعالج الفيروس (لفيروسات عائلة ZARAZA).

فيروسات الأسرة DIR.

في عام 1991 ، ظهر نوع جديد من الفيروسات - الفيروسات التي تغير نظام الملفات على القرص. يشار إلى هذه الفيروسات عادة باسم DIR. تخفي هذه الفيروسات أجسامها في بعض مناطق القرص (عادةً في آخر مجموعة أقراص) وتضع علامة عليها في جدول تخصيص الملفات (FAT) كنهاية الملف أو كمنطقة معيبة. بالنسبة لجميع ملفات .COM و .EXE ، يتم استبدال المؤشرات إلى القسم الأول من الملف الموجود في إدخالات الدليل المقابلة برابط إلى قسم القرص الذي يحتوي على الفيروس ، ويتم إخفاء المؤشر الصحيح في شكل مشفر في جزء غير مستخدم من إدخال الدليل. لذلك ، عند بدء تشغيل أي برنامج ، يتم تحميل فيروس في الذاكرة ، وبعد ذلك يظل موجودًا في الذاكرة ، ويتصل ببرامج DOS لمعالجة الملفات الموجودة على القرص ، ويقوم بإنشاء ارتباطات صحيحة لجميع عمليات الوصول إلى عناصر الدليل.

وبالتالي ، عند تشغيل الفيروس ، يبدو نظام الملفات الموجود على القرص طبيعيًا تمامًا. كما أن الفحص السطحي للقرص المصاب على جهاز كمبيوتر "نظيف" لا يظهر أي شيء غريب. ما لم تكن ، عند محاولة قراءة ملفات البرامج أو نسخها من قرص مرن مصاب ، سيتم قراءة 512 بايت أو 1024 بايت فقط منها أو نسخها ، حتى لو كان الملف أطول بكثير. وعندما تقوم بتشغيل أي برنامج قابل للتنفيذ من قرص مصاب بهذا الفيروس ، فإن هذا القرص يبدأ في الظهور بصحة جيدة (لا عجب ، لأن الكمبيوتر يصبح مصابًا في هذه الحالة).

هناك خطر خاص من فيروسات عائلة DIR وهو أن الضرر الذي يلحق ببنية الملف الناجم عن هذه الفيروسات لا يجب إصلاحه بواسطة برامج مثل ScanDisk أو NDD - في هذه الحالة ، سيتعرض القرص للتلف بشكل ميؤوس منه. لإصلاحها ، تحتاج إلى استخدام برامج مكافحة الفيروسات فقط.

فيروسات من عائلة ZARAZA.

نوع آخر غير عادي من الفيروسات هو الذي يصيب ملف النظام IO.SYS. يُطلق على عائلة هذه الفيروسات عادةً اسم "عدوى" ، لأن أول فيروس من هذا القبيل عرض الرسالة "عدوى في قطاع الصندوق!".

هذه الفيروسات قابلة للتمهيد من خلال الملفات وتستخدم عدم تطابق بين آلية تمهيد DOS وآلية الملفات العادية. عند تمهيد MS DOS ، فإنه يتحقق من أن أسماء أول عنصرين في الدليل الجذر لمحرك أقراص التمهيد هي IO.SYS و MSDOS.SYS ، ولكن لم يتم تحديد سمات هذه العناصر. إذا كانت الأسماء متطابقة ، فإن bootstrapper يقرأ في الذاكرة المجموعة الأولى من العنصر المسمى IO.SYS وينقل التحكم إليها. الاستفادة من هذا النقص في برنامج bootstrap ، يقوم فيروس ZARAZA بما يلي عندما يصيب محركات الأقراص الثابتة:

نسخ محتويات ملف IO.SYS إلى نهاية محرك الأقراص المنطقي؛

يغير عناصر الدليل الجذر ، بدءًا من العنصر الثالث ، بواسطة عنصر واحد إلى نهاية الدليل ؛

نسخ الإدخال الأول في الدليل الجذر (المقابل للملف IO.SYS) إلى الإدخال الثالث المحرّر في الدليل الجذر وتعيينه إلى رقم المجموعة الأولي ، مشيرًا إلى الموقع حيث تم نسخ محتويات ملف IO.SYS ؛

يكتب نصه إلى موقع ملف IO.SYS (عادةً إلى بداية منطقة بيانات القرص المنطقي) ؛

يضبط علامة "تسمية وحدة التخزين" للعنصر الأول من الدليل الجذر للقرص.

يظهر إدخالان في الدليل الجذر المسمى IO.SYS ، أحدهما مميز بسمة "تسمية وحدة التخزين". لكنها لا تتعطل عند التمهيد - يقوم bootstrapper ، بعد التحقق من أن أول إدخالين في الدليل هما IO.SYS و MSDOS.SYS ، بتحميل الكتلة المحددة في الإدخال الأول في جدول المحتويات (على قرص عادي ، هذا هو بداية ملف IO.SYS وعلى المصاب - رمز الفيروس) ، وسوف ينقل التحكم إليه. سيتم تحميل الفيروس نفسه في ذاكرة الوصول العشوائي ، وبعد ذلك سيتم تحميل بداية الملف المصدر IO.SYS ونقل التحكم إليه. علاوة على ذلك ، يستمر التحميل الأولي كالمعتاد.

تكمن خطورة فيروسات عائلة INFLUENCE على النحو التالي: حتى إذا قمت بتشغيل جهاز الكمبيوتر من قرص مرن لنظام "نظيف" وأدخلت الأمر SYS C: ، فلن تتم إزالة الفيروس من القرص. سيتجاهل الأمر SYS ، مثل برامج DOS الأخرى ، الإدخال الأول في الدليل الجذر الذي يشير إلى وجود فيروس ، ويعامله على أنه وصف تسمية. سيتم فقط الكتابة فوق "ملف النسخ الاحتياطي" IO.SYS ، الموضح في العنصر الثالث من الدليل الجذر. علاوة على ذلك ، إذا كتب برنامج SYS ملف IO.SYS إلى موقع جديد على القرص ، فلن يقوم النظام بالتمهيد من القرص الثابت ، لأن. يخزن الفيروس في جسمه عنوان المقطع الأولي للملف المصدر IO.SYS. لذلك ، لا ينبغي تطهير الأقراص المصابة بفيروسات عائلة العدوى بأمر SYS ، بل يجب أن يتم ذلك باستخدام برامج مكافحة الفيروسات.

لمنع اكتشافها ، تستخدم العديد من الفيروسات تقنيات تمويه ماكرة.

تمنع العديد من الفيروسات المقيمة اكتشافها عن طريق اعتراض مكالمات نظام التشغيل للملفات ومناطق القرص المصابة وإطلاقها في شكلها الأصلي (غير المصاب). تسمى هذه الفيروسات غير مرئى، أو خلسةالفيروسات. بالطبع ، لا يُلاحظ تأثير "الاختفاء" إلا على جهاز كمبيوتر مصاب - على جهاز كمبيوتر "نظيف" ، يمكن بسهولة اكتشاف التغييرات في الملفات ومناطق تمهيد القرص. يمكن لبعض برامج مكافحة الفيروسات اكتشاف الفيروسات "غير المرئية" حتى على جهاز كمبيوتر مصاب. للقيام بذلك ، قاموا بقراءة القرص دون استخدام خدمات DOS. ومن أمثلة هذه البرامج Adinf من Dialogue-Science و Norton AntiVirus وغيرها.

غالبًا ما تحتوي الفيروسات على رسائل مختلفة داخل نفسها ، مما يجعل من الممكن الشك في وجود خطأ ما عند عرض الملفات أو مناطق القرص التي تحتوي على فيروس. لجعل الكشف أكثر صعوبة ، تقوم بعض الفيروسات بتشفير محتواها بحيث لا يرى المستخدم أي سلاسل نصية مشبوهة عند عرض الكائنات التي تصيبها.

