Povzetek za lekcijo informatike "Računalniški virusi. Protivirusni programi". glede na način onesnaženosti okolja. Metode raziskovanja virusov

Programska oprema je lahko različna: uporabna in ne zelo uporabna. V slednjem primeru govorimo o razvpitih računalniških virusih. Računalniški virus- zlonamerni program, ki lahko reproducira svoje kopije in samostojno prodre (vbrizga kopije sebe) v kodo drugih programov, baz podatkov, zagonske sektorje trdega diska itd. Poleg tega ta vrsta programske opreme ni omejena na "prodiranje" . Končni cilj večine računalniških virusov je povzročiti škodo prejemniku. Škodljivost računalniških virusov se zvodi na brisanje datotek, zajem dela diskovnega prostora računalnika, blokiranje dela njegovih uporabnikov, vdiranje v osebne podatke ipd.

Oh, ampak ne vse računalniški virusi tako sovražno. Nekateri od njih preprosto prikazujejo neškodljiva sporočila humorne, reklamne ali politične vsebine na zaslonu monitorja. V tem primeru ni škode za računalnik. Česa ne moremo reči o uporabniku, katerega živčni sistem je podvržen določenemu testu. Preizkus, ki ga vsi ne zmoremo. Odtrgane miške, pohabljene tipkovnice in polomljeni monitorji v reklamah so nazorna potrditev tega.

Kot ste verjetno že uganili, bo naš današnji pogovor o zgodovini računalniških virusov.

Zakaj "virus"?

Svoj izlet v zgodovino bom začel z izvorom imena "računalniški virus". Zakaj "virus" in ne recimo "bolezen" ali "poškodba"? Odgovor je preprost – gre za presenetljivo podobnost distribucijskega mehanizma bioloških in računalniških virusov. Tako kot biološki virus prevzame celico organizma, se v njej razmnožuje in nato zasede novo celico, tako tudi računalniški virus. Ko je prodrl v ta ali tisti program, ustvaril določeno število kopij samega sebe, zlonamerno programsko opremo začne zajemati druga področja računalnika in se nato premakne na naslednjo napravo. Strinjam se, analogija je več kot očitna. Pravzaprav zato "virus". Resda ne biološki, ampak računalniški.

Zagotovo ni znano, kdo in kdaj je prvi uporabil to besedno zvezo. Zato bom, ne da bi trdil, da sem zadnja resnica, izrazil ime osebe, ki je v tem kontekstu najpogosteje omenjena. Ta (na sliki desno) je astrofizik in skupaj pisatelj znanstvene fantastike iz ZDA. Mnogi verjamejo, da je to v njegovi zgodbi "Človek z brazgotinami"(1970) je bila beseda "virus" prvič uporabljena v zvezi z računalniškim programom.

Brez teorije - brez virusov!

Kot se pogosto zgodi, se besede in dejanja v času opazno razlikujejo. V našem primeru to lahko potrjuje dejstvo, da je utemeljitev teoretičnih osnov za ustvarjanje in delovanje samoreproducirajočih računalniških programov (virusov) potekala desetletja pred pojavom samega izraza.

Že leta 1949 na Univerzi v Illinoisu je ameriški matematik madžarskega porekla John von Neumann izvajal tečaj predavanj na temo "Teorija in organizacija kompleksnih avtomatskih naprav." Kasneje je slavni znanstvenik povzel svoje predavanje in leta 1951 objavil znanstveno delo s podobnim naslovom "Teorija samoreproduciranih avtomatskih naprav". John von Neumann je v svojem delu podrobno opisal mehanizem za ustvarjanje računalniškega programa, ki se lahko v procesu delovanja sam reproducira.

Von Neumannove znanstvene raziskave so služile kot glavni zagon za praktično ustvarjanje računalniških virusov v prihodnosti, sam znanstvenik pa upravičeno velja za očeta teoretika računalniške virologije.

Razvijanje teorije ameriškega, nemškega raziskovalca Veith Rizak leta 1972 objavlja članek "Samoreproducirajoče avtomatske naprave z minimalno izmenjavo informacij." V njem znanstvenik opisuje mehanizem delovanja polnopravnega virusa, napisanega v zbirnem jeziku za računalniški sistem SIEMENS 4004/35.

In še ena pomembna znanstveno delo na tem področju velja za diplomo diplomanta Univerze v Dortmundu Jürgen Kraus. Leta 1980 je mladi raziskovalec v svojem diplomskem delu "Samoreproducirajući programi" razkril teoretična vprašanja, opisal samoreproducirajoče programe za računalnik SIEMENS, ki so že obstajali v tistem času, in se prvi osredotočil na dejstvo, da računalniških programov podobno kot biološki virusi.

Pazljiv bralec lahko opazi, da se je zgoraj omenjena znanstvena raziskava nanašala na razvoj izključno »miroljubnih« računalniških programov, ki se lahko reproducirajo. Teoretiki o škodljivosti svojih »pacientov« niti pomislili niso. Zanje so to naredili drugi ljudje, ki so pravočasno prepoznali ogromen potencial tovrstnih programov za »poškodovanje« računalnikov in druge opreme. A to je bilo kasneje, za zdaj pa pojdimo od teorije k praksi.

Prve lastovke

Imajo tisto, o čemer je govoril in pisal John von Neumann, skupina zaposlenih v ameriškem podjetju Laboratoriji Bell je leta 1961 ustvaril izvirno igro za računalnike IBM 7090 Darwin. Med to igro se je v pomnilnik računalnika naložilo določeno število zbirnih programov (»organizmov«). Organizmi, ki pripadajo enemu igralcu, naj bi absorbirali organizme drugega igralca in pri tem zavzeli vse več igralnega prostora. Zmago je slavil igralec, katerega organizmi so zajeli celoten spomin igre.

Tisti, dragi bralci, ki se želite podrobno seznaniti s kronologijo pojavljanja znanih računalniških virusov na planetu, lahko priporočam v angleščini. Tam boste našli številna zanimiva dejstva o "protovirusih" (recimo Jeruzalem/1987 ali Morris worm/1988) in posodobili svoje znanje o novi zlonamerni programski opremi (npr. Game Over/2013 Trojanski konj). Seveda, če ste z angleščino na vas.

Od virusa do virusa - neskladje!

V letih, ki so minila od pojava prvega računalniškega virusa, so se oblikovale glavne vrste (vrste) zlonamerne programske opreme. Na kratko se bom ustavil pri vsakem od njih.

Razvrstitev računalniških virusov:

• omrežni črv- vrsta "sovražne" programske opreme, ki se lahko samostojno širi z uporabo lokalnih ali globalnih računalniških omrežij. Prvi predstavnik je že omenjeni črv Morris.


• trojanski konj, trojanski- vrsta računalniškega virusa, ki ga distribuira (naloži v osebni računalnik) neposredno oseba. Za razliko od črva, trojanec ne more spontano prevzeti določenega računalnika. Prvi trojanski konj je bil računalniški virus aidsa leta 1989.


• Polimorfni računalniški virus- zlonamerna programska oprema, ki ima povišana raven zaščita pred odkrivanjem. Z drugimi besedami, gre za računalniški virus, ustvarjen s posebno tehniko programiranja, ki omogoča, da ostane dalj časa neodkrit. Prvi polimorfni virus je bil Chameleon (1990).


• prikriti virus- računalniški virus, ki lahko delno ali v celoti skrije svojo prisotnost na mestu prenosa in aktivacije. Pravzaprav je to neviden virus, katerega ključna razlika od polimorfnega virusa je način maskiranja. Mehanizem za prikrivanje prisotnosti prikritega virusa je prestrezanje klicev protivirusne programske opreme v operacijski sistem. Frodo (1990) velja za prednika te skupine računalniških virusov.

Če se nekaj dela, potem to nekdo potrebuje

Kakšni so cilji ustvarjalcev računalniških virusov? Ja, zelo različno. Večinoma po mnenju zahodnih analitikov govorimo o uničenju računalniške opreme konkurentov/sovražnikov ali kraji sredstev, ki pripadajo osebam, ki jih je virus napadel.

Hkrati pa obstajajo tudi drugi, včasih precej zabavni razlogi za razvoj računalniških virusov. Nekatere številke širijo politične informacije prek virusa. Drugi, polni skrbi za druge, z njim opozarjajo na ranljivost določene programske opreme. Obstajajo celo ljudje, ki ob opazovanju posledic virusnega napada dobijo sprevržen človeški užitek. Lepo se imejte, z eno besedo.

Prav tako je nemogoče zanemariti vlogo razvijalcev pri ustvarjanju in distribuciji računalniških virusov. Lahko bi se vprašali: kako je to? Ampak takole! Vsako leto se izgube zaradi virusnih napadov na svetu ocenjujejo na milijarde ameriških dolarjev. V milijardah se ocenjuje tudi kapitalizacija mednarodnega trga plačljive protivirusne programske opreme. Lahko pridete do preproste misli: to je neizčrpen rudnik zlata. Najprej se virus ustvari (čeprav s pomočjo posrednikov), nato pa ga stranka učinkovito zdravi. Za denar.

V tem ni nič novega. Še posebej, če se spomnite, kaj ne ravnodušni aktivisti očitajo transnacionalnim farmacevtskim podjetjem. Potem lahko v mojih domnevah najdete zdravo zrno. In niti enega.

