ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Боротьба з комп'ютерними вірусами
         

     

    Інформатика, програмування


    Зміст
    Введення ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 2
    Методи боротьби з вірусами ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .3
    Класифікація антивірусів ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 4
    Який антивірус краще ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 6
    Методика використання антивірусних програм ... ... ... ... ... ... 8
    Виявлення окремих груп вірусів ... ... ... ... ... ... ... ... ... ... ... 12
    Звідки беруться віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 15
    Кілька практичних порад ... ... ... ... ... ... ... ... ... ... ... ... ... ... .17
    Аналіз алгоритму вірусу ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 22
    Висновок ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... .... ... 25

    Введення
    Серед набору програм, що використовується більшістю користувачівперсональних комп'ютерів кожен день, антивірусні програми традиційнозаймають особливе місце. Ці "ліки" комп'ютерного світу для програм іданих в реальному світі можна порівняти, мабуть, або з аспірином, або зконтрацептіком. Причому все "в одному флаконі". У реальному житті --неможлива суміш. Але сучасні антивірусні програми являють собоюбагатофункціональні продукти, що поєднують в собі як превентивні,профілактичні засоби, так і засоби лікування вірусів і відновленняданих.
    Вимоги до антивірусних програм досить суперечливі. З одногобоку, користувачі хочуть мати надійну, потужну антивірусний захист. Зіншого боку, вони хочуть, щоб цей захист не вимагала від користувачабагато часу й сил. І це цілком природні вимоги.
    При цьому не можна ні на мить відставати від загального розвитку комп'ютерногосвіту. Кожен рік приносить нові технології, у тому числі, і в світікомп'ютерних вірусів. Так, у 1995 році з'явився перший макровіруси,заражає документи MS Word. У 1996 з'явилися перші Win32-віруси для
    Windows 95. У 1997 р. віруси вперше почали використовувати для розповсюдженняповідомлення електронної пошти і з'явилися перші віруси, що працюють взахищеному режимі процесорів Intel (вперше цей режим з'явився в i286). У
    1998 р. був створений перший вірус, що порушує роботу апаратної частиникомп'ютерів. Це був Win95.CIH, який "спрацював" 26 квітня 1999 р. намільйонів комп'ютерів по всьому світу. У Росії цей вірус став відомий підім'ям "Чорнобиль". У самому кінці 1998 р. з'явився перший вірус для Windows
    NT.
    У 1999 р. отримали масове поширення e-mail-черв'яки (вірусніпрограми-черв'яки, які використовують для розповсюдження повідомленняелектронної пошти). Епідемія вірусу Win95.Spanska.10000 ( "Нарру99")почався 1 січня 1999 р. і продовжується до цих пір. Інший e-mail черв'як
    Melissa у березні 1999 р. паралізував роботу декількох тисяч поштовихсерверів в Європі та Америці. За масштабом березневу епідемію Meliss-и можнапорівняти з легендарним "хробаком Моріса", який у листопаді 1988паралізував роботу декількох великих комп'ютерних мереж в Америці.
    Також в 1999 р. стали дуже популярні троянські програми, що дають віддаленийдоступ до інфікованій комп'ютера через Інтернет і дозволяють крастиінформацію, наприклад, паролі. Троянські системи сімейств Back Orifice,
    NetBus, Trojan Stealth можна вільно знайти в Інтернеті, чим і користуютьсязловмисники.
    Всі ці "новинки" змушують постійно вдосконалювати антивірусніпрограми. Певною мірою боротьба з комп'ютерними вірусами дуже схожана одвічну боротьбу броні і снаряда. І в найближчому майбутньому ця боротьба наврядЧи припиниться. Але нічого страшного в цьому немає. Користувачеві важливо лише незабувати про загрозу комп'ютерних вірусів, і приймати для захисту від нихзаходи, що не вимагають у принципі великих зусиль чи спеціальних знань.
    Досить проводити регулярне резервне копіювання важливих даних ікористуватися сучасними антивірусними програмами.

    Методи боротьби з вірусами
    Способи протидії комп'ютерним вірусам можна розділити на кількагруп: профілактика вірусного зараження і зменшення передбачуваного збиткувід такого зараження; методика використання антивірусних програм, у томучислі знешкодження та видалення відомого вірусу; способи виявлення івидалення невідомого вірусу.