هناك طريقة أخرى تستخدمها الفيروسات للاختباء من الاكتشاف وهي تعديل أجسامها. هذا يجعل من الصعب على برامج الكشف العثور على مثل هذه الفيروسات - لا يوجد في جسم هذه الفيروسات سلسلة بايت واحدة دائمة يمكن من خلالها التعرف على الفيروس. تسمى هذه الفيروسات متعدد الأشكالأو التعديل الذاتي. توجد برامج كاشف يمكنها اكتشاف الفيروسات متعددة الأشكال ، على سبيل المثال ، Dr.Web من Dialog-Science.

عندما يتم تنشيط ملف مصاب بالفيروس ، يتم نقل التحكم على الفور إلى الفيروس ، الذي يقوم بإجراءاته المدمرة ، وينسب أيضًا في نفس الوقت إلى البرامج والملفات الأخرى. ثم من الناحية التكنولوجية هناك عودة لتلك الإجراءات التي تم تنفيذها على الكمبيوتر. مع السرعة العالية للكمبيوتر ، يظل مثل هذا "الإلهاء" عن مسار العمل المنظم للمستخدم دون أن يلاحظه أحد تمامًا. الضرر قد لا يكون واضحا على الفور. يمكن أن تكون المظاهر الخارجية لوجود فيروس في الكمبيوتر مختلفة جدًا ، على سبيل المثال:

وميض الشاشة

ظهور رسالة غير متوقعة على الشاشة ؛

· مطلب غير متوقع لإزالة الحماية ضد الكتابة من قرص مرن.

· تغيير تاريخ ووقت إنشاء الملفات المصابة.

تجميد الكمبيوتر وعدم القدرة على التغلب على هذه المشكلة ؛

سقوط الأحرف على الشاشة (أحيانًا بمرافقة موسيقية) ؛

· اختفاء بعض ملفات البرامج يوم الجمعة الموافق 13 من الشهر.

تحطم غير عادي

إتلاف ملفات المعلومات أو إتلافها الجزئي ؛

تباطؤ الكمبيوتر

منع المدخلات من لوحة المفاتيح ؛

صوت الموسيقى

تناوب الشخصيات على الشاشة ؛

منع الكتابة على القرص الصلب ؛

أنواع أخرى من "السلوك" غير المعتاد للكمبيوتر.

يعتبر عمل الفيروس بشكل خاص أمرًا خطيرًا على المستخدم ، مثل تهيئة محرك الأقراص الثابتة ، والذي يرتبط بالفقد السريع لجميع المعلومات المخزنة هناك. نظرًا لأنه لا يوجد مستخدم واحد مؤمن ضد اختراق فيروس ، فمن الممكن ، على الأقل ، تقليل العواقب المحتملة لوجود فيروس في الكمبيوتر. لهذا ، عدة قواعد بسيطة:

1) يجب فحص كل قرص من الأقراص المرنة ، إذا "زار" جهاز كمبيوتر آخر ، بواسطة أي برنامج مكافحة فيروسات متوفر. لا يمكن لبرامج من هذا النوع اكتشاف الفيروس فحسب ، بل يمكنها أيضًا "علاج" القرص المرن. خاصة أنها تتعلق برامج الألعاب، لان تنتشر معظم الفيروسات من خلالها.

2) يجب إجراء فحوصات مماثلة للملفات المستلمة عبر الشبكة.

3) برنامج مكافحة الفيروسات يتقادم بسرعة كبيرة. لذلك ، يوصى بتحديثه بشكل دوري. نسخة جديدة. وتتراوح فترة التجديد لمثل هذه البرامج من أسبوع إلى ربع.

4) لا تقم بإزالة الحماية ضد الكتابة من القرص المرن أثناء العمل اليومي ، إذا لم يتم توفير ذلك بواسطة تقنية حل المشكلات.

5) عند اكتشاف فيروس ، لا تتخذ إجراءات متهورة ، لأن هذا يمكن أن يؤدي إلى فقدان المعلومات التي لا يزال من الممكن حفظها. أصح شيء في مثل هذه الحالة هو إيقاف تشغيل الكمبيوتر لمنع نشاط الفيروس. ثم قم بتشغيل الكمبيوتر من القرص المرن المرجعي باستخدام نظام التشغيل. بعد ذلك ، إطلاق برنامج مضاد للفيروسات ، لا تقتصر وظائفه على الكشف عن الملفات المصابة فحسب ، بل تشمل أيضًا معالجتها. ثم قم بتشغيل برنامج مكافحة الفيروسات مرة أخرى. إذا تمت جميع عمليات إزالة الفيروس بشكل صحيح ، فيجب أن تكون نتيجة عملها إبلاغ المستخدم بالغياب التام للفيروسات. ولكن يجب أن نتذكر أن البرنامج لا ينبغي أن يكون عفا عليه الزمن.

في الآونة الأخيرة ، عند العمل في الشبكات ، وخاصة عند استخدام البريد الإلكتروني ، أصبح تغلغل الفيروسات في كمبيوتر المستخدم عن طريق قراءة رسائل البريد الإلكتروني أكثر تكرارا. لذلك ، يجب أيضًا مراعاة بعض القواعد البسيطة هنا:

1) لا تفتح الملفات المرفقة بالرسالة إلا في حالة وجود اتفاق مبدئي مع المرسل لإرسالها.

2) لا تفتح الملفات المرفقة بالرسالة التي تأتي من معامل مكافحة الفيروسات ومايكروسوفت وغيرها. لا توزع الشركات الملفات أبدًا.

3) لا تفتح الملفات المرفقة بالرسالة إذا كان موضوع الرسالة والحرف نفسه فارغين.

4) حذف جميع رسائل البريد الإلكتروني المشبوهة.

5) إذا كنت بعيدًا عنك لفترة طويلة ، يجب عليك إلغاء الاشتراك في القوائم البريدية الإلكترونية المختلفة.

تصنيف برامج مكافحة الفيروسات .

يمكن تصنيف هذه البرامج إلى خمس مجموعات رئيسية: المرشحات ، وأجهزة الكشف ، والمدققون ، والأطباء ، والقائمون بالتحصين.

مرشحات مكافحة الفيروسات- هذه هي البرامج المقيمة التي تُعلم المستخدم بجميع محاولات البرنامج للكتابة على القرص ، وأكثر من ذلك لتنسيقه ، بالإضافة إلى الإجراءات الأخرى المشبوهة (على سبيل المثال ، محاولات تغيير إعدادات CMOS). سيطالبك هذا بالسماح أو رفض هذا الإجراء. يعتمد مبدأ تشغيل هذه البرامج على اعتراض نواقل المقاطعة المقابلة. إن ميزة برامج هذه الفئة بالمقارنة مع برامج الكشف هي العالمية فيما يتعلق بكل من الفيروسات المعروفة وغير المعروفة ، بينما يتم كتابة الكاشفات لأنواع معينة معروفة للمبرمج في الوقت الحالي. هذا صحيح بشكل خاص الآن ، عندما ظهرت العديد من الفيروسات الطافرة التي ليس لها رمز دائم. ومع ذلك ، لا يمكن لبرامج التصفية تتبع الفيروسات التي تصل إلى BIOS مباشرة ، وكذلك فيروسات BOOT التي يتم تنشيطها حتى قبل بدء تشغيل برنامج مكافحة الفيروسات ، في المرحلة الأوليةتمهيد DOS. تشمل عيوبه كذلك كثرة إصدار الطلبات لتنفيذ أي عملية: الإجابة على الأسئلة تستغرق المستخدم الكثير من الوقت وتثير أعصابه. عند تثبيت بعض عوامل تصفية مكافحة الفيروسات ، قد تكون هناك تعارضات مع برامج مقيمة أخرى تستخدم نفس المقاطعات ، والتي تتوقف ببساطة عن العمل.