Skratka, celotna zgodovina nastanka računalniških virusov. Bodite previdni in naj bo sreča, zdravje in tri vreče denarja z vami.

Uvod ................................................................. ................................................ .. ........... ena

Računalniški virusi ................................................................ ................................................. ................................................ .. ..................

Zgodovina razvoja virusov . .................................................................................. 2

Nevarni in nenevarni virusi ............................................ ................................................... .. 3

Okuženi predmeti ................................................. ................................................................ ............... 3

Posebne vrste virusov ................................................. ................................................................ ........... 4

Metode maskiranja virusov . .............................................................................. 5

Kako se zaščititi pred virusom .............................................. ........................................................ 6

Protivirusni programi. ............................................................................................................................................................... 7

AIDSTEST ................................................ ................................................... .......... osem

ZDRAVNIK SPLET ............................................................... ................................................. devet

ASP ................................................. ................................................................ ................ ................ deset

Microsoftov protivirusni program.................................................. ................................................... enajst

ADINF ................................................ ................................................................. ............... 12

AVP ................................................................ .. ................................................................ ................... štirinajst

Protivirusni pregled e-pošte .................................................. ........................................................ .................................... petnajst

Zaščita pred virusi e-pošte . ........................................ 15

Protivirusni programi za poštne strežnike.................................................. ................................................. petnajst

Doctor Web za sisteme UNIX.................................................. .................................................... šestnajst

Kaspersky Anti-Virus za preverjanje e-pošte................................................ ...... 16

W zaključek ................................................................ ................................................. ...... 17

Bibliografija ................................................. ............................................ devetnajst

Uvod.

Pri delu s sodobnim osebnim računalnikom se lahko uporabnik (predvsem pa začetnik) sooči s številnimi težavami: izgubo podatkov, zamrznitvijo sistema, okvaro posameznih delov računalnika in drugo. Eden od vzrokov za te težave, skupaj z napakami v programski opremi in nesposobnimi dejanji samega operaterja osebnega računalnika, so lahko računalniški virusi, ki so prodrli v sistem.

Obstaja veliko načinov za širjenje virusov. Virus lahko vstopi v uporabnikov računalnik skupaj z disketo, piratskim CD-jem ali e-poštnim sporočilom. Da ne bi postal žrtev te nadloge, se mora vsak uporabnik dobro zavedati načel zaščite pred računalniškimi virusi. Navsezadnje ni upanja, da bodo virusi izginili s prihodom novega tisočletja. Pa tudi ni upanja, da bi se jim v nekem doglednem času povsem spopadli, saj talentu avtorjev protivirusnih programov nasprotuje fantazija računalniških grafomanov.

Že od antičnih časov je znano, da se prej ali slej najde protistrup za kateri koli strup. Tak protistrup v računalniškem svetu so postali programi, imenovani protivirusno .

Računalniški virus je praviloma posebej napisan program majhne velikosti, ki lahko zapiše svoje kopije v računalniške programe, ki se nahajajo v izvedljivih datotekah, območjih diskovnega sistema, gonilniki, dokumenti itd., in te kopije ohranijo sposobnost "reproduciranja". Postopek virusa, ki vnese svojo kopijo v drug program (sistemsko območje diska itd.), se imenuje okužba in program ali drug objekt, ki vsebuje virus - okužen.

Danes znanost pozna približno 30 tisoč računalniških virusov. Tako kot navadni virusi tudi računalniški virusi potrebujejo "nosilec" za "širjenje" - zdrav program ali dokument, v katerem skrijejo dele svoje programske kode. Sam virus je majhen, njegova velikost se le redko meri v kilobajtih. Vendar pa ta »dojenček« zmore marsikaj. V tistem trenutku, ko uporabnik, ne da bi karkoli posumil, zažene okužen program na svojem računalniku ali odpre dokument, se virus aktivira in prisili računalnik, da sledi njegovim navodilom. To vodi do izbrisa vseh informacij in najpogosteje - nepovratno. Poleg tega lahko sodobni virusi uničijo ne samo programe, ampak tudi strojno opremo. Na primer, uničijo vsebino BIOS-a matične plošče ali poškodujejo trdi disk.

Virusi so se pojavili pred približno 30 leti. Takrat, v poznih 60. letih, ko je bilo o osebnih računalnikih mogoče brati le v znanstvenofantastičnih romanih, so odkrili zelo nenavadne programe v več "velikih" računalnikih, ki so se nahajali v velikih raziskovalnih centrih v ZDA. Bili so nenavadni, ker niso sledili ukazom osebe, kot drugi programi, ampak so delovali sami. Poleg tega so s svojimi dejanji močno upočasnili računalnik, hkrati pa niso ničesar pokvarili in se niso pomnožili.

Vendar ni trajalo dolgo. Že v 70. letih so bili registrirani prvi pravi virusi, ki so se lahko razmnoževali in so dobili svoja imena: veliki računalnik Univac 1108 je "zbolel" za virusom Pervading Animal, računalniki iz družine IBM-360/370 pa so bili okuženi z božičem. drevesni virus.

Do osemdesetih let prejšnjega stoletja se je število aktivnih virusov merilo na stotine. In pojav in širjenje osebnega računalnika je povzročilo pravo epidemijo - število virusov je šlo na tisoče. Res je, izraz "računalniški virus" se je pojavil šele leta 1984 - prvič ga je v svojem poročilu na konferenci o informacijski varnosti uporabil uslužbenec ameriške univerze Lehigh F. Cowen.

Prvi računalniški virusi so bili preprosti in nezahtevni - niso se skrivali pred uporabniki, svoje destruktivno delovanje (brisanje datotek, uničenje logične strukture diska) so "popestrili" s slikami in "šali", prikazanimi na zaslonu ("Poimenuj točna višina gore Kilimandžaro v milimetrih! Če vnesete napačen odgovor, bodo vsi podatki na vašem trdem disku uničeni!"). Takšnih virusov ni bilo težko prepoznati – »prilepili« so se na izvršljive (*.com ali *.exe) datoteke, pri čemer so spremenili prvotne velikosti.

Kasneje so virusi začeli skrivati ​​svojo programsko kodo, tako da je noben protivirusni program ne bi mogel zaznati. Takšni virusi se imenujejo "nevidni"(nevidnost).

V 90. letih so virusi začeli »mutirati« – nenehno spreminjati svojo programsko kodo, hkrati pa so jo skrivali v različnih delih trdega diska. Takšni mutantni virusi se imenujejo "polimorfni".

Internet je pomembno prispeval k širjenju virusov. Prvič je bila pozornost javnosti na problem internetnih virusov pritegnjena po pojavu znamenitega "Morrisovega črva" ​​- razmeroma neškodljivega eksperimentalnega virusa, ki se je zaradi malomarnosti svojega ustvarjalca razširil po svetovnem spletu. In v letih 1996-1998. Internet je postal glavni dobavitelj virusov. Imel je celo cel razred internetnih virusov "trojanci". Ti programi niso škodovali računalniku in v njem shranjenim informacijam, so pa zlahka »ukradli« geslo in prijavo za dostop do spleta ter druge tajne podatke.

Leta 1995, po pojavu operacijskega sistema Windows 95, so bili registrirani virusi, ki delujejo pod operacijskim sistemom Windows 95. Približno šest mesecev pozneje so odkrili viruse, ki so delovali na dokumente, pripravljene v priljubljenih programih iz zbirke Microsoft Office. Dejstvo je, da je bil v urejevalnik besedil Microsoft Word in urejevalnik preglednic Microsoft Excel vgrajen programski jezik Visual Basic za aplikacije (VBA), namenjen ustvarjanju posebnih dodatkov urejevalnikom - makrom. Ti makri so bili shranjeni v telesu dokumentov Microsoft Office in bi jih zlahka nadomestili virusi. Po odprtju okužene datoteke se je virus aktiviral in okužil vse dokumente Microsoft Office. Sprva makro virusiškodovali le besedilnim dokumentom, kasneje so začeli uničevati informacije.

V letih 1998-1999 Svet je pretreslo več uničujočih virusnih napadov: zaradi delovanja virusov Melissa, Win95.CIH in Chernobyl je bilo v vseh državah sveta onesposobljenih približno milijon računalnikov. Virusi so poškodovali trdi disk in uničili BIOS matične plošče.

Nobenega dvoma ni, da se bodo virusni napadi nadaljevali tudi v prihodnje. Zato lahko uporabniki računalnikov dobijo le dober protivirusni program.

Večina virusov ne naredi nič drugega kot samo širi (okuži druge programe, diske itd.) in včasih izdaja kakršna koli sporočila ali druge učinke, ki jih je izumil avtor virusa: igranje iger, glasba, ponovni zagon računalnika, izdajanje zaslona različnih vzorcev, blokiranje ali spreminjanje funkcij tipk na tipkovnici, upočasnitev računalnika itd. Vendar ti virusi ne poškodujejo informacij namerno. Takšni virusi se običajno imenujejo neškodljiv. Vendar pa ti virusi lahko povzročijo tudi velike težave (na primer, ponovni zagon vsakih nekaj minut vam ne bo omogočil dela).

