Bilgisayar virüsleri nasıl çalışır. Bilgisayar virüsleri. Çalışma prensipleri, bilgisayar virüslerine karşı korunma yöntemleri
10.7. BİLGİSAYAR VİRÜSLERİ
PC kullanıcıları en sık olarak bilgisayar suçu türlerinden biri olan bilgisayar virüsleriyle karşılaşırlar. İkincisi, kullanıcılar ve PC bakım personeli için çok fazla soruna neden olan özel bir kötü amaçlı yazılım türüdür.
Bir bilgisayar virüsü, diğer programlara dahil edilen kendi kendini çoğaltma ve çoğaltma yeteneğine sahip bir programdır.
Bilgisayar ve biyolojik virüs kavramları arasındaki analoji açıktır. Ancak kendini kopyalayabilen her program bir bilgisayar virüsü değildir. Virüsler her zaman zarar- PC'nin normal çalışmasına müdahale eder, dosya yapısını bozar, vb., bu nedenle kötü niyetli programlar olarak sınıflandırılırlar.
Tarihsel görünüm bilgisayar virüsleriözellikle 50'li yıllarda ortaya çıkan programlar olmak üzere kendi kendini yeniden üreten mekanizmalar yaratma fikri ile ilişkili. 1951'de J. von Neumann, bu tür mekanizmaları oluşturmak için bir yöntem önerdi ve düşünceleri diğer araştırmacıların çalışmalarında daha da geliştirildi. İlk ortaya çıkanlar, geleceğin virüs teknolojisinin unsurlarını kullanan oyun programlarıydı ve daha sonra, birikmiş bilimsel ve pratik sonuçlara dayanarak, bazı kişiler bilgisayar kullanıcılarına zarar vermek için kendi kendini yeniden üreten programlar geliştirmeye başladı.
Virüslerin yaratıcıları, kütleleri ve neredeyse tamamen yokluğu nedeniyle çabalarını PC alanında yoğunlaştırdılar. Etkili araçlar hem donanım düzeyinde hem de işletim sistemi düzeyinde koruma. Virüs yazarlarını harekete geçiren güdüler arasında şunlar yer almaktadır:
· birini "rahatsız etme" arzusu;
· suç işlemek için doğal olmayan ihtiyaç;
· kendini gösterme arzusu, yaramazlık ve aynı zamanda virüsün yayılmasının tüm sonuçlarının yanlış anlaşılması;
· bilgilerini yapıcı bir şekilde kullanamama (bu daha çok ekonomik bir sorundur);
· tam dokunulmazlığa güven (birkaç ülkede virüslerin yaratılması ve yayılması için yasal sorumluluk normları yoktur).
Virüslerin girmesi için ana kanallar Kişisel bilgisayarçıkarılabilir ortamdaki depolama aygıtları ve ağ iletişim araçları, özellikle ağ internet.
Virüslerle ilk kitlesel PC enfeksiyonu vakaları, Amjat ve Bazit Alvi kardeşler tarafından yaratılan Pakistan virüsünün ortaya çıktığı 1987'de kaydedildi. Böylece ucuz yasadışı kopyalar satın alan Amerikalıları cezalandırmaya karar verdiler. yazılım kardeşlerin geliştirilen virüsle enfekte etmeye başladığı Pakistan'da. Virüs, Amerika Birleşik Devletleri'nde 18.000'den fazla bilgisayara bulaştı ve dünya çapında bir yolculuk yaptıktan sonra SSCB'de sona erdi. Bir sonraki yaygın olarak bilinen virüs, aynı adı taşıyan ABD üniversitesinde yayılan Lehigh virüsüydü (Lehigh virüsü). Birkaç hafta içinde, üniversitenin bilgi işlem merkezinin kütüphanesinden ve öğrencilerin kişisel disketlerinden birkaç yüz disketin içeriğini yok etti. Şubat 1989'a kadar, Amerika Birleşik Devletleri'nde yaklaşık 4.000 PC bu virüsten etkilenmişti.
Gelecekte, virüslerin sayısı ve bulaştığı bilgisayarların sayısı çığ gibi artmaya başladı, bu da hem teknik hem de organizasyonel ve yasal acil önlemlerin alınmasını gerektiriyordu. Çeşitli anti-virüs araçları ortaya çıktı, bunun sonucunda durum bir silahlanma yarışına ve onlara karşı korunma araçlarına benzemeye başladı. Bilgisayar virüslerinin yaratılması ve yayılmasıyla ilgili makaleler de dahil olmak üzere, bir dizi gelişmiş ülke tarafından bilgisayar suçlarına ilişkin yasal düzenlemelerin kabul edilmesinin bir sonucu olarak belirli bir etki elde edildi.
Şu anda, suşlar, yani suşlar dahil olmak üzere dünyada 20 binden fazla virüs var. aynı türden virüs çeşitleri. Virüsler sınırları tanımaz, bu nedenle çoğu Rusya'da da dolaşmaktadır. Ayrıca, yerli programcılar tarafından geliştirilen virüslerin sayısında bir artış eğilimi olmuştur. Durum değişmezse, gelecekte Rusya virüs yaratma alanında lider rolünü üstlenebilecek.
Virüs sınıflandırması
Bilgisayar virüslerinin yaşam döngüsü genellikle aşağıdaki aşamaları içerir:
1. virüs tarafından herhangi bir işlem yapılmayan gecikme süresi;
2. virüsün yalnızca çoğaldığı kuluçka dönemi;
3. virüs algoritmasına gömülü, çoğaltma ile birlikte yetkisiz eylemlerin gerçekleştirildiği aktif bir dönem.
İlk iki aşama, virüsün kaynağını, nüfuz etme kanalını gizlemeye ve virüs tespit edilmeden önce mümkün olduğunca çok dosyaya bulaşmaya hizmet eder. Bu aşamaların süresi, algoritmada sağlanan zaman aralığı, sistemde bazı olayların meydana gelmesi, belirli bir PC donanımı konfigürasyonunun varlığı (özellikle bir sabit sürücünün varlığı), vb. ile belirlenebilir.
Bilgisayar virüsler aşağıdaki özelliklere göre sınıflandırılır :
· doğal ortam;
· çevrenin kirlenme yöntemi;
· aktivasyon yöntemi;
· tezahür yolu (yıkıcı eylemler veya neden olunan etkiler);
· maskeleme yöntemi.
Virüsler yalnızca programlara bulaşabilir ve bunlar sırasıyla ya dosyalarda ya da önyükleme işleminde yer alan disk sistemi alanının bazı bileşenlerinde bulunabilir. işletim sistemi. Göre doğal ortam ayırt etmek:
· dosya virüsleriyürütülebilir dosyalara bulaşan;
· önyükleme virüsleri OS önyüklemesi sırasında kullanılan sistem alanı bileşenlerine bulaşan;
· dosya önyükleme virüsleri , ilk iki grubun özelliklerini entegre ediyor.
Dosya virüsleri bulaşabilir:
· COM dosyalarında bulunan konumdan bağımsız yeniden konumlandırılabilir makine programları;
· EXE dosyalarına yerleştirilmiş konuma bağlı yeniden konumlandırılabilir makine programları;
· aygıt sürücüleri (SYS ve BIN dosyaları);
· DOS bileşenlerine sahip dosyalar;
· nesne modülleri (OBJ dosyaları);
· programlama dillerinde programlara sahip dosyalar (bu programların derlenmesine dayanarak);
· toplu iş dosyaları (BAT dosyaları);
· nesne ve sembolik kitaplıklar (LIB- ve diğer dosyalar);
· bindirme dosyaları (OVL-, PIF- ve diğer dosyalar).
Çoğu zaman dosya virüsleri COM ve/veya EXE dosyalarına bulaşabilir.
Önyükleme virüsleri bulaşabilir:
· disketlerde önyükleme sektörü;
· sabit sürücüde oluşturulan sistem mantıksal diskinin önyükleme sektörü;
· sabit sürücüde sistem dışı önyükleyici.
Önyükleme virüsleri, disketlerden önyükleme yapmaya çalışacakları umuduyla disketlere dağıtılır, ki bu çok sık olmaz. Dosya virüslerinin bulaşıcılığı daha yüksektir.
Dosya önyükleme virüsleri daha da bulaşıcıdır çünkü hem program dosyalarında hem de veri disketlerinde yayılabilirler.
Habitat kontaminasyon yöntemleri , ikincisinin türüne bağlıdır. Virüs bulaşmış bir ortama virüs taşıyıcısı denir. İmplantasyon sırasında, bir dosya virüsünün gövdesi bulunabilir:
dosyanın sonunda
dosyanın başında
· dosyanın ortasında;
· dosya tarafından işgal edilen son kümenin kuyruk (serbest) kısmında.
Bir COM dosyasının sonunda bir virüs girişini uygulamanın en kolay yolu . Kontrolü ele geçirdikten sonra virüs bir kurban dosyası seçer ve onu şu şekilde değiştirir:
1. dosyaya kendi kopyasını (virüs gövdesini) ekler;
2. bu kopyadaki dosyanın orijinal başlangıcını korur;
3. dosyanın orijinal başlangıcını, kontrolü virüs gövdesine aktarmak için bir komutla değiştirir.
Açıklanan yöntemle virüs bulaşmış bir program başlatıldığında, başlangıçta virüs gövdesinin yürütülmesi başlatılır ve bunun sonucunda:
1. programın orijinal başlangıcı geri yüklenir (ancak dosyada değil, bellekte!);
2. belki başka bir kurban bulunur ve enfekte olur;
3. muhtemelen, kullanıcı tarafından yetkilendirilmemiş eylemler gerçekleştirilir;
4. kontrol, virüs taşıyıcı programının başlangıcına aktarılır ve bunun sonucunda olağan şekilde yürütülür.
Bir virüs, COM dosyasının başına farklı bir şekilde yerleştirilir: virüs gövdesinin ve orijinal dosyanın içeriğinin birleşimi olan yeni bir dosya oluşturulur. Bir virüsü tanıtmanın açıklanan iki yolu, orijinal dosyanın uzunluğunda bir artışa yol açar..
Bir dosyanın ortasına bir virüsün yerleştirilmesi en karmaşık ve özel olanıdır. Zorluk, bu durumda virüsün, özellikle yığın alanına sızabilmek için kurban dosyasının (örneğin, COMMAND.COM) yapısını "bilmesi" gerektiği gerçeğinde yatmaktadır. tarif implantasyon yöntemi, dosyanın uzunluğunda bir artışa yol açmaz.
Virüslerin tezahürü (yıkıcı eylemler) şunlar olabilir:
· PC performansı üzerindeki etkisi;
· program dosyalarının bozulması;
· veri dosyası bozulması;
· bir diski veya bir kısmını biçimlendirme;
· diskteki veya parçasındaki bilgilerin değiştirilmesi;
· sistemin veya sistem dışı disk yükleyicinin bozulması;
· FAT tablosunu bozarak dosya bağlantısının yok edilmesi;
· CMOS belleğinde veri bozulması.
Görsel veya ses efektlerine neden olan birinci gruptaki virüslerin çoğuna gayri resmi olarak "illüzyonist" denir. Aynı gruptaki diğer virüsler, PC'yi yavaşlatabilir veya kullanıcının normal çalışmasına müdahale ederek yürütülmekte olan programların ve işletim sisteminin işlevlerini değiştirebilir ve engelleyebilir. Diğer tüm grupların virüslerine, kural olarak, onarılamaz şekilde neden oldukları hasar nedeniyle genellikle "vandallar" denir.
Göre kılık değiştirme yolları ayırt etmek:
· maskelemeyen virüsler;
· kendi kendini şifreleyen virüsler;
gizli virüsler
İlk virüslerin yazarları, vücutların diğer programlara dahil edilmesiyle üreme (çoğaltma) mekanizmalarına özel önem verdiler. Anti-virüs araçlarından maskeleme yapılmadı. Bu tür virüslere maskelenemez denir.
Virüsten koruma araçlarının ortaya çıkmasıyla birlikte, virüs geliştiricileri çabalarını ürünlerinin maskelenmesini sağlamaya odakladılar. İlk olarak, virüsün kendi kendini şifrelemesi fikri hayata geçirildi. Aynı zamanda, sadece küçük bir kısmı anlamlı okuma için kullanılabilir ve geri kalanının şifresi virüs başlamadan hemen önce çözülür. Bu yaklaşım hem virüsün tespit edilmesini hem de vücudunun uzmanlar tarafından analiz edilmesini zorlaştırıyor.
Gizli uçaklar yaratmaya yönelik büyük ölçekli bir projeden adını alan gizli virüsler de ortaya çıktı. Gizli virüsler tarafından kullanılan kamuflaj yöntemleri karmaşıktır ve kabaca iki kategoriye ayrılabilir:
1. virüs taşıyan bir programda bir virüsün varlığının maskelenmesi;
2. RAM'de yerleşik bir virüsün varlığını maskeleme.
1. virüs gövdesinin otomatik modifikasyonu;
2. virüs gövdesinin virüs taşıyıcısından silinmesi etkisinin, ikincisi diskten, özellikle bir hata ayıklayıcı tarafından okunduğunda uygulanması (bu, elbette, RAM'de yerleşik bir virüs varsa, bir kesintiyi yakalayarak yapılır);
3. virüs gövdesinin boyutunu büyütmeden bir dosyaya yerleştirilmesi;
4. etkilenen dosyanın uzunluğunun değişmezliğinin etkisi (2. maddeye benzer şekilde gerçekleştirilir);
5. program dosyalarının orijinal başlangıcını değiştirmeden tutmak.