الأكثر استخداما في بلدنا برامج الكاشف، أو بالأحرى ، البرامج التي تجمع بين كاشف وطبيب. معظم ممثلين مشهورينمن هذه الفئة - ستتم مناقشة Aidstest و Doctor Web و MicroSoft AntiVirus بمزيد من التفاصيل أدناه. تم تصميم أجهزة الكشف عن الفيروسات لفيروسات معينة وتعتمد على مقارنة تسلسل الرموز الموجودة في جسم الفيروس مع أكواد البرامج التي يتم فحصها. تسمح لك العديد من برامج الكاشف أيضًا "بمعالجة" الملفات أو الأقراص المصابة عن طريق إزالة الفيروسات منها (بالطبع العلاج مدعوم فقط للفيروسات المعروفة لبرنامج الكاشف). تحتاج هذه البرامج إلى التحديث بانتظام ، لأنها سرعان ما تصبح قديمة ولا يمكنها اكتشاف أنواع جديدة من الفيروسات.

المدققينهي برامج تحلل الحالة الحالية للملفات ومناطق النظام على القرص وتقارنها بالمعلومات المخزنة مسبقًا في أحد ملفات بيانات المدقق. يتحقق هذا من حالة قطاع BOOT وجدول FAT وكذلك طول الملفات ووقت إنشائها وسماتها ومجموعها الاختباري. من خلال تحليل رسائل برنامج المفتش ، يمكن للمستخدم أن يقرر ما إذا كانت التغييرات ناجمة عن فيروس أم لا. عند إصدار مثل هذه الرسائل ، لا ينبغي لأحد أن يصاب بالذعر ، لأن سبب التغييرات ، على سبيل المثال ، طول البرنامج ، قد لا يكون فيروسًا على الإطلاق.

تتضمن المجموعة الأخيرة أكثر مضادات الفيروسات غير الفعالة - الملقحين. يكتبون خصائص فيروس معين في البرنامج الذي يتم تطعيمه بحيث يعتبر الفيروس أنه مصاب بالفعل.

في بلدنا ، كما ذكرنا سابقًا ، اكتسبت برامج مكافحة الفيروسات التي تجمع بين وظائف أجهزة الكشف والأطباء شهرة خاصة. وأشهر هذه البرامج هو برنامج AIDSTEST المقدم من D.N. لوزينسكي. تم اختراع هذا البرنامج في عام 1988 ومنذ ذلك الحين تم تحسينه وتوسيعه باستمرار. في روسيا ، يحتوي كل جهاز كمبيوتر شخصي متوافق مع IBM تقريبًا على أحد إصدارات هذا البرنامج. واحد من أحدث الإصداراتيكتشف أكثر من 1500 فيروس.

تم تصميم Aidstest لإصلاح البرامج المصابة بالفيروسات الشائعة (غير متعددة الأشكال) التي لا تغير كودها. يرجع هذا القيد إلى حقيقة أن هذا البرنامج يبحث عن الفيروسات باستخدام رموز التعريف. ولكن في الوقت نفسه ، يتم تحقيق سرعة عالية جدًا في فحص الملفات.

من أجل أدائه الطبيعي ، يتطلب Aidstest عدم وجود مضادات فيروسات مقيمة في الذاكرة تمنع الكتابة إلى ملفات البرنامج ، لذلك يجب إلغاء تحميلها إما عن طريق تحديد خيار إلغاء التحميل للبرنامج المقيم نفسه ، أو باستخدام الأداة المساعدة المناسبة.

عند إطلاقه ، يقوم Aidstest بفحص ذاكرة الوصول العشوائي بحثًا عن فيروسات معروفة له ويجعلها غير ضارة. في هذه الحالة ، فقط وظائف الفيروس المرتبطة بالتكاثر مشلولة ، بينما وظائف أخرى آثار جانبيةقد تبقى. لذلك ، يصدر البرنامج بعد انتهاء إبطال الفيروس في الذاكرة طلب إعادة التشغيل. يجب عليك بالتأكيد اتباع هذه النصيحة إذا لم يكن مشغل الكمبيوتر الشخصي مبرمج نظام يدرس خصائص الفيروسات. في ما هو ضروري لإعادة التشغيل باستخدام زر RESET ، لأنه أثناء "إعادة التشغيل الدافئ" قد تستمر بعض الفيروسات. بالإضافة إلى ذلك ، من الأفضل بدء تشغيل الجهاز و Aidstest بقرص مرن محمي ضد الكتابة ، لأنه عند إطلاقه من قرص مصاب ، يمكن للفيروس أن يكتب نفسه في الذاكرة كمقيم ويمنع التطهير.

يختبر Aidstest جسمه بحثًا عن فيروسات معروفة ، ويحكم أيضًا على إصابته بفيروس غير معروف من خلال التشوهات في شفرته. في هذه الحالة ، تكون حالات الإنذارات الكاذبة ممكنة ، على سبيل المثال ، عندما يتم ضغط أحد برامج مكافحة الفيروسات بواسطة برنامج حزم. لا يحتوي البرنامج على واجهة رسومية ، ويتم ضبط أوضاع تشغيله باستخدام المفاتيح. من خلال تحديد المسار ، لا يمكنك التحقق من القرص بأكمله ، ولكن في دليل فرعي منفصل.

عيوب برنامج Aidstest:

لا يتعرف على الفيروسات متعددة الأشكال ؛

إنه غير مجهز بمحلل إرشادي يسمح له بالعثور على فيروسات غير معروفة له ؛

لا يعرف كيفية فحص الملفات في الأرشيف ومعالجتها ؛

لا يتعرف على الفيروسات في البرامج التي تتم معالجتها بواسطة برامج حزم الملفات القابلة للتنفيذ مثل EXEPACK و DIET و PKLITE وما إلى ذلك.

فوائد Aidstest:

سهل الاستخدام؛

يعمل بسرعة كبيرة

يتعرف على جزء كبير من الفيروسات ؛

تتكامل بشكل جيد مع برنامج التدقيق Adinf ؛

يعمل على أي جهاز كمبيوتر تقريبًا.

في الآونة الأخيرة ، شهدت شعبية برنامج آخر لمكافحة الفيروسات ، Doctor Web ، الذي تقدمه Dialog-Science ، نموًا سريعًا. تم إنشاء هذا البرنامج في عام 1994 من قبل آي. أ. دانيلوف. ينتمي Dr.Web ، مثل Aidstest ، إلى فئة أجهزة الكشف - الأطباء ، ولكن على عكس الأخير ، فإنه يحتوي على ما يسمى "محلل الكشف عن مجريات الأمور" - وهي خوارزمية تسمح لك باكتشاف الفيروسات غير المعروفة. أصبح "Healing Web" ، كما يُترجم اسم البرنامج من اللغة الإنجليزية ، إجابة المبرمجين المحليين على غزو فيروسات متحولة ذاتية التعديل ، والتي ، عند تكاثرها ، تعدل أجسامهم بحيث لا توجد سلسلة مميزة واحدة من البايتات التي كان موجودا في النسخة الأصلية من الفيروس بقايا. يدعم هذا البرنامج حقيقة أن المديرية العامة لموارد المعلومات التابعة لرئيس الاتحاد الروسي حصلت على ترخيص كبير (لـ 2000 جهاز كمبيوتر) ، وثاني أكبر مشتر لـ "الويب" - "Inkombank".

يتم التحكم في الأوضاع ، وكذلك في Aidtest ، بمساعدة المفاتيح. يمكن للمستخدم إخبار البرنامج باختبار كل من القرص بأكمله والأدلة الفرعية الفردية أو مجموعات الملفات ، أو رفض فحص الأقراص واختبار ذاكرة الوصول العشوائي فقط. في المقابل ، يمكنك اختبار إما الذاكرة الأساسية فقط ، أو بالإضافة إلى الذاكرة الموسعة. مثل Aidstest ، يمكن لـ Doctor Web إنشاء تقرير عن العمل ، وتحميل مولد الأحرف السيريلية ، ودعم العمل مع نظام الأجهزة والبرمجيات Sheriff.

