ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Віруси
         

     

    Інформатика, програмування

    Віруси Що таке

    комп'ютерний вірус?

    Комп'ютерний вірус - це спеціально написана невелика за розміром програма, яка може "приписувати" себе до інших програм, а також виконувати різні небажані дії на комп'ютері. Програма, всередині якої знаходиться вірус, називається "зараженої". Коли така програма починає роботу, то спочатку управління отримує вірус. Вірус знаходить і "заражає" інші програми, а також виконує які-небудь шкідливі дії (наприклад, псує файли або таблицю розміщення файлів на диску, "засмічує" оперативну пам'ять і т. д.). Вірус - це програма, здатна до самовідтворення. Така здатність є єдиною властивістю, що властиво всім типам вірусів. Вірус не може існувати в "повній ізоляції". Це означає, що сьогодні не можна уявити собі вірус, який би так чи інакше не використовував код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина цього досить зрозуміла: вірус має яких-небудь способом забезпечити передачу собі управління.

    Основні типи комп'ютерних вірусів

    Існує абсолютно формальна система, що дозволяє класифікувати комп'ютерні віруси і називати їх таким чином, щоб уникнути ситуації, коли один і той же вірус має невпізнанно різні імена в класифікації різних розробників антивірусних програм. Незважаючи на це, все ще не можна сказати про повну уніфікації імен і характеристик вірусів. Значною мірою це визначається тим, що до моменту, коли були сформульовані деякі "правила гри", вже існували антивірусні засоби, що працюють у власній системі позначень. Загальна уніфікація зажадала б докласти значних зусиль і модифіковані програми та документацію. У ряді випадків це було зроблено. Ми будемо виходити з того, що звичайному користувачеві немає необхідності вникати в всі тонкощі функціонування вірусу: об'єкти атаки, способи зараження, особливості прояву та ін Але бажано знати, якими бувають віруси, розуміти загальну схему їхньої роботи.

    Серед усього різноманітності вірусів можна виділити наступні основні групи:

    - завантажувальні віруси; так називають віруси, що заражають завантажувальні сектори дискет і вінчестерів;

    - файлові віруси; в простому випадку такі віруси заражають виконувані файли; якщо з завантажувальними вірусами все більш-менш зрозуміло, то файлові віруси - це набагато менш визначене поняття; достатньо, наприклад, сказати, що файловий вірус може взагалі не модифіковані файл (віруси-супутники і віруси сімейства Dir-II);

    -- завантажувально-файлові віруси; такі віруси мають здатність заражати як код завантажувальних секторів, так і код файла. Таких вірусів не дуже багато, але серед них зустрічаються надзвичайно злобні екземпляри (наприклад, відомий вірус OneHalf).

    - Віруси, написані на т.зв. макромови, формально є файловими, але заражають НЕ виконувані файли, а файли даних, правда, влаштовані так, що їх можна заражати, - це вже на совісті видавців програмного забезпечення. Прикладом На сьогоднішній день це найпоширеніший тип вірусів. Деякі з них можуть самостійно поширюватися по електронній пошті, беручи базу адрес з MicrosoftOutlook.

    - Троянські коні, спеціально написані програми, які дозволяють отримати доступ до іншого комп'ютера або потрібну інформацію. Зазвичай цей тип вірусів не може самостійно розмножуватися і потрапляє на комп'ютер під виглядом іншої програми або по електронній пошті.

    Зіпсовані і заражені файли

    Комп'ютерний вірус може зіпсувати, тобто змінити належним чином, будь-який файл на на комп'ютері дисках. Але деякі види файлів вірус може заразити. Це означає, що вірус може "потрапити" в ці файли, тобто змінити їх так, що вони будуть містити вірус, який за певних обставин може розпочати свою роботу.

    Слід помітити, що тексти програм і документів, інформаційні файли баз даних, таблиці табличних процесорів і інші аналогічні файли не можуть бути заражені вірусом, він може їх тільки зіпсувати.