Vendar pa približno tretjina vseh vrst poškoduje podatke na diskih - bodisi namerno bodisi zaradi napak, ki jih vsebujejo virusi, na primer zaradi ne povsem pravilnega izvajanja nekaterih dejanj. Če se poškodovanje podatkov pojavi le občasno in ne vodi do resnih posledic, se imenujejo virusi nevarno. Če se podatki pogosto pokvarijo ali virusi povzročijo znatno škodo (formatiranje trdega diska, sistematično spreminjanje podatkov na disku itd.), se virusi imenujejo zelo nevarno .

Računalniški virusi se med seboj razlikujejo po tem, katere predmete okužijo, torej kaj okužijo. Nekateri virusi lahko okužijo več vrst predmetov hkrati.

Večina virusov se širi z okužbo izvedljive datoteke tiste. datoteke s končnico .COM in .EXE ter različne pomožne datoteke, ki se naložijo, ko se izvajajo drugi programi. Takšni virusi se imenujejo mapa. Virus v okuženih izvedljivih datotekah začne delovati ob zagonu programa, v katerem se nahaja.

Druga pogosta vrsta virusa se vnese v začetni sektor disket ali logičnih diskov, kjer se nahaja nalagalnik operacijskega sistema, ali v začetni sektor trdih diskov, kjer je tabela particij trdega diska in majhen program, ki se zažene iz eno od particij, navedenih v tej tabeli. Takšni virusi se imenujejo zagonski, oz ruševin(iz besede boot - bootloader). Ti virusi začnejo delovati, ko se računalnik zažene z okuženega diska. Zagonski virusi so rezidenčni in okužijo diskete, vstavljene v računalnik. Obstajajo zagonski virusi, ki okužijo tudi datoteke - zagon datoteke virusi.

Nekateri virusi se lahko okužijo vozniki, to je datoteke, podane v členu DEVICE ali DEVICEHIGH datoteke CONFIG.SYS. Virus, ki se nahaja v gonilniku, začne delovati, ko se ta gonilnik naloži iz datoteke CONFIG.SYS med začetnim zagonom računalnika. Običajno virusi, ki okužijo gonilnike, okužijo tudi izvršljive datoteke ali sektorje diska, saj se sicer ne bi mogli širiti – navsezadnje se gonilniki zelo redko kopirajo iz enega računalnika v drugega.

Zelo redko je, da se virusi okužijo sistemske datoteke DOS(IO.SYS ali MSDOS.SYS). Ti virusi se aktivirajo, ko se računalnik zažene. Običajno takšni virusi okužijo tudi zagonske sektorje disket, sicer se ne bi mogli širiti.

Zelo redka sorta virusi so virusi, ki okužijo paketne datoteke. Običajno ti virusi tvorijo izvedljivo datoteko na disku z ukazi za paketno datoteko, zaženejo to datoteko, reproducira virus, po katerem se ta datoteka izbriše. Virus v okuženih ukaznih datotekah začne delovati, ko se izvede ukazna datoteka, v kateri se nahaja. Včasih je klic okužene paketne datoteke vstavljen v datoteko AUTOEXE.BAT.

Dolgo časa virusna okužba dokumentnih datotek je bila nemogoča, saj dokumenti niso vsebovali izvedljivih programov. Vendar pa so Microsoftovi programerji v dokumente Word za Windows vgradili zmogljiv makro jezik WordBasic. Na tem WordBasicu je postalo mogoče pisati viruse. Virus se zažene, ko se okuženi dokumenti odprejo za urejanje. Hkrati se virusni makri zapišejo v globalno predlogo NORMAL.DOT, tako da med novimi sejami dela z Wordom za windows virus se bo samodejno aktiviralo.

Možno je okužiti tudi druge predmete, ki vsebujejo programe v kakršni koli obliki – besedila programa, preglednice itd. Na primer, virus AsmVirus.238 okuži programske datoteke v zbirnem jeziku (datoteke .ASM) tako, da vanje vstavi navodila za sestavljanje, ki ob prevajanju ustvarijo virusno kodo. Vendar pa je število uporabnikov, ki programirajo v zbirnem jeziku, majhno, zato ni mogoče, da bi se tak virus močno razširil.

Preglednice vsebujejo makre, vključno z makri, ki se samodejno izvedejo, ko se preglednica odpre. Zato je zanje mogoče ustvariti viruse, podobno kot viruse za Word dokumenti za Windows. Doslej so bili takšni virusi ustvarjeni za Excelove preglednice.

Virus je program, zato objektov, ki ne vsebujejo programov in jih ni mogoče pretvoriti v programe, ni mogoče okužiti z virusom. Objekte, ki ne vsebujejo programov, lahko poškoduje le virus, ne pa jih okuži. Takšni predmeti vključujejo besedilne datoteke (razen paketnih datotek in programskih besedil), dokumente enostavnih urejevalnikov dokumentov, kot sta LEXICON ali Multi-Edit, datoteke podatkovnih baz itd.

Nekatere vrste virusov zahtevajo posebno obravnavo, saj lahko standardne metode zdravljenja zanje povzročijo izgubo informacij (virusi družine DIR) ali pa virusa ne pozdravijo (za viruse družine ZARAZA).

Družinski virusi DIR.

Leta 1991 so se pojavili virusi nove vrste - virusi, ki spreminjajo datotečni sistem na disku. Ti virusi se običajno imenujejo DIR. Takšni virusi skrijejo svoje telo na nekem območju diska (običajno v zadnji gruči diska) in ga označijo v tabeli dodelitve datotek (FAT) kot konec datoteke ali kot okvarjeno območje. Za vse datoteke .COM in .EXE se kazalci na prvi del datoteke, ki je vsebovan v ustreznih vnosih imenika, nadomestijo s povezavo do odseka diska, ki vsebuje virus, pravilen kazalec pa je skrit v kodirani obliki v neuporabljen del vnosa v imeniku. Zato se ob zagonu katerega koli programa virus naloži v pomnilnik, nato ostane v pomnilniku, se poveže s programi DOS za obdelavo datotek na disku in ustvari pravilne povezave za vse dostope do elementov imenika.

Tako se, ko virus deluje, zdi datotečni sistem na disku povsem normalen. Tudi površinski pregled okuženega diska na "čistem" računalniku ne pokaže nič čudnega. Samo pri poskusu branja ali kopiranja programskih datotek z okužene diskete bo z njih prebranih ali kopiranih le 512 ali 1024 bajtov, tudi če je datoteka veliko daljša. In ko zaženete kateri koli izvedljiv program z diska, okuženega s takšnim virusom, se ta disk začne zdeti zdrav (ni čudno, ker se v tem primeru računalnik okuži).

Posebna nevarnost virusov družine DIR je, da poškodbe datotečne strukture, ki jo povzročijo ti virusi, ne bi smeli popraviti s programi, kot sta ScanDisk ali NDD - v tem primeru bo disk brezupno poškodovan. Če ga želite popraviti, morate uporabljati samo protivirusne programe.

Virusi družine ZARAZA.

Druga nenavadna vrsta virusa je tista, ki okuži sistemsko datoteko IO.SYS. Družina teh virusov se običajno imenuje INFECTION, ker je prvi tak virus prikazal sporočilo »INFEKCIJA V BOOT SEKTORJU!«.

Ti virusi se lahko zaženejo z datotekami in uporabljajo neusklajenost med zagonskim mehanizmom DOS in običajnim datotečnim mehanizmom. Ko se MS DOS zažene, preveri, ali sta imeni prvih dveh elementov v korenskem imeniku zagonskega pogona IO.SYS in MSDOS.SYS, vendar atributi teh elementov niso preverjeni. Če se imena ujemata, zagonski program prebere v pomnilnik prvo gručo elementov z imenom IO.SYS in ji prenese nadzor. Izkoriščajoč to nepopolnost programa zagonskega zagona, virus ZARAZA naredi naslednje, ko okuži trde diske:

Kopira vsebino datoteke IO.SYS na konec logičnega pogona;

Premakne elemente korenskega imenika, začenši od tretjega, za en element na konec imenika;

Kopira prvi vnos v korenskem imeniku (ki ustreza datoteki IO.SYS) v osvobojeni tretji vnos v korenskem imeniku in ga nastavi na začetno številko gruče, ki kaže na lokacijo, kamor je bila kopirana vsebina datoteke IO.SYS ;

Zapiše svoje telo na lokacijo datoteke IO.SYS (običajno na začetek podatkovnega območja logičnega diska);

Nastavi zastavico "oznaka nosilca" za prvi element korenskega imenika diska.

V korenskem imeniku z imenom IO.SYS se pojavita dva vnosa, od katerih je eden označen z atributom "oznaka nosilca". Vendar se ob zagonu ne zruši - zagonski program, potem ko je preveril, ali sta prva dva vnosa v imeniku IO.SYS in MSDOS.SYS, bo naložil gručo, določeno v prvem vnosu v TOC (na običajnem disku, ta je začetek datoteke IO.SYS, na okuženem pa - koda virusa) in bo nanjo prenesel nadzor. Virus se bo sam naložil v RAM, nato pa bo naložil začetek izvorne datoteke IO.SYS in vanjo prenesel nadzor. Nadalje, začetno nalaganje poteka kot običajno.

