Cos'è un analizzatore euristico?

1. Il metodo euristico, a differenza del metodo della firma, mira a rilevare non le firme di codice dannoso, ma le tipiche sequenze di operazioni che consentono di trarre una conclusione sulla natura del file con un grado sufficiente di probabilità. Il vantaggio dell'analisi euristica è che non richiede database precompilati. Per questo motivo, le nuove minacce vengono riconosciute prima che la loro attività diventi nota agli analisti dei virus.
2. per favore scrivimi se lo scopri
3. La scansione euristica è un metodo di funzionamento di un programma antivirus basato su firme ed euristica, progettato per migliorare la capacità degli scanner di applicare firme e riconoscere versioni modificate di virus nei casi in cui la firma corrisponde al corpo programma sconosciuto non al 100%, ma il programma sospetto mostra segni più generali di un virus. Questa tecnologia, tuttavia, viene utilizzato con molta attenzione nei programmi moderni, poiché può aumentare il numero di falsi positivi.
4. L'analizzatore euristico (euristico) è un modulo antivirus che analizza il codice file eseguibile e determina se l'oggetto sottoposto a scansione è infetto.
   Durante l'analisi euristica non vengono utilizzate firme standard. Al contrario, un’euristica prende una decisione sulla base di regole preimpostate, a volte non del tutto chiare.

   Per maggiore chiarezza, questo approccio può essere confrontato con intelligenza artificiale condurre analisi e prendere decisioni in modo indipendente. Tuttavia, questa analogia riflette solo parzialmente l'essenza, poiché l'euristica non sa apprendere e, sfortunatamente, ha una bassa efficienza. Secondo gli esperti antivirus, anche gli analizzatori più moderni non sono in grado di bloccare più del 30% dei codici dannosi. Un altro problema sono i falsi positivi, quando un programma legittimo viene rilevato come infetto.

   Tuttavia, nonostante tutte le carenze, nei prodotti antivirus vengono ancora utilizzati metodi euristici. Il fatto è che una combinazione di approcci diversi può aumentare l’efficienza finale dello scanner. Oggi i prodotti di tutti i principali attori del mercato sono dotati di euristica: Symantec, Kaspersky Lab, Panda, Trend Micro e McAfee.
   Durante il processo di analisi euristica viene verificata la struttura dei file e la sua conformità ai modelli di virus. La tecnologia euristica più popolare consiste nel controllare il contenuto di un file per verificare la presenza di modifiche delle firme dei virus già note e delle loro combinazioni. Ciò aiuta a identificare prima gli ibridi e le nuove versioni virus conosciuti senza ulteriore aggiornamento del database antivirus.
   L'analisi euristica viene utilizzata per rilevare virus sconosciuti e, di conseguenza, non comporta il trattamento.
   Questa tecnologia non è in grado di determinare al 100% se ha di fronte un virus oppure no, e come ogni algoritmo probabilistico soffre di falsi positivi.

   Qualsiasi domanda sarà risolta da me, contattami, ti aiuteremo in ogni modo possibile

5. L'analizzatore euristico riassume gli andamenti del codice del programma in base alle chiamate agli interrupt di sistema, estrapolando il livello di possibile malevolenza. Ciò garantisce una protezione equilibrata del sistema operativo.
   Bene, sembra che tutto sia stato spiegato, ok ;))
6. Questo è un tipo di intelligenza artificiale. nella vita reale questa tecnologia non è disponibile, ci sono alcune approssimazioni, come se l'antivirus stesso analizzasse il programma e decidesse se si tratta di un virus o meno

I programmi antivirus sono programmi il cui compito principale è proteggere dai virus o, più precisamente, dai malware.

I metodi e i principi di protezione teoricamente non hanno particolare importanza, l'importante è che mirino a combattere il malware. Ma in pratica la situazione è leggermente diversa: quasi tutti i programmi antivirus combinano in proporzioni diverse tutte le tecnologie e i metodi di protezione antivirus creati fino ad oggi.

Di tutti i metodi di protezione antivirus si possono distinguere due gruppi principali:

• Metodi di firma- Metodi accurati di rilevamento dei virus basati sul confronto del file con campioni di virus noti
• Metodi euristici- metodi di rilevamento approssimativi che consentono di presumere con una certa probabilità che il file sia infetto

Analisi della firma

La parola firma in questo caso è un calco della firma inglese, che significa “firma” o, in senso figurato, “un tratto caratteristico, qualcosa che identifica”. In realtà, questo dice tutto. Analisi della firma consiste nell'individuare le caratteristiche identificative di ciascun virus e nella ricerca dei virus confrontando i file con le caratteristiche identificate.

Firma virale verrà considerato un insieme di caratteristiche che consentono di identificare in modo univoco la presenza di un virus in un file (compresi i casi in cui l'intero file è un virus). Insieme, le firme dei virus conosciuti costituiscono il database antivirus.

Il compito di identificare le firme viene solitamente risolto da persone - esperti nel campo della virologia informatica, che sono in grado di isolare il codice del virus dal codice del programma e formulare le sue caratteristiche nella forma più conveniente per la ricerca. Di norma, perché nei casi più semplici possono essere utilizzati speciali strumenti automatizzati per l'estrazione della firma. Ad esempio nel caso di Trojan o worm dalla struttura semplice che non infettano altri programmi ma sono programmi assolutamente dannosi.