Örneğin, DOS kullanarak bir dizini okurken, yerleşik bir virüs ilgili kesmeye müdahale edebilir ve dosya uzunluğunu yapay olarak azaltabilir. Tabii ki, dosyanın gerçek uzunluğu değişmez, ancak kullanıcıya artışını maskeleyen bilgiler verilir. Doğrudan dizinlerle çalışarak (DOS araçlarını atlayarak), bir dosyanın özellikleri hakkında gerçek bilgiler elde edebilirsiniz. Bu tür fırsatlar, özellikle Norton Commander kabuğu tarafından sağlanır.
1. virüs tipini DOS yerleşik modüllerinin özel bir bölgesine, kümelerin kuyruk kısımlarına, CMOS belleğine, video belleğine vb. girmek;
2. daha önce belirtildiği gibi sistem dışı yükleyici listesinin değiştirilmesi;
3. yerleşik anti-virüs araçlarını atlamak için kesme işleyicilerinin manipülasyonu, özellikle bunları değiştirmenin özel yöntemleri;
4. toplam RAM miktarının ayarlanması.
Günlük çalışma sırasında kullanıcı virüsü tespit edebilir onun semptomlarıyla . Doğal olarak, bir virüsün semptomları, virüsün diğer özelliklerinin yanı sıra, içinde gerçekleştirilen tezahür yöntemleriyle doğrudan belirlenir. Aşağıdakiler virüslerin belirtileridir:
· diskteki dosya sayısında artış;
· ücretsiz azalma rasgele erişim belleği;
· dosya oluşturma saatini ve tarihini değiştirin;
· program dosyasının boyutunda artış;
· diskte kayıtlı kusurlu kümelerin görünümü;
· programın anormal çalışması;
· program yavaşlaması;
· diske erişilmemesi gereken bir zamanda disk sürücüsü ışığı yanar;
· sabit disk erişim süresinde gözle görülür bir artış;
· işletim sisteminin çalışmasındaki arızalar, özellikle donması;
· işletim sistemini başlatamama
· dosya yapısının imhası (dosyaların kaybolması, dizinlerin bozulması).
Bilgisayar virüslerinin yanı sıra, resmi olarak "solucanlar" olarak adlandırılan başka tehlikeli programlar da vardır. çoğaltıcılar. Ana özellikleri, diğer programlara tanıtılmadan çoğalma yeteneğidir. Çoğaltıcılar, bir bilgisayar ağının düğümleri arasında yayılmak amacıyla oluşturulur ve özellikle virüslerle dolu olabilir. Bu bağlamda, bir "solucan" ile bir top bombası arasında bir benzetme yapılabilir.
Çoğaltıcıya bir örnek, bir Noel ağacını ekrana çizen ve ardından kendi kopyalarını tüm kayıtlı e-posta adreslerine gönderen Noel Ağacı programıdır.
Antiviral ajanların sınıflandırılması.
Şu anda, çok sayıda virüsten koruma aracı var. Bununla birlikte, hepsi evrensellik özelliklerine sahip değildir: her biri belirli virüsler için tasarlanmıştır veya bazı PC enfeksiyon kanallarını veya virüslerin yayılmasını engeller. Bu bağlamda, anti-virüs araçları oluşturma sorununa yapay zeka yöntemlerinin uygulanması umut verici bir araştırma alanı olarak kabul edilebilir.
Virüsten koruma aracı, aşağıdaki işlevlerden birini veya birkaçını gerçekleştiren bir yazılım ürünüdür:
1. dosya yapısının yıkımdan korunması;
2. virüs tespiti;
virüslerin nötralizasyonu;
virüs filtresi (bekçi), virüslere özgü eylemlerin yürütülmesi üzerinde kontrol sağlayan ve eylemleri gerçekleştirmek için kullanıcıdan onay gerektiren yerleşik bir program olarak adlandırılır. Kontrol, ilgili kesmelerin işleyicileri değiştirilerek gerçekleştirilir. Kontrollü eylemler şunlar olabilir:
· program dosyalarının güncellenmesi;
· diske doğrudan yazma (fiziksel adrese göre);
· disk biçimlendirme;
· programın RAM'de yerleşik yerleşimi.
dedektör hem harici depolama ortamında hem de RAM'de virüs arayan bir programdır. Dedektörün çalışmasının sonucu, muhtemelen onlara bulaşan belirli virüsleri gösteren, virüslü dosyaların ve/veya alanların bir listesidir.
Dedektörler evrensel (denetçiler) ve uzmanlaşmıştır. Evrensel dedektörler sağlama toplamını hesaplayarak ve standartla karşılaştırarak dosyaların bütünlüğünü kontrol edin. Standart, yazılım ürününün belgelerinde belirtilir veya çalışmasının en başında belirlenebilir.
Özel dedektörler belirli virüsler için yapılandırılmış, bir veya daha fazla. Dedektör birkaç farklı virüsü tespit edebiliyorsa, buna denir. polidetektör. Özel bir dedektörün çalışması, muhtemelen düzenli bir ifadeyle belirtilen belirli bir virüse ait bir kod satırı aramaya dayanır. Böyle bir dedektör, olası tüm virüsleri tespit edemez.
dezenfektör (doktor, faj) bir virüsü habitatın restorasyonu ile ve restorasyonu olmadan ortadan kaldıran bir programdır. Bir dizi virüs, ortamı, orijinal durumu geri yüklenemeyecek şekilde bozar.
En iyi bilinen faj polidetektörleri yazılım paketleridir. Antiviral Araç Kiti Pro Evgeny Kaspersky ve DrWeb şirketi İletişim Kutusu.
bağışıklayıcı (aşı) belirli virüslerin ortamı veya belleği kirletmesini önleyen bir programı ifade eder. Bağışıklayıcılar, virüsü yok ederek değil, üreme yeteneğini engelleyerek nötralize etme sorununu çözer. Bu tür programlar şu anda pratik olarak kullanılmamaktadır.
Bilgisayar virüslerine karşı korunma yöntemleri
Bilgisayar virüslerine karşı koruma sağlarken, hem organizasyonel hem de teknik olarak alınan önlemlerin karmaşıklığı her zamankinden daha önemlidir. "Savunmasının" ön saflarında, verileri yıkımdan koruma araçlarının arkasına - virüsleri tespit etme araçları ve son olarak virüsleri etkisiz hale getirme araçları yerleştirilmesi tavsiye edilir.
Verileri olası kayıp ve tahribata karşı koruma araçları her zaman ve düzenli olarak kullanılmalıdır. . Buna ek olarak, virüs bulaşmasından kurtulmak için aşağıdaki organizasyonel önerilere uymalısınız:
· mümkünse yazma koruması yuvası kapalı olan disketleri kullanın,
· kesinlikle gerekli olmadıkça bilinmeyen disketleri kullanmayın;
· disketlerinizi başka kişilere vermeyin;
· amacı net olmayan programları çalıştırmayın; yalnızca lisanslı yazılım ürünlerini kullanın;
· yetkisiz kişilerin PC'ye erişimini kısıtlayın.
Bilinmeyen bir kaynaktan elde edilen bir yazılım ürününü kullanmanız gerekiyorsa, tavsiye edilir:
· yazılım ürününü bilinen virüslerin varlığı için özel dedektörlerle test edin. Dedektörleri bir sabit diske yerleştirmek istenmez - bunun için yazmaya karşı korumalı bir disket kullanmanız gerekir.
· yeni yazılım ürününün dosyalarını yedekleyin;
· yeni yazılımın çalışması için bulunması gereken dosyalarınızın yedeklerini alın;
· mesajlarına kasıtlı yanıtlarla bir virüs filtresinin arka planına karşı yeni bir yazılım ürününün deneme işletimini organize edin.
Bilgisayar virüslerine karşı koruma, hem bireysel bilgisayarlardaki hem de bir bütün olarak otomatikleştirilmiş bilgi sistemlerindeki bilgileri korumaya yönelik bir dizi önlemin parçası haline gelmelidir.
Bezrukov N.N. Bilgisayar virüsleri. - E.: Nauka, 1991. - 160 s.
[VİRÜSLER.
Virüslerin teorik tespiti problemini çözmek imkansızdır, bu nedenle pratikte, belirli kötü amaçlı yazılım vakalarıyla ilgili belirli problemlerin çözülmesi gerekir. Virüslerin özelliklerine bağlı olarak, virüsler kullanılarak tespit edilebilir ve etkisiz hale getirilebilir. çeşitli metodlar. Uygulamada, çeşitli anti-virüs ürünleri üreticileri tarafından benimsenen sınıflandırmaların, benzer ilkeler üzerine inşa edilmiş olmalarına rağmen farklılık gösterdiğine dikkat edilmelidir. Bu nedenle, sunum sırasında her şeyden önce ilkeler ve ancak daha sonra sınıflandırmadan örnekler formüle edilecektir.
Bir virüsün pratik tanımı Bilgisayar virüsünün tanımı tarihsel olarak sorunlu bir konudur, çünkü yalnızca virüslere özgü olan ve diğer yazılım sistemlerine uygulanmayan özellikleri özetlerken bir virüsün net bir tanımını vermek oldukça zordur. Aksine, belirli özelliklere sahip bir program olarak bir virüsün katı bir tanımını verirseniz, hemen hemen bu özelliklere sahip olmayan bir virüs örneğini bulabilirsiniz.İşte birkaç tanım: Kronolojik olarak, en eski tanım Eugene Kaspersky'den. ("Bilgisayar Virüsleri" kitabı): Tanım 1: BİR BİLGİSAYAR VİRÜSÜNÜN ZORUNLU (GEREKLİ) MÜLKİYETİ, kendi kopyalarını (orijinaliyle aynı olması gerekmez) oluşturma ve bunları bilgisayar ağlarına ve/veya dosyalara, bilgisayar sistem alanlarına ve diğer yürütülebilir nesnelere enjekte etme yeteneğidir. Aynı zamanda, kopyalar daha fazla dağıtım yeteneğini korur. GOST R 51188-98'e göre tanım:
Tanım 2: Virüs, kendi kopyalarını (orijinaliyle aynı olması gerekmez) oluşturma ve bunları dosyalara, bilgisayarın sistem alanlarına, bilgisayar ağlarına enjekte etme ve diğer yıkıcı eylemleri gerçekleştirme yeteneğine sahip bir programdır. Aynı zamanda, kopyalar daha fazla dağıtım yeteneğini korur. Bir bilgisayar virüsü kötü amaçlı yazılım olarak sınıflandırılır. GOST'taki tanımın E. Kaspersky tanımını neredeyse tamamen tekrarladığını görmek kolaydır.
Tanım 1 ve 2, F. Cohen'in tanımını veya D. Chess ve S. White tarafından önerilen iyileştirmeyi büyük ölçüde tekrarlar; tüm bu programlar ve hatta virüslerden birinin tüm "enkarnasyonları". Ancak pratikte, bilinen tüm virüslerin antivirüs programları tarafından tespit edilebildiği ortaya çıkıyor. Sonuç, özellikle, kopyalarını oluşturamayan ve uygulayamayan virüslerin hasarlı veya başarısız kopyalarının, diğer tüm "dolu" virüslerle eşit olarak algılanması ve sınıflandırılması nedeniyle elde edilir. Bu nedenle, pratik bir bakış açısından, yani arama algoritmaları açısından, bir programı virüs olarak sınıflandırmak için yeniden üretme yeteneği hiç de gerekli değildir. Bugün bir virüsün çoğunlukla "geleneksel" bir virüs değil, hemen hemen her türlü kötü amaçlı program olduğu anlaşılmaktadır. Bu, terminolojide karışıklığa yol açar, neredeyse tüm modern antivirüslerin bu tür kötü amaçlı programları tespit edebilmesi gerçeğiyle daha da karmaşık hale gelir, bu nedenle kötü amaçlı yazılım-virüs ilişkisi giderek daha kararlı hale gelir.Buna dayanarak, ayrıca antivirüsün amacı Araçlar, Bundan böyle ayrıca belirtilmediği takdirde virüsler şu şekilde anlaşılacaktır: kötü amaçlı yazılım. Tanım 3: Kötü amaçlı program - CS'de depolanan bilgilere yönelik tehditler uygulamak veya CS kaynaklarının gizlice kötüye kullanılması veya CS'nin normal çalışmasına müdahale eden diğer etkiler için tasarlanmış bir bilgisayar programı veya taşınabilir kod. Kötü amaçlı yazılım, bilgisayar virüslerini, truva atlarını, solucanları ve diğerlerini içerir.Bilgisayar virüsleri, truva atları ve solucanlar, ana kötü amaçlı yazılım türleridir.
virüsler
Bilgisayar virüsünün klasik tanımları yukarıda verilmiştir.
Yaşam döngüsüÇünkü ayırt edici özellik geleneksel anlamda virüsler, bir bilgisayarda çoğalma yeteneğidir, virüslerin türlere bölünmesi, üreme yöntemlerine göre gerçekleşir.Üreme sürecinin kendisi şartlı olarak birkaç aşamaya ayrılabilir: 1. Bilgisayara nüfuz 2. Virüs aktivasyon Enfeksiyon için nesneleri arayın4. Viral kopyaların hazırlanması5. Viral kopyaların tanıtımıHer aşamanın uygulanmasının özellikleri, kümesi gerçekten virüsün sınıfını belirleyen nitelikler üretir.
nüfuzVirüsler, virüslü dosyalar veya diğer nesnelerle (disket önyükleme sektörleri) birlikte bir bilgisayara nüfuz eder ve solucanların aksine, sızma sürecini etkilemez. Bu nedenle penetrasyon olasılıkları tamamen enfeksiyon olasılıkları ile belirlenir ve virüsleri bu aşamalara göre sınıflandırır. yaşam döngüsü ayrı bir anlamı yoktur.
aktivasyonVirüsü etkinleştirmek için, virüslü nesne kontrol edilmelidir. Bu aşamada, virüslerin bulaşabilecek nesne türlerine göre bölünmesi gerçekleşir:
1. Önyükleme virüsleri - kalıcı ve çıkarılabilir medyanın önyükleme sektörlerine bulaşan virüsler. 2.File virüsleri - dosyalara bulaşan virüsler. Bu grup ayrıca, kodun yürütüldüğü ortama bağlı olarak üçe ayrılır: · Aslında dosya virüsleri - doğrudan işletim sisteminin kaynaklarıyla çalışanlar. p virüs işlevselliğine sahip programlar (ve ayrıca .q ve .r değişiklikleri). · Makrovirüsler - makro dilinde yazılmış ve herhangi bir uygulama ortamında yürütülen virüsler. Çoğu durumda, Microsoft Office belgelerindeki makrolardan bahsediyoruz.