    Найбільш ефективні в боротьбі з комп'ютерними вірусами антивірусніпрограми. Однак відразу хотілося б відзначити, що не існуєантивірусів, що гарантують стовідсотковий захист від вірусів, і заяви проіснування таких систем можна розцінити як або недобросовіснурекламу, або непрофесіоналізм. Таких систем не існує, оскільки набудь-який алгоритм антивіруса завжди можна запропонувати контр-алгоритм вірусу,невидимого для цього антивіруса (зворотне, на щастя, теж вірно: на будь -алгоритм вірусу завжди можна створити антивірус). Більш того, неможливістьіснування абсолютного антивіруса була доведена математично на основітеорії кінцевих автоматів, автор докази - Фред Коен.
    Слід також звернути увагу на кілька термінів, що застосовуються приобговоренні антивірусних програм:
    «Хибна спрацьовування» (False positive) - детектування вірусу внезараженою об'єкті (фото, секторі або системної пам'яті). Зворотний термін
    - «False negative», тобто недетектірованіе вірусу в зараженому об'єкті.
    «Сканування на замовлення» ( «on-demand») - пошук вірусів за запитомкористувача. У цьому режимі антивірусна програма неактивна до тих пір,поки не буде викликана користувачем з командного рядка, командного файлуабо програми-розкладу (system scheduler).
    «Сканування на-льоту» ( «real-time», «on-the-fly») - постійна перевірка навіруси об'єктів, до яких відбувається звертання (запуск, відкриття, створенняі т.п.). У цьому режимі антивірус постійно активний, він присутній упам'яті «резидентний» і перевіряє об'єкти без запиту користувача.