Nevarnost virusov družine INFLUENCE je naslednja: tudi če zaženete računalnik s »čiste« sistemske diskete in vnesete ukaz SYS C:, virus ne bo odstranjen z diska. Ukaz SYS, tako kot drugi programi DOS, bo prezrl prvi vnos v korenskem imeniku, ki označuje virus, in ga obravnaval kot opis oznake. Samo "varnostna datoteka" IO.SYS, opisana v tretjem elementu korenskega imenika, bo prepisana. Poleg tega, če program SYS zapiše datoteko IO.SYS na novo mesto na disku, se sistem ne bo več zagnal s trdega diska, ker. virus v svojem telesu shrani naslov začetnega sektorja izvorne datoteke IO.SYS. Zato diskov, okuženih z virusi družine INFECTION, ne smete razkužiti z ukazom SYS, to je treba storiti s protivirusnimi programi.

Da bi preprečili njihovo odkrivanje, mnogi virusi uporabljajo precej zvite tehnike kamuflaže.

Številni rezidenčni virusi preprečijo njihovo odkrivanje tako, da prestrežejo klice operacijskega sistema v okužene datoteke in območja diska ter jih sprostijo v izvirni (neokuženi) obliki. Takšni virusi se imenujejo neviden, oz prikrito virusi. Seveda je učinek "nevidnosti" opazen le na okuženem računalniku - na "čistem" računalniku je mogoče zlahka zaznati spremembe v datotekah in zagonskih območjih diska. Nekateri protivirusni programi lahko zaznajo "nevidne" viruse tudi na okuženem računalniku. Da bi to naredili, preberejo disk brez uporabe storitev DOS. Primeri takšnih programov so Adinf podjetja Dialog-Science, Norton AntiVirus in drugi.

Virusi pogosto vsebujejo različna sporočila v sebi, zaradi česar je mogoče sumiti, da je nekaj narobe pri ogledu datotek ali področij diskov, ki vsebujejo virus. Da bi ga težje odkrili, nekateri virusi šifrirajo svojo vsebino, tako da uporabnik ob ogledu predmetov, ki jih okužijo, ne vidi sumljivih besedilnih nizov.

Drug način, s katerim se virusi skrivajo pred odkrivanjem, je, da spremenijo svoje telo. To programom za odkrivanje otežuje iskanje takšnih virusov – v telesu takšnih virusov ni niti ene trajne verige bajtov, s katero bi virus prepoznali. Takšni virusi se imenujejo polimorfna oz samospreminjajoč se. Obstajajo detektorski programi, ki lahko zaznajo polimorfne viruse, na primer Dr.Web iz Dialog-Science.

Ko je datoteka, okužena z virusom, aktivirana, se nadzor takoj prenese na virus, ki izvaja svoja uničujoča dejanja, hkrati pa se pripiše tudi drugim programom in datotekam. Nato se tehnološko vrne na tista dejanja, ki so bila izvedena na računalniku. Pri visoki hitrosti računalnika ostane taka »odvračanje« od urejenega poteka dela za uporabnika povsem neopažena. Poškodba morda ne bo takoj vidna. Zunanje manifestacije prisotnosti virusa v računalniku so lahko zelo različne, na primer:

Utripanje zaslona

Pojav nepričakovanega sporočila na zaslonu;

· nepredvidena zahteva po odstranitvi zaščite pred pisanjem z diskete;

· spreminjanje datuma in ure ustvarjanja okuženih datotek;

Zamrznitev računalnika in nezmožnost premagovanja te težave;

padajoče črke na zaslonu (včasih ob glasbeni spremljavi);

· izginotje nekaterih programskih datotek ob petkih, ki padejo na 13. dan v mesecu;

Nenavadna nesreča;

uničenje informacijskih datotek ali njihovo delno uničenje;

upočasnitev računalnika;

blokiranje vnosa s tipkovnice;

Zvok glasbe

vrtenje znakov na zaslonu;

Blokiranje zapisovanja na trdi disk;

druge vrste nenavadnega "vedenja" računalnika.

Za uporabnika je še posebej nevarno dejanje virusa, kot je formatiranje trdega diska, ki je povezano s hitro izgubo vseh tam shranjenih informacij. Ker niti en uporabnik ni zavarovan pred prodiranjem virusa, je možno vsaj čim bolj zmanjšati možne posledice prisotnosti virusa v računalniku. Za to več preprosta pravila:

1) Vsako vašo disketo, če je "obiskala" drug računalnik, mora preveriti kateri koli razpoložljiv protivirusni program. Tovrstni programi ne morejo samo zaznati virusa, ampak tudi "ozdraviti" disketo. Še posebej zadeva programi za igre, Ker preko njih se širi večina virusov.

2) Podobna preverjanja je treba opraviti za datoteke, prejete prek omrežja.

3) Protivirusni program zelo hitro zastari. Zato ga je priporočljivo redno posodabljati. nova različica. Obdobje podaljšanja za takšne programe se giblje od enega tedna do ene četrtine.

4) Ne odstranjujte zaščite pred pisanjem z diskete med vsakodnevnim delom, če tega ne predvideva tehnologija za reševanje težav.

5) Ko odkrijete virus, ne ukrepajte prenagljeno, ker to lahko privede do izgube informacij, ki bi jih še lahko shranili. Najbolj pravilna stvar v takšni situaciji je, da izklopite računalnik, da blokirate aktivnost virusa. Nato zaženite računalnik z referenčne diskete z operacijskim sistemom. Po tem zaženite protivirusni program, katerega funkcije vključujejo ne le odkrivanje okuženih datotek, temveč tudi njihovo zdravljenje. Nato znova zaženite protivirusni program. Če so bile vse operacije za odstranitev virusa opravljene pravilno, bi moral biti rezultat njegovega dela obveščanje uporabnika o popolni odsotnosti virusov. Vendar je treba spomniti, da program ne sme biti zastarel.

V zadnjem času je pri delu v omrežjih, predvsem pri uporabi elektronske pošte, vse pogostejši prodor virusov v uporabnikov računalnik z branjem e-poštnih sporočil. Zato je treba tudi tukaj upoštevati nekaj preprostih pravil:

1) Ne odpirajte datotek, priloženih pismu, razen če je s pošiljateljem predhodno dogovorjen, da jih pošljete.

2) Ne odpirajte datotek, priloženih pismu, ki so prispele iz protivirusnih laboratorijev, Microsofta in drugih. Podjetja nikoli ne distribuirajo datotek.

3) Ne odpirajte datotek, priloženih pismu, če sta zadeva pisma in samo pismo prazna.

4) Izbrišite vsa sumljiva e-poštna sporočila.

5) Če ste dalj časa odsotni, se odjavite od različnih elektronskih poštnih seznamov.

Razvrstitev protivirusnih programov .

Te programe lahko razvrstimo v pet glavnih skupin: filtri, detektorji, revizorji, zdravniki in cepitelji.

Protivirusni filtri- to so rezidenčni programi, ki uporabnika obvestijo o vseh poskusih programa za zapisovanje na disk, še bolj pa za njegovo formatiranje, pa tudi o drugih sumljivih dejanjih (na primer poskusih spreminjanja nastavitev CMOS). To vas bo pozvalo, da dovolite ali zavrnete to dejanje. Načelo delovanja teh programov temelji na prestrezanju ustreznih prekinitvenih vektorjev. Prednost programov tega razreda v primerjavi s programi-detektorji je univerzalnost tako za znane kot neznane viruse, medtem ko so detektorji napisani za določene tipe, ki jih programer trenutno pozna. To še posebej velja zdaj, ko se je pojavilo veliko mutantnih virusov, ki nimajo trajne kode. Vendar programi za filtriranje ne morejo zaznati virusov, ki dostopajo neposredno do BIOS-a, kot tudi virusov BOOT, ki se aktivirajo, še preden se protivirusni program zažene, v začetna faza DOS zagon.Slabosti vključujejo tudi pogosto izdajanje zahtev za izvedbo katere koli operacije: odgovarjanje na vprašanja uporabniku vzame veliko časa in mu gre na živce. Pri nameščanju nekaterih protivirusnih filtrov lahko pride do konfliktov z drugimi rezidenčnimi programi, ki uporabljajo enake prekinitve, ki preprosto prenehajo delovati.

Najbolj razširjena pri nas detektorski programi, oziroma programi, ki združujejo detektor in zdravnik. Večina znani predstavniki tega razreda - Aidstest, Doctor Web, MicroSoft AntiVirus bomo podrobneje obravnavali v nadaljevanju. Protivirusni detektorji so zasnovani za specifične viruse in temeljijo na primerjavi zaporedja kod, ki jih vsebuje telo virusa, s kodami programov, ki se preverjajo. Številni detektorski programi vam omogočajo tudi "zdravljenje" okuženih datotek ali diskov tako, da z njih odstranite viruse (seveda je zdravljenje podprto samo za viruse, ki jih detektorski program pozna). Takšne programe je treba redno posodabljati, saj hitro zastarijo in ne morejo zaznati novih vrst virusov.

revizorji so programi, ki analizirajo trenutno stanje datotek in sistemskih področij diska ter ga primerjajo z informacijami, ki so bile predhodno shranjene v eni od revizorjevih podatkovnih datotek. S tem se preveri stanje BOOT sektorja, tabele FAT, pa tudi dolžina datotek, čas njihovega ustvarjanja, atributi, kontrolna vsota. Z analizo sporočil inšpektorskega programa se lahko uporabnik odloči, ali so spremembe posledica virusa ali ne. Pri izdaji takšnih sporočil ne smete paničariti, saj vzrok sprememb, na primer dolžine programa, morda sploh ni virus.