Quasi tutte le aziende che producono antivirus hanno il proprio gruppo di esperti che analizzano i nuovi virus e riempiono il database antivirus con nuove firme. Per questo motivo i database antivirus differiscono tra i diversi antivirus. Esiste però un accordo tra le aziende antivirus per lo scambio di campioni di virus, il che significa che prima o poi la firma di un nuovo virus finisce nei database antivirus di quasi tutti gli antivirus. Il miglior antivirus sarà quello per il quale è stata rilasciata per prima la nuova firma del virus.

Un malinteso comune sulle firme è che ciascuna firma corrisponda esattamente a un virus o malware. Di conseguenza, un database antivirus con un numero elevato di firme consente di rilevare più virus. In realtà, questo non è vero. Molto spesso viene utilizzata un'unica firma per rilevare una famiglia di virus simili e pertanto non è più possibile presumere che il numero di firme sia uguale al numero di virus rilevati.

Il rapporto tra il numero di firme e il numero di virus conosciuti è diverso per ciascun database antivirus ed è possibile che il database con meno firme contenga effettivamente informazioni su un numero maggiore di virus. Se ricordiamo che le aziende antivirus si scambiano campioni di virus, possiamo supporre con un elevato grado di sicurezza che i database antivirus degli antivirus più noti siano equivalenti.

Importante proprietà aggiuntiva firme: una determinazione accurata e garantita del tipo di virus. Questa proprietà consente di inserire nel database non solo le firme stesse, ma anche i metodi per curare il virus. Se analisi della firma ha dato solo una risposta alla domanda se esiste o meno un virus, ma non ha dato una risposta su che tipo di virus sia Ovviamente, il trattamento non sarebbe possibile - il rischio di intraprendere le azioni sbagliate e, invece del trattamento, di riceverlo un’ulteriore perdita di informazioni sarebbe troppo grande.

Un'altra proprietà importante, ma già negativa, è che per ottenere una firma è necessario avere un campione del virus. Quindi, metodo di firma non è adatto alla protezione contro nuovi virus perché finché il virus non viene analizzato da esperti è impossibile crearne la firma. Ecco perché tutte le principali epidemie sono causate da nuovi virus. Dal momento in cui un virus appare su Internet fino al rilascio delle prime firme, di solito passano diverse ore e durante questo periodo il virus è in grado di infettare i computer quasi senza ostacoli. Quasi, perché le misure di protezione aggiuntive discusse in precedenza, così come i metodi euristici utilizzati nei programmi antivirus, aiutano a proteggersi dai nuovi virus.

Analisi euristica

La parola "euristico" deriva dal verbo greco "trovare". L'essenza dei metodi euristici è che la soluzione a un problema si basa su alcuni presupposti plausibili e non su conclusioni rigorose da fatti e premesse esistenti. Poiché questa definizione sembra piuttosto complessa e incomprensibile, è più facile spiegarla utilizzando esempi di vari metodi euristici

Se il metodo della firma si basa sull'identificazione delle caratteristiche di un virus e sulla ricerca di queste caratteristiche nei file sottoposti a scansione, l'analisi euristica si basa sul presupposto (molto plausibile) che i nuovi virus spesso risultano simili a uno qualsiasi dei virus quelli già conosciuti. Dopo il fatto, questa ipotesi è giustificata dalla presenza in database antivirus firme per identificare non uno, ma diversi virus contemporaneamente. Sulla base di questo presupposto, un metodo euristico consiste nel cercare file che non corrispondono completamente, ma corrispondono molto strettamente alle firme dei virus noti.

Un effetto positivo dell'utilizzo di questo metodo è la capacità di rilevare nuovi virus anche prima che vengano assegnate le firme. Lati negativi:

• La probabilità di identificare erroneamente la presenza di un virus in un file quando in realtà il file è pulito: tali eventi sono chiamati falsi positivi
• Impossibilità di trattamento - sia a causa di possibili falsi positivi che a causa di una possibile determinazione imprecisa del tipo di virus, un tentativo di trattamento può portare a perdite di informazioni maggiori rispetto al virus stesso, e questo è inaccettabile
• Bassa efficienza: contro i virus veramente innovativi che causano le più grandi epidemie, questo tipo di analisi euristica è di scarsa utilità

Cerca virus che eseguono azioni sospette

Un altro metodo basato sull'euristica presuppone questo malware in un modo o nell'altro cercano di danneggiare il computer. Il metodo si basa sull’identificazione delle principali azioni dannose, quali, ad esempio:

• Eliminazione di un file
• Scrivi su file
• Registrazione in aree specifiche registro di sistema
• Apertura di una porta di ascolto
• Intercettare i dati inseriti dalla tastiera
• Invio di lettere
• E così via.

È chiaro che eseguire ciascuna di queste azioni separatamente non è un motivo per considerare il programma dannoso. Ma se un programma esegue costantemente diverse azioni simili, ad esempio, registra il proprio avvio nella chiave di avvio automatico del registro di sistema, intercetta i dati immessi dalla tastiera e invia questi dati a un indirizzo su Internet con una certa frequenza, allora questo programma è a quantomeno sospetto. Un analizzatore euristico basato su questo principio deve monitorare costantemente le azioni eseguite dai programmi.