    Класифікація антивірусів

    Сканери
    Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів ісистемної пам'яті і пошуку в них відомих і нових (невідомих сканера)вірусів. Для пошуку відомих вірусів використовуються так звані «маски».
    Маскою вірусу є деяка постійна послідовність коду,специфічну до цього конкретного вірусу. Якщо вірус не містить постійноїмаски, або довжина цієї маски недостатньо велика, то використовуються іншіметоди. Прикладом такого методу являетcя алгоритмічну мову, що описуєвсі можливі варіанти коду, які можуть зустрітися при зараженніподібного типу вірусом. Такий підхід використовується деякими антивірусамидля детектування поліморфік-вірусів.
    У багатьох сканерах використовуються також алгоритми «евристичногосканування », тобто аналіз послідовності команд в об'єкті, що перевірявся,набір деякої статистики та прийняття рішення ( «можливо заражений» чи «незаражений ») для кожного об'єкта, що перевіряється. Оскільки евристичнесканування є багато в чому ймовірносним методом пошуку вірусів, то нанього поширюються багато законів теорії ймовірностей. Наприклад, чим вищевідсоток виявлених вірусів, тим більше кількість помилкових спрацьовувань.
    Сканери також можна розділити на дві категорії - «універсальні» і
    «Спеціалізовані». Універсальні сканери розраховані на поісх ізнешкодження всіх типів вірусів незалежно від операційної системи,на роботу в якій розрахований сканер. Спеціалізовані сканерипризначені для знешкодження обмеженого числа вірусів або тількиодного їхнього класу, наприклад макро-вірусів. Спеціалізовані сканери,розраховані тільки на макро-віруси, часто виявляються найбільш зручним інадійним рішенням для захисту систем документообігу в середовищах MS Word і MS
    Excel.
    Сканери також поділяються на «резидентні» (монітори), що виробляютьсканування «на-льоту», і «нерезидентні», які забезпечують перевірку системитільки за запитом. Як правило, «резидентні» сканери забезпечують більшнадійний захист системи, оскільки вони негайно реагують на появувірусу, в той час як «нерезидентних» сканер здатний пізнати вірустільки під час свого чергового запуску.
    Позитивні сканерів всіх типів відноситься їх універсальність, донедоліків - розміри антивірусних баз, які сканерів доводиться
    «Тягати за собою», і відносно невелику швидкість пошуку вірусів.
    CRC-сканери
    Принцип роботи CRC-сканерів заснований на підрахунку CRC-сум (контрольних сум)для присутніх на диску файлів/системних секторів. Ці CRC-суми потімзберігаються в базі даних антивіруса, як, втім, і деяка іншаінформація: довжини файлів, дати їх останньої модифікації і т.д. Принаступному запуску CRC-сканери звіряють дані, що містяться в базі даних,з реально підрахованими значеннями. Якщо інформація про фото, записана вбазі даних, не збігається з реальними значеннями, то CRC-сканерисигналізують про те, що файл був змінений або заражений вірусом.
    CRC-сканери, які використовують анти-стелс алгоритми, є досить сильнимзброєю проти вірусів: практично 100% вірусів виявляються виявленимимайже відразу після їх появи на комп'ютері. Однак у цього типуантивірусів є природжений недолік, що помітно знижує їхефективність. Цей недолік полягає в тому, що CRC-сканери не здатнізловити вірус у момент його появи в системі, а роблять це лише черездеякий час, вже після того, як вірус розійшовся по комп'ютеру. CRC -сканери не можуть визначити вірус в нових файлах (у електронній пошті, надискетах, у файлах, відновлюваних з backup або при розпакуванні файлівз архіву), оскільки в їх базах даних відсутня інформація про ціфайлах. Більше того, періодично з'являються віруси, які використовують цю
    «Слабкість» CRC-сканерів, заражають тільки знову створювані файли ізалишаються, таким чином, невидимими для них.
    Блокувальники