Zadnja skupina vključuje najbolj neučinkovite protivirusne programe - cepljenji. V cepljeni program zapišejo značilnosti določenega virusa, tako da ga virus šteje za že okuženega.

Pri nas so, kot je navedeno zgoraj, pridobili posebno priljubljenost protivirusni programi, ki združujejo funkcije detektorjev in zdravnikov. Najbolj znan med njimi je program AIDSTEST avtorja D.N. Lozinsky. Ta program je bil izumljen leta 1988 in od takrat se nenehno izboljšuje in širi. V Rusiji ima skoraj vsak osebni računalnik, združljiv z IBM, eno od različic tega programa. Eden od najnovejše različice zazna več kot 1500 virusov.

Aidstest je zasnovan za popravljanje programov, okuženih s pogostimi (nepolimorfnimi) virusi, ki ne spremenijo svoje kode. Ta omejitev je posledica dejstva, da ta program išče viruse z identifikacijskimi kodami. Toda hkrati je dosežena zelo visoka hitrost preverjanja datotek.

Za normalno delovanje Aidstest zahteva, da v pomnilniku ni rezidenčnih protivirusnih programov, ki bi blokirali pisanje v programske datoteke, zato jih je treba razložiti tako, da določite možnost razlaganja za sam rezidenčni program ali uporabite ustrezen pripomoček.

Ko se zažene, Aidstest preveri v RAM-u viruse, ki so mu znani, in jih naredi neškodljive. V tem primeru so paralizirane le funkcije virusa, povezane z razmnoževanjem, druge pa stranski učinki lahko ostane. Zato program po koncu nevtralizacije virusa v pomnilniku izda zahtevo za ponovni zagon. Tega nasveta morate vsekakor upoštevati, če operater osebnega računalnika ni sistemski programer, ki preučuje lastnosti virusov. Pri čemer je treba znova zagnati s tipko RESET, saj lahko med "toplom ponovnim zagonom" nekateri virusi vztrajajo. Poleg tega je bolje zagnati stroj in Aidstest z disketo, zaščiteno pred pisanjem, saj se lahko virus ob zagonu z okuženega diska zapiše v pomnilnik kot rezident in prepreči dezinfekcijo.

Aidstest testira svoje telo na znane viruse in presoja njegovo okužbo z neznanim virusom po popačenju njegove kode. V tem primeru so možni primeri lažnih alarmov, na primer, ko protivirusni program stisne packer. Program nima grafičnega vmesnika, njegovi načini delovanja pa so nastavljeni s tipkami. Z določitvijo poti lahko preverite ne celoten disk, temveč ločen podimenik.

Slabosti programa Aidstest:

Ne prepozna polimorfnih virusov;

Ni opremljen s hevrističnim analizatorjem, ki bi mu omogočal iskanje virusov, ki so mu neznani;

Ne zna preverjati in obravnavati datotek v arhivih;

Ne prepozna virusov v programih, ki jih obdelujejo pakerji izvedljivih datotek, kot so EXEPACK, DIET, PKLITE itd.

Prednosti Aidstesta:

Enostaven za uporabo;

Deluje zelo hitro;

Prepozna pomemben del virusov;

Dobro integriran z revizijskim programom Adinf;

Deluje na skoraj vsakem računalniku.

V zadnjem času hitro narašča priljubljenost še enega protivirusnega programa Doctor Web, ki ga ponuja Dialog-Science. Ta program je leta 1994 ustvaril I. A. Danilov. Dr.Web tako kot Aidstest spada v razred detektorjev – zdravnikov, vendar ima za razliko od slednjih tako imenovani »hevristični analizator« – algoritem, ki omogoča odkrivanje neznanih virusov. "Healing Web", kot je ime programa prevedeno iz angleščine, je postal odgovor domačih programerjev na invazijo samospreminjajočih se mutantnih virusov, ki ob razmnoževanju spremenijo svoje telo tako, da ni niti ena značilna veriga bajtov, ki bi je bil prisoten v izvirni različici ostankov virusa. Ta program podpira dejstvo, da je veliko licenco (za 2000 računalnikov) pridobil Generalni direktorat za informacijske vire pri predsedniku Ruske federacije in drugi največji kupec "spleta" - "Inkombank".

Nadzor načinov, kot tudi v Aidtest, se izvaja s pomočjo tipk. Uporabnik lahko programu naroči, naj preizkusi celoten disk in posamezne podimenike ali skupine datotek, ali pa zavrne preverjanje diskov in testira samo RAM. Po drugi strani lahko preizkusite bodisi samo osnovni pomnilnik ali pa tudi razširjeni. Tako kot Aidstest lahko tudi Doctor Web ustvari poročilo o delu, naloži generator cirilice, podpira delo s strojno in programsko opremo Sheriff.

Testiranje trdega diska z Dr.Web traja veliko več časa kot Aidstest, zato si vsak uporabnik ne more privoščiti, da bi porabil toliko časa dnevno za preverjanje celotnega trdega diska. Takšnim uporabnikom lahko svetujemo, naj natančneje preverijo diskete, prinesene od zunaj. Če so podatki na disketi v arhivu (in se v zadnjem času programi in podatki prenašajo iz stroja v stroj v tej obliki; tudi podjetja s programsko opremo, kot je Borland, pakirajo svoje izdelke), jih odpakirajte v ločen imenik na trdem disku. in takoj, brez odlašanja, zaženite Dr.Web, pri čemer kot parameter določite celotno pot do tega podimenika namesto imena pogona. Kljub temu je treba vsaj enkrat na dva tedna opraviti popolno skeniranje "trdega diska" za viruse z najvišjo stopnjo hevristične analize.

Tako kot v primeru Aidstest med začetnim testiranjem ne smete dovoliti, da program razkuži datoteke, v katerih zazna virus, saj ni mogoče izključiti, da je zaporedje bajtov, ki jih protivirusni program sprejme kot vzorec, mogoče najti v zdrav program.

Za razliko od Aidstesta, Dr.Web:

Prepozna polimorfne viruse;

Opremljen s hevrističnim analizatorjem;

Sposoben preverjati in obravnavati datoteke v arhivih;

Omogoča testiranje datotek, cepljenih s CPAV, pa tudi pakiranih z LZEXE, PKLITE, DIET.

Dialog-Science ponuja različne različice DrWeb za DOS. Kot veste, obstajata dve različici za DOS, ki se tradicionalno imenujeta 16-bitni in 32-bitni(slednji se imenuje tudi Doctor Web za DOS/386, DrWeb386). Ta imena (16-bitna in 32-bitna) v celoti odražajo bistvo razlike med različicami za DOS, vendar je neposredno iz imen očitna le strokovnjakom. Samo 32-bitna različica ima vso funkcionalnost, ki je značilna za druge sodobne različice Doctor Weba (zlasti različice za Windows).

16-bitna različica zaradi omejitev glede količine razpoložljivega pomnilnika, ki jih nalaga operacijski sistem, nima nekaterih danes izjemno pomembnih »funkcij«, zlasti vanj niso vključene (in zaradi navedene omejitve pomnilnika, jih ni mogoče vključiti):

Moduli za "servisiranje" znanih virusov sodobnih vrst (zlasti, govorimo o makro in prikritih virusih);

Moduli hevrističnega analizatorja za odkrivanje neznanih virusov sodobnih tipov;

Moduli za razpakiranje sodobnih vrst arhivov in zapakiranih Windows programov itd.

Tako, čeprav 16-bitna različica uporablja isto zbirko virusov (datoteke VDB) kot 32-bitne različice, odsotnost določenih modulov onemogoča obdelavo ustreznih virusov.

Poleg tega iz istih razlogov 16-bitna različica ne podpira nekatere sodobne programske in strojne opreme, zaradi česar je lahko nestabilna ali napačna.

Ker je 32-bitna različica popolnoma funkcionalna in jo je, kot je razvidno iz njenega drugega imena - Doctor Web for DOS/386, mogoče uporabljati med delovanjem v DOS-u na računalnikih s procesorjem najmanj 386, vsi uporabniki, ki potrebujejo različico of Doctor Web for DOS je bolje uporabiti točno njo.

Kar zadeva 16-bitno različico, se še naprej izdaja, ker še vedno obstaja flota starih strojev na platformi 86/286, kjer 32-bitna različica ne more delovati.

(Zaščita protivirusne programske opreme)

Zanimiv programski izdelek je protivirusni program AVSP. Ta program združuje detektor, zdravnika in revizorja ter ima celo nekatere funkcije rezidenčnega filtra (prepoved pisanja v datoteke z atributom SAMO ZA BRANJE). Protivirusnik lahko zdravi tako znane kot neznane viruse, uporabnik pa lahko program sam obvešča o načinu zdravljenja slednjih. Poleg tega lahko AVSP zdravi samospremenljive viruse in viruse Stealth (stealth).