    Вірусом можуть бути заражені наступні види файлів:

    1. Здійснимих файли, тобто файли з розширеннями імені. COM і. EXE, а також оверлейной файли, завантаження під час виконання інших програм. Вірус у заражених здійснимих файлах починає свою роботу під час запуску тієї програми, в якій він знаходиться. Найбільш небезпечні ті файлові віруси, які після свого запуску залишаються в пам'яті резидентної - вони можуть заражати файли і шкодити до наступної перезавантаження комп'ютера. А якщо вони заразилися будь-яку програму, яка завантажується з файлу AUTOEXEC.BAT або CONFIG.SYS, то і при перезавантаженні з жорсткого диска вірус знову розпочне свою роботу.

    2. Завантажувач операційної системи і головна завантажувальний запис жорсткого диска. Ці області вражають завантажувальний вірус.

    Такий вірус починає свою роботу при початковому завантаженні комп'ютера і стає резидентним, тобто постійно знаходиться в пам'яті комп'ютера. Механізм розповсюдження - зараження завантажувальних записів вставляються в комп'ютер дискет. Часто такі віруси складаються з двох частин, оскільки MBR і головна запис завантаження мають невеликий розмір і в них важко розмістити цілком всю програму вірусу. Частина вірусу, що не поміщаються в них, розташовується в іншій ділянці диска, наприклад наприкінці кореневого каталогу диска або в кластері в області даних диску (зазвичай такий кластер оголошується дефектним, щоб програма вірусу не була затерта при запису даних на диск).

    3. Драйвери пристроїв, тобто файли, які вказуються в додатку Device файлу CONFIG.SYS. Вірус, що знаходиться в них, починає свою роботу при кожному зверненні до відповідного пристрою. Віруси заражають драйвери пристроїв, дуже мало поширені, оскільки драйвери рідко переписують з одного комп'ютера на інший. Те ж відноситься і до системних файлів DOS - їх зараження також теоретично можливо, але для розповсюдження малоефективно.

    Як правило, кожна конкретна різновид вірусу може заражати тільки один або два типи файлів. Найчастіше зустрічаються віруси, що заражають здійснимих файли. Деякі віруси заражають тільки. COM-файли, деякі - тільки. EXE-файли, а більшість - І ті й інші. На другому місці за поширеністю завантажувальні віруси. Деякі віруси заражають і файли, і завантажувальні області дисків. Віруси, заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичай такі віруси вміють заражати і виконані файли.

    Віруси, змінюють файлову систему

    Останнім час набули поширення віруси нового типу - віруси, що змінюють файлову систему на диску. Ці віруси зазвичай називаються Dir. Такі віруси ховають своє тіло в деякий ділянку диску (зазвичай - в останній кластер диска) і позначають його в таблиці розміщення файлів (FAT) як кінець файлу. Для всіх. COM-і . EXE-файлів містяться у відповідних елементах каталогу покажчики на перша ділянка файлу замінюються посиланням на ділянку диска, що містить вірус, а правильний покажчик у закодованому вигляді ховається в невикористаної частини елемента каталогу. Тому при запуску будь-якої програми в пам'ять завантажується вірус, після чого він залишається в пам'яті резидентної, підключається до програм DOS для обробки файлів на диску і при всіх зверненнях до елементів каталогу видає правильні посилання.

    Таким чином, при працюючому вірус файлова система на диску видається цілком нормальною. При поверхневій перегляді зараженого диска на "чистому" комп'ютері нічого дивного не спостерігається. Хіба лише при спробі прочитати або скопіювати з зараженої дискети програмні файли в них будуть прочитані або скопійовані тільки 512 або 1024 байта, навіть якщо файл набагато довше. А при запуску будь-якої виконуваної програми з зараженого таким вірусом диска цей диск, як по помахом чарівної палички, починає здаватися справним (не дивно, адже комп'ютер при цьому стає зараженим).

