¿Qué es un analizador heurístico?
- El método heurístico, a diferencia del método de firma, tiene como objetivo detectar no firmas de código malicioso, sino secuencias típicas de operaciones que permiten extraer una conclusión sobre la naturaleza del archivo con un grado de probabilidad suficiente. La ventaja del análisis heurístico es que no requiere bases de datos compiladas previamente para funcionar. Debido a esto, las nuevas amenazas se reconocen antes de que los analistas de virus conozcan su actividad.
- por favor escríbeme si sabes
- El escaneo heurístico es un programa antivirus basado en firmas y heurísticas diseñado para mejorar la capacidad de los escáneres para aplicar firmas y reconocer versiones modificadas de virus cuando la firma coincide con el cuerpo. programa desconocido no al 100%, pero el programa sospechoso muestra signos más generales de un virus. esta tecnología, sin embargo, se usa con mucho cuidado en los programas modernos, ya que puede aumentar el número de falsos positivos.
- Un analizador heurístico (heuristic) es un módulo antivirus que analiza el código Archivo ejecutable y determina si el objeto que se escanea está infectado.
El análisis heurístico no utiliza firmas estándar. Por el contrario, la heurística toma una decisión sobre la base de reglas predeterminadas, a veces no del todo claras.Para mayor claridad, este enfoque se puede comparar con inteligencia artificial realizar análisis y tomar decisiones de forma independiente. Sin embargo, esta analogía capta solo parcialmente la esencia, ya que la heurística no sabe cómo aprender y, lamentablemente, tiene poca eficiencia. Según los expertos en antivirus, incluso los analizadores más modernos son incapaces de detener más del 30 % de los códigos maliciosos. Otro problema son los falsos positivos, cuando un programa legítimo se identifica como infectado.
Sin embargo, a pesar de todas las deficiencias, los métodos heurísticos aún se utilizan en los productos antivirus. El hecho es que la combinación de diferentes enfoques puede mejorar la eficiencia final del escáner. Hoy en día, las heurísticas se suministran con los productos de todos los principales actores del mercado: Symantec, Kaspersky Lab, Panda, Trend Micro y McAfee.
El análisis heurístico verifica la estructura del archivo y su conformidad con las plantillas de virus. La técnica heurística más popular consiste en comprobar el contenido de un archivo en busca de modificaciones de firmas de virus ya conocidas y sus combinaciones. Ayuda a identificar antes los híbridos y las nuevas versiones. virus conocidos sin actualización adicional de la base de datos antivirus.
El análisis heurístico se utiliza para detectar virus desconocidos y, como resultado, no implica tratamiento.
Esta tecnología no es capaz de determinar al 100% el virus que tiene delante o no, y como todo algoritmo probabilístico, peca de falsos positivos.Cualquier pregunta - será resuelta por mí, contáctenos, lo ayudaremos en todo lo que podamos
- El analizador heurístico resume las tendencias del código del programa en términos de llamadas de interrupción del sistema, extrapolando el nivel de posible malicia. Por lo tanto, se proporciona una protección equilibrada del sistema operativo.
Bueno, más o menos lo expliqué todo, ¿entiendes? ;)) - es un tipo de inteligencia artificial. en la vida real, esta tecnología no está disponible, hay algunas aproximaciones a ella, como si el propio antivirus analiza el programa y decide si es un virus o no
Programas antivirus- estos son programas cuya tarea principal es proteger contra virus, o más precisamente, contra malware.
En teoría, los métodos y principios de protección no son de particular importancia, lo principal es que deben estar destinados a combatir el malware. Pero en la práctica, la situación es algo diferente: casi cualquier programa antivirus combina en diferentes proporciones todas las tecnologías y métodos de protección contra virus que se han creado hasta la fecha.
De todos los métodos de protección antivirus, se pueden distinguir dos grupos principales:
- Métodos de firma- métodos precisos de detección de virus basados en la comparación de archivos con muestras de virus conocidas
- métodos heurísticos- métodos de detección aproximados que permiten suponer con cierta probabilidad que el archivo está infectado
análisis de firma
La palabra firma en este caso es un papel de calco para la firma inglesa, que significa "firma" o, en sentido figurado, "un rasgo característico que identifica algo". En realidad, eso lo dice todo. análisis de firma consiste en identificar los rasgos identificativos característicos de cada virus y buscar virus mediante la comparación de archivos con los rasgos identificados.
Firma de virus se considerará un conjunto de características que le permiten identificar de manera única la presencia de un virus en un archivo (incluidos los casos en que todo el archivo es un virus). Juntas, las firmas de virus conocidos conforman la base de datos antivirus.
La tarea de extraer firmas, por regla general, la resuelven personas, expertos en el campo de la virología informática, que pueden extraer el código del virus del código del programa y formular sus características en la forma más conveniente para la búsqueda. Por regla general, porque en los casos más sencillos se pueden utilizar herramientas especiales de extracción de firmas automatizadas. Por ejemplo, en el caso de simples troyanos o gusanos que no infectan a otros programas, sino que son programas enteramente maliciosos.
Casi todas las empresas antivirus tienen su propio grupo de expertos que analizan nuevos virus y actualizan la base de datos antivirus con nuevas firmas. Por esta razón, las bases de datos antivirus en diferentes antivirus difieren. Sin embargo, existe un acuerdo entre las empresas antivirus para intercambiar muestras de virus, lo que significa que, tarde o temprano, la firma de un nuevo virus ingresa en las bases de datos antivirus de casi todos los antivirus. El mejor antivirus será aquel para el que se liberó antes que nadie la firma del nuevo virus.
Un concepto erróneo común sobre las firmas es que cada firma corresponde exactamente a un virus o malware. Y como resultado, una base de datos antivirus con una gran cantidad de firmas le permite detectar más virus. En realidad no lo es. Muy a menudo, se utiliza una firma para detectar una familia de virus similares y, por lo tanto, ya no es posible suponer que el número de firmas es igual al número de virus detectados.
La relación entre el número de firmas y el número de virus conocidos es diferente para cada base de datos antivirus, y es posible que una base de datos con un número menor de firmas en realidad contenga información sobre un número mayor de virus. Si recordamos que las empresas antivirus intercambian muestras de virus, podemos suponer con un alto grado de confianza que las bases de datos antivirus de los antivirus más famosos son equivalentes.
Importante propiedad adicional firmas: detección precisa y garantizada del tipo de virus. Esta propiedad le permite agregar a la base de datos no solo las firmas en sí, sino también los métodos para tratar el virus. Si análisis de firma solo dio una respuesta a la pregunta de si hay un virus o no, pero no dio una respuesta de qué tipo de virus es, obviamente, el tratamiento no sería posible: el riesgo de realizar acciones incorrectas sería demasiado grande y, en cambio de tratamiento, para recibir pérdida adicional de información.
Otra propiedad importante, pero ya negativa, es que para obtener una firma se debe tener una muestra del virus. Como consecuencia, método de firma inadecuado para la protección contra nuevos virus, ya que hasta que el virus no haya sido analizado por expertos, es imposible crear su firma. Es por eso que todas las epidemias más grandes son causadas por nuevos virus. Desde el momento en que aparece un virus en Internet hasta que se liberan las primeras firmas, suelen transcurrir varias horas y, durante este tiempo, el virus puede infectar los equipos casi sin obstáculos. Casi, porque las herramientas de protección adicionales discutidas anteriormente, así como los métodos heurísticos utilizados en los programas antivirus, ayudan a proteger contra nuevos virus.
Análisis heurístico
La palabra "heurística" proviene del verbo griego "encontrar". La esencia de los métodos heurísticos es que la solución del problema se basa en algunos supuestos plausibles y no en conclusiones estrictas de los hechos y premisas disponibles. Dado que tal definición suena bastante complicada e incomprensible, es más fácil de explicar usando ejemplos de varios métodos heurísticos.
Si el método de firma se basa en identificar las características de un virus y buscar estas características en los archivos que se escanean, entonces el análisis heurístico se basa en la suposición (muy plausible) de que los nuevos virus a menudo resultan ser similares a algunos de los los ya conocidos. Post factum, esta suposición se justifica por la presencia en bases de datos antivirus firmas para detectar no uno, sino varios virus a la vez. Basado en esta suposición, el método heurístico consiste en buscar archivos que no coincidan completamente, pero muy de cerca, con las firmas de virus conocidos.
El efecto positivo de usar este método es la capacidad de detectar nuevos virus incluso antes de que se les asignen firmas. Lados negativos:
- Posibilidad de detectar por error un virus en un archivo cuando el archivo está realmente limpio; estos eventos se denominan falsos positivos.
- Imposibilidad de tratamiento - tanto por posibles falsos positivos, como por posible determinación inexacta del tipo de virus, un intento de tratamiento puede provocar pérdidas de información mayores que el propio virus, y esto es inaceptable
- Baja eficiencia: contra virus verdaderamente innovadores que causan las epidemias más extendidas, este tipo de análisis heurístico es de poca utilidad.
Buscar virus que realicen actividades sospechosas
Otro método, basado en la heurística, se basa en la suposición de que el malware de alguna manera busca dañar la computadora. El método se basa en la identificación de las principales acciones maliciosas, como por ejemplo:
- Borrar un archivo
- escribir en el archivo
- Escribir en áreas específicas del registro del sistema
- Abrir un puerto de escucha
- Intercepción de datos ingresados desde el teclado
- Envío de cartas
- Y etc.
Está claro que la realización de cada una de estas acciones por separado no es motivo para considerar que el programa es malicioso. Pero si un programa realiza secuencialmente varias acciones de este tipo, por ejemplo, escribe su propio inicio en la clave de ejecución automática del registro del sistema, intercepta los datos ingresados desde el teclado y envía estos datos a alguna dirección de Internet con cierta frecuencia, entonces este programa está en menos sospechoso. Un analizador heurístico basado en este principio debe monitorear constantemente las acciones que realizan los programas.