Makro virüsleri yalnızca Microsoft Word ve Excel belgelerine bulaşamaz. Diğer belge türlerini hedefleyen kötü amaçlı programlar da vardır: Macro.Visio.Radiant, iyi bilinen bir diyagram oluşturma programının dosyalarına bulaşır -Visio, Virus.Acad.Pobresito - AutoCAD belgeleri, Macro.AmiPro.Green - daha önce popüler olan kelimenin belgeleri işlemci Ami Pro.
· Komut dosyası virüsleri - belirli bir komut kabuğunun ortamında çalışan virüsler: daha önce - DOS komut kabuğundaki yarasa dosyaları, şimdi daha sık VBS ve JS - Windows Komut Dosyası Ana Bilgisayarı (WSH) komut kabuğundaki komut dosyaları. belirli bir işletim sistemi veya uygulamanın ortamında çalışmak üzere tasarlanmış virüslerin, diğer işletim sistemi ve uygulamaların ortamında çalışamaz olması. Bu nedenle, çalışabileceği ortam, virüsün ayrı bir özelliği olarak seçilmiştir. Dosya virüsleri için bunlar DOS, Windows, Linux, MacOS, OS/2'dir. Makro virüsleri için - Word, Excel, PowerPoint, Office. Bazen bir virüsün düzgün çalışması için işletim sisteminin veya uygulamanın belirli bir sürümüne ihtiyacı vardır, ardından öznitelik daha dar bir şekilde belirtilir: Win9x, Excel97. Kurbanları arama Bulaşacak nesneleri arama aşamasında, virüslerin iki şekilde davrandığı ve çalıştığı ortamın sonuna kadar sürekli olarak kurbanları aradığı vardır.Tek görev günlerinde ikinci tür virüsler DOS'a genellikle yerleşik denirdi. Windows'a geçişle birlikte, bellekte kalma sorunu ilgili olmaktan çıktı: Windows ortamında ve MS Office uygulama ortamında yürütülen hemen hemen tüm virüsler ikinci tür virüslerdir. Tersine, komut dosyası virüsleri ilk türdendir. Buna göre, yerleşik özniteliği yalnızca DOS dosya virüsleri için geçerlidir. Yerleşik olmayanların varlığı Windows virüsü mümkündür, ancak pratikte nadir bir istisnadır.Ayrı olarak, sözde gizli virüsleri düşünmek mantıklıdır - sürekli bellekteyken, virüslü bir dosyaya erişimi engelleyen ve hareket halindeyken virüs kodunu kaldıran virüsler, bir isteğe yanıt olarak dosyanın değişmemiş bir sürümünü iletmek. Böylece bu virüsler sistemdeki varlıklarını gizler. Bunları tespit etmek için, anti-virüs araçlarının işletim sistemi araçlarını atlayarak diske doğrudan erişme yeteneğine ihtiyacı vardır. Gizli virüsler en çok DOS döneminde yaygındı. Viral kopyaların hazırlanması Tanım 4: Virüs imzası - geniş anlamda, bir dosyada veya başka bir kodda belirli bir virüsün varlığını kesin olarak belirlemenize izin veren bilgiler. İmza örnekleri şunlardır: bu virüste bulunan ve diğer programlarda bulunmayan benzersiz bir bayt dizisi; böyle bir dizinin sağlama toplamı. Kopyaları dağıtım için hazırlama süreci, basit kopyalamadan önemli ölçüde farklı olabilir. Teknolojik olarak en karmaşık virüslerin yazarları, virüsten koruma araçları tarafından algılanmalarını zorlaştırmak için mümkün olduğunca farklı kopyalar oluşturmaya çalışırlar. Sonuç olarak, böyle bir virüs için imza derlemek son derece zor hatta imkansızdır. uygulama
Viral kopyaların tanıtılması, temelde farklı iki yöntemle gerçekleştirilebilir:
· Virüs kodunun doğrudan virüslü nesneye enjekte edilmesi · Nesnenin bir virüs kopyasıyla değiştirilmesi. Değiştirilen nesne genellikle yeniden adlandırılır
Virüsler için ilk yöntem ağırlıklı olarak karakteristiktir. İkinci yöntem, solucanlar ve truva atları tarafından ve daha özel olarak solucanların trojan bileşenleri tarafından çok daha yaygın olarak kullanılır, çünkü truva atları kendilerini yaymazlar.
Kötü amaçlı yazılımdan kaynaklanan hasarSolucanlar ve virüsler, Truva atları ile aynı eylemleri gerçekleştirebilir. Uygulama düzeyinde, bunlar hem ayrı Truva atı bileşenleri hem de yerleşik işlevler olabilir. Ek olarak, kitlesel karakterlerinden dolayı virüsler ve solucanlar, diğer kötü niyetli eylem biçimleriyle de karakterize edilir:
· İletişim kanallarının aşırı yüklenmesi- büyük ölçekli salgınlar sırasında çok sayıda isteğin, virüslü mektupların veya solucanın doğrudan kopyalarının İnternet kanalları üzerinden iletilmesiyle ilişkili, solucanların doğasında bulunan bir tür hasar. Bazı durumlarda salgın sırasında internet servislerini kullanmak zorlaşıyor. Örnekler: Net-Worm.Win32.Slammer DDoS saldırıları- kitlesel yapıları nedeniyle solucanlar, dağıtılmış hizmet reddi saldırılarını (DDoS saldırıları) uygulamak için etkili bir şekilde kullanılabilir. Bir salgının zirvesinde, milyonlarca hatta on milyonlarca bilgisayara virüs bulaştığında, belirli bir İnternet kaynağına erişen tüm virüslü sistemler bu kaynağın tamamen engellenmesine yol açar. Bu nedenle, MyDoom solucan saldırısı sırasında SCO web sitesi bir ay boyunca kullanılamadı. Veri kaybı- kullanıcının bilgisayarındaki belirli verilerin kasıtlı olarak yok edilmesiyle ilişkili davranış, truva atları ve solucanlardan çok virüsler için daha tipiktir. Örnekler: Virus.Win9x.CIH - disk başlangıç sektörlerinin ve Flash BIOS içeriğinin silinmesi, Macro.Word97.Thus - C: sürücüsündeki tüm dosyaların silinmesi, Email-Worm.Win32.Mydoom.e - belirli uzantılara sahip dosyaların silinmesi göstergeye bağlı olarak rastgele sayı sayacı Yazılım kesintisi- ayrıca virüslerin daha karakteristik bir özelliği. Virüs kodundaki hatalar nedeniyle, virüslü uygulamalar hatalarla çalışabilir veya hiç çalışmayabilir. Örnekler: Net-Worm.Win32.Sasser.a - virüslü bir bilgisayarın yeniden başlatılması · - bilgisayar kaynaklarının kötü amaçlı programlar tarafından yoğun şekilde kullanılması, hem bir bütün olarak sistemin hem de bireysel uygulamaların performansında düşüşe yol açar. Örnekler: değişen derecelerde - herhangi bir kötü amaçlı yazılımYıkıcı eylemlerin varlığı, bir program kodunu virüs olarak sınıflandırmak için hiçbir şekilde zorunlu bir kriter değildir. Ayrıca virüsün tek başına kendi kendini kopyalama süreciyle çok büyük zararlara yol açabileceği de unutulmamalıdır. Çoğu önemli bir örnek- Net-Worm.Win32.Slammer.
Bilgi Güvenliği Tehditleri Bilgi güvenliğine yönelik tehditleri virüsler açısından değerlendirin. Bugün itibariyle toplam virüs sayısının 100.000'i aştığı göz önüne alındığında, virüslerin sayısı her gün arttığından, her birinden gelen tehditleri analiz etmek çok zaman alıcı ve yararsızdır, bu da sonuçta ortaya çıkan listenin günlük olarak değiştirilmesi gerektiği anlamına gelir. . Bir virüsün bilgi güvenliği tehditlerinden herhangi birini gerçekleştirebileceğini varsayacağız.Otomatik bir sistemde işlenen bilgi güvenliği tehditlerini sınıflandırmanın birçok yolu vardır. Tehditlerin en yaygın olarak kullanılan sınıflandırması, bilgi üzerindeki etkilerinin sonucuna, yani gizlilik, bütünlük ve kullanılabilirliğin ihlaline dayanır.Her tehdit için, onu virüslerle uygulamanın birkaç yolu vardır. Gizlilik Tehdidi· Bilgi hırsızlığı ve düzenli iletişim araçları veya gizli iletim kanalları kullanılarak dağıtımı: Email-Worm.Win32.Sircam - virüs kopyalarıyla birlikte, virüslü bilgisayarda bulunan rastgele belgeler gönderdi
Bilgiye erişimin imkansızlığı ile sonuçlanan her türlü faaliyet; çeşitli ses ve görsel efektler: Email-Worm.Win32.Bagle.p - anti-virüs şirketlerinin web sitelerine erişimi engelleme Kritik bileşenleri yok ederek veya bozarak bir bilgisayarı devre dışı bırakma (Flash BIOS'u yok etme): Virus.Win9x.CIH - Flash'ı bozma BIOS, yukarıdaki tehdit uygulama yollarının her biri için, aynı anda bir veya birkaç yöntemi uygulayan belirli bir virüs örneği verebildiğinizden emin olur. Çözüm Kötü amaçlı programlar, varlık koşulları, yaşam döngüsünün çeşitli aşamalarında kullanılan teknolojiler ve gerçek kötü niyetli etki açısından farklılık gösterir - tüm bu faktörler, sınıflandırmanın temelini oluşturur. Sonuç olarak, ana (tarihsel açıdan) karakteristik - üreme, kötü niyetli programlar üç türe ayrılır: virüsler, solucanlar ve truva atları, erişilebilirlik. Bu bağlamda, karmaşık anti-virüs koruma sistemleri ve hatta daha genel bir durumda - karmaşık bilgi koruma sistemleri tasarlarken, ağ nesnelerini üzerlerinde işlenen bilgilerin önemine ve olasılığa göre derecelendirme yapmak ve sınıflandırmak gerekir. Bu düğümlerin virüslerle enfeksiyonu.
1 Bilgisayar virüsleri
1.2 Virüsler nasıl çalışır?
3 Virüslere karşı korunma önlemleri. Temel antivirüs programları
giriiş
Matematiksel hesaplamaları basitleştirmek için, bir kişi, “belirli bir problemi bir bilgisayar tarafından çözme prosedürünü belirleyen bir dizi talimat” - programlar ile bu hesaplamaların bilgilerinin hesaplanması ve saklanmasıyla ilgili belirli problemleri çözmek için bir bilgisayar icat etti. Programlar hesaplamayı kolaylaştırır. Hesaplama ve hesaplama programları, saldırganların kendi çıkarları için ihtiyaç duyduğu belirli bir değeri temsil eder. Gerekli bilgileri çalmak için saldırganlar kötü amaçlı programlar - virüsler buldular.
Bilgisayar virüsü- Yazılım ve donanım sistemlerinin işleyişini bozmak için kendi kopyalarını oluşturabilen ve diğer programların kodlarına, sistem bellek alanlarına, önyükleme sektörlerine sızabilen ve kopyalarını çeşitli iletişim kanalları aracılığıyla dağıtabilen bir tür kötü amaçlı yazılım, dosyaları silmek, veri yerleştirme yapılarının uygunsuzluğunu getirmek, kullanıcıların çalışmasını engellemek veya bilgisayar donanım sistemlerini kullanılamaz hale getirmek.
1 Bilgisayar virüsü
1.1 Kısa hikaye virüs oluşturma
“Kendi kendini yeniden üreten mekanizmalar teorisinin temelleri, 1951'de bu tür mekanizmaları oluşturmak için bir yöntem öneren Macar kökenli bir Amerikalı olan John von Neumann tarafından atıldı. Bu tür programların çalışma örnekleri 1961'den beri bilinmektedir.
Bilinen ilk virüsler, 1981'de ortaya çıkan Apple II PC için Virus 1,2,3 ve Elk Cloner'dır. 1984 kışında, ilk antivirüs yardımcı programları ortaya çıktı - Andy Hopkins'in CHK4BOMB ve BOMBSQAD. 1985'in başlarında Gee Wong, ilk yerleşik antivirüs olan DPROTECT programını yazdı.
İlk virüs salgınları 1986-1989'a kadar uzanıyor: Brain.A (disketlerin önyükleme sektörlerinde dağıtıldı, en büyük salgına neden oldu), Kudüs (13 Mayıs 1988 Cuma günü ortaya çıktı, başlatıldıklarında programları yok etti), Morris solucan (6200'den fazla bilgisayar, çoğu ağ beş güne kadar arızalıydı), DATACRIME (yalnızca Hollanda'da yaklaşık 100.000 virüslü bilgisayar).
Aynı zamanda, ikili virüslerin ana sınıfları şekillendi: ağ solucanları (Morris solucanı, 1987), Truva atları (AIDS, 1989), polimorfik virüsler (Chameleon, 1990), gizli virüsler (Frodo, Whale, 1990'ın 2. yarısı). ).
Buna paralel olarak, hem virüs yanlısı hem de anti-virüs yönelimli organize hareketler şekilleniyor: 1990'da özel bir BBS Virüs Değişimi, Mark Ludwig'in Bilgisayar Virüslerinin Küçük Kara Kitabı ve ilk ticari Symantec Norton AntiVirus ortaya çıktı.