Il vantaggio del metodo descritto è la capacità di rilevare malware precedentemente sconosciuti, anche se non sono molto simili a quelli già conosciuti. Ad esempio, un nuovo programma dannoso può sfruttare una nuova vulnerabilità per penetrare in un computer, ma successivamente inizia a eseguire azioni dannose già familiari. Un programma del genere potrebbe non essere rilevato da un analizzatore euristico del primo tipo, ma potrebbe essere rilevato da un analizzatore del secondo tipo.

Le caratteristiche negative sono le stesse di prima:

• Falsi positivi
• Impossibilità di trattamento
• Bassa efficienza

Cerca virus simili a quelli conosciuti

Euristica significa “trovare”. L’analisi euristica si basa sul presupposto (molto plausibile) che i nuovi virus siano spesso simili ad alcuni già noti. Pertanto, i database antivirus contengono firme per identificare non uno, ma diversi virus contemporaneamente. Pertanto, il metodo euristico consiste nel cercare file che non corrispondono completamente, ma corrispondono molto strettamente alle firme dei virus noti.

Vantaggi: la capacità di rilevare nuovi virus ancor prima che vengano assegnate le firme.

Difetto:

• · la possibilità di identificare erroneamente la presenza di un virus in un file, quando in realtà il file è pulito - tali eventi sono chiamati falsi positivi;
• · impossibilità di trattamento - sia per possibili falsi positivi che per un'eventuale determinazione inaccurata del tipo di virus, un tentativo di trattamento può portare a perdite di informazioni maggiori rispetto al virus stesso, e questo è inaccettabile;
• · bassa efficienza – contro i virus veramente innovativi che causano le più grandi epidemie, questo tipo di analisi euristica è di scarsa utilità.

Cerca virus che eseguono azioni sospette

Un altro metodo, basato sull'euristica, presuppone che il malware stia in qualche modo tentando di danneggiare un computer e si basa sull'identificazione delle principali azioni dannose.

Per esempio:

• · eliminare un file;
• · scrivere su un file;
• · scrittura in alcune aree del registro di sistema;
• · apertura di una porta di ascolto;
• · intercettazione dei dati inseriti da tastiera;
• · invio di lettere;

L'esecuzione separata di ciascuna di queste azioni non costituisce motivo per considerare il programma dannoso. Tuttavia, quando un programma esegue diverse azioni simili in sequenza, ad esempio, registra l'avvio di se stesso nella chiave di esecuzione automatica del registro di sistema, intercetta i dati immessi dalla tastiera e con una certa frequenza invia questi dati a qualche indirizzo su Internet, quindi questo programma, almeno, sospetto. Basandosi su questo principio, un analizzatore euristico monitora costantemente le azioni eseguite dai programmi.

Vantaggi: la capacità di rilevare programmi dannosi precedentemente sconosciuti, anche se non sono molto simili a quelli già noti (utilizzando una nuova vulnerabilità per penetrare in un computer e successivamente eseguendo azioni dannose già familiari). Un programma del genere potrebbe non essere rilevato da un analizzatore euristico del primo tipo, ma potrebbe essere rilevato da un analizzatore del secondo tipo.

Screpolatura:

• · falsi positivi;
• · impossibilità del trattamento;
• · efficienza non elevata.

Potresti utilizzare un software antivirus senza sapere come funziona. Tuttavia, al giorno d'oggi ci sono molti programmi antivirus, quindi dovrai sceglierne uno in un modo o nell'altro. Affinché questa scelta sia il più giustificata possibile e affinché i programmi installati forniscano il massimo grado di protezione contro i virus, è necessario studiare le tecniche utilizzate da questi programmi.

Esistono diverse tecniche di base per il rilevamento e la protezione dai virus. I programmi antivirus possono implementare solo determinate tecniche o combinazioni di esse.

· Scansione

Rilevamento modifiche

Analisi euristica

Monitor residenziali

· Programmi di vaccinazione

· Protezione antivirus dell'hardware

Inoltre, la maggior parte dei programmi antivirus fornisce il ripristino automatico dei programmi infetti e settori di avvio.

Oggetti di infezione

Nel primo capitolo abbiamo già parlato dei diversi tipi di virus e di come si diffondono. Prima di iniziare la revisione agenti antivirus, elenchiamo le aree del file system del computer che sono suscettibili di infezione da virus e che devono essere scansionate:

· File eseguibili di programmi, driver

· Record di avvio principale e settori di avvio

· File di configurazione AUTOEXEC.BAT e CONFIG.SYS

· Documenti in formato elaboratore di testi Microsoft Word per Windows

Quando un virus residente diventa attivo, inserisce il suo modulo permanentemente attivo nella RAM del computer. Pertanto, i programmi antivirus devono controllare la RAM. Poiché i virus possono utilizzare più della semplice memoria standard, è consigliabile controllare la memoria superiore. Ad esempio, l'antivirus Doctor Web controlla i primi 1088 KB di RAM.