La ventaja del método descrito es la capacidad de detectar programas maliciosos previamente desconocidos, incluso si no son muy similares a los ya conocidos. Por ejemplo, un nuevo malware puede usar una nueva vulnerabilidad para infiltrarse en una computadora, pero luego comienza a realizar sus acciones maliciosas habituales. Tal programa puede ser saltado por un analizador heurístico del primer tipo, pero puede ser detectado por un analizador del segundo tipo.
Los rasgos negativos son los mismos que antes:
- Falsos positivos
- Imposibilidad de tratamiento
- Baja eficiencia
Buscar virus similares a los conocidos
Heurístico significa "encontrar". El análisis heurístico se basa en la suposición (muy plausible) de que los nuevos virus a menudo resultan ser similares a algunos conocidos. Por lo tanto, las bases de datos antivirus contienen firmas para detectar no uno, sino varios virus a la vez. Por lo tanto, el método heurístico consiste en buscar archivos que no coincidan completamente, pero muy de cerca, con las firmas de virus conocidos.
Beneficios: la capacidad de detectar nuevos virus incluso antes de que se les asignen firmas.
Falla:
- la probabilidad de detectar erróneamente la presencia de un virus en un archivo, cuando en realidad el archivo está limpio; tales eventos se denominan falsos positivos;
- Imposibilidad de tratamiento - tanto por posibles falsos positivos como por posible determinación inexacta del tipo de virus, un intento de tratamiento puede conducir a una mayor pérdida de información que el propio virus, y esto es inaceptable;
- • baja eficacia - frente a virus verdaderamente innovadores que causan las epidemias más extendidas, este tipo de análisis heurístico es de poca utilidad.
Buscar virus que realicen actividades sospechosas
Otro método, basado en la heurística, se basa en la suposición de que los programas maliciosos de una forma u otra buscan dañar la computadora, y se basa en resaltar las principales actividades maliciosas.
Por ejemplo:
- Borrar un archivo
- escribir en un archivo;
- Grabación en ciertas áreas del registro del sistema;
- Abrir un puerto de escucha
- interceptación de datos ingresados desde el teclado;
- · envío de cartas;
Realizar cada una de estas acciones por separado no es motivo para considerar que el programa es malicioso. Sin embargo, cuando el programa realiza varias acciones de este tipo en sucesión, por ejemplo, escribe el inicio de sí mismo en la clave de ejecución automática del registro del sistema, intercepta los datos ingresados desde el teclado y envía estos datos a alguna dirección de Internet con cierta frecuencia, entonces este programa, al menos, sospechoso. Un analizador heurístico basado en este principio monitorea constantemente las acciones que realizan los programas.
Ventajas: la capacidad de detectar programas maliciosos previamente desconocidos, incluso si no son muy similares a los ya conocidos (utilizando una nueva vulnerabilidad para penetrar en una computadora y luego realizando acciones maliciosas ya conocidas). Tal programa puede ser saltado por un analizador heurístico del primer tipo, pero puede ser detectado por un analizador del segundo tipo.
Desventajas:
- Falsos positivos
- imposibilidad de tratamiento;
- no de alta eficiencia.
Puede usar software antivirus sin saber cómo funciona. Sin embargo, hay tantos programas antivirus disponibles en estos días, por lo que tendrá que elegir una forma u otra. Para que esta elección sea lo más razonable posible y programas instalados siempre que se tenga el máximo grado de protección contra virus, es necesario estudiar las técnicas que utilizan estos programas.
Existen varias técnicas fundamentales para la detección y protección contra virus. El software antivirus solo puede implementar ciertas técnicas o combinaciones de las mismas.
Exploración
Cambio de detección
Análisis heurístico
monitores residentes
· Programas de vacunación
Protección de hardware contra virus
Además, la mayoría de los programas antivirus brindan reparación automática de programas infectados y sectores de arranque.
Objetos de infección
En el primer capítulo ya hablamos sobre los diferentes tipos de virus y cómo se propagan. Antes de proceder a considerar las herramientas antivirus, enumeramos las áreas del sistema de archivos de la computadora que están infectadas con virus y que deben verificarse:
Archivos ejecutables de programas, controladores
Registro de arranque maestro y sectores de arranque
· Archivos de configuración AUTOEXEC.BAT y CONFIG.SYS
documentos en formato procesador de textos Microsoft Word para ventanas
Cuando un virus residente se activa, coloca su módulo en ejecución constante en la memoria RAM de la computadora. Por lo tanto, los programas antivirus deben realizar una verificación de la RAM. Dado que los virus pueden usar no solo la memoria estándar, es conveniente realizar una verificación de la memoria superior. Por ejemplo, el antivirus Doctor Web comprueba los primeros 1088 KB de RAM.
Exploración
La técnica más simple de exploración de virus es que un programa antivirus analice secuencialmente los archivos que se analizan en busca de firmas de virus conocidos. Una firma es una secuencia única de bytes que pertenece a un virus y no se encuentra en otros programas.
Determinar la firma de un virus es una tarea bastante difícil. La firma no debe estar contenida en programas normales no infectados con este virus. De lo contrario, los falsos positivos son posibles cuando se detecta un virus en un programa completamente normal y no infectado.
Por supuesto, los programas de exploración no tienen que almacenar las firmas de todos los virus conocidos. Pueden, por ejemplo, solo almacenar sumas de verificación de firmas.
Los escáneres antivirus que pueden eliminar los virus detectados se conocen comúnmente como polífagos. El programa de escaneo más famoso es Aidstest de Dmitry Lozinsky. Aidstest busca virus basándose en sus firmas. Por lo tanto, detecta solo los virus polimórficos más simples.
En el primer capítulo hablamos de los llamados virus de cifrado y polimórficos. Los virus polimórficos cambian completamente su código tras la infección nuevo programa o sector de arranque. Si aísla dos instancias del mismo virus polimórfico, es posible que no coincidan en ningún byte. Como consecuencia, no es posible determinar la sinatura de dichos virus. Por lo tanto, los escáneres antivirus simples no pueden detectar virus polimórficos.
Los escáneres antivirus solo pueden detectar virus conocidos que se hayan estudiado previamente y para los que se haya determinado una firma. Por lo tanto, el uso de programas de escaneo no protege su computadora de la penetración de nuevos virus.
Para usar de manera efectiva los programas antivirus que implementan el método de escaneo, debe actualizarlos constantemente y obtener las últimas versiones.
Análisis heurístico
El análisis heurístico es una técnica relativamente nueva en la detección de virus. Le permite detectar virus previamente desconocidos, y para ello no necesita recopilar primero datos sobre el sistema de archivos, como lo requiere el método de detección de cambios.
Los programas antivirus que implementan el método de análisis heurístico escanean programas y sectores de arranque de discos y disquetes, tratando de detectar código específico de virus en ellos. Por ejemplo, un analizador heurístico puede detectar que el programa que se está comprobando contiene un código que establece un módulo residente en la memoria.
El programa antivirus Doctor Web, que forma parte del kit DialogueScience JSC, dispone de un potente analizador heurístico que permite detectar una gran cantidad de virus nuevos.
Si el analizador heurístico informa que un archivo o sector de arranque puede estar infectado con un virus, debe tomarlo muy en serio. Es aconsejable examinar dichos archivos utilizando las últimas versiones de los programas antivirus o enviarlos para un estudio detallado a DialogNauka JSC.
El kit IBM AntiVirus incluye un módulo especial centrado en la detección de virus en los sectores de arranque. Este módulo utiliza una tecnología de red neuronal pendiente de patente del análisis heurístico de IBM y le permite determinar si el sector de arranque está infectado con un virus.
Cambio de detección
Cuando un virus infecta una computadora, necesariamente realiza cambios en el disco duro, por ejemplo, agrega su código a un archivo ejecutable, agrega una llamada al programa de virus al archivo AUTOEXEC.BAT, cambia el sector de arranque y crea un compañero. expediente.
Los programas antivirus primero pueden recordar las características de todas las áreas del disco que son atacadas por un virus y luego verificarlas periódicamente (de ahí su nombre, programas auditores). Si se detecta un cambio, es posible que un virus haya atacado la computadora.
Por lo general, los programas de auditoría almacenan imágenes de los principales registro de arranque, sectores de arranque de discos lógicos, parámetros de todos los archivos supervisados, así como información sobre la estructura de directorios y la cantidad de clústeres de discos defectuosos. También se pueden verificar otras características de la computadora: la cantidad de RAM instalada, la cantidad de discos conectados a la computadora y sus parámetros.
Los programas Auditor pueden detectar la mayoría de los virus, incluso aquellos que no se conocían previamente. Como regla general, los auditores no pueden detectar virus que infectan archivos de programa solo cuando se copian, ya que no conocen los parámetros del archivo que había antes de copiar.
Sin embargo, debe tenerse en cuenta que no todos los cambios son causados por la invasión de virus. Por ejemplo, el registro de arranque puede cambiar cuando se actualiza la versión del sistema operativo y algunos programas escriben datos dentro de su archivo ejecutable. Los archivos por lotes cambian aún más a menudo, por ejemplo, el archivo AUTOEXEC.BAT generalmente cambia durante la instalación de un nuevo software.
Los programas de auditor no ayudarán incluso si ha escrito en una computadora archivo nuevo, infectado con un virus. Es cierto que si el virus infecta otros programas ya tenidos en cuenta por el auditor, será detectado.
El programa-auditor más simple Microsoft Anti-Virus (MSAV) es parte del sistema operativo MS-DOS. Su principal, y quizás su única ventaja, es que no necesita gastar dinero extra en él.
El programa auditor Advanced Diskinfoscope (ADinf), que forma parte del kit antivirus de DialogNauka JSC, proporciona medios de control significativamente más avanzados. Veremos estas funciones con más detalle en la siguiente sección, pero por ahora solo tenga en cuenta que puede usar el módulo de curación ADinf (ADinfExt) con ADinf. ADinf Cure Module utiliza información recopilada previamente sobre archivos para recuperarlos después de haber sido infectados por virus desconocidos.
