дивитися на реферати схожі на "Комп'ютерні віруси" p>
Комп'ютерний вірус - це спеціально написана невелика за розмірамипрограма, яка може "приписувати" себе до інших програм (тобто
"заражати" їх), а також виконувати різні небажані дії накомп'ютері. Програма, всередині якої знаходиться вірус, називається
"зараженої". Коли така програма починає роботу, то спочатку управлінняотримує вірус. Вірус знаходить і "заражає" інші програми, а такожвиконує які-небудь шкідливі дії (наприклад, псує файли аботаблицю розміщення файлів на диску, "засмічує" оперативну пам'ять іт.д.). Для маскування вірусу дії по зараженню інших програм інанесення шкоди можуть виконуватися не завжди, а, скажімо, при виконанніпевних умов. Після того як вірус виконає потрібні йому дії,він передає управління тій програмі, в якій він знаходиться, і вонапрацює також, як звичайно. Тим самим зовні робота зараженої програмивиглядає так само, як і незараженою. p>
Багато різновиди вірусів влаштовані так, що при запуску зараженої програми вірус залишається резидентного, тобто до перезавантаження DOS, в пам'ятікомп'ютера і час від часу заражає програми і виконує шкідливідії на комп'ютері. p>
Комп'ютерний вірус може зіпсувати, тобто змінити неналежнимчином, будь-який файл на що мають у комп'ютері дисках. Але деякі видифайлів вірус може "заразити". Це означає, що вірус може "потрапити"в ці файли, тобто змінити їх так, що вони будуть містити вірус, якийза деяких обставин може почати свою роботу. p>
Слід зауважити, що тексти програм і документів, інформаційніфайли без даних, таблиці табличних процесорів і інші аналогічні файли не можуть бути заражені вірусом, він може їх тільки зіпсувати. p>
------- ПРОЯВ НАЯВНОСТІ ВІРУСУ У РОБОТІ НА ПЕОМ ------ - p>
Всі дії вірусу можуть виконуватися достатньо швидко і безвидачі будь-яких повідомлень, тому користувачеві дуже важко помітити,що в комп'ютері відбувається щось незвичайне. p>
Поки на комп'ютері заражене відносно мало програм, наявністьвірусу може бути практично непомітно. Однак після деякогочасу на комп'ютері діється щось дивне, наприклад: p>
* деякі програми перестають працювати або починають працюватинеправильний но; p>
* на екран виводяться сторонні повідомлення, символи і т.д.; p>
* робота на комп'ютері істотно сповільнюється; p>
* деякі файли виявляються зіпсованими і т.д. p>
До цього моменту, як правило, вже досить багато (або навітьбільшість) програм є зараженими вірусом, а деякі файли ідиски - зіпсованими. Більш того, заражені програми з одного комп'ютерамогли бути перенесені за допомогою дискет або по локальній мережі на іншікомп'ютери. p>
Деякі види вірусів ведуть себе ще більш підступно. Вониспочатку непомітно заражають велику кількість програм або дисків, а потімпрічняют дуже серйозні пошкодження, наприклад формують весь жорсткий дискна комп'ютері. А бувають віруси, які намагаються вести себе як можнабільше непомітно, але потроху і поступово псують дані на жорсткому дискукомп'ютера. p>
Таким чином, якщо не вживати заходів щодо захисту від вірусу, тонаслідки зараження комп'ютера можуть бути дуже серйозними. p>
-------- РІЗНОВИДИ КОМП'ЮТЕРНИХ ВІРУСІВ -------- p>
Кожна конкретна різновид вірусу може заражати тільки одинабо два типи файлів. Найчастіше зустрічаються віруси, що заражають здійснимихфайли. Деякі віруси заражають і файли, і завантажувальні області дисків.