    При аналізі на "Чистому" комп'ютері за допомогою програм ChkDsk або NDD файлова система зараженого Dir-вірусом диска здається зовсім зіпсованою. Так, програма ChkDsk видає купу повідомлень про пересічних файлів ( "... cross linked on cluster ...") і про ланцюжках втрачених кластерів ( "... lost clusters found in ... chains "). Не слід виправляти ці помилки програмами ChkDsk або NDD - при це диск виявиться безнадійно зіпсованим. Для виправлення заражених цими вірусами дисків треба використовувати тільки спеціальні антивірусні програми (наприклад, останні версії Aidstest).

    "Невидимі" і самомодіфіцірующіеся віруси

    Щоб запобігти своє виявлення, деякі віруси застосовують досить хитрі прийоми маскування. Мова піде про двох з них: "невидимих" і самомодіфіцірующіхся віруси.

    "Невидимі" віруси. Багато резидентні віруси (і файлові, і завантажувальні) запобігають своє виявлення тим, що перехоплюють звернення DOS (і тим самим прикладних програм) до заражених файлів і областях диска і видають їх у вихідному (незараженою) вигляді. Зрозуміло цей ефект спостерігається тільки на зараженому комп'ютері - на "Чистому" комп'ютері зміни у файлах і завантажувальних областях диска можна легко виявити.

    Зауважимо, деякі антивірусні програми можуть виявляти "невидимі" віруси навіть на зараженому комп'ютері. Так, програма ADinf фірми "Діалог-Наука" для цього виконує читання диска, не користуючись послугами DOS, а програма AVSP фірми "Диалог-МГУ" - "відключає" на час перевірки вірус (останній метод працює не завжди).

    Деякі антивірусні програми використовують для боротьби з вірусами властивість "невидимих" файлових вірусів "виліковувати" заражені файли. Вони зчитують (при працюючому вірус) інформацію із заражених файлів і записують їх на диск у файл або файли, де ця інформація зберігається в неспотвореному вигляді. Потім, вже після завантаження з "чистою" дискети, виконані файли відновлюються у вихідному

    Самомодіфіцірующіеся віруси. Інший спосіб, який застосовується вірусами для того, щоб сховатися від виявлення, - модифікація свого тіла. Багато вірусів зберігають велику частину свого тіла в закодованому вигляді, щоб з допомогою дизассемблер не можна було розібратися в механізмі їх роботи. Самомодіфіцірующіеся віруси використовують цей прийом і часто змінюють параметри цієї кодування, а крім того, змінюють і свою стартову частину, яка служить для розкодування інших команд вірусу. Таким чином, в тілі такого вірусу не є ні одні з сталого ланцюжка байтів, за якою можна було б ідентифікувати вірус. Це, природно, утруднює знаходження таких вірусів програмами-детекторами.

    Однак програми-детектори все-таки навчилися ловити "прості" самомодіфіцірующіеся віруси. У цих віруси варіації механізму розшифровки закодованою частини вірусу стосуються тільки використання тих чи інших регістрів комп'ютера, констант шифрування, додавання "незначущих" команд і т.д. І програми-детектори пристосувалися виявляти команди у стартовій частини вірусу, не дивлячись на маскуючі зміни до них. Але останнім часом з'явилися віруси з надзвичайно складними механізмами самомодіфікаціі. У них стартова частина вірусу генерується автоматично за досить складних алгоритмах: кожна значуща інструкція розшифровувача передається одним із сотень тисяч можливих варіантів, при цьому використовується більше половини всіх команд Intel-8088. Проблема розпізнавання таких вірусів досить складна, і повністю надійного рішення поки не отримала. Втім, у деяких антивірусних програмах є засоби для знаходження подібних вірусів, а в програмі Dr. Web - також і евристичні методи виявлення "підозрілих" ділянок програмного коду, типові для самомодіфіцірующіхся вірусів.