    Антивірусні блокувальники - це резидентні програми, що перехоплюють
    «Вірус-небезпечні» ситуації і що повідомляють про це користувача. До «вірус -небезпечним »відносяться виклики на відкриття для запису в виконувані файли,запис в boot-сектора дисків або MBR вінчестера, спроби програм залишитисярезидентний і т.д., то є виклики, які характерні для вірусів в моментиз розмноження.
    Позитивні блокувальників є їхня здатність виявляти ізупиняти вірус на самій ранній стадії його розмноження, що, до речі,буває дуже корисно у випадках, коли давно відомий вірус постійно
    «Виповзає невідомо звідки». До недоліків відносяться існування шляхівобходу захисту блокувальників і велику кількість помилкових спрацьовувань, що,мабуть, і послужило причиною для практично повної відмови користувачіввід подібного роду антивірусних програм (мені, наприклад, невідомо ні проодному блокувальник для Windows95/NT - немає попиту, немає і пропозиції).
    Необхідно також відзначити такий напрямок антивірусних засобів, якантивірусні блокувальники, виконані у вигляді апаратних компонентівкомп'ютера ( «заліза»). Найбільш поширеною є вбудована в BIOSзахист від запису в MBR вінчестера. Однак, як і у випадку з програмнимиблокувальниками, "такий захист легко обійти прямий записом у портиконтролера диска, а запуск DOS-утиліти FDISK негайно викликає «неправдивеспрацьовування »захисту.
    Існує кілька більш універсальних апаратних блокувальників, але доперерахованим вище недоліків додаються також проблеми сумісності зстандартними конфігураціями комп'ютерів і складнощі при їх встановлення таналаштуванні. Все це робить апаратні блокувальники вкрай непопулярними натлі інших типів антивірусного захисту.
    Іммунізатори
    Іммунізатори діляться на два типи: іммунізатори, що повідомляють про зараження, ііммунізатори, що блокують зараження яким-небудь типом вірусу. Перші зазвичайзаписуються в кінець файлів (за принципом файлового вірусу) і при запускуфайлу кожного разу перевіряють його на зміну. Недолік у такихіммунізаторов всього один, але він летален: абсолютна нездатність повідомитипро зараження стелс-вірусом. Тому такі іммунізатори, як і блокувальники,практично не використовуються в даний час.
    Другий тип імунізації захищає систему від поразки вірусом якогосьпевного виду. Файли на дисках модифікуються таким чином, що вірусприймає їх за вже заражені (приклад - сумнозвісна рядок «MsDos»,оберігає від викопного вірусу «Jerusalem»). Для захисту відрезидентного вірусу в пам'ять комп'ютера заноситься програма, що імітуєкопію вірусу. При запуску вірус натикається на неї і вважає, що системавже заражена.
    Такий тип імунізації не може бути універсальним, оскільки не можнаімунізувати файли від всіх відомих вірусів: одні віруси вважають вжезараженими файли, якщо час створення файлу містить позначку 62 секунди, аінші - 60 секунд. Однак незважаючи на це, подібні іммунізатори вяк напівзаходи можуть цілком надійно захистити комп'ютер від новогоневідомого вірусу аж до того моменту, коли він буде визначатисяантивірусними сканерами.
    Який антивірус краще?
    Який антивірус найкращий? Відповідь буде - «будь-який», якщо на вашомукомп'ютері віруси не водяться і ви не користуєтеся вірус-небезпечнимиджерелами інформації. Якщо ж ви любитель нових програм, іграшок, ведетеактивне листування по електронній пошті і використовуєте для цього Word абообмінюєтеся таблицями Excel, то вам все-таки слід використовувати будь -або антивірус. Який саме - вирішуйте самі, проте є декілька позицій,за якими різні антивіруси можна порівняти між собою.
    Якість антивірусної програми визначається, на мій погляд, за наступнимипозиціях, наведеним у порядку зменшення їхньої важливості:

    1. Надійність і зручність роботи - відсутність «зависання» антивіруса і інших технічних проблем, що вимагають від користувача спеціальної підготовки.