Por supuesto, no todos los virus pueden ser eliminados por ADinf Cure Module y otras herramientas de software basadas en el monitoreo y escaneos periódicos de la computadora. Por ejemplo, si nuevo virus cifra el disco, como lo hace el virus OneHalf, luego eliminarlo sin descifrar el disco probablemente conducirá a la pérdida de información. Los virus de este tipo pueden eliminarse solo después de un estudio cuidadoso por parte de especialistas y la inclusión de módulos para combatirlos en polífagos comunes: Aidstest o Doctor Web.
Los programas de inspección antivirus que conocemos en el momento de redactar este documento no son adecuados para detectar virus en archivos de documentos, ya que, de forma inherente, cambian constantemente. Varios programas dejan de funcionar después de la introducción del código de vacunas en ellos. Por lo tanto, para controlarlos, debe usar programas de escaneo o análisis heurístico.
monitores residentes
También hay toda una clase de programas antivirus que están constantemente en la memoria RAM de la computadora y monitorean todas las acciones sospechosas realizadas por otros programas. Dichos programas se denominan monitores residentes o vigilantes.
El monitor residente notificará al usuario si algún programa intenta cambiar el sector de arranque disco duro o disquete, archivo ejecutable. El monitor residente le dirá que el programa está tratando de dejar un módulo residente en la RAM, etc.
La mayoría de los monitores residentes le permiten verificar automáticamente todos los programas en ejecución en busca de infecciones con virus conocidos, es decir, realizan las funciones de un escáner. Dicha verificación llevará algún tiempo y el proceso de carga del programa se ralentizará, pero estará seguro de que los virus conocidos no podrán activarse en su computadora.
Desafortunadamente, los monitores residentes tienen muchos inconvenientes que hacen que esta clase de software no sea adecuada para su uso.
Muchos programas, incluso aquellos que no contienen virus, pueden realizar acciones a las que responden los monitores residentes. Por ejemplo, el comando LABEL habitual cambia los datos en el sector de arranque y activa el monitor.
Por lo tanto, el trabajo del usuario se verá constantemente interrumpido por molestos mensajes antivirus. Además, el usuario tendrá que decidir cada vez si esta operación está provocada por un virus o no. Como muestra la práctica, tarde o temprano el usuario apaga el monitor residente.
Y finalmente, la menor desventaja de los monitores residentes es que deben cargarse constantemente en RAM y por lo tanto reducir la cantidad de memoria disponible para otros programas.
El sistema operativo MS-DOS ya incluye el monitor antivirus residente VSafe.
Programas de vacunación
Para que una persona pueda evitar ciertas enfermedades, se vacuna. Hay una forma de proteger los programas de virus, en la que se adjunta un módulo de control especial al programa protegido, que supervisa su integridad. En este caso, se puede comprobar la suma de comprobación del programa o algunas otras características. Cuando un virus infecta un archivo vacunado, el módulo de control detecta un cambio en la suma de verificación del archivo e informa al usuario al respecto.
Por desgracia, a diferencia de las vacunas para humanos, los programas de vacunación en muchos casos no los salvan de la infección. Los virus sigilosos engañan fácilmente a la vacuna. Los archivos infectados funcionan normalmente, la vacuna no detecta la infección. Por lo tanto, no nos detendremos en las vacunas y continuaremos considerando otros medios de protección.
Protección de hardware contra virus
Hasta la fecha, una de las formas más confiables de proteger las computadoras contra los ataques de virus son el hardware y el software. Por lo general, son un controlador especial que se inserta en una de las ranuras de expansión de la computadora y software, que controla el funcionamiento de este controlador.
Debido al hecho de que el controlador de protección de hardware está conectado al bus del sistema de la computadora, recibe control total sobre todas las llamadas al subsistema de disco de la computadora. El software de protección de hardware le permite especificar áreas del sistema de archivos que no se pueden modificar. Puede proteger el registro de inicio maestro, los sectores de inicio, los ejecutables, los archivos de configuración y más.
Si el complejo hardware-software detecta que algún programa está tratando de violar la protección establecida, puede informar al usuario sobre esto y bloquear el funcionamiento posterior de la computadora.
El nivel de control del hardware sobre el subsistema de disco de la computadora no permite que los virus se disfracen. Tan pronto como el virus se manifieste, será detectado de inmediato. Al mismo tiempo, es completamente indiferente cómo funciona el virus y qué medios utiliza para acceder a los discos y disquetes.
Las herramientas de protección de hardware y software permiten no solo proteger su computadora contra virus, sino también detener oportunamente el trabajo de los troyanos destinados a destruir el sistema de archivos de la computadora. Además, las herramientas de hardware y software le permiten proteger su computadora de un usuario inexperto y un intruso, no le permitirán eliminar información importante, formatear un disco o cambiar los archivos de configuración.
Actualmente, solo el complejo de hardware y software Sheriff se produce en masa en Rusia. Prevendrá de manera confiable la infección de la computadora y permitirá que el usuario dedique mucho menos tiempo al control antivirus de la computadora usando software convencional.
Se fabrican muchos más productos de protección de hardware y software en el extranjero, pero su precio es mucho más alto que el de Sheriff y asciende a varios cientos de dólares estadounidenses. Aquí hay algunos nombres de tales complejos:
|
Nombre del complejo |
Fabricante |
|
Tecnologías JAS de las Américas |
|
|
Leprechaum Software Internacional |
|
|
Empresas digitales |
|
|
Glynn Internacional |
|
|
Electrónica de Suabia Reutlingen |
|
|
Electrónica Telstar |
|
|
Bugovics & Socio |
Además de realizar su función principal, el hardware y el software de seguridad informática pueden proporcionar varios servicios adicionales. Pueden gestionar la diferenciación de los derechos de acceso de diferentes usuarios a los recursos informáticos: discos duros, unidades de disco, etc.
Protección integrada en el BIOS de la computadora
Muchas empresas productoras placas base las computadoras comenzaron a construir en ellas los medios más simples de protección contra virus. Estas herramientas le permiten controlar todos los accesos al registro de arranque maestro. unidades de disco duro, así como a los sectores de arranque de discos y disquetes. Si algún programa intenta cambiar el contenido de los sectores de arranque, se activa la protección y el usuario recibe la advertencia correspondiente. Al mismo tiempo, puede permitir este cambio o prohibirlo.
Sin embargo, tal control no puede llamarse verdadero control a nivel de hardware. El módulo de software responsable de controlar el acceso a los sectores de arranque se encuentra en la ROM del BIOS y los virus pueden omitirlos si reemplazan los sectores de arranque accediendo directamente a los puertos de E / S del controlador del disco duro y del disquete.
Hay virus que intentan deshabilitar el control antivirus del BIOS modificando ciertas celdas en la memoria no volátil de la computadora (memoria CMOS).
Virus Chechenia .1912 y 1914
Virus cifrados residentes muy peligrosos. Tratando de encontrar las cadenas de texto de Megatrends en la ROM del BIOS y PREMIO. Si la búsqueda tiene éxito, asumen que la computadora tiene un BIOS AWARD o AMI instalado, desactivan el control del sector de arranque e infectan el registro de arranque maestro del disco duro. Aproximadamente a través un mes después de la infección, el virus borra información de todos primer disco duro
El medio más simple de protección de hardware es desconectar de la computadora todos los canales a través de los cuales un virus puede penetrar en ella. Si la computadora no está conectada a una red local y no tiene un módem instalado, entonces es suficiente apagar las unidades de disquete y se bloqueará el canal principal para que los virus ingresen a la computadora.
Sin embargo, tal cierre no siempre es posible. En la mayoría de los casos, el usuario necesita acceso a unidades de disco o módems para el funcionamiento normal. Además, los programas infectados pueden ingresar a la computadora a través de red local o CD, y deshabilitarlos reducirá significativamente el alcance de la computadora.
Métodos de eliminación de virus
Encontrar un virus en su computadora es solo la mitad de la batalla. Ahora necesita ser eliminado. En la mayoría de los casos, los programas antivirus que detectan un virus pueden eliminarlo. Existen dos técnicas principales utilizadas por los programas antivirus para eliminar virus.
Si detecta un virus mientras escanea archivos ejecutables con extensiones de nombre COM y EXE, debe escanear todos los demás tipos de archivos que contienen código ejecutable. En primer lugar, estos son archivos con la extensión SYS, OVL, OVI, OVR, BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC
Incluso puede verificar todos los archivos en los discos duros de su computadora. Quizás alguien haya cambiado el nombre del ejecutable infectado cambiando su extensión. Por ejemplo, se cambió el nombre del archivo EDITOR.EXE a EDITOR.EX_. Dicho archivo no se comprobará. Si luego se le cambia el nombre, el virus podrá reactivarse y propagarse en la computadora.
La primera técnica, la más común, es hacer que un programa antivirus elimine un virus ya conocido. Para que el virus sea eliminado correctamente es necesario que se estudie, se desarrolle un algoritmo para su tratamiento, y este algoritmo se implemente en nueva versión antivirus
La segunda técnica le permite recuperar archivos y sectores de arranque infectados con virus previamente desconocidos. Para hacer esto, el programa antivirus de antemano, antes de la aparición de virus, debe analizar todos los archivos ejecutables y guardar mucha información diversa sobre ellos.
Durante los lanzamientos posteriores del programa antivirus, recopila datos sobre archivos ejecutables y los compara con los datos obtenidos anteriormente. Si se encuentran inconsistencias, es probable que el archivo esté infectado con un virus.
En este caso, el antivirus intenta restaurar el archivo infectado utilizando información sobre los principios de inyección de virus en archivos e información sobre archivo dado recibida antes de la infección.
Algunos virus infectan archivos y sectores de arranque, reemplazando parte del objeto infectado con su código, es decir, destruyendo irremediablemente el objeto infectado. Los archivos y sectores de arranque infectados con dichos virus no se pueden desinfectar con el primer método, pero generalmente se pueden restaurar con el segundo método. Si no puede recuperar los archivos ejecutables infectados mediante programas antivirus, deberá restaurarlos desde el kit de distribución o una copia de seguridad, o simplemente eliminarlos (si no son necesarios).