    Основні методи захисту від комп'ютерних вірусів

    Для захисту від вірусів можна використовувати:

    - загальні засоби захисту інформації, які корисні також і як страховка від фізичної псування дисків, неправильно працюючих програм або помилкових дій користувачів;

    профілактичні заходи, що дозволяють зменшити ймовірність зараження вірусом;

    спеціалізовані програми для захисту від вірусів.

    Загальні засоби захисту інформації корисні не тільки для захисту від вірусу. Є дві основні різновиди цих коштів:

    копіювання інформації - створення копій файлів і системних областей дисків;

    розмежування доступу запобігає несанкціоноване використання інформації, в Зокрема, захист від змін програм і даних вірусами, неправильно працюючими програмами та помилковими діями користувачів.

    Незважаючи на те, що загальні засоби захисту інформації дуже важливі для захисту від вірусів, все ж таки їх самих недостатньо. Необхідно і застосування спеціалізованих програм для захисту від вірусів. Ці програми можна розділити на кілька видів: детектори, доктора (фаги), ревізори (програми контролю змін у файлах і системних областях дисків), доктори-ревізори, фільтри (резидентні програми для захисту від вірусів) і вакцини (іммунізатори). Наведемо короткі визначення цих понять, а потім розглянемо їх детально.

    Програми-детектори дозволяють виявити файли, заражені одним з декількох відомих вірусів.

    Програми-доктора, або фаги, "лікують" заражені програми або диски, "викусивая" із заражених програм тіло вірусу, тобто відновлюючи програму в тому стані, в якому вона перебувала до зараження вірусом.

    Програми-ревізори спочатку запам'ятовують відомості про стан програм і системних областей дисків, а потім порівнюють їх стан з початковим. При виявленні невідповідностей про це повідомляється користувачеві.

    Доктора-ревізори - Це гібриди ревізорів і докторів, тобто програми, які не тільки виявляють зміни у файлах і системних областях дисків, а й можуть у разі змін автоматично повернути їх в початковий стан.

    Програми-фільтри розташовуються резидентної в оперативній пам'яті комп'ютера і перехоплюють ті звернення до операційної системи, що використовуються вірусами для розмноження та завдання шкоди, і повідомляють про них користувачеві.

    Програми-вакцини, або іммунізатори, модифікують програми і диски таким чином, що це не відбивається на роботі програм, але той вірус, від якого здійснюється вакцинація, вважає ці програми або диски вже зараженими. Ці програми вкрай неефективні і далі не розглядаються.

    Програми-детектори і доктора

    У більшості випадків для виявлення вірусу, що заразив Ваш комп'ютер, можна знайти вже розроблені програми-детектори. Ці програми перевіряють, чи є у файлах на вказаному користувачем диску специфічна для даного вірусу комбінація байтів. При її виявленні в будь-якому файлі на екран виводиться соответствущее повідомлення. Багато детектори мають режими лікування або знищення заражених файлів.

    Слід підкреслити, що програми-детектори можуть виявляти тільки ті віруси, які їй "відомі". Програма Scan фірми McAfee Associates і Aidstest Д. Н. Лозинського дозволяють виявляти близько 1000 вірусів, але всього їх більше п'яти тисяч! Деякі програми-детектори, наприклад Norton AntiVirus або AVSP фірми "Диалог-МГУ", можуть налаштовуватися на нові типи вірусів, їм необхідно вказати лише комбінації байтів, властиві цих вірусів. Проте неможливо розробити таку програму, яка могла б виявляти будь-якої заздалегідь невідомий вірус.

    Таким чином, з того, що програма не розпізнається детекторами як заражена, не слід, що вона здорова - у ній можуть сидіти який-небудь новий вірус або злегка модифікована версія старого вірусу, невідомі програмами-детекторів.

    Програми-ревізори

    Програми-ревізори мають дві стадії роботи. Спочатку вони запам'ятовують відомості про стан програм і системних областей дисків (завантажувального сектора і сектора з таблицею розбиття жорсткого диска). Передбачається, що в цей момент програми і системні області дисків не заражені. Після цього за допомогою програми-ревізора можна в будь-який момент порівняти стан програм і системних областей дисків з вихідним. Про виявлені невідповідності повідомляється користувачеві.