Scansione

Il metodo più semplice per cercare virus è che il programma antivirus analizzi in sequenza i file scansionati alla ricerca di firme di virus conosciuti. Una firma è una sequenza univoca di byte che appartiene a un virus e non si trova in altri programmi.

Determinare la firma di un virus è un compito piuttosto difficile. La firma non dovrebbe essere contenuta nei normali programmi che non sono infetti da questo virus. Altrimenti, sono possibili falsi positivi quando viene rilevato un virus in un programma del tutto normale e non infetto.

Naturalmente i programmi scanner non memorizzano necessariamente le firme di tutti i virus conosciuti. Possono, ad esempio, memorizzare solo i checksum delle firme.

I programmi di scansione antivirus in grado di rimuovere i virus rilevati sono generalmente chiamati polifagi. Il programma di scansione più famoso è Aidstest di Dmitry Lozinsky. Aidstest ricerca i virus in base alle loro firme. Pertanto, rileva solo i virus polimorfici più semplici.

Nel primo capitolo abbiamo parlato dei cosiddetti virus crittografici e polimorfici. I virus polimorfici cambiano completamente il loro codice quando vengono infettati nuovo programma o settore di avvio. Se si isolano due copie dello stesso virus polimorfico, potrebbero non corrispondere in un singolo byte. Di conseguenza, è impossibile determinare la sinatura di tali virus. Pertanto, i semplici programmi di scansione antivirus non sono in grado di rilevare i virus polimorfici.

I programmi di scansione antivirus possono rilevare solo virus già noti che sono stati precedentemente studiati e per i quali è stata determinata una firma. Pertanto, l'uso di programmi scanner non protegge il computer dalla penetrazione di nuovi virus.

Per utilizzare in modo efficace i programmi antivirus che implementano il metodo di scansione, è necessario aggiornarli costantemente con le versioni più recenti.

Analisi euristica

L'analisi euristica è un metodo relativamente nuovo per il rilevamento dei virus. Consente di rilevare virus precedentemente sconosciuti senza la necessità di raccogliere prima dati sul file system, come richiesto dal metodo di rilevamento delle modifiche.

I programmi antivirus che implementano il metodo di analisi euristica scansionano programmi e settori di avvio di dischi e floppy disk, cercando di rilevare il codice caratteristico dei virus in essi contenuti. Ad esempio, un analizzatore euristico può rilevare che il programma da testare contiene codice che installa un modulo residente in memoria.

Il programma antivirus Doctor Web, incluso nel kit DialogScience AO, dispone di un potente analizzatore euristico che consente di rilevare un gran numero di nuovi virus.

Se l'analizzatore euristico segnala che un file o un settore di avvio potrebbe essere infetto da un virus, dovresti prenderlo con molta attenzione. Si consiglia di esaminare tali file utilizzando le versioni più recenti dei programmi antivirus o di inviarli a DialogScience JSC per uno studio dettagliato.

Il kit IBM AntiVirus include un modulo speciale volto a rilevare i virus nei settori di avvio. Questo modulo utilizza la tecnologia di rete neurale in attesa di brevetto dell'analisi euristica IBM e consente di determinare se il settore di avvio è infetto da un virus.

Rilevamento modifiche

Quando un virus infetta un computer, apporta necessariamente modifiche al disco rigido, ad esempio aggiunge il proprio codice al file eseguibile, aggiunge una chiamata al programma antivirus al file AUTOEXEC.BAT, modifica il settore di avvio e crea un file satellitare.

I programmi antivirus possono ricordare in anticipo le caratteristiche di tutte le aree del disco attaccate da un virus e quindi controllarle periodicamente (da cui il loro nome: programmi di controllo). Se viene rilevata una modifica, è possibile che il computer sia stato attaccato da un virus.

In genere, i programmi di controllo memorizzano le immagini di quello principale in file speciali. voce di avvio, settori di avvio dei dischi logici, parametri di tutti i file monitorati, nonché informazioni sulla struttura delle directory e numeri di cluster di dischi danneggiati. È possibile verificare anche altre caratteristiche del computer: la quantità di RAM installata, il numero di dischi collegati al computer e i relativi parametri.

I programmi di controllo sono in grado di rilevare la maggior parte dei virus, anche quelli precedentemente sconosciuti. Di norma, i revisori non sono in grado di rilevare i virus che infettano i file di programma solo quando vengono copiati, poiché non conoscono i parametri dei file esistenti prima della copia.

Tuttavia, va tenuto presente che non tutti i cambiamenti sono causati dall’invasione di virus. Pertanto, il record di avvio potrebbe cambiare quando la versione del sistema operativo viene aggiornata e alcuni programmi scrivono dati all'interno del proprio file eseguibile. I file batch cambiano ancora più frequentemente; ad esempio, il file AUTOEXEC.BAT solitamente cambia durante l'installazione di un nuovo software.

I programmi di controllo non ti aiuteranno anche se li hai scritti sul tuo computer nuovo file, infetto da un virus. È vero, se il virus infetta altri programmi già presi in considerazione dal revisore, verrà rilevato.