    2. Якість виявлення вірусів всіх поширених типів, сканування всередині файлов-документов/табліц (MS Word, Excel, Office97), упакованих та архівних файлів. Відсутність «помилкових спрацьовувань».

    Можливість лікування заражених об'єктів. Для сканерів (див. нижче), як наслідок, важливою є також періодичність появи нових версій

    (апдейтів), тобто швидкість настройки сканера на нові віруси.

    3. Існування версій антивіруса під всі популярні платформи (DOS,

    Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux і т.д.), присутність не тільки режиму «сканування за запитом» , але й

    «сканування на льоту», існування серверних версій з можливістю адміністрування мережі.

    4. Швидкість роботи та інші корисні особливості, функції, «припарки» і

    «смакоту».
    Надійність роботи антивіруса є найбільш важливим критерієм, оскількинавіть «абсолютний антивірус» може виявитися марним, якщо він буде не взмозі довести процес сканування до кінця - «зависне» і не перевіритьчастина дисків і файлів і, таким чином, залишить вірус непоміченим всистемі. Якщо ж антивірус вимагає від користувача спеціальних знань, товін також виявиться марним - більшість користувачів простопроігнорує повідомлення антивіруса і натиснуть [OK] або [Cancel] випадковимчином, залежно від того, до якої кнопці ближче знаходиться курсор мишів даний момент. Ну а якщо антивірус буде занадто часто задавати складніпитання звичайному користувачеві, то, швидше за все, він (користувач)перестане запускати такий антивірус або навіть видалить його з диска.
    Якість детектування вірусів стоїть наступним пунктом за цілкомприродної причини. Антивірусні програми тому й називаютьсяантивірусними, що їх прямий обов'язок - ловити і лікувати віруси. Будь-якийсамий «наворочений» за своїми можливостями антивірус марний, якщо він нев стані ловити віруси або робить це не зовсім якісно. Наприклад,якщо антивірус не детектує 100% будь-якого поліморфного вірусу, то призараженні системи цим вірусом такий антивірус виявить тільки частина
    (припустимо 99%) заражених на диску файлів. Невиявленими залишиться всього
    1%, але коли вірус знову проникне в комп'ютер, то антивірус зновувиявить 99%, але вже не від усіх файлів, а тільки від знов заражених. Урезультаті жаражено на диску буде вже 1.99%. І так далі, поки всі файлина диску не будуть заражені при повному мовчанні антивіруса.
    Тому якість детектування вірусів є другим за важливістюкритерієм «лучшесті» антивірусної програми, більш важливим, ніж
    «Багатоплатформеність», наявність різноманітного сервісу і т.д. Однак якщопри цьому антивірус з високою якістю детектування вірусів викликаєвелика кількість «помилкових спрацьовувань», то його «рівень корисності» різкопадає, оскільки користувач змушений або знищувати незаражені файли,або самостійно проводити аналіз підозрілих файлів, абозвикає до частих?? помилкові спрацьовування », перестає звертати увагу наповідомлення антивіруса і в результаті пропускає повідомлення про реальний вірус.
    «Багатоплатформність» антивіруса є наступним пунктом у списку,оскільки тільки програму, розраховану на конкретну операційнусистему, може повністю використовувати функції цієї системи. «Нерідні» жантивіруси часто виявляються непрацездатними, а іноді навітьруйнівними. Наприклад, вірус «OneHalf» вразив комп'ютер звстановленими на ньому Windows95 або WindowsNT. Якщо для розшифрування диска
    (даний вірус шифрує сектора диска) скористатися DOS-антивірусом, торезультат може виявитися плачевних: інформація на диску виявитьсябезнадійно зіпсованої, оскільки Windows 95/NT не дозволить антивірусукористуватися прямими викликами читання/запису секторів при розшифровцісекторів. Антивірус ж, що є Windows-програмою, справляється з цимзавданням без проблем.
    Можливість перевірки файлів «на льоту» також є досить важливоюрисою антивіруса. Миттєва і примусова перевірка приходять накомп'ютер файлів і вставляються дискет є практично 100%-й гарантієювід зараження вірусом, якщо, звичайно, антивірус у стані детектироватьцей вірус. Дуже корисними є антивіруси, здатні постійностежити за «здоров'ям» серверів - Novell NetWare, Windows NT, а останнімчас, після масового розповсюдження макро-вірусів, і за поштовимисерверами, скануючи вхідних/вихідних пошту. Якщо ж у серверному варіантіантивіруса присутні можливість антивірусного адміністрування мережі,то його цінність ще більше зростає.
    Наступним за важливістю критерієм є швидкість роботи. Якщо на повнуперевірку комп'ютера потрібно нескольно годин, то навряд чи більшістькористувачів будуть запускати його досить часто. При цьому протяжністьантивіруса зовсім не говорить про те, що він ловить вірусів більше і робитьце краще, ніж більш швидкий антивірус. У різних антивірусах використовуютьсярізні алгоритми пошуку вірусів, один алгоритм може виявитися більшшвидким та якісним, інший - повільним і менш якісним. Всізалежить від здібностей і професіоналізму розробників конкретногоантивіруса.
    Наявність усіляких додаткових функцій і можливостей варто в спискуякостей антивіруса на останньому місці, оскільки дуже часто ці функціїніяк не позначаються на рівні «корисності» антивіруса. Однак цідодаткові функції значно спрощують життя користувача і, можеМожливо, навіть підштовхують його запускати антивірус частіше.