    Багато користувачі включають команду запуску програми-ревізора в командний файл AUTOEXEC.BAT, щоб перевірка стану програм та д?? Сков проходила при кожній завантаженні операційної системи. Це дозволяє виявити зараження комп'ютерним вірусом, коли він ще не встиг завдати великої шкоди. Більше того, та ж програма-ревізор зможе знайти ушкоджені вірусом файли.

    При кожному запиті не "підозріле" дію на екран комп'ютера виводиться повідомлення про те, яку дію обов `язковою, і яка програма бажає його виконати. Можна або дозволити виконання цієї дії, або заборонити його.

    Що можуть і чого не можуть комп'ютерні віруси

    Через незнання механізму роботи комп'ютерних вірусів, а також під впливом різних чуток і некомпетентних публікацій у пресі часто створюється своєрідний комплекс боязні вірусів, т.зв. "Вірусофобія". Цей комплекс має два прояви.

    1. Схильність приписувати будь-яке пошкодження даних або незвичайне явище на комп'ютері дії вірусів. Наприклад, не форматується дискета, це для "вірусофоба" не можливий дефект дискети або дисковода, а дія вірусу. Якщо на жорсткому диску з'являється зіпсований блок, то в цьому теж, зрозуміло, винен вірус. На самом ж незвичайні явища на комп'ютері частіше викликані помилками користувача, програм або дефектами обладнання.

    2. Перебільшені уявлення про можливості вірусів. Деякі думають, наприклад, що досить вставити в дисковод заражену дискету, щоб комп'ютер заразився вірусом. Поширена також думка, що для комп'ютерів, об'єднаних

    в мережу, або навіть просто стоять в одній кімнаті, зараження одного комп'ютера обов'язково тут же приведе до зараження інших.

    Кращим ліками від вірусофобіі є знання того, як працюють віруси, що вони можуть і чого не можуть. Віруси є звичайними програмами і не можуть здійснювати ніяких надприродних дій.

    Для того щоб комп'ютер заразився вірусом, необхідно, щоб на ньому хоча б один раз була виконана програма, що містить вірус. Тому первинне зараження комп'ютера вірусом може відбутися в одному з наступних випадків:

    - на комп'ютері була виконана заражена програма типу. COM або. EXE або заражений модуль оверлейной програми;

    - комп'ютер завантажувався з дискети, яка містить заражений завантажувальний сектор;

    на комп'ютері була встановлена заражена операційна система або заражений драйвер пристрої;

    Звідси випливає, що немає ніяких підстав боятися зараження комп'ютера вірусом, якщо:

    на комп'ютер переписуються тексти програм, документів, інформаційні файли баз даних або електронних таблиць і т.д. Ці файли не є програмами, а тому вони не можуть бути заражені вірусом;

    на незараженою комп'ютері проводиться копіювання файлів з однієї дискети на іншу. Якщо комп'ютер "здоровий", то ні він сам, ні скопіювати, дискети не будуть заражені вірусом. Єдиний варіант передачі вірусу в цій ситуації - це копіювання зараженого файлу: при цьому його копія, зрозуміло, теж буде "заражена", але ні комп'ютер, ні якісь інші файли заражені не будуть;

    за допомогою наявних на жорсткому диску комп'ютера незараженою текстових процесорів, табличних процесорів, систем управління базами даних та інших програм обробляються інформаційні файли, що містяться на дискетах.

    Список літератури

    Інформатика. Комп'ютерні віруси.// Додаток до газети "Перше вересня", 1997 р. № 37

    В. Е. фігурні. IBM PC для користувача. 1998

    Що ми знаємо про віруси.// Компьютерра, 1999 р. № 12

    Для підготовки даної роботи були використані матеріали з сайту http://referat2000.bizforum.ru/

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status