Con el registro de arranque maestro y los sectores de arranque, las cosas son un poco más complicadas. Si el programa antivirus no puede restaurarlos a modo automatico, tendrás que hacerlo manualmente usando los comandos FDISK, SYS, FORMAT. La recuperación manual de los sectores de arranque se describirá un poco más adelante, en el sexto capítulo.
Existe todo un grupo de virus que, al infectar un ordenador, pasan a formar parte de su sistema operativo. Si simplemente elimina un virus de este tipo, por ejemplo, restaurando un archivo infectado desde un disquete, el sistema puede volverse parcial o completamente inoperable. Dichos virus deben tratarse utilizando la primera técnica.
Ejemplos de tales virus incluyen los virus de arranque OneHalf y el grupo de virus VolGU.
A medida que su computadora arranca, el virus OneHalf encripta gradualmente el contenido de su disco duro. Si el virus reside en la memoria, intercepta todos los accesos al disco duro. En el caso de que cualquier programa intente leer un sector ya encriptado, el virus lo desencripta. Si elimina el virus OneHalf, la información en la parte cifrada del disco duro será inaccesible.
El virus VolGU no cifra los datos, pero no es menos peligroso que OneHalf. Todos duro El disco almacena no solo los datos escritos en él, sino que también contiene información de verificación adicional. Es una suma de comprobación de todos los bytes del sector. Esta suma de comprobación se utiliza para comprobar la integridad de la información.
Por lo general, cuando un programa accede al subsistema de disco de la computadora, solo se leen y escriben datos, la suma de verificación se corrige automáticamente. El virus VolGU intercepta el acceso de todos los programas al disco duro y, al escribir datos en el disco, corrompe las sumas de verificación de los sectores.
Cuando el virus está activo, permite leer los sectores con sumas de verificación incorrectas. Si simplemente elimina dicho virus, no se leerán los sectores con una suma de verificación incorrecta. El sistema operativo le informará sobre un error de lectura del disco duro (sector no encontrado).
Preparándose para un ataque de virus
Los usuarios de computadoras deben prepararse con anticipación para un posible ataque de virus y no esperar hasta el último minuto para que aparezca un virus. Gracias a esto, podrás detectar el virus más rápido y eliminarlo.
¿Cuál debería ser esa preparación?
¨ Prepare un disquete del sistema con anticipación. Escriba programas antivirus Polyphage en él, como Aidstest y Doctor Web
¨ Actualizar constantemente las versiones de los programas antivirus grabados en el disquete del sistema
¨ Revise periódicamente su computadora con varias herramientas antivirus. Controle todos los cambios en el disco utilizando un programa auditor, como ADinf. Compruebe archivos nuevos y modificados con los programas de polífagos Aidstest y Doctor Web
¨ Verifique todos los disquetes antes de usarlos. Utilice las últimas versiones de los programas antivirus para comprobar
¨ Verificar todos los archivos ejecutables escritos en la computadora
si necesitas nivel alto protección antivirus, instale un controlador de protección de hardware como Sheriff en su computadora. Compartir un controlador de hardware y herramientas antivirus tradicionales le permitirá proteger su sistema tanto como sea posible
Crear un disquete del sistema
Por lo general, una computadora tiene dos unidades de disquete. Uno es para disquetes de 5,25" y el otro para disquetes de 3,5". El sistema operativo MS-DOS, así como los sistemas operativos Windows, Windows 95, Windows NT y OS/2 les asignan los nombres A: y B:. Qué unidad se llama A: y cuál es B: depende del hardware de la computadora.
Normalmente, el usuario puede cambiar los nombres de las unidades. Para hacer esto, debe abrir la carcasa de la computadora y cambiar varios conectores. Si es posible, este trabajo debe confiarse a un técnico.
Las unidades de disquete de 5,25 pulgadas están cayendo lentamente en desuso, por lo que las computadoras nuevas tienen solo una unidad de disquete que puede contener disquetes de 3,5 pulgadas. En este caso, se llama A:, falta la unidad B:.
Puede iniciar su computadora usando el disquete del sistema solo desde la unidad A:. Por lo tanto, para hacer un disquete de sistema para su computadora, debe tomar un disquete del tamaño apropiado.
Hay muchos programas que le permiten preparar un disquete del sistema. Dichos programas están incluidos en todos los sistemas operativos: MS-DOS, Windows 3.1, Windows 95 y OS / 2, etc.
por la mayoría programas simples para preparar los disquetes del sistema están los comandos FORMAT o SYS que forman parte de los sistemas operativos MS-DOS y Windows 95, por lo que los describiremos en primer lugar.
Uso del comando FORMATO
El comando FORMAT formatea un disquete y puede escribir archivos del sistema operativo en él. Al formatear disquetes, FORMAT marca las pistas en el disquete y forma áreas del sistema: el sector de arranque, la tabla de asignación de archivos y el directorio raíz.
Cuando se formatea un disquete, se borra toda la información almacenada en él. Dado que FORMAT reescribe el sector de arranque en el disquete, si se infectó previamente con un virus de arranque, el virus se elimina. Podemos decir que el comando FORMAT realiza la función principal de un antivirus: elimina cualquier virus de un disquete.
Al llamar al comando FORMAT, puede especificar una gran cantidad de opciones diferentes. Puedes encontrar su descripción en el cuarto volumen de la serie “ Computadora personal- Paso a paso” titulado “Lo que debe saber sobre su computadora”. En este libro, describiremos solo algunos de los parámetros más importantes para nosotros:
Unidad de FORMATO:
Como parámetro de la unidad, debe especificar el nombre de la unidad que formateará el disquete. La opción /S significa que después de formatear el disquete, los archivos principales del sistema operativo se transfieren al mismo y el disquete se convierte en el disquete del sistema. Esta opción debe especificarse para preparar un disquete del sistema.
Como dijimos, el comando FORMAT borra todos los archivos escritos en él desde el disquete formateado. Por lo general, FORMAT escribe información oculta en un disquete, lo que permite, si es necesario, recuperar archivos borrados de él.
Para recuperar archivos eliminados al formatear un disquete, use el comando UNFORMAT
Si está seguro de que no necesitará restaurarlos, puede acelerar el formateo del disquete especificando la opción /U adicional. En este caso, la información sobre los archivos eliminados no se guarda y no se pueden restaurar.
Puede acelerar considerablemente el proceso de preparación del disquete del sistema dando al comando FORMAT una opción /Q adicional. En este caso, el disquete se formatea rápidamente:
Describamos el proceso de preparación de un disquete del sistema con más detalle. Introduzca el siguiente comando:
La pantalla le pedirá que inserte un disquete en la unidad A: y presione la tecla
Inserte un disquete nuevo para la unidad A:
y presione ENTER cuando esté listo...
Comenzará el proceso de formateo. El porcentaje de trabajo realizado se mostrará en la pantalla.
Formateo 1.2M
77% completado.
Una vez finalizado el formateo, los archivos principales del sistema operativo se escriben en el disquete. A continuación, puede introducir la etiqueta del disquete. La etiqueta no debe contener más de once caracteres. Después de ingresar la etiqueta, presione la tecla
formato completo.
Sistema transferido
¿Etiqueta de volumen (11 caracteres, ENTER para ninguno)?
Luego, aparecerá en la pantalla información estadística diversa: la capacidad total del disquete, la cantidad de espacio ocupado por los archivos del sistema operativo, la cantidad de espacio libre disponible. Si se encuentran sectores defectuosos en el disquete que no están disponibles para su uso, se muestra su tamaño total en bytes. A continuación se muestra el tamaño del sector en bytes, el número de sectores libres en el disquete y su número de serie:
1,213,952 bytes de espacio total en disco
198.656 bytes utilizados por el sistema
1.015.296 bytes disponibles en disco
512 bytes en cada unidad de asignación.
1.983 unidades de asignación disponibles en disco.
El número de serie del volumen es 2C74-14D4
¿Formatear otro (S/N)?
Esto completa la preparación del disquete del sistema. Si no planea crear varios disquetes de sistema a la vez, presione la tecla
Uso del comando SYS
Si tiene un disquete libre, en blanco y formateado, la forma más rápida de convertirlo en un disquete del sistema es usar el comando SYS. Para hacer esto, inserte el disquete en la unidad de su computadora e ingrese el siguiente comando:
SYSdrive2:
El comando SYS tiene un parámetro obligatorio: conducir2. Este parámetro debe especificar el nombre de la unidad en la que se está preparando el disquete del sistema. Debes especificar como parámetro conducir2 nombre A: o B:.
Parámetros opcionales conducir1 y camino determinar la ubicación de los archivos del sistema en el disco. Si no especifica estas opciones, el comando SYS tomará archivos del sistema desde el directorio raíz de la unidad actual.
Escritura de programas antivirus en un disquete del sistema
El disquete del sistema contiene los archivos principales del sistema operativo MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Si el disquete del sistema se creó en un sistema operativo compatible con MS-DOS, como IBM PC-DOS, los nombres de estos archivos pueden ser diferentes.
Los archivos IO.SYS y MSDOS.SYS son el kernel del sistema operativo. El archivo COMMAND.COM se conoce comúnmente como el procesador de comandos. Este es el mismo programa que muestra el aviso del sistema en la pantalla de la computadora y ejecuta los comandos del sistema operativo. El último archivo del disquete del sistema es DBLSPACE.BIN. Contiene una extensión del sistema operativo que proporciona acceso a los discos comprimidos del sistema DoubleSpace.
Los archivos principales del sistema operativo - IO.SYS, MSDOS.SYS tienen el atributo " archivo oculto" y no se muestran con el comando DIR. Para verlos, agregue la opción /A al comando DIR.
Después de que haya hecho que su sistema sea disquete, todavía queda mucho en él. espacio libre. El volumen total ocupado por los archivos principales del sistema operativo MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN es de aproximadamente 200 KB. Por lo tanto, si usó un disquete de alta densidad, entonces tiene más de un megabyte de espacio libre a su disposición.