Ko zaženete AVSP, se prikaže sistem oken z meniji in informacijami o statusu programa. Zelo udobno sistem kontekstualnih namigov, ki daje razlago vsakega elementa menija. Imenuje se klasično, s tipko F1 in se spreminja, ko se premikate od predmeta do predmeta. Prav tako ni nepomembna prednost v naši dobi Windows in "Half-axes" (OS / 2) je podpora za miško. Pomembna pomanjkljivost vmesnika AVSP je pomanjkanje možnosti izbire elementov menija s pritiskom na tipko z ustrezno črko, čeprav je to nekoliko izravnano z možnostjo izbire elementa s pritiskom na ALT in številko, ki ustreza številki tega predmet.

Paket AVSP vključuje tudi rezidenčni gonilnik AVSP.SYS, ki vam omogoča odkrivanje večine nevidnih virusov (razen virusov, kot sta Ghost-1963 ali DIR), deaktiviranje virusov za čas njihovega dela, prav tako pa prepoveduje spreminjanje datotek SAMO ZA BRANJE.

Druga funkcija AVSP.SYS je onemogočanje rezidenčnih virusov, medtem ko se AVSP.EXE izvaja, vendar gonilnik poleg virusov onemogoči tudi nekatere druge rezidenčne programe. Ko prvič zaženete AVSP, preizkusite svoj sistem za znane viruse. Hkrati pa preverja Oven, BOOT sektor in datoteke. V nekaterih primerih lahko celo obnovite datoteke, poškodovane zaradi neznanega virusa. Namestite lahko preverjanja velikosti datotek, njihove kontrolne vsote, prisotnost virusov v njih ali vse to skupaj. Določite lahko tudi, kaj natančno preveriti (zagonski sektor, pomnilnik ali datoteke). Kot pri večini protivirusnih programov je tudi tu uporabniku dana možnost izbire med hitrostjo in kakovostjo. Bistvo hitrega preverjanja je, da se ne pregleda celotna datoteka, ampak le njen začetek; tako je mogoče odkriti večino virusov. Če je virus napisan na sredini ali je datoteka okužena z več virusi (v tem primeru se zdi, da so "stari" virusi potisnjeni v sredino s "mladimi"), potem program tega ne bo opazil. Zato je treba nastaviti optimizacijo kakovosti, še posebej, ker pri AVSP testiranje kakovosti ne traja veliko več časa kot testiranje visoke hitrosti.

Pri samodejnem odkrivanju novih virusov lahko AVSP naredi veliko napak. Pri samodejnem zaznavanju vzorca torej ne smete biti preleni, da preverite, ali gre res za virus in ali se ta vzorec najde v zdravih programih.

Če AVSP med postopkom zazna znani virus, morate izvesti enaka dejanja kot pri delu z Aidstestom in Dr.Web: kopirajte datoteko na disk, znova zaženite z diskete za varnostno kopiranje in zaženite AVSP. Zaželeno je tudi, da se gonilnik AVSP.SYS hkrati naloži v pomnilnik, saj pomaga glavnemu programu pri razkuževanju virusov Stealth.

Druga uporabna lastnost je vgrajeni razstavljalnik. Z njegovo pomočjo lahko ugotovite, ali je v datoteki virus ali je med preverjanjem diska prišlo do lažno pozitivnega AVSP. Poleg tega lahko poskusite ugotoviti način okužbe, princip delovanja virusa, pa tudi mesto, kamor je "skril" zamenjane bajte datoteke (če imamo opravka s to vrsto virusa). Vse to vam bo omogočilo, da napišete postopek odstranjevanja virusov in obnovite poškodovane datoteke. Druga uporabna lastnost je izdajanje vizualni zemljevid sprememb. Zemljevid sprememb vam omogoča, da ocenite, ali te spremembe ustrezajo virusu ali ne, ter zožite območje iskanja telesa virusa med razstavljanjem.

Program AVSP ima dva algoritma za nevtralizacijo prikritih virusov (»nevidnih«) in oba delujeta le, če je v pomnilniku aktiven virus. Pri implementaciji teh algoritmov se zgodi naslednje: vse datoteke se kopirajo v podatkovne datoteke in nato izbrišejo. Shranjene so samo datoteke z atributom SYSTEM. V Adinfu je postopek odstranjevanja Stealthov veliko enostavnejši.

Program AVSP spremlja tudi stanje zagonskih sektorjev. Če je BOOT sektor na disketi okužen in ga protivirusni program ne more pozdraviti, morate izbrisati zagonsko kodo. Disketa bo postala nesistemska, vendar podatki ne bodo izgubljeni. Z Winchesterjem tega ne moreš. Če se v enem od BOOT sektorjev trdega diska zaznajo spremembe, bo AVSP ponudil, da ga shrani v neko datoteko in nato poskusil odstraniti virus.

Sodobne različice MS-DOS (npr. 6.22) vključujejo Microsoft Antivirus (MSAV). Ta protivirusni program lahko deluje v načinih detektor-zdravnik in revizor. MSAV ima Vmesnik v slogu MS-Windows miška je naravno podprta. Dobro izvedeno kontekstna pomoč: obstaja namig za skoraj vsak element menija, za vsako situacijo. Dostop do elementov menija je univerzalen: za to lahko uporabite smerne tipke, tipke (F1-F9), tipke, ki ustrezajo eni od črk imena elementa, pa tudi miško. Resna nevšečnost pri uporabi programa je, da tabele s podatki o datotekah shrani ne v eno datoteko, ampak jih razprši po vseh imenikih.

Ko se zažene, program naloži lasten generator znakov in prebere drevo imenikov trenutnega diska, nato pa izstopi v glavni meni. Ni jasno, zakaj drevo imenikov prebrati takoj ob zagonu: navsezadnje uporabnik morda ne želi preveriti trenutnega diska.

Med prvim preverjanjem MSAV v vsakem imeniku, ki vsebuje izvedljive datoteke, ustvari datoteke CHKLIST.MS, v katere zapiše informacije o velikosti, datumu, času, atributih in tudi kontrolno vsoto nadzorovanih datotek. Med nadaljnjimi preverjanji bo program primerjal datoteke z informacijami v datotekah CHKLIST.MS. Če sta se velikost in datum spremenila, bo program o tem obvestil uporabnika in zahteval nadaljnja dejanja: posodobite podatke (Posodobi), nastavite datum in čas v skladu s podatki v CHKLIST.MS (Popravilo), nadaljujte brez upoštevanja spremembe v tej datoteki (Nadaljuj), prekinite test (Ustavi)..

V meniju Možnosti lahko konfigurirate program glede na lastno voljo. Tukaj lahko nastavite način iskanja za nevidne viruse (Anti-Stealth), preverite vse (ne samo izvedljive) datoteke (Preveri vse datoteke) in tudi dovolite ali prepovete ustvarjanje tabel CHKLIST.MS (Ustvari nove kontrolne vsote). Poleg tega lahko nastavite način za shranjevanje poročila o opravljenem delu v datoteki. Če nastavite možnost Ustvari varnostno kopijo, bo pred odstranitvijo virusa iz okužene datoteke njegova kopija shranjena s pripono VIR.

V glavnem meniju si lahko s pritiskom na tipko F9 ogledate seznam virusov, ki jih pozna MSAV. To bo odprlo okno z imeni virusov. Če si želite ogledati podrobnejše informacije o virusu, premaknite kazalec na njegovo ime in pritisnite ENTER. Do virusa, ki vas zanima, se lahko hitro pomaknete tako, da vnesete prve črke njegovega imena. Podatke o virusu lahko oddate v tiskalnik z izbiro ustreznega menija.

(Napredni Diskinfoscope)

ADinf spada v razred revizorskih programov. Ta program je leta 1991 ustvaril D. Yu. Mostov.

Družina programov ADinf so revizorji diskov, zasnovani za delo osebni računalniki ki jih ureja operacijski sistemi MS-DOS, MS-Windows 3.xx, Windows 95/98 in Windows NT/2000. Delo programov temelji na rednem spremljanju sprememb, ki se dogajajo na trdih diskih. Če se pojavi virus, ga ADinf zazna na podlagi sprememb, ki jih naredi v datotečnem sistemu in/ali zagonskem sektorju diska, in o tem obvesti uporabnika. Za razliko od protivirusnih skenerjev ADinf pri svojem delu ne uporablja "portretov" (podpisov) določenih virusov. Zato je ADinf še posebej učinkovit pri odkrivanju novih virusov, za katere še ni bil najden protistrup.

Posebej je treba omeniti, da ADinf ne uporablja funkcij operacijskega sistema za nadzor diskov. Sektor za sektorjem bere disk in neodvisno razčleni strukturo datotečnega sistema, kar mu omogoča odkrivanje tako imenovanih prikritih virusov.

Če je v sistemu nameščena zdravilna enota Adinf ( Modul za zdravljenje ADinf ), potem je ta tandem sposoben ne le odkriti, temveč tudi uspešno odstraniti okužbo, ki se je pojavila. Testiranje je pokazalo, da je ADinf Cure Module sposoben uspešno obvladati 97% virusov in obnoviti poškodovane datoteke z bajtno natančnostjo.