Віруси, що заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичайтакі віруси вміють заражати і виконані файли. p>
Останнім часом набули поширення віруси нового типу --віруси, що мають файлову систему на диску. Ці віруси зазвичай називаються
DIR. Такі віруси ховають своє тіло в деякий ділянку диску (зазвичай - востанній кластер диска) і позначають його в таблиці розміщення файлів (FAT)як кінець файлу. p>
Щоб запобігти своє виявлення, деякі віруси застосовуютьдосить хіт -рие прийоми маскування. Я розповім про два з них: "невидимих" ісамомодіфіцірую -трудящих віруси. p>
"невидимих" віруси. Багато резидентні віруси (і файлові, ізавантажувальні)запобігають своє виявлення тим, що перехоплюють звернення DOS (ітим самимприкладних програм) до заражених файлів і областях диска і видають їх увихідному
(незараженою) вигляді. Зрозуміло, цей ефект спостерігається тільки назараженомукомп'ютері - на "чистому" комп'ютері зміни у файлах і завантажувальнихобластяхдиску можна легко виявити. p>
САМОМОДІФІЦІРУЮЩІЕСЯ віруси. Інший спосіб, який застосовується вірусами длятого,щоб сховатися від виявлення, - модифікація свого тіла. Багато вірусівзберігаютьбільшу частину свого тіла в закодованому вигляді, щоб з допомогоюдизассемблерне можна було розібратися в механізмі їх роботи. Самомодіфіцірующіеся вірусииспо -льзуют цей прийом і часто змінюють параметри цієї кодування, а крім того,змінять -ють і свою стартову частину, яка служить для розкодування інших команд ви -руса. Таким чином, в тілі подібного вірусу нема жодноїпостійної це -нирки байтів, по якій можна було б ідентифікувати вірус. Це,естествен -але, ускладнює знаходження таких вірусів програмами-детекторами. p>
-------- МЕТОДИ ЗАХИСТУ ВІД КОМП'ЮТЕРНИХ ВІРУСІВ -------- p>
Яким би не був вірус , користувачеві необхідно знати основні методизахистувід комп'ютерних вірусів. p>
Для захисту від вірусів можна використовувати: p>
* загальні засоби захисту інформації, які корисні також і якстраховка від фізичного псування дисків, неправильно працюючих програм абопомилковий-них дій користувача; p>
* профілактичні заходи, що дозволяють зменшити ймовірністьзараження ви-русом; p>
* спеціалізовані програми для захисту від вірусів. p>
Загальні засоби захисту інформації корисні не тільки для захисту відвірусів. Назва -ются два основні різновиди цих коштів: p>
* копіювання інформації - створення копій файлів і системнихобластей дисків; p>
* розмежування доступу запобігає несанкціонованевикористання інформації, зокрема, захист від змін програм і данихвірусу-ми, неправильно працюючими програмами та помилковими діямикористу-Ватель. p>
Незважаючи на те, що загальні засоби захисту інформації дуже важливі длязахистувід вірусів, все ж їх недостатньо. Необхідно і застосуванняспеціалізованихпрограм для захисту від вірусів. Ці програми можна розділити на кілька ви -дів: детектори, доктора (фаги), ревізори, доктори-ревізори, фільтри тавакцини
(іммунізатори). p>
ПРОГРАМИ-ДЕТЕКТОРИ дозволяють виявляти файли, заражені одним зНЕСК -лькіх відомих вірусів. Ці програми перевіряють, чи є у файлах науказан -ном користувачем диску специфічна для даного вірусу комбінація байтів.
Приїї виявлення в будь-якому файлі на екран виводиться відповіднеповідомлення.