Escriba en el disquete del sistema el software necesario para probar y reparar el sistema operativo dañado. En primer lugar, debe escribir programas antivirus que busquen virus y un programa para verificar la integridad del sistema de archivos. Es útil anotar los comandos FORMAT y FDISK; pueden ser necesarios para la recuperación manual del sistema. Para mayor comodidad, también puede escribir un shell, como Norton Commander, y cualquier editor de texto en el disquete del sistema.
La siguiente tabla enumera los programas que pueden ayudarlo a que su computadora vuelva a funcionar. Es recomendable grabarlos todos en un disquete del sistema. En caso de que no quepan en un disquete del sistema, prepare otro disquete y escriba en él los programas restantes.
|
Programa |
Propósito |
|
Programa antivirus-polifago. Le permite detectar y eliminar una gran cantidad de virus. Virus polimórficos que Aidstest no puede detectar son detectados por Doctor Web |
|
|
Un programa de polífagos antivirus que implementa un algoritmo heurístico de búsqueda de virus. Permite la detección de virus polimórficos complejos. Debes usarlo junto con el antivirus Aidstest |
|
|
ScanDisk o |
En muchos casos, la causa de un mal funcionamiento y un comportamiento extraño de una computadora no son los virus, sino un sistema de archivos corrupto. ScanDisk y Norton Disk Doctor detectan y corrigen automáticamente errores en el sistema de archivos de MS-DOS |
|
Un programa para probar todos los subsistemas de la computadora. Le permite detectar fallas de hardware |
|
|
Comandante Norton |
Shell para el sistema operativo MS-DOS. Hace que trabajar con una computadora sea mucho más fácil. Contiene incorporado editor de texto, visores de archivos en varios formatos |
|
Comando MS-DOS. Diseñado para formatear discos duros y disquetes de computadora |
|
|
Comando MS-DOS. Diseñado para crear y eliminar unidades lógicas. Los comandos FDISK y FORMAT pueden ser necesarios en caso de destrucción completa de la información en el disco duro. Su uso se describe en el capítulo "Restaurar el sistema de archivos" |
|
|
Editor de discos. Le permite ver y editar cualquier información grabada en el disco, incluidas las áreas del sistema. Disk Editor le permite editar el sector de arranque maestro, los sectores de arranque, las tablas de asignación de FAT, las estructuras de directorios y los archivos |
En algunos casos, se pueden usar controladores especiales o programas residentes para acceder a los discos duros de la computadora. Deben escribirse en el disquete del sistema preparado. Para que se conecten automáticamente cuando la computadora se inicia desde el disquete del sistema, cree los archivos CONFIG.SYS y AUTOEXEC.BAT, escribiendo los comandos para cargar los controladores necesarios en ellos.
Si tiene una unidad de CD-ROM conectada a su computadora, escriba el software requerido para usarla en el disquete de su sistema. Para MS-DOS, debe escribir el controlador del lector y el programa MSCDEX incluido con el sistema operativo. El acceso al lector le permitirá restaurar rápidamente el software grabado en los CD.
sala de operaciones sistema de ventanas 95 no necesita el programa MSCDEX, sin embargo, si el shell gráfico de este sistema no arranca, aún se debe incluir MSCDEX
Una vez que haya preparado completamente el disquete del sistema y haya escrito todos los programas necesarios en él, instale la protección contra escritura en él. Para hacer esto, en un disquete de 5,25", debe sellar la ranura en el borde del disquete, y en un disquete de 3,5", abra la ventana de protección. La protección contra escritura garantizará que no dañe accidentalmente el contenido del disquete y que los virus no puedan penetrar en él. Dado que los disquetes a veces fallan, es mejor tener varios disquetes de sistema idénticos para este caso.
Arranque desde el disquete del sistema
Para iniciar una computadora desde un disquete del sistema, debe establecer la prioridad de inicio del sistema operativo desde los disquetes. La prioridad de arranque del sistema operativo se determina en la memoria CMOS. Para cambiarlo, debe ejecutar el programa de instalación. Puede obtener más información sobre el programa de instalación en el Volumen 4 de la serie Computadora personal: paso a paso, titulada Lo que debe saber sobre su computadora.
Hay virus que cambian la prioridad de arranque de la computadora. Para ello, modifican los datos registrados en la memoria CMOS. Ejemplos de tales virus son los virus Mammoth.6000 y ExeBug. Estos virus desactivan las unidades de disco en la memoria CMOS y las reactivan temporalmente si un programa desea leer o escribir información en un disquete. Cuando el usuario intenta arrancar la computadora desde un disquete, arrancará desde el disco duro porque la unidad de disco está deshabilitada. El virus tomará el control y luego iniciará la computadora desde el disquete.
Al mismo tiempo, desde el punto de vista del usuario, todo parece normal. Ve que el sistema operativo se está cargando desde un disquete, pero en ese momento el virus ya está en la memoria RAM y controla la computadora.
Por lo tanto, justo antes de iniciar MS-DOS desde el disquete del sistema, asegúrese de que el contenido de la memoria CMOS esté configurado correctamente. Para hacer esto, ejecute el programa de configuración del BIOS y verifique el tipo de unidades enumeradas allí, así como el orden de arranque de la computadora.
Inserte un disquete del sistema en la unidad A: y reinicie su computadora. Si sospecha la presencia de virus, para reiniciar debe apagar y encender la computadora o presionar el botón "Reiniciar" en la carcasa de la computadora. Algunos virus rastrean reinicios usando atajos de teclado
Después de la prueba inicial de la computadora, el sistema operativo comenzará a cargarse desde el disquete. El LED de la unidad A: debe estar encendido. El proceso de arranque desde un disquete es algo más lento que desde un disco duro, por lo que tendrás que esperar un poco. Cuando el sistema operativo haya terminado de cargarse, aparecerá un mensaje en la pantalla.
A continuación, el sistema operativo le preguntará fecha actual y tiempo. La fecha y la hora se solicitan solo si el disquete (disco) no tiene un sistema archivo de configuración AUTOEXEC.BAT.
Si no desea cambiar la fecha y la hora, presione la tecla dos veces
Puede crear un archivo AUTOEXEC.BAT vacío en el disquete del sistema, luego no se solicitará la fecha y la hora, y después de que se inicie el sistema operativo, aparecerá inmediatamente un aviso del sistema en la pantalla.
¿Se pueden prevenir los virus?
Si no realiza periódicamente trabajos para prevenir y tratar las computadoras contra virus, la posibilidad de perder la información almacenada y destruir el entorno operativo se vuelve más que real.
Las consecuencias negativas de su negligencia pueden ser diferentes, según el virus que ingrese a la computadora. Puede perder parte de la información de los archivos almacenados en su computadora, o archivos individuales, o incluso todos los archivos en el disco. Pero lo peor de todo, si el virus hace pequeños cambios en los archivos de datos, que al principio pueden pasar desapercibidos, y luego dar lugar a errores en los documentos financieros o científicos.
El trabajo en la prevención y el tratamiento de las computadoras contra virus puede incluir las siguientes acciones:
w Instalar software solo de distribuciones
w Proteja contra escritura todos sus disquetes y solo retírelos cuando sea necesario.
w Limite el intercambio de programas y disquetes, controle dichos programas y disquetes en busca de virus
w Verifique periódicamente la RAM y los discos de su computadora en busca de virus usando programas antivirus especiales
w Copia de seguridad de la información del usuario
no te encuentres con extraños
Ninguna medida de protección puede ayudar a proteger su computadora de virus a menos que primero escanee todos los archivos ejecutables que están escritos en ella. Hasta la fecha, tal verificación solo es factible con la ayuda de programas antivirus de polífagos.
La constante aparición de más y más nuevos virus requiere el uso de los más Últimas Versiones programas antivirus Es deseable que proporcionen una búsqueda no solo de virus conocidos, sino también un análisis heurístico de los programas y sectores de arranque que se están comprobando. Le permitirá detectar archivos infectados con virus nuevos, aún desconocidos e inexplorados.
Lamentablemente, los programas antivirus no pueden garantizar por completo que el software que se está comprobando esté libre de virus, y mucho menos de troyanos o bombas lógicas. Al escribir software de origen desconocido en su computadora, siempre corre el riesgo de
En organizaciones grandes, tiene sentido asignar una computadora especial para instalar software dudoso, como juegos de computadora. Este equipo debe estar aislado del resto de equipos de la organización. En primer lugar, es necesario desconectarlo de la red local y prohibir a los usuarios no solo copiar programas de él, sino también escribir archivos desde sus disquetes de trabajo que no estén protegidos contra escritura de antemano.
Mientras trabaja con software sospechoso, use programas de monitoreo, como el monitor VSafe incluido con MS-DOS. Si efectivamente el programa está infectado con un virus o contiene una bomba lógica, el monitor informará de cualquier acción no autorizada por su parte. Desafortunadamente, los programas de monitoreo como VSafe pueden ser engañados fácilmente por virus, por lo que es más confiable usar herramientas de protección de software y hardware.
El kit antivirus DialogScience incluye el sistema de protección de hardware y software Sheriff. Entre otras cosas, realiza todas las funciones de los programas de monitoreo, pero lo hace mucho mejor. Debido al hecho de que el control de la computadora lo proporciona un controlador de protección especial a nivel de hardware, los virus no podrán engañar a Sheriff.
Cómo proteger disquetes contra escritura
Puede proteger sus disquetes contra escritura. La protección opera a nivel del hardware de la computadora y no puede ser deshabilitada por software. Por lo tanto, el virus no podrá infectar el sector de arranque y los archivos ejecutables escritos en un disquete con protección contra escritura instalada.
Todas las distribuciones de software escritas en disquetes deben estar protegidas contra escritura. La mayoría del software se puede instalar desde disquetes protegidos contra escritura.
Si intenta escribir datos en un disquete protegido contra escritura, el sistema operativo mostrará un mensaje de advertencia en la pantalla de la computadora. puede tener diferente tipo, según el medio utilizado para escribir en el disquete.