    Методика використання антивірусних програм
    Слідкуйте за тим, щоб антивірусні програми, що використовуються для перевірки,були самих останніх версій. Якщо до програм поставляються апдейти, топеревірте їх на «свіжість». Зазвичай вихід нових версій антивірусіванонсується, тому досить відвідати відповідні WWW/ftp/BBS.
    «Національність» антивірусів в большінстстве випадків не має значення,оскільки на сьогоднішній день процес еміграції вірусу в інші країни іімміграції антивірусних програм обмежується тільки швидкістю Internet,тому як віруси, так і антивіруси не визнають кордонів.
    Якщо на комп'ютері виявлено вірус, то саме головне - не панікувати (тим,для кого «зустріч» з вірусом - цілком буденне явище, така рекомендаціяможе здатися смішною). Паніка ніколи не доводила до добра:непродумані дії можуть призвести до сумних наслідків.
    Якщо вірус виявлений в якомусь з нових файлів і ще не проник в систему,то немає причин для занепокоєння: вбийте цей файл (або видаліть вірус улюбленоїантивірусною програмою) і спокійно працюйте далі. У разі виявленнявірусу відразу в декількох файлах на диску або в завантажувального сектору, топроблема стає більш складною, але все одно вирішуваною - антівіруснікіне дарма їдять свій хліб.
    Слід ще раз звернути увагу на термін «помилкове спрацьовування». Якщо вбудь-якому ОДНОМУ файлі, що досить довго «живе» на комп'ютері,який-небудь один антивірус виявив вірус, то це швидше за все помилковеспрацьовування. Якщо такий файл запускався кілька разів, а вірус так і непереповз в інші файли, то це дуже дивно. Спробуйте перевірити файліншими антивірусами. Якщо вони зберігають мовчання, відправте цей файл улабораторію фірми-виробника антивіруса, виявив в ньому вірус.
    Якщо ж на комп'ютері дійсно знайдений вірус, то треба зробитинаступне:
    1. У разі виявлення файлового вірусу, якщо комп'ютер підключений до мережі,необхідно відключити його від мережі і проінформувати системногоадміністратора. Якщо вірус ще не проникнув у мережу, це захистить сервер іінші робочі станції від проникнення вірусу. Якщо ж вірус уже вразивсервер, то відключення від мережі не дозволить йому знов проникнути на комп'ютерпісля його лікування. Підключення до мережі можливо лише після того, як будутьвилікувані всі сервери і робочі станції.
    При виявленні завантажувального вірусу відключати комп'ютер від мережі не слід:віруси цього типу по мережі не поширюються (природно, крім файлово -завантажувальних вірусів).
    Якщо відбулося зараження макро-вірусом замість, відключення від мережідостатньо на період лікування переконатися в тому, що відповідний редактор
    (Word/Excel) неактивний ні на одному комп'ютері.
    2. Якщо виявлено файловий або завантажувальний вірус, слід переконатися в тому,що вірус або нерезидентних, або резидентний частина вірусу знешкоджено:при запуску деякі (але не всі) антивіруси автоматично знешкоджуютьрезидентні віруси в пам'яті. Видалення вірусу з пам'яті необхідно для того,щоб зупинити його поширення. При скануванні файлів антивірусивідкривають їх, багато хто з резидентних вірусів перехоплюють цю подію ізаражають відкриваються файли. В результаті більша частина файлів виявитьсязараженою, оскільки вірус не видалений з пам'яті. Те ж саме може відбутися і ввипадку завантажувальних вірусів - все перевіряються дискети можуть виявитисязараженими.
    Якщо використовуваний антивірус не видаляє віруси з пам'яті, слідперезавантажити комп'ютер зі свідомо незараженою і захищеною від записусистемної дискети. Перезавантаження повинна бути «холодної» (клавіша Reset абовимкнення/увімкнення комп'ютера), так як деякі віруси «виживають» затеплою перезавантаження. Деякі віруси використовують прийоми, що дозволяють їм
    «Вижити» і при холодній перезавантаження (див., наприклад, вірус «Ugly»), томутакож слід перевірити в настройках BIOS пункт «послідовністьзавантаження A: C: », щоб гарантувати завантаження DOS з системної дискети, а нез зараженого вінчестера.
    Крім резидентності/нерезидентними корисно ознайомитися і з іншимихарактеристиками вірусу: типами заражаються вірусом файлів, проявами іінше. Єдиний відомий мені джерело докладної інформації даногороду практично про всі відомі віруси - «Енциклопедія вірусів AVP».
    3. За допомогою антивірусної програми потрібно відновити заражені файли іпотім перевірити їх працездатність. Перед лікуванням або одночасно з ним
    - Створити резерсние копії заражених файлів і роздрукувати або зберегти де -або список заражених файлів (log-файл антивіруса). Це необхідно длятого, щоб відновити файли, якщо лікування виявиться неуспішним черезпомилки в лікуючим модулі антивіруса або через нездатність антивірусалікувати даний вірус. У цьому випадку доведеться вдатися до допомоги будь-якогоіншого антивіруса.
    Набагато надійніше, звичайно, відновити заражені файли з backup-копії
    (якщо вона є), однак все одно будуть потрібні послуги антивіруса - раптом невсі копії вірусу будуть знищені, або якщо файли в backup-копії такожзаражені.
    Слід зазначити, що якість відновлення файлів багатьма антивіруснимипрограмами залишає бажати кращого. Багато популярних антивірусичастенько необоротно псують файли замість їх лікування. Тому якщо втратафайлів небажана, то виконувати перераховані вище пункти слід вповному обсязі.