Багато детектори мають режими лікування або знищення заражених файлів. P>
Слід підкреслити, що програми-детектори можуть виявляти тількиті ви -руси, які їй "відомі". Програма Scan фірми McAfee Associates і
Aidstest
Д. Н. Лозинського дозволяють виявляти близько 1000 вірусів, але всього їх більшеп'ятитисяч! Деякі програми-детектори, наприклад Norton AntiVirus або AVSPфірми
"Диалог-МГУ", можуть настроювати на нові типи вірусів, їм необхідно лишеука -мовити комбінації байтів, властиві цих вірусів. Тим не міння неможливорозробити конструкціютать таку програму, яка могла б виявляти будь-якої заздалегідьневідомийвірус. p>
Таким чином, з того, що програма не розпізнається детекторами якзаражений -ва, не випливає, що вона здорова - у ній можуть сидіти який-небудь новийвірусабо злегка модифікована версія старого вірусу, невідомі програмами -детек -Торам. p>
Багато програми-детектори (у тому числі і Aidstest) не вміютьвиявляти за -раженіе "невидимими" вірусами, якщо такий вірус активний в пам'ятікомп'ютера. Де -ло в тому, що для читання диска вони використовують функції DOS, а вониперехоплюютьсявірусом, який говорить, що все добре. Правда, Aidstest та іншідетекторинамагаються виявити вірус шляхом перегляду оперативної пам'яті, але протидеяких
"хитрих" вірусів це не допомагає. Так що надійний діагноз програми -детекторидають тільки при завантаженні DOS з "чистою", захищеної від запису дискети, прицекопія програми-детектора також повинна бути запущена з цієї дискети. p>
Деякі детектори, скажімо, ADinf фірми "Діалог-Наука", вміють ловити
"Неви -дімие "віруси, навіть коли вони активні. Для цього вони читають диск, невикористовуючивиклики DOS. Щоправда, цей метод працює не на всіх дисководах. P>
Більшість програм-детекторів мають функцію "доктора", тобто вонинамагаютьсяповернути заражені файли або області диска в їх початковий стан. Тіфайли, ко -торие не вдалося відновити, як правило, робляться непрацездатними абоуда -ляють. p>
Більшість програм-докторів вміють "лікувати" тільки від деякогофіксований -ного набору вірусів, тому вони швидко старіють. Але деякі програмиможутьнавчатися не тільки способам виявлення, а й нових способів лікуваннявірусів.
До таких програм відноситься AVSP фірми "Диалог-МГУ". P>
ПРОГРАМИ-ревізор мають дві стадії роботи. Спочатку вони запам'ятовуютьвідомості простан програм і системних областей дисків (завантажувального сектора ісектору зтаблицею розбиття жорсткого диска). Передбачається, що в цей моментпрограмита системні області дисків не заражені. Після цього за допомогою програми -ревізораможна в будь-який момент порівняти стан програм і системних областейдисків звихідним. Про виявлені невідповідності повідомляється користувачеві. P>
Щоб перевірка стану програм і дисків проходила при кожному завантаженніопе -ротаційний системи, необхідно включити команду запуску програми-ревізорав ко -мандний файл AUTOEXEC.BAT. Це дозволяє виявити зараження комп'ютернимвиру -сом, коли він ще не встиг завдати великої шкоди. Більше того, та жпрограма-
-ревізор зможе знайти ушкоджені вірусом файли. p>
Багато програми-ревізори є досить "інтелектуальними" - вониможутьвідрізняти зміни у файлах, викликані, наприклад, переходом до нової версіїпро -грами, від змін, що вносяться вірусом, і не піднімають помилкової тривоги.
Річ уті, що віруси зазвичай змінюють файли дуже специфічним чином івиробляютьоднакові зміни в різних програмних файлах. Зрозуміло, що в нормальнійситу -родної асоціації такі зміни практично ніколи не зустрічаються, тому програма -реви -зор, зафіксувавши факт таких змін, може з упевненістю повідомити, що вонивикликані саме вірусом. p>
Слід зауважити, що багато програм-ревізори не вміють виявлятизаражений -ние "невидимими" вірусами, якщо такий вірус активний в пам'яті комп'ютера. Аленеко -торие програми-ревізори, наприклад ADinf фірми "Діалог-Наука", все ж такивміють де -лать це, не використовуючи виклики DOS для читання диска (правда, вони працюютьне навсіх дисководах). Інші програми часто використовують різні напівзаходи --намагаютьсявиявити вірус в оперативній пам'яті, вимагають виклики з першого рядкафайлу