Por ejemplo, si utiliza los comandos COPY o XCOPY de MS-DOS e intenta escribir un archivo en un disquete seguro, aparecerá el siguiente mensaje en la pantalla:
Error de protección contra escritura al leer la unidad A
¿Cancelar, reintentar, fallar?
El usuario debe responder cómo debe actuar el sistema operativo en esta situación. Puede elegir tres respuestas: Anular, Reintentar o Fallar. Para hacer esto, simplemente ingrese el primer carácter de la derivación seleccionada desde el teclado: Abortar - , Reintentar-
Elegir Abort o Fail significa que el sistema operativo debería dejar de intentar escribir información en el disquete (Abort simplemente cancela la operación, mientras que Fail indica la necesidad de devolver un código de error al programa). Si necesita realizar una operación de escritura, elimine la protección contra escritura del disquete y seleccione Reintentar.
Es necesario considerar cuidadosamente el mensaje sobre un intento de escribir en un disquete protegido. La lectura de archivos desde un disquete y la ejecución de la mayoría de los programas no debería provocar la escritura en él. Si está seguro de que no debe escribirse en el disquete, pero lo está, es muy probable que su computadora esté infectada con un virus.
Algunos virus bloquean la visualización del mensaje de intento de protección contra escritura cuando infectan archivos ejecutables o el sector de arranque del disquete. Esto les permite pasar desapercibidos si el disquete está protegido. Sin embargo, logrará el resultado deseado, el disquete permanecerá intacto.
Plaga de virus.2647
Un virus sigiloso residente no peligroso. Al abrir archivos infectados, elimina su código y luego infecta nuevamente cuando se cierra el archivo. Al infectar archivos en disquetes, verifica si la protección contra escritura está habilitada. Si la protección está configurada, el virus no intentará infectar los archivos que contiene. Contiene la cadena "PESTE"
La protección contra escritura se puede instalar en un disquete de cualquier tamaño: 3,5 pulgadas y 5,25 pulgadas. La forma más sencilla de hacerlo es en disquetes de 3,5 pulgadas. Solo necesita cerrar el pequeño orificio en la esquina del disquete con una cubierta de plástico especial, como se muestra en la fig. 2.1. Quitar la protección contra escritura también es fácil: simplemente abra el orificio protector.
Arroz. 2.1. Protección contra escritura en un disquete de 3,5"
Para proteger un disquete de 5,25” contra escritura, debe sellar la ranura en el sobre del disquete (Fig. 2.2). Para ello, utilice un pequeño trozo rectangular de papel adhesivo. Por lo general, dicho papel se vende junto con disquetes. En casos extremos, puede utilizar la cinta aislante habitual. Puede eliminar la protección contra escritura quitando el trozo de papel que pegó.
A menudo es muy difícil quitar e instalar la protección en un disquete de 5,25”, tarde o temprano se volverá aburrido y el virus podrá penetrar en el disquete. Por lo tanto, si es posible, deshágase de los disquetes de 5,25" y reemplácelos con los más convenientes disquetes de 3,5".
Arroz. 2.2. Protección contra escritura en un disquete de 5,25"
Seleccionar el orden de arranque correcto para su computadora
El sistema operativo se puede cargar desde un disco duro o desde un disquete. Normalmente, la computadora se inicia desde el disco duro, pero si se inserta un disquete en la unidad A: (accidentalmente oa propósito) cuando la computadora se enciende o se reinicia, el sistema operativo se iniciará desde allí. Si un disquete está infectado con un virus de arranque, tomará el control e intentará infectarlo de inmediato. disco duro computadora.
La mayoría de las computadoras le permiten especificar la prioridad en la que se debe cargar el sistema operativo. Este orden se establece mediante el programa de configuración del BIOS. Para obtener más información sobre el programa de configuración del BIOS, consulte la sección "Restauración del sistema de archivos".
Para proteger su computadora de una infección accidental con un virus de arranque, especifique que el sistema operativo debe cargarse primero desde la unidad C: y solo si falla, desde la unidad A:.
Si necesita iniciar su computadora desde un disquete, asegúrese de que esté libre de virus. Para hacer esto, primero verifíquelo con varios programas antivirus, como Doctor Web y Aidstest.
Es mejor si prepara un disquete del sistema con anticipación y, para que no se dañe accidentalmente, configure la protección contra escritura en él. Es útil escribir programas para diagnosticar una computadora en un disquete del sistema: programas antivirus, programas para verificar la integridad del sistema de archivos y la salud del hardware de la computadora. Cómo crear un disquete del sistema, lo describimos en la sección "Creación de un disquete del sistema".
Medidas impopulares
En las organizaciones pueden ser muy efectivas las medidas de protección estrictas, relacionadas con desconectar los canales de posibles virus de los equipos. Esto se aplica principalmente a las unidades de disquete. Las unidades se pueden deshabilitar físicamente y quitar de la computadora, o solo se pueden deshabilitar en la memoria CMOS, y el programa de configuración del BIOS debe estar protegido con contraseña.
Idealmente, todas las unidades de disco, unidades de CD-ROM, módems, puertos seriales y paralelos, adaptadores de red. Por supuesto, esto no es realista, pero no se debe abandonar por completo esa idea.
Respaldo
Es muy importante organizar una copia de seguridad de la información almacenada en la computadora. Dependiendo de las herramientas que tengas a tu disposición, puedes realizar una copia completa de los discos duros de tu computadora o una copia solo de la computadora. información importante, que no se puede restaurar de ninguna otra manera.
Para Copia de reserva normalmente se utilizan cintas magnéticas. La grabación en ellos se lleva a cabo mediante grabadoras digitales especiales, llamadas serpentinas. El volumen de los casetes magnéticos oscila entre 200 MB y 4 GB. Recientemente, los dispositivos de almacenamiento en discos magneto-ópticos están disponibles. En términos de confiabilidad y facilidad de uso, son significativamente superiores a la cinta magnética. El volumen de los discos magneto-ópticos varía ampliamente y oscila entre decenas de megabytes y varios gigabytes.
Si no tiene una unidad de cinta o un disco magneto-óptico a su disposición, en muchos casos bastará con disquetes simples. Por supuesto, escribir en disquetes es el peor método de copia de seguridad. Primero, los disquetes son muy pequeños, un poco más de un megabyte. En segundo lugar, los disquetes son muy poco fiables. A veces no es posible leer la información previamente grabada de ellos.
Una copia de seguridad no es suficiente. Debes tener varios copias de seguridad. Aquí hay un pequeño ejemplo. Estás haciendo otra copia y de repente hay un corte de energía o un ataque de virus. La computadora se congela, los datos registrados en la computadora y su copia están dañados
Al retroceder, debe tener mucho cuidado. Antes de copiar, compruebe siempre la integridad de la información copiada. Realizar escaneos de virus y escaneos del sistema de archivos. Para ello, utilice las últimas versiones de antivirus y programas como ScanDisk. Si no sigue esta regla, tarde o temprano todas las copias de seguridad se dañarán.
En casos especialmente críticos, realice una copia de datos cíclica. Por ejemplo, actualice una copia todos los días, la segunda cada semana, la tercera cada mes.
archivado de archivos
Si se utilizan disquetes ordinarios para la copia de seguridad, entonces, antes de escribir archivos en ellos, deben comprimirse con algún tipo de programa de archivo. Los programas de archivado le permiten reducir la cantidad de espacio en disco que ocupan los archivos. Lo hace eliminando la redundancia de la información almacenada en archivos comprimidos.
Los archivos comprimidos pueden ocupar mucho menos espacio en disco que sus originales. Por lo tanto, los archivos de texto preparados, por ejemplo, en el procesador de textos Microsoft Word para Windows, generalmente se reducen a la mitad. Por supuesto, es imposible trabajar con un archivo de este tipo. Antes del trabajo, debe restaurarse utilizando el mismo programa de archivo.
Actualmente, los archivadores más populares son ARJ, PKZIP, RAR. Todos ellos realizan aproximadamente las mismas funciones y se pueden utilizar para crear copias de seguridad de documentos.
Se analizan más detalles sobre el archivo de datos en el décimo volumen de la serie System Programmer's Library, que se llama IBM PC/AT, MS-DOS y Windows. Preguntas y respuestas". Por ahora, solo daremos un ejemplo del uso del archivador ARJ para preparar copias de seguridad de archivos. El formato para llamar al archivador ARJ es bastante complicado:
ARJ<команда> [-<ключ> [-<ключ>...]]
<имя архива>
[<имена файлов>...]
El primer parámetro es dominio - determina el modo de funcionamiento del archivador:
|
Modo de funcionamiento del archivador |
|
|
Agregar nuevos archivos al archivo |
|
|
Eliminación de archivos de un archivo |
|
|
Extraer archivos de un archivo |
|
|
Ver el contenido de un archivo |
|
|
Transferencia de archivos al archivo. Los archivos se escriben en el archivo y luego los archivos originales se eliminan del disco. |
|
|
Restauración de archivos junto con la estructura de directorios y subdirectorios en los que se ubicaron estos archivos durante la copia de seguridad |
|
|
Restauración de archivos de almacenamiento. La estructura de directorios y subdirectorios no se restaura, todos los archivos del archivo se colocan en un directorio |
|
|
Actualizar archivos archivados. Solo los archivos modificados y nuevos se escriben en el archivo. Los archivos que permanecen sin cambios no se vuelven a archivar. Esto ahorra mucho tiempo |
Uno de los comandos anteriores puede ir seguido de uno o más parámetros adicionales opcionales. llave. Los parámetros adicionales deben estar separados por un símbolo "-". Aquí hay una tabla de los parámetros adicionales más importantes y su propósito:
|
Parámetro adicional |
Propósito |
|
Proteger el archivo creado con una contraseña. |
|
|
Se usa con los comandos "a" o "m" para especificar que el archivo debe incluir archivos del directorio actual y todos sus subdirectorios |
|
|
Creación y restauración de archivos de varios volúmenes ubicados en varios disquetes. Cada disquete contiene un volumen de archivo (archivo). Hay varias modificaciones a la opción -v: VV - problema señal de sonido entre el procesamiento de volúmenes de archivos individuales; VA: determine automáticamente la cantidad de espacio libre en un disquete (el tamaño del próximo volumen de archivo); Vnnnnn: tamaño de los volúmenes de archivo individuales, por ejemplo, V20000: cree un archivo a partir de volúmenes de 20 KB; V360, V720, V1200, V1440: cree volúmenes de tamaño fijo de 360 KB, 720 KB, 1,2 MB, 1,44 MB |
|
|
Restaurar archivos del archivo dañado. Use esta opción si la restauración de archivos de un archivo fue interrumpida por un mensaje del archivador sobre violaciones en la estructura del archivo de almacenamiento |
|
|
X |
|
|
El archivador no le pedirá permiso al usuario para realizar varias acciones, por ejemplo, para crear un nuevo archivo en un archivo de varios volúmenes, crear directorios |
Las opciones opcionales van seguidas del nombre del archivo de almacenamiento, seguido de una lista de nombres de archivo para extraer, agregar o eliminar. Al especificar los nombres de estos archivos, puede utilizar los caracteres "?" y "*". Si no especifica la lista de nombres de archivo, se asumirán todos los archivos ubicados en el directorio o archivo actual.