    У випадку завантажувального вірусу необхідно перевірити всі дискети незалежно відтого, завантажувальні вони (тобто мають файли DOS) чи ні. Навіть зовсімпорожня дискета може стати джерелом розповсюдження вірусу - достатньозабути її в дисководі і перезавантажити комп'ютер (якщо, звичайно ж, в BIOS
    Setup завантажувальним диском відзначений флоппі-диск)
    Крім перерахованих вище пунктів необхідно звертати особливу увагу начистоту модулів, стислих утилітами типу LZEXE, PKLITE або DIET, файлів вархівах (ZIP, ARC, ICE, ARJ і т.д.) і даних в саморозпаковуютьсяфайлах, створених утилітами типу ZIP2EXE. Якщо випадково упакувати файл,заражений вірусом, то виявлення і видалення такого вірусу без розпакуванняфайла практично неможливо. У даному випадку типовою буде ситуація, приякої всі антивірусні програми, нездатні сканувати всерединіупакованих файлів, повідомлять про те, що від вірусів очищено всі диски, алечерез деякий час вірус з'явиться знову.
    Штами вірусу можуть проникнути і в backup-копії програмного забезпеченняпри оновленні цих копій. Причому архіви і backup-копії є основнимипостачальниками давно відомих вірусів. Вірус може роками «сидіти» вдистрибутивної копії будь-якого програмного продукту і несподіванопроявитися при встановленні програм на новому комп'ютері.
    Ніхто не гарантує повного знищення всіх копій комп'ютерного вірусу,так як файловий вірус може вразити не тільки виконувані файли, але іоверлейной модулі з розширеннями імені, аніж через COM або EXE.
    Завантажувальний вірус може залишитися на який-небудь дискеті і раптовопроявитися при випадковій спробі перезавантажитися з неї. Томудоцільно деякий час після видалення вірусу постійно користуватисярезидентним антивірусним сканером (не кажучи вже про те, що бажанокористуватися ним постійно)
    У цьому розділі розглядаються ситуації, з якими може зіткнутисякористувач у тому випадку, якщо він підозрює, що його комп'ютер ураженийвірусом, але жодна з відомих йому антивірусних програм не далапозитивного результату. Де і як шукати вірус? Які при цьомунеобхідні інструментальні засоби, якими методами слід користуватисяі яким правилам слідувати?
    Найперше правило - не панікувати. Ні до чого доброго це не приведе.
    Ви - не перший і не останній, чий комп'ютер виявився зараженим, до того жне кожен збій комп'ютера є проявом вірусу. Тому частішезгадуйте приказку - «Не такий страшний чорт, як його малюють». До того жураження вірусом не найгірше, що може трапитися з комп'ютером.
    Якщо немає впевненості у власних силах - зверніться до системногопрограмісту, який допоможе локалізувати і видалити вірус (якщо цедійсно вірус) або знайти іншу причину «дивного» поведінкикомп'ютера.
    Не слід дзвонити в антивірусні фірми з питанням: «Напевно, у мене вкомп'ютері вірус. Що мені робити? ». Допомогти вам не зможуть, оскільки длявидалення вірусу потрібно дещо більше інформації. Для того щобантивірусна фірма могла надати реальну допомогу, на її адресу слідвислати зразок вірусу - заражений файл у випадку файлового вірусу абозаражену дискету (або її файл-образ) у випадку завантажувального вірусу. Якимчином виявляються заражені файли/диски, буде розказано нижче.
    Не забувайте перед використанням антивірусних програм і утиліт завантажитикомп'ютер з резервної копії DOS, розташованої на свідомо чистою відвірусів і захищеною від запису дискеті, і надалі використовуватипрограми тільки з дискет. Це необхідно для того, щоб застрахуватися відрезидентного вірусу, тому що він може блокувати роботу програм абовикористовувати їх роботу для інфікування перевіряються файлів/дисків. Більшетого, існує велика кількість вірусів, що знищують дані на диску,якщо вони «підозрюють», що їх код може бути виявлений. Звичайно ж, цевимога ніяк не відноситься до макро-вірусів і до дисків, розміченим однимз нових форматів (NTFS, HPFS), - після завантаження DOS такий вінчестервиявиться недоступним для DOS-програм.
    Якщо в комп'ютері виявлені сліди діяльності вірусу, але видимихзмін у файлах і системних секторах дисків не спостерігається, то цілкомможливо, що комп'ютер вражений одним із «стелс»-вірусів. У цьому випадкунеобхідно завантажити DOS зі свідомо чистою від вірусів дискети, що міститьрезервну копію DOS, і діяти, як і при ураженні нерезидентнимвірусом. Проте іноді це небажано, а в ряді випадків неможливо
    (відомі, наприклад, випадки купівлі нових комп'ютерів, заражених вірусом).
    Тоді доведеться виявити і нейтралізувати резидентну частина вірусу,виконану за технологією «стелс». Виникає питання: де в пам'яті і якшукати вірус або його резидентну частина? Існує кілька способівінфікування пам'яті.
    Виявлення резидентного Windows-вірусу є вкрай складним завданням.
    Вірус, перебуваючи в середовищі Windows як додаток або VxD-двайвер, практичноневидимий, оскільки одночасно активні кілька десятків програм та
    VxD, і вірус за зовнішніми ознаками від них нічим не відрізняється. Для того,щоб виявити програму-вірус у списках активних додатків і VxD,необхідно досконально розбиратися в «нутрощах» Windows і матиповне уявлення про драйвери і додатках, встановлених на даномукомп'ютері.
    Тому єдиний прийнятний спосіб спіймати резидентний Windows-вірус --завантажити DOS, щоб переглянути запускаються файли Windows методами, описанимивище.