1992'de, PC için ilk virüs yapıcısı VCL ortaya çıktı (daha önce Amiga için yapıcılar vardı), ayrıca hazır polimorfik modüller (MtE, DAME ve TPE) ve yeni virüslere gömmek için şifreleme modülleri.
Önümüzdeki birkaç yıl içinde, gizli ve polimorfik teknolojiler nihayet mükemmelleştirildi (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995) ve ayrıca sisteme girmenin ve dosyalara bulaşmanın en alışılmadık yolları ( Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Ayrıca, nesne dosyalarına (Shifter, 1994) ve program kaynak koduna (SrcVir, 1994) bulaşan virüsler de ortaya çıkmıştır. Microsoft Office paketinin yayılmasıyla birlikte makro virüsler çoğaldı (Concept, 1995).
1996'da, Windows 95 için ilk virüs ortaya çıktı - Win95.Boza ve aynı yılın Aralık ayında - bunun için ilk yerleşik virüs - Win95.Punch.
Ağların ve İnternet'in yayılmasıyla, dosya virüsleri giderek ana çalışma kanalı olarak onlara yöneliyor (ShareFun, 1997 - dağıtım için MS-Mail kullanan MS Word makro virüsü; Win32.HLLP.DeTroie, 1998 - bir casus virüsler; Melissa, 1999 - yayılma hızı açısından tüm rekorları kıran bir makro virüs ve bir ağ solucanı). "Truva atları"nın altın çağı, gizli uzaktan yönetim aracı BackOrifice (1998) ve onu takip eden analoglar (NetBus, Phase) tarafından açıldı.
Win95.CIH virüsü, virüslü makinelerin FlashBIOS'larının üzerine yazarak olağandışı yöntemlerle sonuçlandı (Haziran 1998 salgını, önceki yıllardaki en yıkıcı salgın olarak kabul edildi).
1990'ların sonunda ve 2000'lerin başında, yazılım ve sistem ortamının artan karmaşıklığı, nispeten güvenli Windows NT ailelerine toplu geçiş, ana veri alışverişi kanalı olarak ağların konsolidasyonu ve antivirüs teknolojilerinin yerleşik virüsleri tespit etmedeki başarısı ile. karmaşık algoritmalarda, en sonuncusu, işletim sistemine enjeksiyonla (olağandışı otomatik çalıştırma, rootkit'ler) dosyalara enjeksiyonu giderek daha fazla değiştirmeye ve polimorfizmi çok sayıda türle değiştirmeye başladı (bilinen virüslerin sayısı katlanarak artıyor).
Aynı zamanda, Windows'ta ve diğer yaygın yazılımlarda çok sayıda güvenlik açığının keşfedilmesi, açıklardan yararlanma solucanlarının yolunu açmıştır. 2004 yılında, benzeri görülmemiş oranlarda salgınlara MsBlast (Microsoft'a göre - 16 milyondan fazla sistem]), Sasser ve Mydoom (sırasıyla 500 milyon ve 4 milyar dolarlık tahmini hasar) neden oldu.
Buna ek olarak, monolitik virüsler yerini büyük ölçüde role göre ayrılmış kötü amaçlı yazılım paketlerine ve yardımcı programlara (Truva atları, indiriciler/bırakanlar, kimlik avı siteleri, spam robotları ve örümcekler) bırakıyor. Sosyal teknolojiler - spam ve kimlik avı - ayrıca yazılım koruma mekanizmalarını atlayarak bir enfeksiyon aracı olarak gelişiyor.
Başlangıçta, Truva atlarına dayalı ve p2p ağ teknolojilerinin gelişmesiyle - ve bağımsız olarak - en çok modern görünüm virüsler - botnet solucanları (Rustock, 2006, yaklaşık 150 bin bot; Conficker, 2008-2009, 7 milyondan fazla bot; Kraken, 2009, yaklaşık 500 bin bot). Virüsler, diğer kötü amaçlı yazılımların yanı sıra, sonunda bir siber suç aracı olarak resmileştirilir.
1.2 Virüsler nasıl çalışır?
Virüslerin çalışma prensipleri için belirli bir şema yoktur, çünkü birçok farklı virüs grubu vardır ve her grubun kendi çalışma mekanizmaları vardır. Ortalama olarak, virüs gelişiminde üç aşamadan geçer: 1) enfeksiyon - 2) üreme - 3) saldırı.
“1) Enfeksiyon. Enfeksiyon aşamasını kısaca düşündük. Bulaşma, virüslü bir program başlatıldığında veya sistem alanında kötü amaçlı kod bulunan bir ortama erişildiğinde meydana gelir. Tipik olarak, virüs kodu önce çalışan bir bilgisayarın RAM'ine girer ve buradan depolama aygıtlarına kopyalanır.
2) üreme. Virüsün üremesi bir dizi ardışık enfeksiyon olarak gerçekleşir. Bilgisayarda virüslü bir yürütülebilir dosya oluşursa, başlatıldığında virüs kodu RAM'e taşınır (virüs yerleşik bir program haline gelir), başlatıldığında diğer dosyalara bulaşılır. Her şeyden önce, işletim sisteminin dosyaları etkilenir. Mekanizma ne kadar sık çalışırsa, o kadar çok dosya etkilenir.
Dosya virüsünden değil, önyükleme virüsünden bahsediyorsak, işletim sistemini yükledikten sonra virüs kodu medyanın hizmet sektörlerinden RAM'e taşınır ve oradan diğer medyanın hizmet sektörlerine kopyalanır. (örneğin, disketler) bu bilgisayarda kayıtlıdır.
3) Saldırı. Virüs saldırısı, virüs gelişiminin son aşamasıdır. Saldırı sırasında virüs az çok yıkıcı eylemler gerçekleştirir ve aynı zamanda kesinlikle kendini gösterir. Her virüs bilgisayara girdikten hemen sonra hemen bir saldırıya başlasaydı, uzun süre virüs olmaz - ortadan kaldırılırdı. Bu doğaldır, çünkü yıkıcı virüsler bilgisayardaki her şeyi yok ettiğinde, kendileri ölür. Ve virüs yıkıcı değil, sadece zararlıysa, saldırı sırasında maskesini düşürür, koruyucu ekipmanın ateşi altına düşer ve ölür. Bu nedenle, çoğu virüsün pasif bir üreme aşamasına ihtiyacı vardır. Virüs yeterli sayıda kendi kopyasını yapana kadar, tetikleme mekanizmasını başlatmak anlamsızdır. Virüs saldırı mekanizması, belirli sayıda kopya oluşturulduğunda bir sayaç tarafından, belirli bir tarihte sistem saati tarafından, bilgisayar ağ üzerinde ise bir uzaktan kumanda merkezinden gelen komutlarla, belirli dosyalar başlatıldığında veya bazı belgeler açılır vs.”
1) Fiziksel medya aracılığıyla:
Disketler ve flash sürücüler, bu medyanın autorun.inf dosyasındaki yollarını ve geçişlerini belirleyen virüslerle bilgisayara bulaşır ve kötü amaçlı dosyaları açma yönlerini belirler.
2) E-posta (E-posta)
E-postaya gönderilen e-postalar kötü amaçlı dosyalar (örneğin medya dosyaları) ve web sitelerine bağlantılar içerir. Linkler herhangi bir zarar (viral kod) taşımayabilir, virüs kodlu sitelere yeniden gönderici görevi görür.
3) Web sayfaları
“World Wide Web sayfalarında çeşitli “aktif” içeriğin bulunması nedeniyle İnternet sayfaları yoluyla bulaşma da mümkündür: komut dosyaları, ActiveX bileşenleri. Bu durumda, kullanıcının bilgisayarına yüklenen yazılımdaki güvenlik açıkları veya site sahibinin yazılımındaki güvenlik açıkları (ki bu daha tehlikelidir, çünkü çok sayıda ziyaretçi akışı olan saygın siteler enfeksiyona maruz kalmaktadır) ve bundan şüphelenmeyen kullanıcılar, Böyle bir siteye erişim, bilgisayarlarına bulaşma riski."
4) Ağ üzerinden uygulama
Kötü amaçlı programlar İnternet veya bir şirketin intraneti (yerel alan ağı) üzerinden yayılabilir.
Programlama hataları, sistem tasarımındaki kusurlar, zayıf parolalar ve bir dizi başka neden gibi ağ güvenlik açıkları aracılığıyla, bir ağ solucanı (yerel ve küresel bilgisayar ağları aracılığıyla bağımsız olarak yayılan bir tür kötü amaçlı program) bilgisayarın işletim sistemine girer ve ardından solucanlar, genellikle spam veya DDoS saldırıları için ağdaki diğer bilgisayarlara bulaşmak üzere hareket eder. DDoS saldırısı, bir bilgisayar sistemindeki bilgisayar korsanları tarafından başarısızlığa uğratmak için gerçekleştirilir, yani sistemin yasal kullanıcılarının sağlanan sistem kaynaklarına (sunuculara) veya bu erişime erişemeyeceği koşulların yaratılması. zordur ve spam, kullanıcının izni olmadan ticari reklamların dağıtılmasına hizmet eder.
5) işletim sistemi sürücüleri
Bu virüs dağıtım kanalı nadiren kullanılsa da, kötü amaçlı programlar işletim sistemi sürücüleri aracılığıyla da yayılabilir.
Bir virüs, bir işletim sistemi sürücüsünün (örneğin bir disk sürücüsü) program dosyasına bulaşabilir ve kendi kontrolü altında sistem işlemlerini gerçekleştirebilir.
Microsoft Windows NT/2000/XP/2003 OS ortamında, böyle bir enjeksiyon için kötü niyetli bir programın program kodunun yönetici ayrıcalıklarıyla çalışması gerektiğine dikkat edilmelidir.
Kötü amaçlı program, Microsoft Windows NT/2000/XP/2003'te bir hizmet olarak da işlev görebilir.
Virüs kodu yönetici (kök) ayrıcalıklarıyla çalışıyorsa, bir virüs veya başka bir kötü amaçlı program Linux/FreeBSD ve diğer Unix benzeri işletim sistemi sürücülerine bulaşabilir.
1.4 Virüs enfeksiyonu belirtileri
· “Bilgisayarı başlatırken yabancı içeriğe sahip pencerelerin otomatik olarak açılması;
anti-virüs şirketlerinin resmi web sitelerine veya bilgisayarların kötü amaçlı yazılımlardan "tedavisi" için hizmet sağlayan web sitelerine erişimin engellenmesi;
görev yöneticisinin çıktısında yeni bilinmeyen işlemlerin görünümü (örneğin, Windows görev yöneticisinin "İşlemler" penceresi);
otomatik çalıştırmadan sorumlu sicil şubelerinde görünüm, yeni girişler;
yönetici hesabındaki bilgisayar ayarlarını değiştirme yasağı;
Yürütülebilir dosyayı çalıştıramama (bir hata mesajı görüntülenir);
bilinmeyen web adresleri ve adları içerenler de dahil olmak üzere olağandışı metin içeren açılır pencerelerin veya sistem mesajlarının görünümü;
herhangi bir programın başlatılması sırasında bilgisayarı yeniden başlatmak;
· bilgisayarın yanlışlıkla ve/veya hatalı kapanması;
Rastgele program çöküyor.
Ancak belirtilerin olmamasına rağmen bilgisayara kötü amaçlı yazılım bulaşmış olabileceği göz önünde bulundurulmalıdır.
2 Bilgisayar virüslerinin sınıflandırılması
için virüslerin birleşik sınıflandırması şu an mevcut değildir, ancak aşağıda listelenen özelliklere göre ortalama olarak aşağıdaki sınıflandırma oluşturulabilir:
habitat tarafından
Habitatın enfeksiyon yöntemine göre
Yıkıcı etki ile
Virüs algoritmasının özelliklerine göre
habitat sınıflandırması
Önyükleme virüsleri veri depolama aygıtlarının (sabit sürücüler, disketler, taşınabilir depolama aygıtları) önyükleme sektörlerine nüfuz eder. İşletim sistemi virüslü bir diskten başlatıldığında virüs etkinleştirilir. Eylemleri, çalışmayı imkansız kılan işletim sistemi yükleyicisinin çalışmasını kesintiye uğratmaktan veya erişilemez hale getiren dosya tablosunu değiştirmekten oluşabilir.
belirli dosyalar.
Dosya virüsleriçoğu zaman programların yönetici modüllerine (belirli bir programın başlatıldığı dosyalar) gömülürler, bu da programın başlatıldığı sırada etkinleştirilmelerini sağlayarak işlevselliğini etkiler. Daha az yaygın olarak, dosya virüsleri işletim sistemi veya uygulama yazılımı kitaplıklarına, yürütülebilir toplu iş dosyalarına, Windows kayıt dosyalarına, komut dosyalarına ve sürücü dosyalarına sızabilir. Enjeksiyon, saldırıya uğrayan dosyanın kodu değiştirilerek veya değiştirilmiş bir kopyası oluşturularak gerçekleştirilebilir. Böylece, bir dosyada bulunan virüs, kullanıcı veya işletim sisteminin kendisi tarafından başlatılan bu dosyaya erişirken etkinleştirilir. Dosya virüsleri, bilgisayar virüslerinin en yaygın türüdür.
Dosya önyükleme virüsleriönceki iki grubun yeteneklerini zayıflatır, bu da bilgisayar için ciddi bir tehdit oluşturmalarına izin verir.
ağ virüsleri ağ hizmetleri ve protokolleri aracılığıyla dağıtılır. Posta dağıtımı, FTP üzerinden dosya erişimi, LAN servisleri aracılığıyla dosya erişimi gibi. Onları çok tehlikeli yapan şey, enfeksiyon bir bilgisayarda veya hatta bir yerel ağda kalmadığı ve çeşitli iletişim kanalları aracılığıyla yayılmaya başladığı için.