Il più semplice programma di controllo Microsoft Anti-Virus (MSAV) fa parte del sistema operativo MS-DOS. Il suo vantaggio principale, e forse unico, è che non è necessario spendere soldi aggiuntivi.

Strumenti di controllo decisamente più avanzati sono forniti dal programma di audit Advanced Diskinfoscope (ADinf), che fa parte del kit antivirus di DialogScience JSC. Vedremo questi strumenti in modo più dettagliato nella prossima sezione, ma per ora ci limiteremo a notare che insieme ad ADinf è possibile utilizzare il modulo ADinf Cure (ADinfExt). ADinf Cure Module utilizza le informazioni raccolte in precedenza sui file per ripristinarli dopo essere stati infettati da virus sconosciuti.

Naturalmente, non tutti i virus possono essere rimossi da ADinf Cure Module e altri software basati sul monitoraggio e sul controllo periodico del computer. Ad esempio, se nuovo virus crittografa il disco, come fa il virus OneHalf, quindi eliminarlo senza decrittografare il disco molto probabilmente porterà alla perdita di informazioni. Virus di questo tipo possono essere rimossi solo dopo un attento studio da parte di specialisti e l'inclusione di moduli per combatterli nei normali polifagi: Aidstest o Doctor Web.

I programmi di controllo antivirus a noi noti al momento della stesura di questo articolo non sono adatti per rilevare virus nei file di documenti, poiché sono intrinsecamente in continua evoluzione. Numerosi programmi smettono di funzionare dopo che è stato introdotto in essi il codice del vaccino. Pertanto, per monitorarli dovrebbero essere utilizzati programmi di scansione o analisi euristiche.

Monitor residenziali

Esiste anche un'intera classe di programmi antivirus che si trovano costantemente nella RAM del computer e monitorano tutte le azioni sospette eseguite da altri programmi. Tali programmi sono chiamati monitor residenti o guardiani.

Il monitor residente avviserà l'utente se qualche programma tenta di modificare il settore di avvio disco rigido o floppy disk, file eseguibile. Il monitor residente ti dirà che il programma sta tentando di lasciare un modulo residente nella RAM, ecc.

La maggior parte dei monitor residenti consente di controllare automaticamente tutti i programmi avviati per l'infezione da virus noti, ovvero eseguono le funzioni di uno scanner. Tale controllo richiederà del tempo e il processo di caricamento del programma rallenterà, ma sarai sicuro che i virus conosciuti non potranno attivarsi sul tuo computer.

Sfortunatamente, i monitor residenti presentano molti svantaggi che rendono questa classe di programmi inadatta all'uso.

Molti programmi, anche quelli che non contengono virus, possono eseguire azioni alle quali rispondono i monitor residenti. Ad esempio, un normale comando LABEL modifica i dati nel settore di avvio e attiva il monitor.

Pertanto, il lavoro dell'utente verrà costantemente interrotto da fastidiosi messaggi antivirus. Inoltre, l'utente dovrà decidere di volta in volta se questo trigger è causato da un virus o meno. Come dimostra la pratica, prima o poi l'utente spegne il monitor residente.

Infine, il più piccolo svantaggio dei monitor residenti è che devono essere costantemente caricati RAM e quindi ridurre la quantità di memoria disponibile per altri programmi.

Il sistema operativo MS-DOS include già un monitor antivirus residente, VSafe.

Programmi di vaccinazione

Affinché una persona possa evitare determinate malattie, viene vaccinata. Esiste un modo per proteggere i programmi dai virus, in cui uno speciale modulo di controllo è collegato al programma protetto per monitorarne l'integrità. In questo caso è possibile verificare il checksum del programma o alcune altre caratteristiche. Quando un virus infetta un file vaccinato, il modulo di controllo rileva una modifica nel checksum del file e lo segnala all'utente.

Purtroppo, a differenza delle vaccinazioni umane, i programmi di vaccinazione in molti casi non li salvano dall’infezione. I virus invisibili ingannano facilmente il vaccino. I file infetti funzionano normalmente; il vaccino non rileva l'infezione. Pertanto non ci soffermeremo sui vaccini e continueremo a considerare altri mezzi di protezione.

Protezione antivirus dell'hardware

Oggi, uno dei modi più affidabili per proteggere i computer dagli attacchi di virus è l'hardware e il software. Di solito sono un controller speciale che viene inserito in uno dei connettori di espansione del computer e Software, che controlla il funzionamento di questo controller.

A causa del fatto che il controller di protezione hardware è collegato al bus del sistema del computer, riceve pieno controllo su tutti gli accessi al sottosistema del disco del computer. Il software di protezione hardware consente di specificare le aree del file system che non possono essere modificate. È possibile proteggere il record di avvio principale, i settori di avvio, gli eseguibili, i file di configurazione, ecc.

Se il complesso hardware e software rileva che un programma sta tentando di violare la protezione installata, può informarne l'utente e bloccare l'ulteriore utilizzo del computer.

Il livello di controllo hardware sul sottosistema del disco del computer non consente ai virus di mascherarsi. Non appena il virus si manifesterà, verrà immediatamente rilevato. In questo caso è del tutto indifferente come funziona il virus e quali mezzi utilizza per accedere a dischi e floppy disk.