    Виявлення окремих груп вірусів
    Виявлення завантажувального вірусу
    У завантажувальних секторах дисків розташовані, як правило, невеликіпрограми, призначення яких полягає у визначенні розмірів і межлогічних дисків (для MBR вінчестера) або завантаженні операційної системи
    (для boot-сектора).
    На початку слід прочитати вміст сектора, підозрілого на наявністьвірусу. Для цієї мети зручно використовувати DISKEDIT з «Нортоновських утиліт»або AVPUTIL з професійного комплекту AVP.
    Деякі завантажувальні віруси практично одразу можна знайти за наявністюрізних текстових рядків (наприклад, вірус «Stoned» містить рядки: «Your
    PC is now Stoned! »,« LEGALISE MARIJUANA! »). Деякі віруси, що вражаютьboot-сектори дисків, навпаки, визначаються за відсутності рядків, якіобов'язково повинні бути присутніми в boot-секторі. До таких рядках відносятьсяімена системних файлів (наприклад, рядок «IO SYSMSDOS SYS») і рядкиповідомлень про помилки. Відсутність або зміна рядка-заголовка boot -сектора (рядок, що містить номер версії DOS або назва фірми -виробника програмного забезпечення, наприклад, «MSDOS5.0» або
    «MSWIN4.0») також може служити сигналом про зараження вірусом, якщо накомп'ютері не встановлена Windows95/NT - ці системи з невідомої меніпричини записують у заголовок завантажувальних секторів дискет випадкові рядкитексту.
    Стандартний завантажувач MS-DOS, розташований в MBR, займає менше половинисектора, і багато вірусів, що вражають MBR вінчестера, досить простопомітити зі збільшення довжини коду, розташованого в секторі MBR.
    Проте існують віруси, які впроваджуються в завантажувач без зміни йоготекстових рядків і з мінімальними змінами коду завантажувача. Для тогощоб виявити такий вірус, в більшості випадків достатньовідформатувати дискету на свідомо незараженою комп'ютері, зберегти увигляді файлу її boot-сектор, потім якийсь час використовувати її назараженому комп'ютері (записати/прочитати кілька файлів), а після цьогона незараженою комп'ютері порівняти її boot-сектор з оригінальним. Якщо вкоді завантажувального сектора відбулися зміни - вірус спійманий.
    Існують також віруси, які використовують більш складні прийоми зараження,наприклад, що змінюють при інфікуванні MBR всього 3 байти Disk Partition
    Table, відповідні адресою активного завантажувального сектора. Дляідентифікації такого вірусу доведеться провести більш детальне дослідженнякодів завантажувального сектора аж до повного аналізу алгоритму роботи йогокоду.
    Наведені міркування грунтуються на тому, що стандартні завантажувачі
    (програми, що записуються операційною системою в завантажувальні сектори)реалізують стандартні алгоритми завантаження операційної системи і оформляютьсяу відповідності з її стандартами. Якщо ж диски відформатовані утилітами,що не входять до складу DOS (наприклад, Disk Manager), то для виявлення вних вірусу слід проаналізувати алгоритм роботи та оформленнязавантажувачів, що створюються такий утилітою.
    Виявлення файлового вірусу
    Як зазначалося, віруси діляться на резидентні і нерезидентні.
    Зустрічається до сих пір резидентні віруси відрізнялися набагато більшимпідступом і витонченістю, ніж нерезидентні. Тому для початкурозглянемо найпростіший випадок - ураження комп'ютера невідомимнерезидентним вірусом. Такий вірус активізується при запуску якої-небудьінфікованої програми, робить все, що йому належить, передає управлінняпрограмі-носію і надалі (на відміну від резидентних вірусів) небуде заважати її роботі. Для виявлення такого вірусу необхідно порівнятидовжини файлів на вінчестері і в дистрибутивних копіях (згадка про важливістьзберігання таких копій вже стало банальністю). Якщо це не допоможе, тослід побайтно порівняти дистрибутивні копії з використовуваними програмами.
    В даний час розроблено досить багато утиліт такого порівнянняфайлів, сама найпростіша з них (утиліта COMP) міститься в DOS.
    Можна також переглянути дамп виконуваних файлів. У деяких випадках можнавідразу виявити присутність вірусу по наявності в його коді текстових рядків.
    Багато вірусів, наприклад, містять рядки: «. COM", "*. COM", ". EXE», «*. EXE»,
    «*.*», «MZ», «COMMAND» і т.д. Ці рядки часто зустрічаються на початку або вНаприкінці заражених файлів.
    Існує й ще один спосіб візуального визначення зараженого вірусом
    DOS-файлу. Він заснований на тому, що виконувані файли, початковий текст якихнаписаний на мові високого рівня, мають цілком певну структуру. Увипадку Borland чи Microsoft C/C + + сегмент коду програми знаходиться впочатку файлу, а відразу за ним - сегмент даних, причому на початку цьогосегмента коштує рядок-копірайт фірми-виробника компілятора. Якщо у Дамптакого файлу за сегментом даних випливає ще одна ділянка коду, то цілкомімовірно, що файл заражений вірусом.
    Те ж справедливо і для більшості вірусів, що заражають файли Windows і
    OS/2. У виконуваних файлах цих ОС стандартним є розміщеннясегментів у наступному порядку: сегмент (и) коду, за якими йдутьсегменти даних. Якщо за сегментом даних йде ще один сегмент коду, цетакож може служити сигналом про присутність вірусу.
    Користувачам, знайомим з мовою Асемблер, можна спробувати розібратися вкодах підозрілих програм. Для швидкого перегляду найкраще підходить
    HIEW (Hacker's View) або AVPUTIL. Для більш детального вивчення буде потрібнодизассемблер - Sourcer або IDA.
    Рекомендується запустити одну з резидентних антивірусних програм -блокувальників і стежити за її повідомленнями про «підозрілих» діїпрограм (запис у COM-або EXE-файли, запис на диск по абсолютному адресоюі т.п.). Існують блокувальники, які не лише перехоплюють такідії, а й повідомляють адресу, звідки надійшов «підозрілий» виклик (дотаким блокувальниками відноситься AVPTSR). Виявивши подібне повідомлення,слід з'ясувати, від якої програми воно прийшло, і проаналізувати її кодиза допомогою резидентного дизассемблер (наприклад, AVPUTIL.COM). При аналізікодів програм, резидентний що знаходяться в пам'яті, велику допомогу частонадає трасування переривань 13h і 21h.
    Слід зазначити, що резидентні DOS-блокування

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status