Makrovirüsler modern ofis sistemlerinin (Microsoft Office, Open Office…) dosyalarına bu sistemlerde makro kullanma imkanı ile bulaşabilir. Makro, bir belgeye yerleştirilmiş ve bu belgeyi veya diğer işlevleri değiştirmek için doğrudan çağrılan belirli, önceden tanımlanmış bir eylemler, ürün yazılımı kümesidir. Makro virüslerin amacı makrodur.
Habitatın enfeksiyon yöntemine göre sınıflandırma
Habitatın enfeksiyon yöntemine göre virüsler iki türe ayrılır: Yerleşik ve Yerleşik Olmayan.
Yerleşik virüs bir bilgisayara bulaşırken, yerleşik kısmını RAM'de bırakır, bu daha sonra işletim sisteminin virüslü nesnelere yaptığı çağrıları keser ve kendisini onlara enjekte eder. Yerleşik virüsler bellekte bulunur ve bilgisayar kapatılana veya yeniden başlatılana kadar etkin kalır.
yerleşikten farklı olarak Mükellef virüsler, bilgisayarın RAM'ine yalnızca, yıkıcı bir işlev ve enfeksiyon işlevi gerçekleştirdikleri etkinlikleri sırasında girerler. Ardından virüsler, habitatta kalan RAM'i tamamen terk eder. Bir virüs, RAM'e ortamını etkilemeyen bir program yerleştirirse, bu tür bir virüsün yerleşik olmadığı kabul edilir.
Yıkıcı etkiye göre sınıflandırma
İle bilgi kaynakları için tehlike derecesi Kullanıcının bilgisayar virüsleri şu şekilde ayrılabilir: zararsız virüsler, tehlikeli virüsler, çok tehlikeli virüsler.
Zararsız bilgisayar virüsleri genellikle (istatistiklere göre) kullanıcının bilgisayarına çeşitli medya dosyaları bulaştırarak programlama yeteneklerini göstermek için hacker görevi görür.
Bu tür virüslere zararsız denir, yine de bilgisayar kaynaklarını kullanarak, çalışmalarını yavaşlatarak zarar verirler.
tehlikeli amacı bir bilgisayarın hesaplama eylemlerini azaltmak ve iletişim kanallarını işgal etmek olan bu tür virüslere virüsler denir, bu eylemler depolama aygıtlarında depolanan bilgilerin bütünlüğünü ve gizliliğini ihlal etmez. Virüslerle ilgili sorunlar, programları yeniden çalıştırma, işletim sistemini yeniden başlatma veya iletişim kanalları üzerinden verileri yeniden iletme ihtiyacıdır.
"çok tehlikeli bilgilerin gizlilik ihlaline, yok edilmesine, geri dönüşü olmayan şekilde değiştirilmesine (şifreleme dahil) neden olan virüsler ile bilgiye erişimi engelleyen, donanım arızasına yol açan ve kullanıcıların sağlığına zarar veren virüsler olarak kabul edilmelidir. Bu tür virüsler tek tek dosyaları, sistem bellek alanlarını siler, diskleri biçimlendirir, bilgilere yetkisiz erişim sağlar, verileri şifreler vb.
İlginç gerçek:
“Donanım arızalarına neden olan virüslerden bahseden yayınlar var. Rezonans frekansında, örneğin bir manyetik disk sürücüsünün konumlandırma sistemindeki elektromekanik cihazların hareketli parçalarının yok edilebileceği varsayılmaktadır. Bir virüs programı kullanılarak oluşturulabilen bu moddur. Diğer yazarlar, aşırı ısındıkları ve arızalandıkları bireysel elektronik devrelerin (örneğin, büyük entegre devreler) yoğun kullanım modlarını ayarlamanın mümkün olduğunu savunuyorlar.
Modern PC'lerde yeniden yazılabilir kalıcı belleğin kullanılması, BIOS programlarını değiştiren virüslerin ortaya çıkmasına ve bu da kalıcı depolama aygıtlarının değiştirilmesi ihtiyacına yol açmıştır.
Monitör ekranında belirli bir frekansta (her yirmi beşinci karede bir) görüntülenen bir video görüntüsünü seçerek bir kişinin - bilgisayar operatörünün ruhunu etkilemek de mümkündür. Bu video bilgilerinin gömülü çerçeveleri, bir kişi tarafından bilinçaltı düzeyde algılanır. Böyle bir maruz kalmanın bir sonucu olarak, insan ruhuna ciddi zarar verilmesi mümkündür. 1997'de 700 Japon televizyonda bir bilgisayar çizgi filmi izledikten sonra epilepsi semptomlarıyla hastaneye kaldırıldı. Bu şekilde 25. kareyi gömerek bir kişiyi etkileme olasılığının test edildiğine inanılıyor.
Virüs algoritmasının özelliklerine göre sınıflandırma
Uydu virüsleri, dosyaları değiştirmeyin. Eylem mekanizmaları, yürütülebilir dosyaların kopyalarını oluşturmaktır. Örneğin, MS-DOS'ta bu tür virüsler, .EXE uzantısına sahip dosyalar için kopyalar oluşturur. Kopyaya yürütülebilir dosyayla aynı ad verilir, ancak uzantı .COM olarak değiştirilir. Ortak ada sahip bir dosyayı çalıştırdığınızda, işletim sistemi önce bir virüs programı olan .COM uzantılı dosyayı çalıştırma için yükler. Virüs dosyası daha sonra .EXE uzantılı dosyayı başlatır.
Çoğalıcı Virüsler (Solucan)- asıl görevi mümkün olan tüm veri depolama ve iletişim yerlerinde mümkün olduğunca çabuk çoğalmak olan virüsler. Genellikle kendileri herhangi bir yıkıcı eylemde bulunmazlar, ancak diğer kötü amaçlı kod türleri için bir aktarımdırlar.
Truva atları- benzer bir çalışma prensibine sahip oldukları için isimlerini "Truva atı" onuruna aldılar. Bu virüs türü, modüllerini kullanılan programların modülleri altında masaj yaparak benzer ad ve parametrelere sahip dosyalar oluşturur ve ayrıca sistem kayıt defterindeki girişleri değiştirerek programların çalışma modüllerinin bağlantılarını kendi başlarına değiştirerek virüs modüllerine neden olur. . Kullanıcı verilerini yok etmek, SPAM göndermek ve kullanıcı eylemlerini izlemek için yıkıcı eylemler ortaya çıkar. Genellikle kendi başlarına çoğalamazlar. Sadece dosya sistemini taramak yeterli olmadığı için tespit edilmeleri oldukça zordur.
Gizli virüsler (Gizli)- taramadan maskeleme için kendi algoritmalarına sahip oldukları için, tespit edilmesi en zor olan gizli uçak "gizli" adını almıştır. Tarama sırasında kötü amaçlı kodu yararlı kodla değiştirerek, bir tarama işlemi algılanırsa işlevsel modülleri geçici olarak devre dışı bırakarak, işlemlerini bellekte gizleyerek vb. maskelenirler.
Polimorfik (kendi kendini şifreleyen) virüsler- kötü amaçlı kodları şifrelenmiş biçimde saklanan ve dağıtılan virüsler, çoğu tarayıcı tarafından erişilemez hale gelir.
paspas virüsleri Virüslerin kalıcı imzaları yoktur. Böyle bir virüs, işleyiş ve üreme sürecinde kodunun zincirlerini sürekli değiştirir. Böylece, basit bir anti-virüs taramasına karşı savunmasız hale gelir. Bunları tespit etmek için buluşsal analiz uygulamak gerekir.
"Dinlenme" virüsleri- çok tehlikelidirler çünkü çok uzun süre dinlenebilirler, bilgisayar ağları üzerinden yayılırlar. Virüsün aktivasyonu, belirli bir koşul altında, genellikle belirli bir tarihte gerçekleşir ve bu da büyük ölçekte eşzamanlı enfeksiyona neden olabilir. Böyle bir virüsün bir örneği, Çernobil kazasının yıldönümünde aktive olan ve binlerce bilgisayarın arızalanmasına neden olan CHIH veya Çernobil virüsüdür.
3 Virüslere karşı koruma önlemleri Temel anti-virüs programları
Bugüne kadar çeşitli nitelikteki virüslere karşı koruma önlemleri antivirüs adı verilen programlardır.
Bir virüsten koruma programı (antivirüs), bilgisayar virüslerinin yanı sıra genel olarak istenmeyen (kötü niyetli olarak kabul edilen) programları tespit etmek ve bu tür programlar tarafından etkilenen (değiştirilen) dosyaları geri yüklemek ve ayrıca dosyaların önlenmesi - bulaşmasını (değiştirilmesini) önlemek için özel bir programdır. veya kötü amaçlı kod içeren işletim sistemi.
Özelliklerine göre, antivirüsler şu türlere ayrılır: dedektör programları; doktor programları veya fajlar; programlar denetçileri (müfettişler); program filtreleri (izleyiciler); programlar aşılar veya bağışıklayıcılar; tarayıcı.
“DEKTÖR PROGRAMLARI, bilinen birkaç virüsten birinin bulaştığı dosyaları tespit etmenize olanak tanır. Bu programlar, kullanıcı tarafından belirtilen sürücüdeki dosyaların belirli bir virüse özgü bir bayt kombinasyonu içerip içermediğini kontrol eder. Herhangi bir dosyada bulunduğunda, ekranda ilgili bir mesaj görüntülenir. Birçok dedektörün, virüslü dosyaları iyileştirme veya yok etme modları vardır.
Algılama programlarının yalnızca "bilinen" virüsleri algılayabildiği vurgulanmalıdır. Bazı dedektör programları yeni virüs türlerine uyum sağlayabilir, yalnızca bu virüslerde bulunan bayt kombinasyonlarını belirtmeleri gerekir. Ancak, daha önce bilinmeyen herhangi bir virüsü tespit edebilecek böyle bir program geliştirmek mümkün değildir.
Bu nedenle, programın dedektörler tarafından virüslü olarak tanınmaması gerçeğinden sağlıklı olduğu sonucu çıkmaz - bazıları yeni virüs veya algılama programları tarafından bilinmeyen eski bir virüsün biraz değiştirilmiş bir versiyonu.
Çoğu dedektör programının bir "doktor" işlevi vardır, yani. virüslü dosyaları veya disk alanlarını orijinal durumlarına geri yüklemeye çalışırlar. Geri yüklenemeyen dosyalar kural olarak çalışamaz hale getirilir veya silinir.
Dr.Web program 1994 yılında I. A. Danilov tarafından oluşturuldu ve doktor dedektörleri sınıfına ait, "sezgisel analizör" olarak adlandırılan - bilinmeyen virüsleri tespit etmenizi sağlayan bir algoritmaya sahip. Programın adı İngilizce'den çevrildiği için "Şifa Ağı", yerli programcıların kendi kendini değiştiren mutant virüslerin istilasına cevabı oldu. İkincisi, üreme sırasında vücutlarını, virüsün orijinal versiyonunda bulunan tek bir karakteristik bayt zinciri olmayacak şekilde değiştirir.
Bu program, Rusya Federasyonu Başkanı altındaki Bilgi Kaynakları Genel Müdürlüğü ve "web" in ikinci en büyük alıcısı olan "Inkombank" tarafından büyük bir lisansın (2.000 bilgisayar için) satın alınmasıyla desteklenmektedir.
AIDS testi- program onun tarafından 1988 yılında D.N. Lozinsky ve bir doktor dedektörüdür. Aidstest, kodlarını değiştirmeyen yaygın (polimorfik olmayan) virüslerin bulaştığı programları düzeltmek için tasarlanmıştır. Bu sınırlama, bu programın tanımlama kodlarını kullanarak virüsleri aramasından kaynaklanmaktadır. Ancak aynı zamanda, çok yüksek bir dosya kontrol hızı elde edilir.
DENETÇİLERİN iki çalışma aşaması vardır. İlk olarak, programların durumu ve disklerin sistem alanları hakkında bilgi depolarlar (önyükleme sektörü ve sabit disk bölüm tablosu ile sektör). Şu anda disklerin programlarına ve sistem alanlarına virüs bulaşmadığı varsayılmaktadır. Bundan sonra, denetçi programını kullanarak, herhangi bir zamanda programların durumunu ve disklerin sistem alanlarını orijinal ile karşılaştırabilirsiniz. Tespit edilen tutarsızlıklar kullanıcıya bildirilir.
ADinf (Gelişmiş Diskinfoskop) program denetçileri sınıfına aittir. Bu program 1991 yılında D. Yu Mostov tarafından oluşturuldu.
Antivirüsün yüksek bir çalışma hızı vardır, bellekte bulunan virüslere başarıyla direnebilir. Diski BIOS üzerinden sektör bazında okuyarak ve bir virüsün engelleyebileceği DOS sistem kesintilerini kullanmadan kontrol etmenizi sağlar.
Etkilenen dosyaları dezenfekte etmek için, ADinf paketine dahil olmayan ve ayrıca sağlanan ADinf Tedavi Modülü kullanılır. Modülün çalışma prensibi, kontrollü dosyaları açıklayan küçük bir veritabanını kaydetmektir. Bu programlar birlikte çalışarak dosya virüslerinin yaklaşık %97'sini ve önyükleme sektörü virüslerinin %100'ünü algılayabilir ve kaldırabilir. Örneğin, kötü şöhretli SatanBug virüsü kolayca tespit edildi ve bulaştığı dosyalar otomatik olarak geri yüklendi. Üstelik bu virüsün ortaya çıkmasından birkaç ay önce ADinf ve ADinf Cure Module satın alan kullanıcılar bile ondan zorlanmadan kurtulmayı başardı.