Gli strumenti di protezione hardware e software consentono non solo di proteggere il computer dai virus, ma anche di interrompere tempestivamente il funzionamento dei programmi Trojan volti a distruggere il file system del computer. Inoltre, hardware e software ti consentono di proteggere il tuo computer da un utente inesperto e da un utente malintenzionato non gli consentiranno di eliminare informazioni importanti, formattare il disco o modificare i file di configurazione;

Attualmente in Russia viene prodotto in serie solo il complesso hardware e software Sheriff. Preverrà in modo affidabile l'infezione del computer e consentirà all'utente di dedicare molto meno tempo al monitoraggio antivirus del computer utilizzando software convenzionale.

All'estero vengono prodotti molti più prodotti di protezione hardware e software, ma il loro prezzo è molto più alto di quello di Sheriff e ammonta a diverse centinaia di dollari USA. Ecco alcuni nomi di tali complessi:

Nome del complesso	Produttore
	JAS Tecnologie delle Americhe
	Leprechaum Software Internazionale
	Imprese digitali
	Lynn International
	Elettronica sveva Reutlingen
	Elettronica Telstar
	Bugovics & Partner

Oltre a svolgere la sua funzione principale, l'hardware e il software del computer possono fornire vari servizi aggiuntivi. Possono gestire la differenziazione dei diritti di accesso di diversi utenti alle risorse del computer: dischi rigidi, unità floppy, ecc.

Protezione integrata nel BIOS del computer

Molte aziende produttrici schede madri computer, iniziarono a incorporarvi il mezzo più semplice di protezione contro i virus. Questi strumenti consentono di controllare tutti gli accessi al record di avvio principale dischi fissi, nonché ai settori di avvio di dischi e floppy disk. Se un programma tenta di modificare il contenuto dei settori di avvio, viene attivata la protezione e l'utente riceve un avviso corrispondente. Allo stesso tempo, può consentire questo cambiamento o vietarlo.

Tuttavia, tale controllo non può essere definito un vero controllo a livello hardware. Il modulo software responsabile del controllo dell'accesso ai settori di avvio si trova nella ROM del BIOS e può essere aggirato dai virus se sostituiscono i settori di avvio accedendo direttamente alle porte I/O del disco rigido e del controller dell'unità floppy.

Esistono virus che tentano di disabilitare il controllo antivirus del BIOS modificando alcune celle nella memoria non volatile del computer (memoria CMOS).

Virus ceceni .1912 e 1914

Virus crittografati residenti molto pericolosi. Provano a trovare le stringhe di testo Megatrends e PREMIO. Se la ricerca ha esito positivo, presuppongono che sul computer sia installato un BIOS AWARD o AMI, disattivano il controllo del settore di avvio e infettano il record di avvio principale del disco rigido. Tra circa un mese dopo l'infezione, il virus cancella le informazioni da tutto primo disco rigido

Il mezzo più semplice per proteggere l'hardware è disconnettere dal computer tutti i canali attraverso i quali un virus può penetrarvi. Se il computer non è connesso a una rete locale e non è installato un modem, è sufficiente scollegare le unità floppy e il canale principale attraverso il quale i virus entrano nel computer verrà bloccato.

Tuttavia, tale disconnessione non è sempre possibile. Nella maggior parte dei casi, l'utente necessita dell'accesso alle unità disco o ai modem per il normale funzionamento. Inoltre, i programmi infetti possono entrare nel tuo computer rete locale o CD e disabilitarli ridurrà notevolmente la portata del computer.

Metodi di rimozione dei virus

Trovare un virus sul tuo computer è solo metà dell'opera. Ora è necessario rimuoverlo. Nella maggior parte dei casi, i programmi antivirus che rilevano un virus possono rimuoverlo. Esistono due tecniche principali utilizzate dai programmi antivirus per rimuovere i virus.

Se trovi un virus controllando i file eseguibili con le estensioni dei nomi COM ed EXE, dovresti controllare tutti gli altri tipi di file che contengono codice eseguibile. Prima di tutto, questi sono file con SYS, OVL, OVI, OVR , BIN, BAT, BIN, LIB, DRV, BAK, ZIP, ARJ, PAK, LZH, PIF, PGM, DLL, DOC

Puoi anche controllare tutti i file sui dischi rigidi del tuo computer. Forse qualcuno ha rinominato il file eseguibile infetto modificandone l'estensione. Ad esempio, il file EDITOR.EXE è stato rinominato EDITOR.EX_. Tale file non verrà scansionato. Se in seguito viene rinominato nuovamente, il virus potrà riattivarsi e diffondersi nel computer.

Il primo metodo, il più comune, prevede che il programma antivirus rimuova un virus già noto. Affinché il virus venga rimosso adeguatamente, è necessario studiarlo, sviluppare un algoritmo per il suo trattamento e questo algoritmo deve essere implementato in nuova versione antivirus.

Il secondo metodo consente di recuperare file e settori di avvio infettati da virus precedentemente sconosciuti. Per fare ciò, il programma antivirus deve analizzare in anticipo tutti i file eseguibili, prima che compaiano i virus, e salvare molte informazioni diverse su di essi.