يستغرق اختبار محرك الأقراص الثابتة باستخدام Dr.Web وقتًا أطول بكثير من Aidstest ، لذلك لا يستطيع كل مستخدم قضاء الكثير من الوقت يوميًا في فحص القرص الصلب بأكمله. قد يُنصح هؤلاء المستخدمون بفحص الأقراص المرنة التي تم إحضارها من الخارج بعناية أكبر. إذا تم أرشفة المعلومات الموجودة على القرص المرن (وتم نقل البرامج والبيانات مؤخرًا فقط من جهاز إلى آخر في هذا النموذج ؛ حتى أن شركات البرمجيات مثل Borland تحزم منتجاتها) ، فيجب عليك فك حزمتها في دليل منفصل على محرك الأقراص الثابتة لديك وعلى الفور ، بدون تأخير ، قم بتشغيل Dr.Web ، مع تحديد المسار الكامل لهذا الدليل الفرعي بدلاً من اسم محرك الأقراص كمعامل. ومع ذلك ، مرة واحدة على الأقل كل أسبوعين ، يجب إجراء فحص كامل لـ "القرص الصلب" بحثًا عن الفيروسات بأقصى مستوى من مجموعة التحليل الاستدلالي.

كما في حالة Aidstest ، أثناء الاختبار الأولي ، يجب ألا تسمح للبرنامج بتطهير الملفات التي يكتشف فيها وجود فيروس ، حيث لا يمكن استبعاد تسلسل البايت الذي يقبله برنامج مكافحة الفيروسات كنمط في ملف برنامج صحي.

على عكس Aidstest ، دكتور ويب:

يتعرف على الفيروسات متعددة الأشكال.

مجهزة بمحلل الكشف عن مجريات الأمور ؛

قادرة على فحص ومعالجة الملفات في المحفوظات ؛

يسمح لك باختبار الملفات المحصنة بـ CPAV ، وكذلك المعبأة بـ LZEXE ، PKLITE ، DIET.

يقدم Dialog-Science إصدارات مختلفة من DrWeb لـ DOS. كما تعلم ، هناك إصداران من DOS ، يطلق عليهما تقليديًا 16 بتو 32 بت(يسمى هذا الأخير أيضًا Doctor Web لـ DOS / 386 ، DrWeb386). تعكس هذه الأسماء (16 بت و 32 بت) تمامًا جوهر الاختلاف بين إصدارات DOS ، ولكن من الأسماء الواضحة فقط للمتخصصين. يحتوي الإصدار 32 بت فقط على جميع الوظائف المتأصلة في الإصدارات الحديثة الأخرى من Doctor Web (على وجه الخصوص ، إصدارات Windows).

لا يحتوي الإصدار 16 بت ، نظرًا للقيود المفروضة على مقدار الذاكرة المتاحة التي يفرضها نظام التشغيل ، على بعض "الميزات" التي تعتبر بالغة الأهمية اليوم ، على وجه الخصوص ، فهي غير مدرجة فيه (وبسبب حدود الذاكرة المشار إليها ، لا يمكن تضمينها):

وحدات "خدمة" الفيروسات المعروفة من الأنواع الحديثة (على وجه الخصوص ، نحن نتكلمحول فيروسات الماكرو والتسلل) ؛

وحدات محلل إرشادي للكشف عن الفيروسات المجهولة من الأنواع الحديثة ؛

وحدات لتفريغ الأنواع الحديثة من الأرشيفات وبرامج Windows المعبأة ، إلخ.

وبالتالي ، على الرغم من أن الإصدار 16 بت يستخدم نفس قاعدة بيانات الفيروسات (ملفات VDB) مثل إصدارات 32 بت ، إلا أن عدم وجود وحدات معينة يجعل من المستحيل معالجة الفيروسات المقابلة.

بالإضافة إلى ذلك ، وللأسباب نفسها ، فإن إصدار 16 بت لا يدعم بعض البرامج والأجهزة الحديثة ، مما قد يجعله غير مستقر أو غير صحيح.

نظرًا لأن الإصدار 32 بت يعمل بكامل طاقته ، وكما يتضح من اسمه الآخر - Doctor Web لـ DOS / 386 ، يمكن استخدامه أثناء التشغيل في DOS على أجهزة الكمبيوتر التي تحتوي على معالج 386 على الأقل ، وجميع المستخدمين الذين يحتاجون إلى إصدار من Doctor Web for DOS أفضل حالًا باستخدامها بالضبط.

بالنسبة للإصدار 16 بت ، يستمر إصداره لأنه لا يزال هناك أسطول من الأجهزة القديمة على النظام الأساسي 86/286 حيث لا يعمل الإصدار 32 بت.

(حماية برنامج مكافحة الفيروسات)

أحد منتجات البرامج المثيرة للاهتمام هو برنامج مكافحة الفيروسات AVSP. يجمع هذا البرنامج بين كاشف وطبيب ومدقق ، بل ولديه بعض وظائف المرشح المقيم (حظر الكتابة إلى الملفات ذات السمة READ ONLY). يمكن لمضاد الفيروسات أن يعالج كل من الفيروسات المعروفة وغير المعروفة ، ويمكن للمستخدم نفسه إبلاغ البرنامج عن طريقة علاج هذه الأخيرة. بالإضافة إلى ذلك ، يمكن أن يعالج AVSP فيروسات التعديل الذاتي وفيروسات التخفي (التخفي).

عند بدء تشغيل AVSP ، يظهر نظام نوافذ به قوائم ومعلومات حول حالة البرنامج. مريح جدا نظام التلميح السياقي، والذي يعطي شرحًا لكل عنصر من عناصر القائمة. يطلق عليه كلاسيكيًا ، باستخدام المفتاح F1 ، ويتغير عند الانتقال من عنصر إلى عنصر. كما أن دعم الماوس ليس ميزة غير مهمة في عصر Windows و "المحاور النصفية" (OS / 2). عيب كبير في واجهة AVSP هو عدم القدرة على تحديد عناصر القائمة عن طريق الضغط على مفتاح بالحرف المقابل ، على الرغم من أن هذا يتم تعويضه إلى حد ما من خلال القدرة على تحديد عنصر عن طريق الضغط على ALT والرقم المقابل لرقم هذا بند.

تتضمن حزمة AVSP أيضًا ملفات سائق مقيم AVSP.SYS، والذي يسمح لك باكتشاف معظم الفيروسات غير المرئية (باستثناء الفيروسات مثل Ghost-1963 أو DIR) ، وإلغاء تنشيط الفيروسات طوال مدة عملها ، كما يحظر تعديل ملفات القراءة فقط.

وظيفة أخرى لـ AVSP.SYS هي تعطيل الفيروسات المقيمة أثناء تشغيل AVSP.EXE، ومع ذلك ، إلى جانب الفيروسات ، يقوم السائق أيضًا بتعطيل بعض البرامج المقيمة الأخرى. في المرة الأولى التي تقوم فيها بتشغيل AVSP ، يجب أن تختبر نظامك بحثًا عن الفيروسات المعروفة. في نفس الوقت ، يتحقق الرامات " الذاكرة العشوائية في الهواتف والحواسيب "وقطاع BOOT والملفات. في بعض الحالات ، يمكنك حتى استعادة الملفات التالفة بسبب فيروس غير معروف. يمكنك تثبيت فحوصات لأحجام الملفات ، أو مجاميع اختبارية ، أو وجود فيروسات فيها ، أو كل هذا معًا. يمكنك أيضًا تحديد ما يجب التحقق منه بالضبط (قطاع التمهيد أو الذاكرة أو الملفات). كما هو الحال في معظم برامج مكافحة الفيروسات ، هنا يتم منح المستخدم فرصة الاختيار بين السرعة والجودة. يتمثل جوهر الفحص عالي السرعة في أنه لا يتم فحص الملف بالكامل ، ولكن يتم فحص بدايته فقط ؛ وبالتالي من الممكن معرفة غالبية الفيروسات. إذا كان الفيروس مكتوبًا في المنتصف ، أو إذا كان الملف مصابًا بعدة فيروسات (في هذه الحالة ، يبدو أن الفيروسات "القديمة" يتم دفعها إلى المنتصف بواسطة "الصغار") ، فلن يلاحظ ذلك البرنامج. لذلك ، يجب ضبط تحسين الجودة ، خاصة وأن اختبار الجودة في AVSP لا يستغرق وقتًا أطول بكثير من الاختبار عالي السرعة.