AVP (Anti- Virüs Koruma) program bir dedektör, bir doktor ve bir denetçiyi birleştirir ve hatta yerleşik bir filtrenin bazı işlevlerine sahiptir (yalnızca OKUYUN özniteliği ile dosyalara yazma yasağı). Tanınmış anti-virüs kiti "Doctor Kaspersky" nin genişletilmiş bir versiyonu olan anti-virüs kiti. Program çalışırken bilinmeyen virüslere karşı test edilir. Ayrıca, bilgisayardaki şüpheli etkinlikleri izleyen ve size bellek kartını görüntüleme olanağı veren yerleşik bir program da dahildir. Özel bir yardımcı program seti, yeni virüsleri tespit etmeye ve onları anlamaya yardımcı olur.
Anti-virüs, hem bilinen hem de bilinmeyen virüsleri tedavi edebilir ve kullanıcının kendisi, ikincisini tedavi etme yöntemi hakkında programı bilgilendirebilir. Ek olarak, AVP kendi kendini değiştiren ve Gizli virüsleri (gizli) tedavi edebilir.
Norton virüs koruyucu- anti-virüs paketi "yükle ve unut" tipi araçlara aittir. Tüm gerekli yapılandırma parametreleri ve zamanlanmış etkinlikler (diskin kontrol edilmesi, yeni ve değiştirilmiş programların kontrol edilmesi, Auto-Protect Windows yardımcı programının çalıştırılması, yeniden başlatmadan önce disk A: önyükleme kesiminin kontrol edilmesi) varsayılan olarak ayarlanmıştır. DOS ve Windows için bir disk tarama programı mevcuttur. Diğer şeylerin yanı sıra, Norton AntiVirus polimorfik virüsleri bile algılar ve yok eder ve ayrıca virüs benzeri etkinliğe başarıyla yanıt verir ve bilinmeyen virüslerle savaşır.
Bilgisayarın RAM'inde yerleşik olarak bulunan ve virüslerin çoğalmak ve zarar vermek için kullandığı işletim sistemine yapılan çağrıları kesen FİLTRELER veya İZLEYİCİLER, bunlar hakkında kullanıcıyı bilgilendirir. Kullanıcı ilgili işlemi etkinleştirebilir veya devre dışı bırakabilir.
Bazı filtre programları şüpheli eylemleri "yakalamaz", ancak yürütülmesi için çağrılan programları virüslere karşı kontrol eder. Bu, bilgisayarın yavaşlamasına neden olur.
Bununla birlikte, filtre programlarını kullanmanın avantajları çok önemlidir - birçok virüsü, virüsün henüz çoğalmak ve bir şeyleri bozmak için zamanı olmadığında, çok erken bir aşamada tespit etmenize izin verir. Bu şekilde virüsten kaynaklanan kayıplar en aza indirilebilir.
AŞILAR veya AŞILAYICILAR, programları ve diskleri, programların çalışmasını etkilemeyecek şekilde değiştirir, ancak aşı yapılan virüs, bu programları veya diskleri zaten bulaşmış olarak kabul eder. Bu programlar son derece verimsizdir. İşleme izin vermek/yasaklamak için kullanıcıya ilgili bir istek göndererek potansiyel olarak tehlikeli işlemleri izlerler.
Antivirüs programlarının dezavantajları:
Mevcut anti-virüs teknolojilerinin hiçbiri virüslere karşı tam koruma sağlayamaz.
Anti-virüs programı, merkezi işlemciyi ve sabit sürücüyü yükleyerek sistemin bilgi işlem kaynaklarının bir kısmını alır. Bu, özellikle zayıf bilgisayarlarda fark edilebilir. Arka planda yavaşlamalar %380'e kadar çıkabilir.
Virüsten koruma programları, hiçbir tehdidin olmadığı yerde bir tehdit görebilir (yanlış pozitifler).
Virüsten koruma programları, güncellemeleri İnternet'ten indirerek bant genişliğini tüketir.
Çeşitli kötü amaçlı yazılım şifreleme ve paketleme yöntemleri, bilinen virüsleri bile virüsten koruma yazılımı tarafından algılanamaz hale getirir. Bu "maskelenmiş" virüslerin tespiti, dosyaların taranmadan önce şifresini çözebilen güçlü bir açma motoru gerektirir. Ancak birçok anti-virüs programı bu özelliğe sahip değildir ve bu nedenle şifrelenmiş virüsleri tespit etmek çoğu zaman imkansızdır. .
BİLGİSAYAR VİRÜSLERİ
Ve bozuk ve virüslü dosyalar
Virüslerin sınıflandırılması BİLGİSAYAR VİRÜSLERİNİN ÖNLENMESİ VE KONTROLÜ
GİRİİŞ
Şu anda, insan faaliyetinin birçok alanı bilgisayar kullanımı ile ilişkilidir. Bu elektronik makineler neden hayatımıza bu kadar sıkı bir şekilde yerleşmiş durumda? Her şey oldukça önemsiz. Beynimizi daha gerekli ve sorumlu görevler için serbest bırakarak rutin hesaplama ve tasarım çalışmaları yaparlar. Sonuç olarak, yorgunluk keskin bir şekilde azalır ve bilgisayar kullanmadan çok daha verimli çalışmaya başlarız.
Modern bilgisayarların olanakları, en zengin hayal gücünü bile şaşırtıyor. Karmaşıklığı oldukça yüksek olan birkaç görevi paralel olarak gerçekleştirebilirler. Bu nedenle bazı üreticiler yapay zeka oluşturmayı düşünüyor. Ve şimdi bir bilgisayarın çalışması, bir kişiye akıllı bir elektronik asistanın çalışmasına benziyor.
Ancak bu elektronik teknoloji mucizesinin insana benzer hastalıklarla karakterize olduğunu kim düşünebilirdi. O, bir insan gibi, bir "virüs" tarafından saldırıya uğrayabilir, ancak bir bilgisayar. Ve harekete geçmezseniz, bilgisayar yakında "hastalanacak" yani. yanlış eylemler gerçekleştirmeye ve hatta "ölmeye" başlayacak, yani. "virüs"ün vereceği zarar çok ciddi olacaktır. Bilgisayar virüsleri nelerdir ve bunlarla nasıl başa çıkılacağı daha fazla tartışılacaktır.
BİLGİSAYAR VİRÜSLERİ
Bir bilgisayar virüsü nedir?
Bugüne kadar, birkaç ana kötü amaçlı yazılım türü vardır:
- klasik bilgisayar virüsü;
- Truva veya Truva atı (troj);
- solucan (solucan);
- casus veya casus, keylogger
-rootkick;
- bot veya zombi.
Bir zamanlar, en büyük yaygınlığa sahip olan klasik virüslerdi - ancak yaratıcıları nadiren son kullanıcıya zarar vermek için belirli bir hedef belirlediler, bunun yerine eğitim amaçlı oluşturuldular. Günümüzün virüs yazarları kesinlikle açık ve anlaşılır hedefler peşinde koşuyor - para ve onların "çocukları" öncekilerden çok daha tehlikeli hale geldi. O halde en çok tanıtmama izin ver tehlikeli yırtıcılar bugünün bilgi alanı Truva Atları ve Solucanlar.
Trojan veya troj, adını Truva kuşatması sırasında enfeksiyon yöntemi ile ünlü taktik hamle arasındaki benzerlikten almıştır. Truva enfeksiyonuna bir örnek - belirli bir "tanıdıktan" şu metinle bir mektup alıyorsunuz: - "Merhaba! Denizden yeni döndüm - çok güzel dinlendim! İşte resimlerim - bakın.", Ve ekli ".JPG" uzantılı dosyalar. Aynı dosyalar, kötü niyetli kodun gizlendiği derinliklerdeki Truva atlarıdır. En yaygın bulaşma kaynakları e-posta, tanışma siteleri, müzik siteleri ve ücretsiz yazılım siteleridir. Bir "trojan" ne yapar? Kural olarak, görevi, ilk sıçrama tahtası olarak hareket etmek için diğer virüslerin yolunu açmaktır. "Truva atı" ile enfeksiyon nasıl önlenir? Burada her şey hayattaki gibidir - kendinizi koruyun ve sıradan ilişkilerden kaçının =). Bu kural, herhangi bir virüs ve diğer kötü amaçlı yazılımlar için geçerlidir. Size bir e-posta gönderildiyse - eklere bakmadan önce göndereni kontrol edin, eki bilgisayarınıza kaydedin ve bir antivirüs ile kontrol edin ve ancak o zaman açın.
Solucan veya Solucan - bu programların evrim ve özerklikteki bir özelliği. Bir solucan bir bilgisayara girdiğinde, genellikle posta programlarına ve İnternet çağrı cihazlarına saldırır. Postaya veya çağrı cihazına eriştikten sonra, kendisinin değiştirilmiş bir versiyonunu içeren mektuplar / mesajlar göndermeye başlar. Bundan sonra, yürütülebilir dosyalara (EXE, COM, BAT) ya kendi kendini imha eder ya da bulaşır. Virüs kendini değiştirdiği için, virüsten koruma yazılımınızın veritabanında tespit edilene kadar dokunulmazdır. Bu nedenle bugün lisanslı bir antivirüs, herhangi bir bilgisayar sahibi için acil bir ihtiyaçtır.
Bir bilgisayar virüsü, kendisini diğer programlara "bağlayabilen" (yani, onlara "bulaşabilen") ve ayrıca bir bilgisayarda çeşitli istenmeyen eylemler gerçekleştirebilen, özel olarak yazılmış küçük bir programdır. Virüs içeren bir programa virüslü denir. Böyle bir program başladığında önce virüs kontrolü ele alır. Virüs diğer programları bulur ve "bulaştırır" ve ayrıca bazı zararlı eylemler gerçekleştirir (örneğin, diskteki dosyaları veya dosya ayırma tablosunu (FAT) bozar, RAM'i "kirletir" vb.). Bir virüsü maskelemek için, diğer programlara bulaşma ve zarar verme eylemleri her zaman gerçekleştirilmeyebilir, ancak diyelim ki belirli koşullar altında. Virüs ihtiyaç duyduğu işlemleri gerçekleştirdikten sonra kontrolü bulunduğu programa devreder ve her zamanki gibi çalışır. Bu nedenle, dışarıdan bakıldığında, virüslü bir programın çalışması, virüslü olmayan bir programınkiyle aynı görünür.
Birçok virüs türü, virüslü bir program başlatıldığında, virüsün bilgisayarın belleğinde kalacağı ve zaman zaman programlara bulaşacak ve bilgisayarda istenmeyen eylemler gerçekleştirecek şekilde tasarlanmıştır.
Virüsün tüm eylemleri çok hızlı bir şekilde ve herhangi bir mesaj vermeden gerçekleştirilebilir, bu kullanıcı için bilgisayarda olağandışı bir şey olduğunu belirlemek çok zor, neredeyse imkansızdır.
Bilgisayara nispeten az sayıda program bulaştığı sürece, bir virüsün varlığı neredeyse görünmez olabilir. Ancak, bir süre sonra bilgisayarda garip bir şey olmaya başlar, örneğin:
- bazı programlar çalışmayı durdurur veya yanlış çalışmaya başlar;
- ekranda gereksiz mesajlar, semboller vb. görüntülenir;
- bilgisayarda çalışma önemli ölçüde yavaşlar;
- bazı dosyalar bozuk vb.
Bu noktada, kural olarak, çalıştığınız teknik programların çoğuna (hatta çoğuna) bir virüs bulaşmıştır ve bazı dosyalar ve diskler bozulmuştur. Ayrıca, bilgisayarınızdaki virüslü programlar disketler veya yerel bir ağ kullanılarak iş arkadaşlarınızın ve arkadaşlarınızın bilgisayarlarına zaten aktarılmış olabilir.
Bazı virüsler çok sinsidir. İlk başta, çok sayıda programa ve diske fark edilmeden bulaşırlar ve daha sonra çok ciddi hasara neden olurlar, örneğin, bilgisayardaki tüm sabit sürücüyü biçimlendirirler, doğal olarak bundan sonra verileri kurtarmak imkansızdır. Ve çok gizli davranan ve sabit sürücüdeki verileri yavaş yavaş bozan veya dosya ayırma tablosunu (FAT) değiştiren virüsler var.
Bu nedenle virüsten korunmak için önlem almazsanız, enfeksiyonun sonuçları çok ciddi olabilir. Örneğin, 1989 yılının başında Amerikalı öğrenci Morris tarafından yazılan virüs, ABD Savunma Bakanlığı'na ait olanlar da dahil olmak üzere binlerce bilgisayara bulaştı ve devre dışı bıraktı. Virüsün yazarı mahkeme tarafından üç ay hapis ve 270 bin dolar para cezasına çarptırıldı. Ceza daha ağır olabilirdi ama mahkeme, virüsün verileri bozmadığını, sadece çoğaldığını dikkate aldı.
Bir virüs programının görünmez olması için küçük olması gerekir. Bu nedenle virüsler genellikle düşük seviyeli Assembly dillerinde veya düşük seviyeli C dili komutlarında yazılır.
Virüsler, deneyimli programcılar veya öğrenciler tarafından meraktan veya kendilerine değersiz bir şekilde davranan birine veya bir kuruluşa karşı misilleme yapmak veya ticari veya yönlendirilmiş sabotaj amaçlarıyla yazılır. Yazarın amaçları ne olursa olsun, virüs bilgisayarınıza yerleşebilir ve yaratıldığı kişiyle aynı zararlı eylemleri gerçekleştirmeye çalışabilir.
Bir virüs yazmanın o kadar zor bir iş olmadığı, bir programlama öğrencisi için oldukça erişilebilir olduğu belirtilmelidir. Bu nedenle, dünyada her hafta daha fazla yeni virüs ortaya çıkıyor. Ve birçoğu ülkemizde üretiliyor.