Ugodne lastnosti ADinf ni omejen samo na boj proti virusom. Pravzaprav je ADinf sistem, ki vam omogoča spremljanje varnosti informacij na diskih in odkrivanje kakršnih koli, celo subtilnih sprememb v datotečnem sistemu, in sicer spremembe sistemskih območij, spremembe datotek, ustvarjanje in brisanje imenikov, ustvarjanje, brisanje, preimenovanje in premikanje datotek iz imenika v katalog. Sestava nadzorovanih informacij je fleksibilno konfigurirana, kar vam omogoča nadzor samo tistega, kar potrebujete.

Prva različica programa je bila izdana leta 1991 in od takrat je ADinf zasluženo najbolj priljubljen revizor v Rusiji in drugih državah. nekdanja ZSSR. Danes je že težko prešteti število legalnih in nelegalnih uporabnikov ADinfa. Več kot 2500 korporativnih naročnikov Dialog-Science Anti-Virus Kit, ki vključuje ADinf, ščiti svoje računalnike z njim. Program ADinf je prejel certifikate v certifikacijskem sistemu GOST R, sistemu certificiranja informacijske varnosti Ministrstva za obrambo in potrdilo Državne tehnične komisije pri predsedniku Ruska federacija(kot del Dialog-Science Anti-Virus Kit). Program se nenehno izboljšuje in je vedno na vrhuncu sodobnih tehnologij.

Sprva je bil revizor ADinf razvit za operacijski sistem MS-DOS. Kasnejše različice programa so bile izdane za Windows 3.xx in Windows 95/98/NT. Zdaj obstaja družina združljivih revizorjev za različne operacijske sisteme. Vse različice ADinf danes podpirajo datotečne sisteme Windows 95/98, dolga imena datotek in imenikov, razčlenitev notranja struktura Izvedljive datoteke Windows 95/98 in NT.

Torej, program Adinf:

¨ ima visoko hitrost dela;

¨ se je sposoben uspešno upreti virusom v pomnilniku;

¨ omogoča nadzor diska z branjem po sektorjih prek BIOS-a in brez uporabe sistemskih prekinitev DOS, ki jih lahko prestreže virus;

¨ lahko obdela do 32.000 datotek na pogon;

¨ za razliko od AVSP, pri katerem mora uporabnik analizirati, ali je stroj okužen z virusom Stealth, pri čemer se najprej zažene s trdega diska, nato pa z referenčne diskete, v ADinf ta operacija poteka samodejno;

¨ Za razliko od drugih protivirusnih programov Advanced Diskinfoscope ne zahteva zagona z referenčne diskete, zaščitene pred pisanjem. Pri nalaganju s trdega diska se zanesljivost zaščite ne zmanjša;

¨ ADinf ima dobro izveden prijazen vmesnik, ki za razliko od AVSP ni implementiran v besedilnem, temveč v grafičnem načinu;

¨ pri namestitvi ADinfa v sistem je možno spremeniti ime glavne datoteke ADINF.EXE in ime tabel, uporabnik pa lahko določi poljubno ime. To je zelo uporabna funkcija, saj se je v zadnjem času pojavilo veliko virusov, ki "lovijo" protivirusne programe (na primer obstaja virus, ki spremeni program Aidstest tako, da namesto uvodnega zaslona DialogueScience piše: "Lozinsky - stump" ), vključno z ADinf.

Obstaja več različic revizorja Adinf za različne operacijske sisteme. Vsak od njih ima svoje značilnosti.

revizor ADinf zasnovan za operacijske sisteme MS-DOS in Windows 95/98. To je razvoj prve različice revizorja, ki je bila ustvarjena leta 1991. Danes je ADinf najbolj zanesljivo orodje za odkrivanje tako znanih kot novih neznanih virusov. To je edini revizor na svetu, ki preverja datotečni sistem z branjem sektorjev neposredno prek BIOS-a računalnika.

revizor ADinf za Windows zasnovan za operacijski sistem Windows 3.xx. Ta različica programa dodaja priročen grafični uporabniški vmesnik vsem lastnostim revizorja ADinf.

revizor ADinf Pro je zasnovan za nadzor varnosti posebej dragocenih informacij, kot so baze podatkov ali dokumenti, v okolju operacijskih sistemov MS-DOS, Windows 3.xx in Windows 95/98. Značilnost te različice programa je uporaba 64-bitne hash funkcije za nadzor celovitosti datotek, ki jo je razvilo znano rusko podjetje LAN-Crypto. Uporaba te funkcije zgoščevanja ne zagotavlja le odkrivanja nenamernih sprememb datotek ali sprememb, ki jih povzročijo virusi, temveč tudi onemogoča namerno tiho spreminjanje podatkov na disku.

revizor ADinf32 je 32-bitna večnitna aplikacija za operacijska sistema Windows 95/98 in Windows NT s sodobnim uporabniškim vmesnikom. Ta različica programa nima le vseh prednosti drugih možnosti, ampak vsebuje tudi veliko novih stvari v primerjavi z njimi.

Treba je opozoriti, da je program Adinf dobro integriran z drugimi programi kompleta DSAV iz Dialog-Science. Adinf na primer ustvari seznam novih in spremenjenih datotek na disku, medtem ko lahko Aidstest in DrWeb preverita datoteke s tega seznama, kar bistveno skrajša čas delovanja teh programov.

(AntiViral Toolkit Pro)

Ta program je ustvaril ZAO Kaspersky Lab. AVP ima enega najnaprednejših mehanizmov za odkrivanje virusov. Danes AVP praktično v ničemer ni slabši od zahodnih kolegov.

AVP uporabnikom zagotavlja največjo storitev - možnost posodabljanja protivirusnih baz podatkov prek interneta, možnost nastavitve parametrov za samodejno skeniranje in dezinfekcijo okuženih datotek. Posodobitve na spletni strani AVP se pojavljajo skoraj tedensko, baza podatkov pa vsebuje opise za skoraj 40.000 virusov.

AVP je sestavljen iz več pomembnih modulov:

1)AVP skener skenira trde diske za viruse. Nastavite lahko popolno iskanje, pri katerem bo program preveril vse datoteke po vrsti, in nastavite tudi način za preverjanje arhiviranih datotek. Ena od glavnih prednosti AVP je boj proti makro virusom. Uporabnik lahko izbere poseben način, v katerem bodo skenirani dokumenti, ustvarjeni v formatu Microsoft Office. Ko zazna viruse ali okužene datoteke, AVP ponuja več možnosti za izbiro: odstranite viruse iz datotek, izbrišite same okužene datoteke ali jih premaknete v posebno mapo.

2)Monitor AVP . Ta program se samodejno naloži, ko se Windows zažene. AVP Monitor samodejno preveri vse zagnane datoteke v računalniku in odprte dokumente, v primeru virusnega napada pa o tem obvesti uporabnika. Poleg tega v večini primerov AVP Monitor preprosto prepreči zagon okužene datoteke in blokira njeno izvajanje. Ta funkcija programa je zelo uporabna za tiste, ki se nenehno ukvarjajo z veliko novimi datotekami, na primer za aktivne uporabnike interneta (ker je nemogoče zagnati AVP vsakih pet minut za preverjanje prenesenih datotek, tukaj na pomoč priskoči AVP Monitor ).

3)AVP inšpektor - zadnji in zelo pomemben modul kompleta AVP, ki omogoča lovljenje celo neznanih virusov. "Inšpektor" uporablja metodo za nadzor sprememb velikosti datoteke. Ko se infiltrira v datoteko, virus neizogibno poveča njen obseg in "inšpektor" jo zlahka zazna.

Poleg vsega naštetega obstaja še t.i Nadzorni center AVP – "nadzorna plošča" za vse programe kompleksa AVP. Najpomembnejša funkcija tega programa je vgrajeni načrtovalnik opravil, ki vam omogoča hitro preverjanje (in po potrebi ozdravitev sistema) v samodejnem načinu, brez posredovanja uporabnika, vendar v času, ki ga sam določi.

Če je bila ob zori razvoja računalniške tehnologije glavni kanal za širjenje virusov izmenjava programskih datotek prek disket, danes na dlani pripada e-pošta. Vsak dan se po njegovih kanalih prenaša na milijone in milijone sporočil in veliko teh sporočil je okuženih z virusi.

Žal so lahko tudi priloge, poslane z e-poštnimi sporočili, zelo škodljive za zdravje vašega računalnika. Kakšna je nevarnost priloženih datotek? Kot taka datoteka se lahko uporabniku pošlje virus ali trojanski program ali dokument v formatu Microsoft Office (*.doc, *.xls), okužen z računalniškim virusom. Z zagonom prejetega programa za izvedbo ali odpiranjem dokumenta v ogled lahko uporabnik sproži virus ali na svoj računalnik namesti trojanski program. Poleg tega se lahko zaradi napačnih nastavitev poštnega programa ali napak v njem datoteke prilog samodejno odprejo ob ogledu vsebine prejetih pisem. V tem primeru, če niso sprejeti zaščitni ukrepi, prodor virusov ali drugega zlonamerna programska oprema na vaš računalnik je vprašanje časa.