عند اكتشاف فيروسات جديدة تلقائيًا ، يمكن أن يرتكب AVSP العديد من الأخطاء. لذلك ، عند اكتشاف نمط ما تلقائيًا ، يجب ألا تكون كسولًا جدًا للتحقق مما إذا كان فيروسًا حقًا وما إذا كان هذا النمط سيتم العثور عليه في البرامج الصحية.

إذا اكتشف AVSP فيروسًا معروفًا أثناء العملية ، فيجب عليك اتخاذ نفس الإجراءات المتبعة عند العمل مع Aidstest و Dr.Web: نسخ الملف إلى القرص ، وإعادة التشغيل من القرص المرن الاحتياطي ، وبدء تشغيل AVSP. من المستحسن أيضًا أن يتم تحميل برنامج تشغيل AVSP.SYS في الذاكرة ، لأنه يساعد البرنامج الرئيسي في تطهير فيروسات التخفي.

ميزة أخرى مفيدة هي المدمج في التفكيك. بمساعدته ، يمكنك معرفة ما إذا كان الملف يحتوي على فيروس أو إذا حدث إيجابي خاطئ AVSP أثناء فحص القرص. بالإضافة إلى ذلك ، يمكنك محاولة معرفة طريقة الإصابة ، ومبدأ الفيروس ، وكذلك مكان "إخفاء" البايتات المستبدلة من الملف (إذا كنا نتعامل مع هذا النوع من الفيروسات). كل هذا سيسمح لك بكتابة إجراء لإزالة الفيروسات واستعادة الملفات التالفة. ميزة أخرى مفيدة هي الإصدار خريطة مرئية للتغييرات. تتيح لك خريطة التغيير تقييم ما إذا كانت هذه التغييرات تتوافق مع الفيروس أم لا ، بالإضافة إلى تضييق منطقة البحث عن جسم الفيروس أثناء التفكيك.

يحتوي برنامج AVSP على خوارزميتين لتحييد فيروسات التخفي ("غير المرئية") ، وكلاهما يعمل فقط في حالة وجود فيروس نشط في الذاكرة. إليك ما يحدث عند تنفيذ هذه الخوارزميات: يتم نسخ جميع الملفات إلى ملفات البيانات ثم مسحها. يتم حفظ الملفات ذات السمة SYSTEM فقط. في Adinf ، تكون عملية إزالة Stealths أبسط بكثير.

يراقب برنامج AVSP أيضًا حالة قطاعات التمهيد. إذا أصيب قطاع BOOT الموجود على القرص المرن ولم يتمكن برنامج مكافحة الفيروسات من علاجه ، فيجب عليك مسح رمز التمهيد. سيصبح القرص المرن غير خاص بالنظام ، لكن لن تضيع البيانات. لا يمكنك فعل ذلك مع وينشستر. إذا تم الكشف عن تغييرات في أحد قطاعات BOOT على القرص الصلب ، فسوف يعرض AVSP حفظه في بعض الملفات ، ثم محاولة إزالة الفيروس.

الإصدارات الحديثة من MS-DOS (مثل 6.22) تتضمن Microsoft Antivirus (MSAV). يمكن أن يعمل برنامج مكافحة الفيروسات هذا في أوضاع Detector-Doctor و Auditor. يحتوي MSAV على واجهة نمط MS-Windowsيتم دعم الماوس بشكل طبيعي. حسن التنفيذ مساعدة السياق:هناك تلميح لأي عنصر قائمة تقريبًا ، لأي حالة. يتم تنفيذ الوصول إلى عناصر القائمة عالميًا: لهذا ، يمكنك استخدام مفاتيح المؤشر ، ومفاتيح المفاتيح (F1-F9) ، والمفاتيح المقابلة لأحد أحرف اسم العنصر ، وكذلك الماوس. من الإزعاج الخطير عند استخدام البرنامج أنه يقوم بحفظ الجداول التي تحتوي على بيانات حول الملفات ليست في ملف واحد ، ولكنه ينثرها في جميع الدلائل.

عند بدء التشغيل ، يقوم البرنامج بتحميل مولد الأحرف الخاص به ويقرأ شجرة الدليل للقرص الحالي ، وبعد ذلك يخرج إلى القائمة الرئيسية. ليس من الواضح سبب قراءة شجرة الدليل فور بدء التشغيل: بعد كل شيء ، قد لا يرغب المستخدم في فحص القرص الحالي.

أثناء الفحص الأول ، ينشئ MSAV ملفات CHKLIST.MS في كل دليل يحتوي على ملفات قابلة للتنفيذ ، حيث يكتب فيه معلومات حول الحجم والتاريخ والوقت والسمات ، بالإضافة إلى المجموع الاختباري للملفات التي يتم التحكم فيها. أثناء عمليات الفحص اللاحقة ، سيقوم البرنامج بمقارنة الملفات بالمعلومات الموجودة في ملفات CHKLIST.MS. إذا تم تغيير الحجم والتاريخ ، فسيقوم البرنامج بإخطار المستخدم بهذا الأمر ويطلب المزيد من الإجراءات: تحديث المعلومات (تحديث) ، وتعيين التاريخ والوقت وفقًا للبيانات الموجودة في CHKLIST.MS (إصلاح) ، متابعة ، تجاهل التغييرات في هذا الملف (متابعة) ، قم بإلغاء الاختبار (إيقاف) ..

في قائمة الخيارات ، يمكنك تكوين البرنامج وفقًا لـ بارادته. هنا يمكنك ضبط وضع البحث عن الفيروسات غير المرئية (Anti-Stealth) ، والتحقق من جميع الملفات (وليس فقط القابلة للتنفيذ) (التحقق من جميع الملفات) ، وكذلك السماح بإنشاء جداول CHKLIST.MS أو حظرها (إنشاء مجاميع فحص جديدة). بالإضافة إلى ذلك ، يمكنك ضبط الوضع لحفظ التقرير عن العمل المنجز في ملف. إذا قمت بتعيين خيار إنشاء نسخة احتياطية ، فقبل إزالة الفيروس من ملف مصاب ، سيتم حفظ نسخته بامتداد VIR.

من القائمة الرئيسية ، يمكنك عرض قائمة الفيروسات المعروفة لـ MSAV بالضغط على المفتاح F9. سيظهر هذا نافذة بأسماء الفيروسات. لعرض المزيد من المعلومات التفصيلية حول الفيروس ، حرك المؤشر إلى اسمه واضغط على ENTER. يمكنك الانتقال بسرعة إلى الفيروس محل الاهتمام عن طريق كتابة الأحرف الأولى من اسمه. يمكن إخراج معلومات حول الفيروس إلى الطابعة عن طريق تحديد عنصر القائمة المناسب.

(منظار القرص المتقدم)

تنتمي ADinf إلى فئة برامج المدققين. تم إنشاء هذا البرنامج بواسطة D. Yu. Mostov في عام 1991.

مجموعة برامج ADinf هي مدققات أقراص مصممة للعمل عليها حواسيب شخصيةيحكمها أنظمة التشغيل MS-DOS و MS-Windows 3.xx و Windows 95/98 و Windows NT / 2000. يعتمد عمل البرامج على المراقبة المنتظمة للتغييرات التي تحدث على محركات الأقراص الثابتة. إذا ظهر فيروس ، فإن ADinf يكتشفه بناءً على التعديلات التي يقوم بها على نظام الملفات و / أو قطاع تمهيد القرص ويبلغ المستخدم به. على عكس الماسحات الضوئية المضادة للفيروسات ، لا تستخدم ADinf "صور شخصية" (توقيعات) لفيروسات معينة في عملها. لذلك ، فإن ADinf فعال بشكل خاص في اكتشاف الفيروسات الجديدة التي لم يتم العثور على ترياق لها حتى الآن.

وتجدر الإشارة بشكل خاص إلى أن ADinf لا يستخدم وظائف نظام التشغيل للتحكم في الأقراص. يقرأ قطاع القرص حسب القطاع ويحلل بشكل مستقل بنية نظام الملفات ، مما يسمح له باكتشاف ما يسمى فيروسات التخفي.