Bozuk ve virüslü dosyalar
Bir bilgisayar virüsü mahvedebilir, yani. bilgisayarda bulunan disklerdeki herhangi bir dosyayı uygunsuz şekilde değiştirin. Ancak virüs bazı dosya türlerine "bulaşabilir". Bu, bir virüsün bu dosyalara "sızabileceği" anlamına gelir, yani. bunları, belirli koşullar altında çalışmaya başlayabilecek bir virüs içerecek şekilde değiştirin.
Unutulmamalıdır ki, programların ve belgelerin metinleri, veritabanı bilgi dosyaları, elektronik tablo tabloları ve diğer benzer dosyalar, yaygın bir virüs tarafından enfekte edilemez, sadece onları bozabilir. Bu tür dosyalara bulaşma yalnızca Makro virüsler tarafından yapılır. Bu virüsler belgelerinize bile bulaşabilir.
İşletim sistemi yükleyicisi ve sabit disk ana önyükleme kaydı. Bu alanlara bulaşan virüslere önyükleme veya BOOT virüsleri denir. Böyle bir virüs, bilgisayarın ilk açılışında çalışmaya başlar ve yerleşik hale gelir, yani. bilgisayarın belleğinde kalıcı olarak bulunur. Dağıtım mekanizması, bilgisayar disketlerine yerleştirilen önyükleme kayıtlarının bulaşmasıdır. Önyükleme kaydı küçük olduğundan ve tüm virüs programını bunlara yerleştirmek zor olduğundan, bu tür virüsler genellikle iki bölümden oluşur. Virüsün bir kısmı diskin başka bir bölümünde, örneğin diskin kök dizininin sonunda veya diskin veri alanındaki bir kümede bulunur (genellikle böyle bir küme, veri yazıldığında virüsün üzerine yazılmasını önleyin).
CONFIG.SYS dosyasının DEVICE yan tümcesinde belirtilen Aygıt Sürücüleri Dosyaları. İçlerindeki virüs, ilgili cihaza her erişildiğinde çalışmaya başlar. Aygıt sürücülerine bulaşan virüsler çok nadirdir çünkü sürücüler bir bilgisayardan diğerine nadiren kopyalanır. Aynısı için de geçerlidir sistem dosyaları DOS (MSDOS.SYS ve IO.SYS) - bulaşmaları da teorik olarak mümkündür, ancak virüsün yayılması için etkisizdir.
Kural olarak, her belirli virüs türü yalnızca bir veya iki tür dosyaya bulaşabilir. Çoğu zaman yürütülebilir dosyalara bulaşan virüsler vardır. Yaygınlık açısından ikinci sırada önyükleme virüsleri var. Bazı virüsler hem dosyalara hem de disk önyükleme alanlarına bulaşır. Aygıt sürücülerine bulaşan virüsler son derece nadirdir, genellikle bu tür virüsler yürütülebilir dosyalara da bulaşabilir.
Virüs sınıflandırması
Virüsler farklı kriterlere göre sınıflara ayrılabilir. Burada, örneğin, ihanet temelinde:
Bir bilgisayara anında bulaşan virüsler, sabit diski biçimlendirir, dosya tahsis tablosunu bozar, önyükleme sektörlerini bozar, bilgisayarın Flash ROM'unu (BIOS'un bulunduğu yer) siler (Çernobil virüsü), başka bir deyişle onarılamaz hasarlara neden olur. mümkün olan en kısa sürede bilgisayara Buna, anti-virüs programlarına karşı virüs yazan programcıların şikayetlerinin sonuçları da dahildir. Bu, belirli anti-virüs programlarına karşı sözde alerjileri ifade eder. Bu virüsler oldukça tehlikelidir. Burada, örneğin, bu programı çağırırken Dr.Weber'e karşı bir alerji, tereddüt etmeden antivirüsü engeller, dizindeki her şeyi antivirüs ve C: WINDOWS ile bozar. Sonuç olarak, işletim sistemini yeniden kurmanız ve ardından virüsle başka yollarla savaşmanız gerekir.
- bilgisayarda uzun bir ömür için tasarlanmış virüsler. Yavaş yavaş ve dikkatli bir şekilde programdan sonra programa bulaşırlar ve varlıklarının reklamını yapmazlar ve programların başlangıç alanlarını virüsün vücudunun bulunduğu yere bağlantılarla değiştirirler. Ek olarak, disk yapısında, kullanıcı tarafından algılanamayan ve yalnızca bazı veriler zaten umutsuzca kaybolduğunda kendini hissettirecek bir değişiklik yaparlar (örneğin, "OneHalf-3544", "Yankey-2C" virüsü).
İletim ve çoğaltma yöntemleri temelinde de bir bölme yapılabilir.
Önceden, virüsler esas olarak yalnızca yürütülebilir dosyaları etkiliyordu (.com ve .exe uzantılı). Gerçekten de, bir virüs bir programdır ve çalıştırılması gerekir.
Artık virüsler e-posta ile demo programları veya resim olarak gönderiliyor, örneğin, "PicturesForYou.jpg" dosyasını e-posta ile aldıysanız, bakmak için acele etmeyin, özellikle de hiçbir yerden gelmediği için. Ada daha yakından bakarsanız, 42 boşluk ve geçerli bir .exe uzantısı olduğu ortaya çıkıyor. O gerçek Ad Soyad dosya şöyle olacak:
"PicturesForYou.jpg .exe". Artık herkes bu resmin gerçekte ne taşıdığını anlıyor. Bu, etkinleştirildiğinde resim görüntüleyicinin çağırdığı bir resim dosyası değil, yalnızca bir fare tıklaması veya tuş vuruşuyla etkinleştirilmeyi bekleyen yüzsüz, hafif örtülü bir virüstür. Böyle bir virüsü bilgisayarınıza, bir "Truva atı" gibi bir resmin kabuğunun altına kendiniz indirirsiniz. Bu nedenle, "Truva atları" gibi virüslerin argo adı.
Şu anda, Internet Explorer, Outlook Express, Microsoft Office gibi bilgi kanalları kabukları var. "Makro-virüsler" olarak adlandırılan birkaç sınıf şimdi ortaya çıktı. Ortalama bir kullanıcı için istenmeyen bu kabuklar için gizli komutlar içerirler. Ve bu kod artık bilgisayarın kodu değil, yani artık bir program değil, kabuk tarafından yürütülen programın metnidir. Bu nedenle, istenen herhangi bir biçimde yazılabilir: .html, .htm - Internet Explorer için, .doc, .xls, .xlw, .txt, .prt veya başka herhangi bir biçimde - Microsoft Office vb. için Bu tür virüsler zarar verir. yalnızca belirli bir yapıya sahiptir, çünkü kabuğun, örneğin bir sabit sürücüyü biçimlendirmek için komutları yoktur. Ancak yine de, bu virüs türü dikkati hak ediyor, çünkü gizli köprülerin yardımıyla virüs gövdesini İnternet'ten bilgisayarınıza bağımsız olarak indirebilir ve bazı virüsler İnternet üzerinden belirli sunuculardan kısmen güncelleyebilir ve indirebilir. . Örneğin, Japon öğrencilerden biri, küçük bir "yükleyiciyi" İnternet'ten herhangi bir giriş verisi biçimine bağlayan böyle bir virüs geliştirdi. Ayrıca, bu yükleyici virüs gövdesini internetten Babilon5 IP adresi ile sunucudan bağımsız olarak indirir. Bu bedenlerden dört tane var. Her biri bilgisayarınızı kendi başına yok etme yeteneğine sahiptir, ancak belirli bir amacı vardır. Bu virüs türü, makro virüsler ile sıradan virüsler arasında bir melezdir. Ancak virüsler arasında en inatçı, kurnaz, tehlikeli ve sayısız olanın melezler olduğuna dikkat edilmelidir. Daha yakın zamanlarda, uzmanlara göre, Microsoft Word için metin dosyalarına bulaşan bir makro virüsü oluşturup yaymaya başlayan bir programcı hakkında bir skandal yaşandı. .doc dosyalarının görünmeyen bölümlerinde saklanan orijinal belgenin oluşturulma tarihi ve saatinden hesaplanmıştır. Dosyanın virüs eklenmeden önce başka bir kişi tarafından oluşturulmuş olması mümkündür, o zaman saldırganın sorusu açık kalır. Ama uzmanlar onun olduğunu söylüyor.
Örneğin, Win32.HLLM.Klez virüsü. tehlikeli bir ağ solucanının çeşitlerinden biri, kopyalarını e-posta ile göndererek dağıtılır. Ek olarak, bu solucan yerel bir ağ üzerinden yayılabilir ve diskleri yazılabilir paylaşılan ağ kaynakları olan bilgisayarlara bulaşabilir. Sisteme girdikten sonra solucan kendisini Windows adres defterinde, ICQ veritabanında ve yerel dosyalarda bulunan adreslere gönderir. Bu solucan tarafından gönderilen virüslü e-postalar, Internet Explorer güvenlik sisteminde nispeten uzun süredir bilinen hatalardan birini kullanır; bu, bir e-postaya eklenen bir program dosyasının (virüslü) Outlook ve Outlook Express'te yalnızca postayı görüntülerken otomatik olarak başlatılmasına izin verir.
Virüslerin biz sıradan kullanıcılara ve anti-virüs programlarına karşı kullandığı kılık ve koruma yöntemlerini ele almaya çalışalım.
Perfidy ana ve en hızlı yol keşfedilmeden önce kirli bir numara yap. Örneğin Çernobil virüsü BIOS'u (bilgisayarın çalışmasını sağlayan ROM yongasında bulunan başlangıç programı) tamamen siler. Bundan sonra, bilgisayar hiçbir şey gösteremez. Ancak bilgisayarın içine ROM alanına yazmayı yasaklayan bir anahtar takılırsa çalışması kolayca engellenir. Bu nedenle, donanım virüslerinin ilk, ama aynı zamanda son temsilcisiydi.
Rejeneratif virüsler, vücutlarını birkaç parçaya böler ve bunları sabit sürücüde farklı yerlerde depolar. Buna göre, bu parçalar bağımsız olarak birbirini bulabilir ve virüsün vücudunu yenilemek için bir araya gelebilir. Virüsten koruma programı, yalnızca virüsün gövdesini algılar ve öldürür ve bu gövdenin parçaları, değiştikleri için virüsten koruma veritabanına dahil edilmez. Sabit sürücünün hedeflenen düşük düzeyli biçimlendirmesi bu tür virüslere karşı yardımcı olur. Bilgilerin korunması için önlemler alınmalıdır.
Kurnaz virüsler sadece bizden değil, aynı zamanda antivirüs programlarından da saklanır. Bu "bukalemunlar", hem mevcut verileri (dosya oluşturma süresi) hem de tüm işlemci talimatlarının neredeyse yarısını kullanarak en kurnaz ve karmaşık işlemlerin yardımıyla kendilerini değiştirirler. Elbette belli bir noktada kurnaz bir algoritmaya göre aşağılık bir virüse dönüşüyor ve bilgisayarımızla uğraşmaya başlıyorlar. Bu, tespit edilmesi en zor virüs türüdür, ancak "Dr.Weber" gibi bazı virüsten koruma programları, buluşsal analiz adı verilen yöntemi kullanarak benzer virüsleri algılayabilir ve etkisiz hale getirebilir.
"Görünmez" virüsler, tespit edilmelerini önlemek için sözde "Stelth" yöntemini kullanır. Bellekte yerleşik olan virüsün, virüslü dosyalara ve disk alanlarına yapılan DOS çağrılarını (ve dolayısıyla uygulama programlarını) engellemesi ve bunları orijinal (bulaşmamış) biçiminde yayınlamasından oluşur. Tabii ki, bu etki yalnızca virüslü bir bilgisayarda gözlemlenir - "temiz" bir bilgisayarda, dosyalardaki ve disk önyükleme alanlarındaki değişiklikler kolayca tespit edilebilir. Ancak bazı anti-virüs programları, virüslü bilgisayarlarda bile "görünmez" virüsleri algılayabilir.
Randon ağ solucanı Mart 2003'te ortaya çıktı. IRC kanalları ve yerel ağ kaynakları aracılığıyla yayılır ve Windows2000 ve Windows XP işletim sistemlerini çalıştıran bilgisayarlara bulaşır. Bir bilgisayara sızmak için yerel bir ağa veya bir IRC sunucusuna bağlanır, üzerinde bulunan kullanıcıları tarar, 445 numaralı bağlantı noktasında onlarla bağlantı kurar ve en sık kullanılan ifadelerin yerleşik listesinden şifreyi tahmin etmeye çalışır. Sistemin güvenliği başarıyla ihlal edilirse Random, Apher Truva Atı'nı ona gönderir ve bu da solucanın bileşenlerinin geri kalanını uzak bir Web sitesinden indirir. Bundan sonra, "Randon" bileşenlerini Windows sistem dizinine kurar, ana dosyasını kaydeder. Bellekteki varlığını gizlemek için, aynı zamanda solucanın bir bileşeni olan özel bir HideWindows yardımcı programı kullanır. Onun sayesinde, kullanıcı tarafından görünmez olduğu ortaya çıkıyor, böylece aktif Randon işlemi yalnızca Windows Görev Yöneticisi'nde algılanabiliyor. Onun yan etkiler– virüslü makinede büyük miktarda aşırı trafik oluşturulması ve IRC kanallarının taşması.