Los programas de archivo son muy convenientes para crear copias de seguridad en disquetes. Si el archivo de almacenamiento no cabe en un disquete, el archivador le permite crear un archivo de varios volúmenes que consta de varios archivos. Para hacer esto, debe especificar un parámetro adicional V. Archivos separados Un archivo de varios volúmenes se puede escribir en varios disquetes.
El siguiente comando crea un archivo de varios volúmenes, a partir de todos los archivos ubicados en el directorio actual y todos sus subdirectorios, excepto los archivos con el nombre .tmp o la extensión .bak. Los archivos de almacenamiento de varios volúmenes tendrán un tamaño ligeramente superior a 1,44 MB. Puede grabarlos en disquetes de 3 pulgadas.
ARJ A -R -X*.BAK -XTMP.* -V1440 !CONTRAE
Los archivos del archivo creado tendrán el nombre! COLLAPS y varias extensiones:
COLLAPS.ARJ
!COLLAPS.A01
!COLLAPS.A02
!COLLAPS.A03
....
Puede restaurar los archivos grabados en este archivo de varios volúmenes copiándolos primero en el disco duro de su computadora o directamente desde disquetes. Por ejemplo, para restaurar desde disquetes, use el siguiente comando:
ARJ X -V A:\!COLLAPS
Después de restaurar el archivo de almacenamiento, se le pedirá al usuario que procese el siguiente archivo de almacenamiento. Inserte el siguiente disquete en la unidad y presione el botón
Copia de seguridad de documentos en Windows 95
El sistema operativo Windows 95 proporciona una forma conveniente de realizar copias de seguridad de documentos individuales y directorios completos en disquetes. Para hacer esto, simplemente abra el ícono Mi PC y vaya al directorio desde el cual desea escribir archivos en disquetes.
Luego mueva el puntero del mouse sobre el icono del archivo o directorio a copiar y presione el botón derecho del mouse. Aparecerá un pequeño menú en la pantalla.
Arroz. 2.3. Escribir el directorio de la biblioteca en disquetes
Seleccione la línea Enviar a de este menú y luego, en el menú temporal que se abre, especifique la unidad en la que se realizará la copia. En la figura 2.3, mostramos cómo copiar el directorio de la biblioteca en disquetes de 3,5 pulgadas.
Después de especificar la unidad, comenzará el proceso de copia. Si un disquete no es suficiente para copiar todos los archivos del directorio, el sistema operativo le pedirá que inserte el siguiente disquete.
Lamentablemente, el método de descarga que hemos demostrado no le permite copiar archivos en disquetes que sean más grandes que el tamaño del propio disquete. Por lo tanto, los documentos muy grandes no se pueden copiar de esta forma.
Comprobar si hay virus
Para verificar si hay nuevos programas que escribe en su computadora, debe usar los últimos programas antivirus Polyphage. Podrán detectar cualquier virus conocido en el momento de la creación del programa antivirus. Es conveniente que los antivirus que utilices realicen análisis heurísticos de los programas. Quizás esto nos permita detectar virus nuevos, aún no conocidos.
La popularidad de los programas antivirus Aidstest y Doctor Web es tan grande que están instalados en casi todas las computadoras. Por lo tanto, ahora escanearemos su computadora con estos programas y veremos si contiene virus.
Si no tiene las últimas versiones de antivirus, use los programas que tiene. Aunque dicho análisis estará incompleto, seguirá detectando una gran cantidad de virus.
Escaneo de virus en el disco duro de su computadora
Comprobemos todo primero. discos duros computadora con Aidstest. Ingrese el siguiente comando en el indicador de DOS.
Preste mucha atención a los mensajes que muestra el programa durante un escaneo de la computadora. Si se encuentra un virus, Aidstest se lo hará saber.
Muchos virus que Aidstest no detecta pueden ser detectados por Doctor Web. Además, Doctor Web te permite realizar análisis heurísticos de programas y sectores de arranque. Por lo tanto, repita la comprobación con Doctor Web.
DRWEB * /CL /HI /AR /HA1 /RV /ARRIBA
El antivirus Doctor Web escaneará todos los discos duros de la computadora, mientras que buscará virus no solo directamente en archivos ejecutables, sino también en archivos de almacenamiento, así como en archivos ejecutables comprimidos. Si se detectan virus, el programa mostrará el mensaje correspondiente en la pantalla.
Todos los ejemplos en esta sección solo buscan virus, ninguno de los virus detectados será eliminado. Para hacer esto, debe ejecutar el programa antivirus una vez más, arrancando desde el disquete del sistema.
Análisis de virus en disquetes
Todos los disquetes nuevos, así como los disquetes que le haya dado a alguien, deben revisarse para detectar una infección de virus. Para hacer esto, use los antivirus polifagos Aidstest y Doctor Web. Llame secuencialmente primero a uno y luego a otro programa. El siguiente ejemplo muestra cómo probar un disquete insertado en la unidad A:.
PRUEBA DE SIDA A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF
Virus en archivos de almacenamiento
Para aumentar la cantidad de espacio libre en el disco duro y los disquetes, muchos usuarios archivan archivos que rara vez se usan. Para esto, se pueden usar programas especiales de archivado que reducen el tamaño de los archivos al eliminar la redundancia de los datos registrados en el archivo. Cuando el usuario vuelve a necesitar un archivo del archivo, vuelve a utilizar el programa de archivado.
Los archivos dentro del archivo se almacenan en forma comprimida, lo que hace que sea imposible buscar un virus por sus firmas. Por lo tanto, si ha archivado un programa infectado, puede permanecer invisible para muchos antivirus.
Algunos programas antivirus, como Doctor Web, le permiten escanear archivos almacenados dentro de archivos comprimidos. Al escanear archivos, Doctor Web restaura temporalmente los archivos almacenados en ellos y los escanea secuencialmente.
Si encuentra virus en su computadora, asegúrese de verificar todos los archivos comprimidos, incluso si su programa antivirus no sabe cómo trabajar con archivos comprimidos. Restaure los archivos de todos los archivos en el disco usted mismo y luego verifíquelos con su programa antivirus
Por lo general, cuando varias personas trabajan en la misma computadora, utilizan diferentes medios para diferenciar el acceso a los discos duros. Por ejemplo, Diskreet del paquete Norton Utilities le permite crear varias unidades lógicas. Cada usuario puede tener acceso solo a algunos discos, el resto será completamente inaccesible para él.
Virus ArjVirus
Virus no residente no peligroso. Busca en el directorio actual y sus subdirectorios los archivos creados por el archivador ARJ. El virus distingue archivos de almacenamiento solo por su extensión - ARJ.
Si se detecta un archivo de almacenamiento, el virus crea un archivo con un nombre aleatorio que consta de cuatro caracteres de "A" a "V", con una extensión COM. El virus escribe 5 KB de su código en este archivo y al final lo agrega con un número arbitrario de bytes.
Luego, el virus llama al programa archivador ARJ, creyendo que está ubicado en uno de los directorios enumerados en la variable PATH. Para hacer esto, use el procesador de comandos:
C:\COMANDO.COM /C ARJ A
El parámetro ArjFile especifica el nombre del archivo comprimido encontrado por el virus. El parámetro ComFile contiene el nombre del archivo ejecutable del virus recién creado. Este comando agrega un nuevo archivo de virus ejecutable al archivo de almacenamiento detectado por el virus. A continuación, se elimina el archivo de virus original.
Para evitar que el usuario vea la información en la pantalla que normalmente muestra el programa de archivo ARJ, el virus desactiva temporalmente todas las salidas a la pantalla del monitor.
La idea principal del virus es que un usuario que haya restaurado archivos de un archivo infectado encontrará un archivo ejecutable desconocido en él y lo ejecutará por curiosidad.
Es necesario escanear en busca de virus en todos los discos. Es mejor si esto lo hace un usuario que tiene acceso a todos los discos de la computadora. De lo contrario, cada usuario deberá comprobar los discos que tiene a su disposición. Si alguno de los usuarios descubre que hay un virus en el disco accesible para él, debe informar a todos los demás usuarios de la computadora al respecto.
Si encuentra un virus
El mayor valor son sus datos almacenados en la computadora. Puede ser documentos de texto, archivos de hojas de cálculo, bases de datos, códigos fuente de programas, etc. Su costo puede ser muchas, muchas veces mayor que el costo de la computadora en sí y el software instalado en ella.
Cualquier software destruido por virus se puede restaurar a partir de distribuciones o copias de seguridad. Pero con los datos, la situación es mucho peor. Si no se realiza una copia de seguridad permanente de los datos, es posible que se pierdan irremediablemente.
Por lo tanto, al descubrir un virus, lo primero que debe hacer es reiniciar desde un disquete en blanco y copiar sus datos del disco duro de la computadora a disquetes, cintas magnéticas o cualquier otro dispositivo de almacenamiento de información. Solo después de eso puedes comenzar a tratar la computadora.