Quando il programma antivirus viene avviato successivamente, raccoglie nuovamente i dati sui file eseguibili e li confronta con i dati ricevuti in precedenza. Se vengono rilevate incoerenze, il file potrebbe essere infetto da un virus.

In questo caso, l'antivirus tenta di ripristinare il file infetto, utilizzando le informazioni sui principi di introduzione dei virus nei file e le informazioni su questo file ottenute prima che fosse infetto.

Alcuni virus infettano file e settori di avvio, sostituendo parte dell'oggetto infetto con il proprio codice, ovvero distruggendo irreversibilmente l'oggetto infetto. I file e i settori di avvio infettati da tali virus non possono essere curati con il primo metodo, ma di norma possono essere ripristinati con il secondo metodo. Se non riesci a ripristinare i file eseguibili infetti utilizzando programmi antivirus, dovrai ripristinarli dalla distribuzione o dalla copia di backup o semplicemente eliminarli (se non sono necessari).

La situazione con il record di avvio principale e i settori di avvio è leggermente più complicata. Se il programma antivirus non è in grado di ripristinarli Modalità automatica, dovrai farlo manualmente utilizzando i comandi FDISK, SYS, FORMAT. Il ripristino manuale dei settori di avvio verrà descritto poco più avanti, nel sesto capitolo.

Esiste un intero gruppo di virus che, quando infettano un computer, diventano parte del suo sistema operativo. Se si rimuove semplicemente un virus di questo tipo, ad esempio ripristinando un file infetto da un dischetto, il sistema potrebbe diventare parzialmente o completamente inutilizzabile. Tali virus devono essere trattati utilizzando il primo metodo.

Esempi di tali virus includono i virus di avvio OneHalf e il gruppo di virus VolGU.

All'avvio del computer, il virus OneHalf crittografa gradualmente il contenuto del tuo disco rigido. Se il virus è residente in memoria, intercetta tutti gli accessi al disco rigido. Se un programma tenta di leggere un settore già crittografato, il virus lo decrittografa. Se rimuovi il virus OneHalf, le informazioni sulla parte crittografata del tuo disco rigido diventeranno inaccessibili.

Il virus VolGU non crittografa i dati, ma non è meno pericoloso di OneHalf. Ogni settore difficile Il disco non solo memorizza i dati scritti su di esso, ma contiene anche ulteriori informazioni di verifica. Rappresenta la somma di controllo di tutti i byte nel settore. Questo checksum viene utilizzato per verificare l'integrità delle informazioni.

In genere, quando un programma accede al sottosistema del disco di un computer, vengono letti e scritti solo i dati e il checksum viene modificato automaticamente. Il virus VolGU intercetta le chiamate da tutti i programmi al disco rigido e, durante la scrittura dei dati sul disco, corrompe i checksum dei settori.

Quando il virus è attivo, consente la lettura dei settori dal lato sbagliato somma di controllo. Se rimuovi semplicemente un virus di questo tipo, i settori con un checksum errato non verranno letti. Il sistema operativo ti informerà di un errore di lettura del disco rigido (settore non trovato).

Preparazione per un attacco di virus

Gli utenti di computer dovrebbero prepararsi in anticipo per un possibile attacco di virus e non aspettare l'ultimo minuto quando il virus è già apparso. Grazie a questo, puoi rilevare rapidamente il virus e rimuoverlo.

In cosa dovrebbe consistere tale preparazione?

¨ Preparare anticipatamente un dischetto di sistema. Installa su di esso programmi antivirus polifagi, ad esempio Aidstest e Doctor Web

¨ Aggiornare costantemente le versioni dei programmi antivirus registrate sul floppy disk del sistema

¨ Scansiona periodicamente il tuo computer utilizzando vari strumenti antivirus. Monitora tutte le modifiche al disco utilizzando un programma di controllo come ADinf. Controlla i file nuovi e modificati con i programmi polyphage Aidstest e Doctor Web

¨ Controllare tutti i floppy disk prima dell'uso. Per eseguire la scansione, utilizzare le versioni più recenti dei programmi antivirus

¨ Controllare tutti i file eseguibili scritti sul computer

se avete bisogno alto livello protezione antivirus, installa un controller di protezione hardware sul tuo computer, ad esempio Sheriff. L'uso combinato di un controller hardware e di strumenti antivirus tradizionali massimizzerà la sicurezza del tuo sistema

Creazione di un floppy disk di sistema

In genere, un computer dispone di due unità disco floppy. Uno è per floppy disk da 5,25", il secondo è per floppy disk da 3,5". Il sistema operativo MS-DOS, così come i sistemi operativi Windows, Windows 95, Windows NT e OS/2 li chiamano A: e B:. Quale unità si chiama A: e quale si chiama B: dipende dall'hardware del computer.

In genere, l'utente può modificare i nomi delle unità. Per fare ciò, è necessario aprire il case del computer e cambiare diversi connettori. Se esiste una tale possibilità, questo lavoro dovrebbe essere affidato a uno specialista tecnico.

Le unità disco magnetico da 5,25 pollici stanno gradualmente cadendo in disuso, quindi i nuovi computer installano solo un'unità disco floppy progettata per dischi floppy da 3,5 pollici. In questo caso si chiama A:, manca l'unità B:.