إذا تم تركيب وحدة العلاج Adinf في النظام ( وحدة علاج ADinf ) ، فإن هذا الترادف قادر ليس فقط على اكتشاف العدوى التي ظهرت ، ولكن أيضًا لإزالة العدوى التي ظهرت بنجاح. أظهر الاختبار أن ADinf Cure Module قادر على التعامل بنجاح مع 97٪ من الفيروسات ، واستعادة الملفات التالفة بدقة بايت.

ميزات مفيدةلا يقتصر ADinf على مكافحة الفيروسات فقط. في الواقع ، ADinf هو نظام يسمح لك بمراقبة سلامة المعلومات على الأقراص واكتشاف أي تغييرات طفيفة في نظام الملفات ، أي التغييرات في مناطق النظام ، وتغييرات الملفات ، وإنشاء الدلائل وحذفها ، وإنشاء وحذف وإعادة تسمية ونقل الملفات من دليل إلى فهرس. يتم تكوين تكوين المعلومات الخاضعة للرقابة بمرونة ، مما يسمح لك بالتحكم في ما تحتاجه فقط.

تم إصدار الإصدار الأول من البرنامج في عام 1991 ومنذ ذلك الحين أصبح ADinf بجدارة أشهر مدقق حسابات في روسيا ودول أخرى. اتحاد الجمهوريات الاشتراكية السوفياتية السابق. اليوم من الصعب بالفعل حساب عدد المستخدمين القانونيين وغير الشرعيين لـ ADinf. أكثر من 2500 مشترك في مجموعة Dialog-Science Anti-Virus Kit ، والتي تتضمن ADinf ، يحمون أجهزة الكمبيوتر الخاصة بهم بها. حصل برنامج ADinf على شهادات في نظام اعتماد GOST R ونظام شهادة أمن المعلومات التابع لوزارة الدفاع وشهادة اللجنة الفنية الحكومية التابعة للرئيس الاتحاد الروسي(كجزء من مجموعة مكافحة الفيروسات Dialog-Science). يتم تحسين البرنامج باستمرار وهو دائمًا في طليعة التقنيات الحديثة.

في البداية ، تم تطوير مدقق ADinf لنظام التشغيل MS-DOS. تم إصدار إصدارات لاحقة من البرنامج لنظامي التشغيل Windows 3.xx و Windows 95/98 / NT. يوجد الآن مجموعة من المدققين المتوافقين لأنظمة التشغيل المختلفة. تدعم جميع متغيرات ADinf اليوم أنظمة ملفات Windows 95/98 ، أسماء الملفات والدليل الطويلة ، التحليل الهيكل الداخليملفات Windows 95/98 و NT القابلة للتنفيذ.

إذن ، برنامج Adinf:

¨ لديه سرعة عالية في العمل ؛

¨ قادر على مقاومة الفيروسات في الذاكرة بنجاح ؛

¨ يسمح لك بالتحكم في القرص من خلال قراءته حسب المقطع من خلال BIOS وبدون استخدام نظام DOS المقاطعات التي يمكن للفيروس اعتراضها ؛

¨ يمكنه معالجة ما يصل إلى 32000 ملف لكل محرك أقراص ؛

¨ على عكس AVSP ، حيث يتعين على المستخدم تحليل ما إذا كان الجهاز مصابًا بفيروس التخفي ، يتم التشغيل أولاً من محرك الأقراص الثابتة ، ثم من القرص المرن المرجعي ، في ADinf تحدث هذه العملية تلقائيًا ؛

¨ على عكس مضادات الفيروسات الأخرى ، لا يتطلب Advanced Diskinfoscope التمهيد من مرجع قرص مرن محمي ضد الكتابة. عند التحميل من محرك أقراص ثابت ، لا تقل موثوقية الحماية ؛

¨ ADinf لديه واجهة سهلة التنفيذ ، والتي ، على عكس AVSP ، لا يتم تنفيذها في النص ، ولكن في الوضع الرسومي ؛

¨ عند تثبيت ADinf في النظام ، من الممكن تغيير اسم الملف الرئيسي ADINF.EXE واسم الجداول ، بينما يمكن للمستخدم تحديد أي اسم. هذه ميزة مفيدة للغاية ، حيث ظهر مؤخرًا الكثير من الفيروسات التي "تصطاد" ​​برامج مكافحة الفيروسات (على سبيل المثال ، هناك فيروس يغير برنامج Aidstest بحيث يكتب بدلاً من شاشة DialogueScience: "Lozinsky - stump" ) ، بما في ذلك ADinf وما بعده.

هناك عدة إصدارات من مدقق Adinf لأنظمة التشغيل المختلفة. كل واحد منهم له خصائصه الخاصة.

مدقق حسابات ADinf مصمم لأنظمة التشغيل MS-DOS و Windows 95/98. هذا هو تطوير الإصدار الأول من المدقق ، الذي تم إنشاؤه في عام 1991. تعد ADinf اليوم الأداة الأكثر موثوقية للكشف عن الفيروسات المعروفة والجديدة المجهولة. هذا هو المدقق الوحيد في العالم الذي يفحص نظام الملفات من خلال قراءة القطاعات مباشرة من خلال BIOS للكمبيوتر.

مدقق حسابات ADinf لنظام التشغيل Windows مصمم لنظام التشغيل Windows 3.xx. يضيف هذا الإصدار من البرنامج واجهة مستخدم رسومية ملائمة لجميع خصائص مدقق ADinf.

مدقق حسابات ADinf Pro تم تصميمه للتحكم في أمان المعلومات القيمة بشكل خاص ، مثل قواعد البيانات أو المستندات ، في بيئة أنظمة التشغيل MS-DOS و Windows 3.xx و Windows 95/98. تتمثل إحدى ميزات هذا الإصدار من البرنامج في استخدام وظيفة تجزئة 64 بت للتحكم في سلامة الملفات ، والتي طورتها الشركة الروسية المعروفة LAN-Crypto. لا يضمن استخدام وظيفة التجزئة هذه اكتشاف التغييرات العرضية في الملفات أو التغييرات التي تسببها الفيروسات فحسب ، بل يجعل أيضًا من المستحيل تعديل البيانات على القرص بشكل صامت.

مدقق حسابات ADinf32 هو تطبيق متعدد الخيوط 32 بت لأنظمة التشغيل Windows 95/98 و Windows NT مع واجهة مستخدم حديثة. لا يحتوي هذا الإصدار من البرنامج على جميع مزايا الخيارات الأخرى فحسب ، بل يحتوي أيضًا على الكثير من الأشياء الجديدة مقارنة بها.

وتجدر الإشارة إلى أن برنامج Adinf متكامل تمامًا مع البرامج الأخرى لمجموعة DSAV من Dialog-Science. على سبيل المثال ، يقوم Adinf بإنشاء قائمة بالملفات الجديدة والمتغيرة على القرص ، بينما يمكن لـ Aidstest و DrWeb فحص الملفات من هذه القائمة ، مما يقلل بشكل كبير من وقت تشغيل هذه البرامج.

(مجموعة أدوات مكافحة الفيروسات Pro)

تم إنشاء هذا البرنامج بواسطة ZAO Kaspersky Lab. يمتلك AVP إحدى آليات الكشف عن الفيروسات الأكثر تقدمًا. اليوم ، AVP ليس بأي حال أدنى من نظرائه الغربيين.

يوفر AVP للمستخدمين أقصى خدمة - القدرة على تحديث قواعد بيانات مكافحة الفيروسات عبر الإنترنت ، والقدرة على تعيين معلمات للمسح التلقائي وتطهير الملفات المصابة. تظهر التحديثات على موقع AVP الإلكتروني أسبوعيًا تقريبًا ، وتتضمن قاعدة البيانات أوصافًا لما يقرب من 40000 فيروس.