Si se detecta un virus, es posible que ya haya destruido la información almacenada en la computadora. La destrucción puede ser de diferente naturaleza. Quizás los archivos de datos se destruyan por completo y ni siquiera pueda leerlos, o quizás se modifiquen ligeramente y no pueda notarlo de inmediato.
Virus Pícaro.1208
Virus residente peligroso. Destruye archivos con extensión DBF escribiendo en ellos el primer byte "R" y realizando la operación lógica O EXCLUSIVA con el número 13 sobre el resto del contenido del archivo, hasta el primer carácter, que tiene el código 13. Destruye archivos CHKLIST ???. En un mes en el que la suma del valor del año y el valor del mes es 2000, el virus genera el texto: “¡Ahora tienes un virus real! Yo "soy el PÍCARO ...!"
Trate de averiguar qué tipo de virus entró en su computadora y qué hace. Puede obtener esta información de las definiciones de virus suministradas con su software antivirus. Prácticamente todos los programas antivirus tienen listas de este tipo. Se pueden hacer tan simples archivos de texto o en forma de bases de datos especiales de hipertexto.
Si encuentra un virus en su computadora, es posible que ya se haya propagado a otras computadoras de su organización. Deben ser revisados sin falta. Muchos usuarios hoy en día tienen computadoras en casa. También pueden infectarse.
Es necesario verificar todos los disquetes utilizados para trabajar con computadoras infectadas. Pueden estar infectados con virus de arranque y archivo. El virus puede persistir en ellos y luego volver a infectar la computadora. Los disquetes infectados con virus deben curarse o formatearse.
Como arreglar una computadora
Después de que haya intentado copiar todos sus datos (documentos, textos fuente, archivos de bases de datos) de la computadora, es hora de comenzar a desinfectar la computadora y eliminar los virus que la han infectado. Existen al menos tres formas de eliminar los virus de su computadora.
El más simple de ellos es cambiar por completo todo el software instalado en la computadora. Necesitarás reinstalar Sistema operativo y todos los demás programas de nuevo. Si un virus ha infectado el registro de arranque, entonces se puede actualizar formateando unidades lógicas computadora usando el comando FORMAT. Sin embargo, ni siquiera el formateo eliminará el virus del registro de arranque maestro del disco duro. Para hacer esto, use el comando FDISK con la opción /MBR no documentada y luego vuelva a crear particiones y unidades lógicas en el disco duro.
Operaciones como formatear una unidad lógica, eliminar una partición o una unidad lógica con el comando FDISK destruye completamente todos los archivos en este disco. Por lo tanto, no es necesario eliminar archivos primero.
Después de volver a crear particiones y unidades lógicas en el disco duro y formatearlas, puede proceder a instalar el sistema operativo y otros programas. La instalación completa del software de la computadora lleva mucho tiempo. Para acelerar este proceso, si es posible, instale productos de software No de disquetes, sino de CD.
Puede facilitar enormemente la recuperación de su computadora si hace una copia de seguridad de toda la información registrada en su computadora con anticipación. En este caso, después de crear y formatear las unidades lógicas, puede restaurar el software a partir de estas copias de seguridad. La forma en que ocurre esta recuperación depende de las herramientas que use para crear sus copias de seguridad.
La segunda posibilidad implica la eliminación manual de virus y la recuperación de archivos y sectores de arranque dañados. Este método es el más complejo y requiere una alta cualificación. Hablaremos sobre la restauración manual de su computadora un poco más adelante en el capítulo "Restauración manual de su sistema operativo".
Y finalmente, la última posibilidad implica el uso de programas antivirus especiales. Los propios programas antivirus detectarán y eliminarán los virus, restaurando el rendimiento de la computadora. Desafortunadamente, dicha recuperación no siempre es posible, ya que una gran categoría de virus daña de forma irreversible los programas y los datos almacenados en los discos de las computadoras. En este caso, debe reinstalar el software.
Ahora consideraremos muy brevemente el tratamiento de una computadora con los programas antivirus polyphage Aidstest y Doctor Web. Para obtener más información sobre estos y otros programas que le permiten eliminar virus de su computadora, lea el siguiente capítulo, que se llama "La mejor herramienta".
Tratamiento de una computadora con programas antivirus.
Varios virus residentes, que residen en la memoria de la computadora, impiden la desinfección exitosa de programas infectados y sectores de arranque. Por lo tanto, es recomendable realizar la desinfección solo después de iniciar la computadora desde un disquete de sistema libre de virus. En este disquete, primero debe escribir programas antivirus Polyphage, como Aidstest y Doctor Web.
El programa Aidstest le permite eliminar los virus que detecta. Para hacer esto, ejecute Aidstest con la opción /F:
Algunos virus no pueden ser detectados y eliminados por Aidstest, por lo que debe usarse junto con el antivirus Doctor Web:
DRWEB * /CL /ARRIBA /CU
Los programas Aidstest y Doctor Web pueden tratar no solo discos duros, sino también disquetes. Para hacer esto, en lugar del parámetro *, que significa trabajar con todos los discos duros de la computadora, debe especificar el nombre de la unidad:
PRUEBA DE SIDA A: /F
DRWEB A: /CL /ARRIBA /CU
El programa antivirus busca virus y objetos maliciosos en función de una comparación del programa bajo investigación con su base de datos de descripciones de virus. Si se encuentra una coincidencia, el antivirus puede tratar el virus encontrado y las reglas y métodos de tratamiento generalmente se almacenan en la misma base de datos.
Sin embargo, esta base de datos se convierte en un punto débil del antivirus: solo puede detectar los virus descritos en su base de datos. Este problema puede eliminarse parcialmente mediante el analizador heurístico, un subsistema antivirus especial que intenta detectar nuevos tipos de virus que no están descritos en la base de datos. Además de virus, el analizador heurístico AVZ intenta detectar spyware, secuestradores y troyanos.
El trabajo del analizador heurístico se basa en la búsqueda de características específicas de virus y spyware (fragmentos de código, ciertas claves de registro, archivos y procesos). Además, el analizador heurístico intenta evaluar el grado de similitud del objeto de estudio con virus conocidos.
Para buscar spyware, RootKit y Hijacker, el análisis heurístico más efectivo no son los archivos individuales en el disco, sino todo el sistema como un todo. Este analiza la totalidad de datos en el registro, archivos en disco, procesos y bibliotecas en memoria, escuchando puertos TCP y UDP, servicios activos y drivers cargados.
Una característica del análisis heurístico es un porcentaje bastante alto de errores: una heurística puede informar la detección de objetos sospechosos, pero esta información debe ser verificada por virólogos. Como resultado de la comprobación, el objeto se reconoce como malicioso y se incluye en las bases de datos o se registra un falso positivo y se introduce una corrección en los algoritmos del analizador heurístico.
La mayoría de los antivirus (incluido AVZ) tienen la capacidad de ajustar la sensibilidad del analizador heurístico. En este caso, siempre surge una contradicción: cuanto mayor sea la sensibilidad, mayor será la probabilidad de detectar un objeto malicioso desconocido mediante la heurística. Pero con un aumento en la sensibilidad, aumenta la probabilidad de falsos positivos, por lo que debe buscar algún tipo de "media dorada".
El analizador heurístico tiene varios niveles de sensibilidad y dos modos especiales:
bloqueando el analizador heurístico. En este caso, el analizador está completamente desconectado del trabajo. En AVZ, además de ajustar el nivel de sensibilidad del analizador heurístico, es posible activar y desactivar el análisis heurístico del sistema;
Modo "paranoico": en este modo, se activa la máxima sensibilidad posible y se muestran advertencias ante la menor sospecha. Este modo es naturalmente inaceptable debido a la gran cantidad de falsos positivos, pero a veces es útil.
Los principales mensajes del analizador heurístico AVZ se dan en la siguiente lista:
"Nombre del archivo >>> nombre del virus sospechoso (información breve sobre el objeto)" Se emite un mensaje similar cuando se detecta un objeto que, según AVZ, es similar a un objeto malicioso conocido. Los datos entre paréntesis permiten al desarrollador encontrar la entrada en la base de datos antivirus que condujo a la emisión de este mensaje;
"Nombre de archivo >>> archivo PE con extensión no estándar"- esto significa que se detecta Archivo de programa, pero en lugar de la típica extensión EXE, DLL, SYS, tiene una extensión diferente, no estándar. Esto no es peligroso, pero muchos virus enmascaran sus archivos PE dándoles extensiones PIF, COM. Este mensaje se muestra en cualquier nivel heurístico para archivos PE con extensiones PIF, COM, para otros, solo en el nivel heurístico máximo;
"Nombre del archivo >>> Hay más de 5 espacios en el nombre del archivo"- muchos espacios en un nombre de archivo - esto es raro, pero muchos virus usan espacios para enmascarar la extensión real, creando archivos con nombres como "photo.jpeg .exe";
"Nombre de archivo >>> Enmascaramiento de extensión detectado" - similar al mensaje anterior, pero emitido cuando se encuentran más de 15 espacios en el nombre;
"Nombre de archivo >>> el archivo no tiene un nombre visible": emitido para archivos que no tienen nombre (es decir, el nombre del archivo parece ".exe" o ".pif");
"El nombre de archivo del proceso puede funcionar con la red": se muestra para procesos que usan bibliotecas como wininet.dll, rasapi32.dll, ws2_32.dll, es decir, bibliotecas del sistema, que contiene funciones para trabajar con la red o controlar el proceso de marcar y establecer una conexión. Esta verificación se realiza solo en el nivel heurístico máximo. hecho de uso bibliotecas de red por supuesto, no es una señal de un programa malicioso, pero vale la pena prestar atención a los procesos incomprensibles de esta lista;
Después del mensaje, se puede mostrar un número que representa el grado de peligro en porcentaje. Se debe prestar especial atención a los expedientes para los que se haya emitido un nivel de gravedad superior a 30.