Možni so tudi drugi poskusi prodiranja v računalnik prek e-pošte. Na primer, lahko pošljejo sporočilo v obliki dokumenta HTML, ki ima vgrajen nadzor Trojan ActiveX. Če odprete takšno sporočilo, lahko ta element prenesete na svoj računalnik, po katerem bo takoj začel opravljati svoje delo.

Poleg zgolj administrativnih ukrepov je treba za boj proti virusom in drugim zlonamernim programom uporabiti posebno protivirusno programsko opremo (protivirusne programe).

Za zaščito pred virusi, ki se širijo po e-pošti, lahko namestite protivirusne programe na računalnike pošiljatelja in prejemnika. Vendar ta zaščita pogosto ni dovolj. Običajni protivirusni programi, nameščeni na računalnikih uporabnikov interneta, so zasnovani za skeniranje datotek in niso vedno sposobni analizirati toka podatkov e-pošte. Če protivirusni program samodejno ne pregleda vseh odprtih datotek, lahko virus ali trojanec zlahka prodre skozi zaščito na disk računalnika.

Poleg tega je učinkovitost protivirusnih programov zelo odvisna od skladnosti s pravili za njihovo uporabo: potrebno je redno posodabljati protivirusno bazo podatkov, uporabljati pravilne nastavitve protivirusnega skenerja itd. Žal mnogi lastniki računalnikov ne znajo pravilno uporabljati protivirusnih programov ali ne posodabljajo protivirusne baze, kar neizogibno vodi v okužbo z virusi.

Ker razumejo nujnost problema širjenja virusov po e-pošti, mnoga podjetja ponujajo posebne protivirusne programe za zaščito poštnih strežnikov. Takšni protivirusni programi analizirajo tok podatkov, ki poteka skozi poštni strežnik, in preprečuje prenos sporočil z okuženimi datotekami prilog. Obstaja še ena rešitev - povezovanje s poštnimi strežniki z običajnimi protivirusnimi programi, namenjenimi skeniranju datotek.

Protivirusna zaščita poštnih strežnikov SMTP in POP3 je veliko učinkovitejša od protivirusne zaščite uporabnikovih računalnikov. Za nastavitev protivirusnih programov na strežniku je praviloma odgovoren izkušen skrbnik, ki pri nastavitvi ne bo naredil napake, poleg tega pa bo omogočil način samodejnega posodabljanja baze podatkov prek interneta. Uporabnikom varnih strežnikov SMTP in POP3 ni treba skrbeti za glavni kanal za distribucijo virusov – prejemali bodo sporočila, ki so že očiščena virusov.

Dejanja, ki jih izvajajo poštni strežniki pri pošiljanju in prejemanju okuženih sporočil, so odvisna od nastavitev protivirusnega programa in samega poštnega strežnika. Na primer, ko pošiljatelj poskuša poslati sporočilo z okuženo datoteko, bo varni poštni strežnik SMTP to zavrnil in pošiljatelj bo prikazal opozorilno sporočilo.

Če vam nekdo pošlje e-pošto z okuženo datoteko priloge, bo pri uporabi varnega strežnika POP3 namesto tega prejeto samo sporočilo o odkritju virusa.

Kljub vedno večji priljubljenosti platforme Microsoft Windows večina internetnih strežnikov danes izvaja Linux, FreeBSD in podobne operacijske sisteme, podobne UNIX-u. Glavna prednost Linuxa so zelo nizki stroški pridobitve. Vsakdo lahko prenese distribucijo Linuxa preko interneta in jo namesti na poljubno število računalnikov. Ta distribucija vsebuje vse, kar potrebujete za ustvarjanje internetne strani, vključno z e-poštnimi strežniki.

Druge prednosti Linuxa in podobnih operacijskih sistemov vključujejo odprtost, razpoložljivost izvornih kod, prisotnost ogromne skupnosti prostovoljnih razvijalcev, ki so pripravljeni pomagati v težkih situacijah, preprosto daljinsko upravljanje z besedilno konzolo itd. Za OS te serije je bilo ustvarjenih le nekaj deset virusov, kar kaže na njegovo visoko varnost.

Za zaščito poštnih strežnikov z operacijskimi sistemi Linux, FreeBSD in Solaris lahko uspešno uporabite protivirusni program Doctor Web avtorja Igorja Danilova. Protivirusni komplet vključuje demonski program DrWebD in program za skener DrWeb, pa tudi rešitve za integracijo s poštnimi sistemi: CommuniGate Pro, Sendmail, Qmail, Exim, Postfix.

Demon DrWebD ima odprt dokumentiran vmesnik in se lahko uporablja v skoraj vseh sistemih za obdelavo podatkov kot vtični zunanji protivirusni filter. Odprtokodna besedila nekaterih integracijskih komponent vam omogočajo revizijo, spreminjanje komponent vmesnika, da bolje ustrezajo zahtevam razvijalca. Poleg tega lahko te izvorne kode služijo kot primer za pisanje lastnih integracijskih komponent. Demon DrWebD med svojim delovanjem samodejno preveri vsa e-poštna sporočila, ki gredo skozi strežnik. To skenira datoteke prilog (tudi zapakirane) kot tudi vse predmete, vdelane v dokumente.

Ko je v poštnem sporočilu zaznan virus, se telo virusa odstrani in premakne v območje »karantene«, nakar se prejemniku sporočila in skrbniku strežnika pošlje obvestilo. Tako bodo uporabniki Sendmaila zanesljivo zaščiteni pred zlonamernimi programi, ki se širijo po e-pošti. Podoben mehanizem interakcije je na voljo za druge poštne strežnike.

Doctor Web samodejno prenaša posodobitve protivirusne baze preko interneta, kar je potrebno za zanesljivo protivirusno zaščito.

Poleg protivirusnega skeniranja lahko demon filtrira sporočila na podlagi vsebine različnih polj glave, ki jih lahko uporabimo za zaščito pred nepooblaščeno distribucijo sporočil – vsiljeno pošto.

Ena od nedvomnih prednosti programa je visoka zmogljivost demona DrWebD in skenerja DrWeb, dosežena z uporabo naprednih algoritmov. To je še posebej pomembno, če ima strežnik malo procesorske moči. Poleg tega lahko demon, poštni filter in poštni strežnik delujejo na različnih računalnikih, kar vam omogoča, da po potrebi uravnotežite obremenitev strežnikov in omrežnih vmesnikov.

Kaspersky Anti-Virus (AVP) za Sendmail/Qmail/Postfix je bil ustvarjen posebej za zaščito poštnih sistemov. Ta program, ki izvaja centralizirano filtriranje v realnem času ali na zahtevo za vsa sporočila, ki gredo skozi poštni strežnik, odstrani viruse iz e-pošte, preden pridejo do prejemnika.

Če se v prilogah najdejo virusi, jih program izbriše in posreduje samo sporočilo ter opozorilo o odkritju virusa na vnaprej določen naslov. To omogoča skrbniku, da ugotovi vir virusov ali druge zlonamerne programske opreme. Program izvaja funkcijo »karantena« za okužene in sumljive predmete. Kaspersky Anti-Virus lahko skenira ne samo priloge, temveč tudi predmete, vdelane v dokumente, zapakirane arhive datotek vseh glavnih formatov in vsebino prilog e-poštnih sporočil katere koli ravni gnezdenja.

Med drugimi prednostmi programa je treba omeniti možnost preverjanja zasebnih in javnih map, samodejno posodabljanje protivirusne baze podatkov prek interneta, spreminjanje seznama zaščitenih nabiralnikov brez ponovnega zagona strežnika, vgrajen sistem za pošiljanje opozoril o virusnih napadih, pa tudi priročen sistem za upravljanje, posodabljanje in konfiguracijo programa.

W sklep.

V povzetku so bili obravnavani glavni domači protivirusni programi, od katerih ima vsak svoje pomanjkljivosti in prednosti. Po mojem mnenju sta med vsemi tukaj pregledanimi domačimi programi ADinf in DrWeb najbolj popolna, logično popolna protivirusna sistema. Vsi programi se nenehno izboljšujejo in posodabljajo. Podjetje "Dialogue-Science" svoje stranke nenehno obvešča o vseh novih izdelkih, ki se pojavljajo v njegovem arzenalu. Če želite izvedeti o novostih in razvoju, obiščite spletno stran podjetja na internetu. "Dialogue-Science" svojim strankam ponuja največjo storitev: na spletnem mestu lahko dobite preizkusno različico katerega koli programa (ki ima seveda nekatere omejitve v primerjavi s popolnoma funkcionalnim komercialnim) in brezplačno. Eden najnaprednejših mehanizmov za odkrivanje virusov je program AVP, ki ga je ustvaril ZAO Kaspersky Lab. Glavna prednost tega programa je boj proti makro virusom. Program AVSP ima velik potencial, ki lahko z ustrezno izpopolnjenostjo (poenostavitev algoritmov iskanja virusov Stealth, uvedba nizkonivojske zaščite in izboljšave vmesnika) zavzame visoke položaje v protivirusnem okolju. Upoštevati je treba, da so nekateri protivirusni programi med seboj dobro integrirani, torej se lahko uporabljajo skupaj (na primer programi ADinf, Adinf Cure Module, DrWeb in Aidstest).