يتكون AVP من عدة وحدات مهمة:

1)AVP الماسح الضوئي يفحص الأقراص الصلبة بحثًا عن الفيروسات. يمكنك تعيين بحث كامل ، حيث يقوم البرنامج بفحص جميع الملفات على التوالي ، وكذلك تعيين الوضع لفحص الملفات المؤرشفة. واحدة من المزايا الرئيسية لـ AVP هي مكافحة فيروسات الماكرو. يمكن للمستخدم تحديد وضع خاص يتم فيه فحص المستندات التي تم إنشاؤها بتنسيق Microsoft Office. بعد اكتشاف الفيروسات أو الملفات المصابة ، يقدم AVP عدة خيارات للاختيار من بينها: إزالة الفيروسات من الملفات ، أو حذف الملفات المصابة نفسها ، أو نقلها إلى مجلد خاص.

2)مراقبة AVP . يتم تحميل هذا البرنامج تلقائيًا عند بدء تشغيل Windows. يقوم AVP Monitor تلقائيًا بفحص جميع الملفات التي تم إطلاقها على الكمبيوتر وفتح المستندات ، وفي حالة حدوث هجوم فيروسي ، فإنه يقوم بإعلام المستخدم بذلك. علاوة على ذلك ، في معظم الحالات ، يمنع AVP Monitor ببساطة بدء تشغيل الملف المصاب ، مما يحظر تنفيذه. تعد ميزة البرنامج هذه مفيدة جدًا لأولئك الذين يتعاملون باستمرار مع الكثير من الملفات الجديدة ، على سبيل المثال ، لمستخدمي الإنترنت النشطين (نظرًا لأنه من المستحيل تشغيل AVP كل خمس دقائق للتحقق من الملفات التي تم تنزيلها ، يأتي برنامج AVP Monitor للإنقاذ هنا ).

3)مفتش AVP - الوحدة الأخيرة والمهمة جدًا من مجموعة AVP ، والتي تتيح لك التقاط حتى فيروسات غير معروفة. يستخدم "المفتش" طريقة للتحكم في تغييرات حجم الملف. من خلال اختراق الملف ، يزيد الفيروس حتمًا من حجمه ، ويكتشفه "المفتش" بسهولة.

بالإضافة إلى كل ما سبق ، هناك ما يسمى ب مركز التحكم AVP - "لوحة تحكم" لجميع برامج مجمع AVP. أهم وظيفة في هذا البرنامج هي جدولة المهام المدمجة ، والتي تسمح لك بالتحقق بسرعة (وعلاج النظام إذا لزم الأمر) في الوضع التلقائي ، دون تدخل المستخدم ، ولكن في الوقت المحدد من قبله.

إذا كانت القناة الرئيسية لانتشار الفيروسات في فجر التطور التكنولوجي هي تبادل ملفات البرامج عبر الأقراص المرنة ، فإن راحة اليد اليوم تنتمي إلى البريد الإلكتروني. في كل يوم ، يتم إرسال ملايين وملايين الرسائل عبر قنواتها ، والعديد من هذه الرسائل مصابة بالفيروسات.

لسوء الحظ ، يمكن أن تكون ملفات المرفقات المرسلة مع رسائل البريد الإلكتروني ضارة للغاية بصحة جهاز الكمبيوتر الخاص بك. ما هي خطورة الملفات المرفقة؟ على هذا النحو ، يمكن للمستخدم إرسال فيروس أو برنامج حصان طروادة أو مستند بتنسيق Microsoft Office (* .doc ، * .xls) مصابًا بفيروس كمبيوتر. من خلال تشغيل البرنامج المستلم للتنفيذ أو فتح مستند للعرض ، يمكن للمستخدم بدء فيروس أو تثبيت برنامج حصان طروادة على جهاز الكمبيوتر الخاص به. علاوة على ذلك ، بسبب الإعدادات غير الصحيحة لبرنامج البريد أو وجود أخطاء فيه ، فقد تفتح ملفات المرفقات تلقائيًا عند عرض محتويات الرسائل المستلمة. في هذه الحالة ، إذا لم يتم اتخاذ تدابير وقائية ، اختراق الفيروسات أو غيرها البرمجيات الخبيثةلجهاز الكمبيوتر الخاص بك هي مسألة وقت.

قد تكون هناك محاولات أخرى لاختراق الكمبيوتر عبر البريد الإلكتروني. على سبيل المثال ، قد يرسلون رسالة في شكل مستند HTML يحتوي على عنصر تحكم Trojan ActiveX مضمن فيه. من خلال فتح مثل هذه الرسالة ، يمكنك تنزيل هذا العنصر على جهاز الكمبيوتر الخاص بك ، وبعد ذلك سيبدأ على الفور في أداء وظيفته.

بالإضافة إلى الإجراءات الإدارية البحتة ، يجب استخدام برامج مكافحة فيروسات خاصة (مضادات فيروسات) لمكافحة الفيروسات والبرامج الخبيثة الأخرى.

للحماية من الفيروسات التي تنتشر عن طريق البريد الإلكتروني ، يمكنك تثبيت برامج مكافحة الفيروسات على أجهزة الكمبيوتر الخاصة بالمرسل والمستقبل. ومع ذلك ، فإن هذه الحماية غالبًا ما تكون غير كافية. تم تصميم برامج مكافحة الفيروسات التقليدية المثبتة على أجهزة الكمبيوتر الخاصة بمستخدمي الإنترنت لفحص الملفات وليست قادرة دائمًا على تحليل تدفق بيانات البريد الإلكتروني. إذا لم يقم برنامج مكافحة الفيروسات بفحص جميع الملفات المفتوحة تلقائيًا ، فيمكن للفيروس أو حصان طروادة التسلل بسهولة من خلال الحماية إلى قرص الكمبيوتر.

بالإضافة إلى ذلك ، تعتمد فعالية برامج مكافحة الفيروسات إلى حد كبير على الامتثال لقواعد استخدامها: من الضروري تحديث قاعدة بيانات مكافحة الفيروسات بشكل دوري ، واستخدام إعدادات الماسح الضوئي الصحيحة لمكافحة الفيروسات ، وما إلى ذلك. لسوء الحظ ، لا يعرف العديد من مالكي أجهزة الكمبيوتر كيفية استخدام برامج مكافحة الفيروسات بشكل صحيح أو لا يقومون بتحديث قاعدة بيانات مكافحة الفيروسات ، مما يؤدي حتماً إلى الإصابة بالفيروسات.

من خلال إدراك مدى إلحاح مشكلة انتشار الفيروسات عبر البريد الإلكتروني ، تقدم العديد من الشركات برامج خاصة لمكافحة الفيروسات لحماية خوادم البريد. تقوم برامج مكافحة الفيروسات هذه بتحليل تدفق البيانات الذي يمر عبر خادم البريد ، مما يمنع نقل الرسائل مع ملفات المرفقات المصابة. هناك حل آخر - الاتصال بخوادم البريد باستخدام برامج مكافحة الفيروسات التقليدية المصممة لفحص الملفات.

تعد الحماية من الفيروسات لخوادم بريد SMTP و POP3 أكثر فاعلية من الحماية من الفيروسات لأجهزة الكمبيوتر الخاصة بالمستخدمين. كقاعدة عامة ، يكون المسؤول المتمرس مسؤولاً عن إعداد برامج مكافحة الفيروسات على الخادم ، والذي لن يخطئ عند الإعداد ، علاوة على ذلك ، سيمكن وضع التحديث التلقائي لقاعدة البيانات عبر الإنترنت. لا داعي للقلق من مستخدمي خوادم SMTP و POP3 الآمنة بشأن القناة الرئيسية لتوزيع الفيروسات - حيث سيتلقون الرسائل التي تم تنظيفها بالفعل من الفيروسات.

تعتمد الإجراءات التي تتخذها خوادم البريد عند إرسال الرسائل المصابة واستلامها على إعدادات مكافحة الفيروسات وخادم البريد نفسه. على سبيل المثال ، عندما يحاول المرسل إرسال رسالة بها ملف مصاب ، سيرفضها خادم بريد SMTP الآمن وسيعرض المرسل رسالة تحذير.