AUTOEXEC.BAT, сподіваючись працювати на "чистому" комп'ютері, і т.д. На жаль протинекот -яких "хитрих" вірусів все це марно. p>
Для перевірки того, чи не змінився файл, деякі програми-ревізорипро -вірячи довжину файлу. Але ця перевірка недостатня - деякі віруси незмінюютьдовжину заражених файлів. Більш надійна перевірка - прочитати весь файл іобчислюва -лити його контрольну суму. Змінити файл так, щоб його контрольна сумаоста -лась колишньою, практично неможливо. p>
Останнім часом з'явилися дуже корисні гібриди ревізорів і докторів,тобто
ДОКТОРА-ревізора, - програми, які не тільки виявляють зміни вфайлахі системних областях дисків, а й можуть у разі змін автоматичноповернутиїх в початковий стан. Такі програми можуть бути набагато більшеуніверсальними,ніж програми-доктори, оскільки при лікуванні вони використовують заздалегідьзбереженуінформацію про стан файлів і областей дисків. Це дозволяє їмвиліковуватифайли навіть від тих вірусів, які не були створені на момент написанняпрограми. p>
Але вони можуть лікувати не від усіх вірусів, а тільки від тих, яківикористовують
"стандартні", відомі на момент написання програми, механізми зараженняфай -лов. p>
Існують також ПРОГРАМИ-ФІЛЬТРИ, які розташовуються резидентної вопера -ефективної пам'яті комп'ютера і перехоплюють ті звернення до операційноїсистемі,які використовуються вірусами для розмноження і нанесення шкоди, іповідомляють проних користувача. Користувач може дозволити або заборонити виконаннявідпо -ціалу операції. p>
Деякі програми-фільтри не "ловлять" підозрілі дії, аперевіряютьвикликаються на виконання програми на наявність вірусів. Це викликаєуповільненняроботи комп'ютера. p>
Однак переваги використання програм-фільтрів дуже значні
- Вонидозволяють виявити багато вірусів на самій ранній стадії, коли вірусще невстиг розмножитися і що-небудь зіпсувати. Тим самим можна звести збитки відвірусудо мінімуму. p>
ПРОГРАМИ-ВАКЦИНИ, або ІММУНІЗАТОРИ, модифікують програми і дискитакимчином, що це не відбивається на роботі програм, але той вірус, відякогопроводиться вакцинація, вважає ці програми або диски вжезараженими. Ціпрограми є вкрай неефективним. p>
Жоден тип антивірусних програм окремо не дає повного захисту відвірусів. Найкращою стратегією захисту від вірусів є багаторівнева,
"Ешелон -рованная "оборона. Опишу структуру цієї оборони. p>
Засобам розвідки в" обороні "від вірусів відповідають програми -детектори,що дозволяють перевіряти знову отримане програмне забезпечення нанаявністьвірусів. p>
На передньому краї оборони знаходяться програми-фільтри. Ці програмиможуть пер -вимі повідомити про роботу вірусу і запобігти зараження програм і дисків. p>
Другий ешелон оборони складають програми-ревізори, програми-доктори тадок -тора-ревізори. p>
найглибший ешелон оборони - це засоби розмежування доступу.
Вони недозволяють вірусам і невірно працюючим програмам, навіть якщо вони проникли вком -пьютер, зіпсувати важливі дані. p>
В "стратегічному резерві" знаходяться архівні копії інформації. Цедозволяєвідновити інформацію при її ушкодженні. p>
Це неформальне опис дозволяє краще зрозуміти методику застосуванняантіві --вірусні коштів. p>
---------- ДІЇ При зараженні вірусом ---------- p>
При зараженні комп'ютера вірусом (або при підозрі на це) важливодотримуватися
4-е правила: p>
1) Перш за все не треба поспішати і приймати необачнихрішень.
Непродумані дії можуть призвести не тільки до втрати частини файлів, але допов -битим зараження комп'ютера. p>
2) Треба негайно вимкнути комп'ютер, щоб вірус непродовжувавсвоїх руйнівних дій. p>
3) Всі дії з виявлення виду зараження і лікуваннякомп'ютераслід виконувати під час завантаження комп'ютера з захищеної від запису дискети з
ОС
(обов'язкове правило). p>
4) Якщо Ви не володієте достатніми знаннями та досвідом длялікуваннякомп'ютера, попросіть допомогти більш досвідчених колег. p>
p>