Anti-virüs programlarının önde gelen geliştiricilerinden biri olan Kaspersky Lab'e göre, Mart 2003 için virüs etkinliğine ilişkin bir inceleme sunuyor (Tablo 2 ve Şekil 1)
En yaygın 20 kötü amaçlı yazılım
Sekme. 2
Ad Toplam virüs olayı sayısı içindeki payı (%)
1. I-Worm.Klez %37.60
2. I-Worm.Sobig %10.75
3. I-Worm.Lentin %9.03
4. I-Worm.Avron %3,30
5.Macro.Word97.Böylece %2.62
6. Ben-Solucan.Tanatos 1.38
7. makro. Word97.Marker %1,21
8. Worm.Win32.Opasoft %1,13
9. I-Worm.Hybris %1.04
10.Win95.CIH %0.69
11. Worm.Win32.Randon %0.58
12. VBS Redlof 0,57%
13. Arka Kapı.Ölüm %0.51
14.Win95.Spaces %0.51
15. Ben-Solucan.Roron %0.49
16.Trojan.PSW.Gip %0.49
17. Backdoor.NetDevil %0.48
18.Win32.HLLP.Hantaner %0.45
19. TrojanDropper.Win32.Delf %0.42
20. TrojanDropper.Win32.Yabinder %0.41
Diğer kötü amaçlı yazılım* %26,33
*en yaygın 20 tanesine dahil değildir
BİLGİSAYAR VİRÜSLERİNE KARŞI ÖNLEME VE MÜCADELE
Bilgisayar virüslerine karşı temel koruma yöntemleri
Virüslere karşı korunmak için şunları kullanabilirsiniz:
- Disklerdeki fiziksel hasara, hatalı çalışan programlara veya hatalı kullanıcı eylemlerine karşı sigorta olarak da yararlı olan bilgileri korumanın genel yolları;
- bilgisayar virüsü bulaşma olasılığını azaltmak için önleyici tedbirler;
- virüslere karşı koruma için özel programlar.
-Ortak bilgi güvenliği araçları, virüslere karşı koruma sağlamaktan daha fazlası için faydalıdır. Bu fonların iki ana türü vardır:
bilgilerin kopyalanması - dosyaların ve disklerin sistem alanlarının kopyalarının oluşturulması;
erişim kontrolü, bilgilerin yetkisiz kullanımını, özellikle programlarda ve verilerde virüsler, hatalı çalışan programlar ve kullanıcıların hatalı eylemleri tarafından yapılan değişikliklere karşı korumayı önler.
Rağmen genel fonlar Bilgisayar virüslerinden korunmak için bilgi güvenliği çok önemlidir ancak tek başına yeterli değildir. Bilgisayar virüslerine karşı korunmak için özel programlar kullanmak gerekir. Bu programlar birkaç türe ayrılabilir:
Algılayıcı programları, bilinen birkaç virüsten birinin bulaştığı dosyaları algılamanıza olanak tanır.
Programlar - doktorlar veya fajlar, virüs bulaşmış programları veya diskleri "tedavi eder", virüsün vücudunu virüslü programlardan "ısırır", yani. programı virüs bulaşmasından önceki durumuna geri yükleme.
Programlar - denetçiler önce programların durumu ve disklerin sistem alanları hakkındaki bilgileri hatırlar ve ardından durumlarını orijinal olanla karşılaştırır. Tutarsızlıklar bulunursa, kullanıcı bu konuda bilgilendirilir.
Doktorlar - denetçiler, denetçilerin ve doktorların melezleridir, yani. sadece dosyalardaki ve disklerin sistem alanlarındaki değişiklikleri algılamakla kalmayıp, aynı zamanda bunları otomatik olarak orijinal durumlarına döndürebilen programlar.
Filtre programları bilgisayarın RAM'inde yerleşik olarak bulunur ve virüslerin çoğaltarak zarar vermek için kullandığı işletim sistemine yapılan çağrıları keser ve bunları kullanıcıya bildirir. Kullanıcı ilgili işlemi etkinleştirebilir veya devre dışı bırakabilir.
Programlar - aşılar veya bağışıklayıcılar, programları ve diskleri, programların çalışmasını etkilemeyecek şekilde değiştirir, ancak aşılamanın yapıldığı virüs, bu programları ve diskleri zaten bulaşmış olarak kabul eder. Bu programlar oldukça verimsizdir ve daha fazla dikkate alınmaz.
Ne yazık ki, tek bir virüsten koruma yazılımı türü bilgisayar virüslerine karşı tam koruma sağlamaz. Bu nedenle, virüslere karşı korunmak için en iyi strateji, çok seviyeli, "katmanlı" bir savunmadır. Bu savunmanın yapısını tanımlayalım.
Virüslere karşı "savunma" daki keşif araçları, yeni alınan yazılımı virüslerin varlığına karşı kontrol etmenizi sağlayan programlara - dedektörlere karşılık gelir.
Savunmanın ön saflarında filtre programları (bir virüse karşı koruma sağlayan yerleşik programlar) bulunur. Bu programlar, bir virüs saldırısını bildiren ve programların ve diskin bulaşmasını önleyen ilk kişiler olabilir.
İkinci savunma kademesi, programlar-denetçiler, programlar-doktorlar ve doktorlar-denetçilerden oluşur. Denetçiler, virüs ön savunma hattından "sızmayı" başardığında bile bir saldırı tespit eder. Doktor programları, arşivde kopyası yoksa, virüslü programları geri yüklemek için kullanılır. Ama her zaman doğru olanı yapmazlar. Doktorlar-denetçiler bir virüs saldırısını tespit edip virüs bulaşmış dosyaları tedavi eder ve virüs tedavisinin doğruluğunu kontrol eder ve virüsleri tedavi etmek mümkün değilse kesinlikle virüslerin (virüslü dosyaların) kaldırılmasını önerirler.
En derin savunma katmanı, erişim kontrolü aracıdır. Virüslerin ve kötü niyetli programların bilgisayara girmiş olsalar bile önemli verileri bozmalarına izin vermezler.
Ve son olarak, "stratejik rezerv" de, yazılım ürünleriyle birlikte bilgi ve "referans" disketlerinin arşiv kopyaları vardır. Sabit sürücüde hasar görmüşse bilgileri kurtarmanıza izin verirler.
Programlar - dedektörler ve doktorlar
Çoğu durumda, bir bilgisayara bulaşmış bir virüsü tespit etmek için önceden geliştirilmiş dedektör programları bulabilirsiniz. Bu programlar, kullanıcı tarafından belirtilen sürücüdeki dosyaların belirli bir virüse özgü bir bayt kombinasyonu içerip içermediğini kontrol eder. Herhangi bir dosyada bulunduğunda, ekranda ilgili bir mesaj görüntülenir. Birçok dedektörde virüs tedavisi veya virüs temizleme modu vardır.
Dedektör programının yalnızca kendisi tarafından bilinen virüsleri algılayabildiğine dikkat edilmelidir (yani, bu programın virüsten koruma veritabanına dahil edilirler).
Böyle bir program KIS Kaspersky'dir.
İçindeki her şey kullanışlı ve anlaşılır bir arayüze sahiptir. Program, diğer uygulamalarla paralel çalışmasına izin veren Windows XP ve Windows Vista işletim sistemi için tasarlanmıştır. Kaspersky Lab, anti-virüs güvenlik sistemlerinin geliştirilmesinde Rusya lideridir.
AVAST'ta da var.
Bunlar, çalışmalarında kanıtlanmış bilgisayarınızın savunucularıdır - çoğu virüsün tedavisi ve kritik tehditleri veya tedavi edilemezlikleri durumunda virüslerin kaldırılması.
Çoğu dedektör programında ayrıca bir "doktor" işlevi vardır, yani. virüsleri tedavi etmek için virüslü dosyaları ve disk alanlarını orijinal durumlarına döndürmeye çalışırlar. İyileştirilemeyen dosyalar genellikle çalışamaz hale getirilir veya silinir.
Virüs enfeksiyonuna karşı önlem
Bir bilgisayara virüs bulaşma olasılığını azaltabilecek ve bir virüs bulaşmasından kaynaklanan hasarı en aza indirebilecek bazı önlemlere bakalım.
1. Kullanılan yazılım ve veri paketlerinin arşiv ve referans kopyalarına sahip olmak ve gerekirse güncellemek iyi olurdu. Verileri arşivlemeden önce, virüs olup olmadığını kontrol etmeniz önerilir.
2. Diskinizin (FAT, önyükleme sektörleri) ve CMOS'un (bilgisayarın kalıcı belleği) hizmet bilgilerini disketlere kopyalamanız da önerilir. Bu tür bilgilerin kopyalanması ve geri yüklenmesi, Norton Utilities Rescue programı kullanılarak yapılabilir.
3. Arşiv disketlerine yazma koruması ayarlamalısınız.
4. Yazılımların diğer bilgisayarlardan lisanssız ve yasa dışı kopyalanmasıyla uğraşmamalısınız. Virüs kapmış olabilirler.
5. Dışarıdan gelen tüm veriler, özellikle internetten "indirilen" dosyalar olmak üzere virüslere karşı kontrol edilmelidir.
6. Yazma korumalı disketlerde önceden kurtarma paketi hazırlamak gerekir.
7. Bilgisayarı geri yükleme ile ilgili olmayan normal çalışma süresi boyunca, disketten önyüklemeyi devre dışı bırakmaya değer. Bu, bir önyükleme virüsünün bulaşmasını önleyecektir.
8. Programları kullanın - virüslerin erken tespiti için filtreler.
9. Savunmadaki olası arızaları tespit etmek için diski periyodik olarak programlar-dedektörler veya doktorlar-dedektörler veya denetçiler ile kontrol edin.
10. Anti-virüs programlarının veritabanını güncelleyin.
11. Şüpheli kullanıcıları bilgisayarınızdan uzak tutun.
ÇÖZÜM
Sonuç olarak, bilgisayar virüslerine karşı çok şiddetli mücadeleye karşı uyarmak istiyorum. Her gün sabit sürücünüzde tam bir virüs taraması yapmak da enfeksiyonları önlemede parlak bir adım değildir. Virüslerden korunmanın tek medeni yolunu bilgisayarda çalışırken önleyici tedbirlerin alınmasında görüyorum. Ayrıca bir bilgisayar virüsüyle başa çıkmak için uzmanların yardımına başvurmanız gerekir. Ayrıca virüs hala bilgisayara girmiş olsa bile, bu panik yapmak için bir neden değil.
Genellikle İnternet'in ana sorunu virüsler ve bilgisayar korsanları değil, bilgisayar okuryazarlığı gibi yaygın bir olgudur. Kaspersky benzetmesini kullanarak, yol kurallarının cehaleti. Yakın zamanda e-posta almayı ve göndermeyi öğrenen insanlar, bilgisayar virüslerini şeytanlaştırıyor, neredeyse onları teller arasında gezinen görünmez siyah solucanlar olarak hayal ediyor. Burda biraz var Basit kurallar, hangisini virüs bulaşmasını önlemeye çalışabileceğinizi gözlemleyerek. Birincisi: Bilgisayar virüslerinden korkmuyorlar, hepsi tedavi ediliyor. İkinci olarak, Microsoft Outlook'u, bilgisayar virüsünün yayılmasının temel ilkesi olan belirli programları otomatik olarak yürütmesini engelleyen kısıtlı siteler bölgesinde çalışacak şekilde ayarlayın. Üçüncüsü, şüpheli alıcılardan gelen e-postaları açmayın. Dördüncüsü: yeni ve daha da önemlisi LICENSE antivirüs kullanın.
İyi çalışmalarınızı bilgi tabanına gönderin basittir. Aşağıdaki formu kullanın
Bilgi tabanını çalışmalarında ve çalışmalarında kullanan öğrenciler, yüksek lisans öğrencileri, genç bilim adamları size çok minnettar olacaktır.
Benzer Belgeler
Yazılım güvenliğinin özellikleri ve ilkeleri. Enfeksiyon için virüs oluşturma nedenleri bilgisayar programları. Genel özellikleri bilgisayar virüsleri ve nötralizasyon araçları. Bilgisayar virüslerine karşı koruma yöntemlerinin sınıflandırılması.
özet, eklendi 05/08/2012
Kısa gezi virüslerin tarihinde. Bilgisayar virüsleri sorununun sosyal yönleri. Bilgisayar virüslerini önlemenin yolları. Virüsten koruma programları tartışılırken kullanılan terimler. Virüsler, sınıflandırılmaları. Virüs yazarlarına karşı tutum.
dönem ödevi, 21/03/2011 eklendi
Bilgisayar virüslerinin tarihi. Bilgisayar virüslerinin habitata göre sınıflandırılması, bulaşma yöntemi, yıkıcı yetenekler, virüs algoritmasının özellikleri. Bilgisayarda bir virüs belirtileri. Virüsten korumanın temel yöntemleri.
sunum, eklendi 08/13/2013
Bilgisayar virüslerinin kaynağı. Virüslerin bilgisayara girme yolları ve virüs programlarının dağıtım mekanizması. Virüslerin görünümünün belirtileri. Virüs nötralizasyonu. Önleme önlemleri. Virüslerin yıkıcı yeteneklerine göre sınıflandırılması.
özet, eklendi 12/01/2006
Bilgisayar virüslerinin özellikleri ve sınıflandırılması, görünmez virüslerin kullanımı. Basit önyükleme ve dosya virüslerinin çalışma şemaları. Truva atları, yazılım yer imleri ve ağ solucanları. Virüslerin ortaya çıkış belirtileri ve bunlara karşı korunma yöntemleri.
özet, eklendi 01/11/2012
Bilgisayar virüslerinin tarihi. Virüsün prensibi ve ana kaynakları. Bilgisayar enfeksiyonunun erken belirtileri. Virüsün aktif aşamasının belirtileri. Bilgisayar virüslerine karşı koruma. Bilgisayar suçlarının sorumluluğu - virüslerin tanıtılması.
sunum, 10/10/2011 eklendi
Bilgisayar virüslerinin yaratılış tarihi, özellikleri ve sınıflandırılması. Bilgisayar virüslerinin bilgisayara girme yolları ve bunlara karşı korunma yolları. kavram antivirüs programı. Koruma için özel program türleri. Mevcut uygulamalara genel bakış.
dönem ödevi, eklendi 08/05/2013