إذا أرسل إليك شخص ما رسالة بريد إلكتروني تحتوي على ملف مرفق مصاب ، فعند استخدام خادم POP3 آمن ، سيتم استلام رسالة فقط حول اكتشاف الفيروس بدلاً من ذلك.

على الرغم من الشعبية المتزايدة لمنصة Microsoft Windows ، فإن معظم خوادم الإنترنت تشغل اليوم Linux و FreeBSD وأنظمة تشغيل شبيهة بـ UNIX. الميزة الرئيسية لنظام Linux هي تكلفة الشراء المنخفضة جدًا. يمكن لأي شخص تنزيل توزيع Linux عبر الإنترنت وتثبيته على أي عدد من أجهزة الكمبيوتر. يحتوي هذا التوزيع على كل ما تحتاجه لإنشاء موقع على الإنترنت ، بما في ذلك خوادم البريد الإلكتروني.

تشمل المزايا الأخرى لنظام التشغيل Linux وأنظمة التشغيل المماثلة الانفتاح ، وتوافر رموز المصدر ، ووجود مجتمع ضخم من المطورين المتطوعين المستعدين للمساعدة في المواقف الصعبة ، والتحكم عن بعد البسيط باستخدام وحدة تحكم نصية ، وما إلى ذلك. بالنسبة لنظام التشغيل من هذه السلسلة ، تم إنشاء بضع عشرات فقط من الفيروسات ، مما يشير إلى أمانها العالي.

لحماية خوادم البريد التي تعمل بأنظمة تشغيل Linux و FreeBSD و Solaris ، يمكنك بنجاح استخدام برنامج Doctor Web المضاد للفيروسات بواسطة Igor Danilov. تتضمن مجموعة مكافحة الفيروسات برنامج الخفي DrWebD و برنامج الماسح الضوئي DrWeb ، بالإضافة إلى حلول للتكامل مع أنظمة البريد: CommuniGate Pro و Sendmail و Qmail و Exim و Postfix.

يحتوي البرنامج الخفي DrWebD على واجهة موثقة مفتوحة ويمكن استخدامه في جميع أنظمة معالجة البيانات تقريبًا كمرشح خارجي إضافي لمكافحة الفيروسات. تسمح لك النصوص مفتوحة المصدر لبعض مكونات التكامل بالتدقيق وتعديل مكونات الواجهة لتلبية متطلبات المطور بشكل أفضل. بالإضافة إلى ذلك ، يمكن أن تكون أكواد المصدر هذه بمثابة مثال لكتابة مكونات التكامل الخاصة بك. أثناء تشغيل البرنامج الخفي DrWebD يتحقق تلقائيًا من جميع رسائل البريد الإلكتروني التي تمر عبر الخادم. يقوم هذا بمسح الملفات المرفقة (حتى الملفات المعبأة) ، وكذلك جميع الكائنات المضمنة في المستندات.

عند اكتشاف فيروس في رسالة بريد ، تتم إزالة جسم الفيروس ونقله إلى منطقة "العزل" ، وبعد ذلك يتم إرسال إشعار إلى مستلم الرسالة ومسؤول الخادم. وبالتالي ، سيتم حماية مستخدمي Sendmail بشكل موثوق من البرامج الضارة الموزعة عبر البريد الإلكتروني. يتم توفير آلية تفاعل مماثلة لخوادم البريد الأخرى.

يقوم Doctor Web تلقائيًا بتنزيل تحديثات قاعدة بيانات مكافحة الفيروسات عبر الإنترنت ، وهو أمر ضروري لحماية موثوقة من الفيروسات.

بالإضافة إلى الفحص المضاد للفيروسات ، يمكن للبرنامج الخفي تصفية الرسائل بناءً على محتويات حقول الرأس المختلفة ، والتي يمكن استخدامها للحماية من التوزيع غير المصرح به للرسائل - البريد العشوائي.

تتمثل إحدى مزايا البرنامج التي لا شك فيها في الأداء العالي لبرنامج DrWebD الخفي والماسح الضوئي DrWeb ، الذي يتم تحقيقه من خلال استخدام الخوارزميات المتقدمة. هذا له أهمية خاصة إذا كان الخادم لديه القليل من قوة المعالجة. بالإضافة إلى ذلك ، يمكن تشغيل البرنامج الخفي ومرشح البريد وخادم البريد على أجهزة كمبيوتر مختلفة ، مما يسمح لك بموازنة الحمل على الخوادم وواجهات الشبكة إذا لزم الأمر.

تم إنشاء Kaspersky Anti-Virus (AVP) لـ Sendmail / Qmail / Postfix خصيصًا لحماية أنظمة البريد. يقوم هذا البرنامج بإجراء تصفية مركزية في الوقت الفعلي أو عند الطلب لجميع الرسائل التي تمر عبر خادم البريد ، حيث يزيل الفيروسات من البريد الإلكتروني قبل أن تصل إلى المستلم.

إذا تم العثور على فيروسات في ملفات المرفقات ، يقوم البرنامج بحذفها وإعادة توجيه الرسالة نفسها ، بالإضافة إلى تحذير بشأن اكتشاف فيروس ، إلى عنوان محدد مسبقًا. يسمح هذا للمسؤول بتحديد مصدر الفيروسات أو البرامج الضارة الأخرى. يقوم البرنامج بتنفيذ وظيفة "الحجر الصحي" للأشياء المصابة والمشبوهة. لا يمكن لبرنامج Kaspersky Anti-Virus مسح المرفقات فحسب ، بل يمكنه أيضًا فحص الكائنات المضمنة في المستندات ، والأرشيفات المجمعة للملفات بجميع التنسيقات الرئيسية ، ومحتويات مرفقات رسائل البريد الإلكتروني من أي مستوى متداخل.

ومن بين المزايا الأخرى للبرنامج ، والجدير بالذكر هو القدرة على التحقق من المجلدات الخاصة والعامة ، تحديث أوتوماتيكيقواعد بيانات مكافحة الفيروسات عبر الإنترنت ، وتغيير قائمة صناديق البريد المحمية دون إعادة تشغيل الخادم ، ونظام مضمن لإرسال التحذيرات بشأن هجمات الفيروسات ، فضلاً عن نظام ملائم لإدارة البرنامج وتحديثه وتكوينه.

دبليو خاتمة.

باختصار ، تم النظر في برامج مكافحة الفيروسات المحلية الرئيسية ، ولكل منها عيوبها ومزاياها. في رأيي ، من بين جميع البرامج المحلية التي تمت مراجعتها هنا ، يعد كل من ADinf و DrWeb أكثر أنظمة مكافحة الفيروسات اكتمالًا وتكاملًا منطقيًا. يتم تحسين وتحديث جميع البرامج باستمرار. تقوم شركة "Dialogue-Science" بإخطار عملائها باستمرار بجميع المنتجات الجديدة التي تظهر في ترسانتها. للتعرف على الوافدين والتطورات الجديدة ، ما عليك سوى الانتقال إلى موقع الشركة على الإنترنت. توفر "Dialogue-Science" لعملائها أقصى خدمة: يمكنك الحصول على نسخة تجريبية من أي برنامج على الموقع (والتي ، بالطبع ، لها بعض القيود مقارنة ببرنامج تجاري يعمل بكامل طاقته) ، ومجانًا. يعد برنامج AVP الذي تم إنشاؤه بواسطة ZAO Kaspersky Lab أحد أكثر آليات الكشف عن الفيروسات تقدمًا. الميزة الرئيسية لهذا البرنامج هي محاربة فيروسات الماكرو. يتمتع برنامج AVSP بإمكانيات عالية ، والتي ، مع التحسين المناسب (تبسيط خوارزميات البحث عن فيروسات التخفي ، وإدخال حماية منخفضة المستوى ، وتحسينات في الواجهة) ، يمكن أن تتخذ مناصب عالية في بيئة مكافحة الفيروسات. يجب أن يؤخذ في الاعتبار أن بعض برامج مكافحة الفيروسات مدمجة جيدًا مع بعضها البعض ، أي أنه يمكن استخدامها معًا (على سبيل المثال ، ADinf و Adinf Cure Module و DrWeb و Aidstest).