È possibile avviare il computer utilizzando il dischetto di sistema solo dall'unità A:. Pertanto, per creare un floppy disk di sistema per il tuo computer, devi prendere un floppy disk della dimensione appropriata.

Esistono molti programmi che consentono di preparare un floppy disk di sistema. Tali programmi sono inclusi in tutti i sistemi operativi: MS-DOS, Windows 3.1, Windows 95 e OS/2, ecc.

Più programmi semplici Per preparare i floppy disk di sistema, utilizzare i comandi FORMAT o SYS, che fanno parte dei sistemi operativi MS-DOS e Windows 95, e quindi, prima di tutto, li descriveremo.

Utilizzando il comando FORMATO

Il comando FORMAT formatta un floppy disk e può scrivervi file del sistema operativo. Durante la formattazione dei floppy disk, FORMAT contrassegna le tracce sul floppy disk e forma le aree di sistema: il settore di avvio, la tabella di allocazione dei file e la directory principale.

Quando si formatta un floppy disk, tutte le informazioni registrate su di esso vengono cancellate. Poiché FORMAT riscrive il settore di avvio sul dischetto, se è stato precedentemente infettato da un virus di avvio, il virus viene rimosso. Possiamo dire che il comando FORMAT svolge la funzione principale di un antivirus: rimuove eventuali virus dal floppy disk.

Quando si richiama il comando FORMAT, è possibile specificare un gran numero di parametri diversi. Potete trovare la loro descrizione nel quarto volume della serie “ Personal computer- passo dopo passo”, che si intitola “Cosa dovresti sapere sul tuo computer”. In questo libro descriveremo solo alcuni dei parametri più necessari:

FORMATO unità:

Per il parametro drive è necessario specificare il nome dell'unità che formatterà il floppy disk. Il parametro /S significa che dopo aver formattato il dischetto, i file principali del sistema operativo vengono trasferiti su di esso e il dischetto diventa il disco di sistema. Per preparare un floppy disk di sistema, assicurarsi di specificare questo parametro.

Come abbiamo detto, il comando FORMAT cancella tutti i file scritti su di esso da un floppy disk formattato. In genere, FORMAT registra informazioni nascoste su un floppy disk, consentendo, se necessario, di ripristinare i file cancellati da esso.

Per recuperare i file cancellati durante la formattazione di un floppy disk, utilizzare il comando UNFORMAT

Se sei sicuro di non doverli ripristinare, puoi velocizzare la formattazione del floppy disk specificando il parametro aggiuntivo /U. In questo caso, le informazioni sui file eliminati non vengono salvate e non possono essere ripristinate.

È possibile accelerare notevolmente il processo di preparazione di un disco floppy di sistema specificando il parametro facoltativo /Q nel comando FORMAT. In questo caso formattate velocemente il floppy disk:

Descriviamo più in dettaglio il processo di preparazione di un floppy disk di sistema. Immettere il seguente comando:

Lo schermo ti chiederà di inserire il dischetto nell'unità A: e di premere il tasto :

Inserire il nuovo dischetto per l'unità A:
E premere Invio quando è pronto...

Inizierà il processo di formattazione. La percentuale di lavoro completato verrà visualizzata sullo schermo.

Formattazione 1,2 milioni
77% completato.

Al termine della formattazione, i file principali del sistema operativo vengono scritti sul dischetto. Successivamente è possibile inserire l'etichetta del dischetto. L'etichetta non deve contenere più di undici caratteri. Dopo aver inserito l'etichetta, premere . Se non volete assegnare un'etichetta al floppy disk, premete il tasto subito:

Formattazione completata.
Sistema trasferito

Etichetta del volume (11 caratteri, INVIO per nessuno)?

Successivamente appariranno sullo schermo varie informazioni statistiche: la capacità totale del floppy disk, la quantità di spazio occupato dai file del sistema operativo, la quantità di file disponibili spazio libero. Se sul dischetto vengono trovati settori danneggiati che sono inutilizzabili, viene visualizzata la loro dimensione totale in byte. Di seguito è riportata la dimensione del settore in byte, il numero di settori liberi sul floppy disk e il suo numero di serie:

Spazio su disco totale 1.213.952 byte
198.656 byte utilizzati dal sistema
1.015.296 byte disponibili su disco

512 byte in ciascuna unità di allocazione.
1.983 unità di allocazione disponibili su disco.

Il numero di serie del volume è 2C74-14D4

Formattarne un altro (S/N)?

A questo punto la preparazione del floppy disk di sistema può considerarsi completata. Se non si intende creare più floppy disk di sistema contemporaneamente, premere . Per creare un altro floppy disk di sistema, premere e ripetere il processo che abbiamo descritto di nuovo.

Utilizzando il comando SYS

Se si dispone di un disco floppy libero, vuoto e formattato, il modo più rapido per trasformarlo in un disco di sistema è utilizzare il comando SYS. Per fare ciò, inserisci il floppy disk nell'unità del tuo computer e inserisci il seguente comando:

Unità SIST2:

Il comando SYS ha un parametro obbligatorio: guidare2. Questo parametro deve specificare il nome dell'unità in cui è preparato il dischetto di sistema. Dovresti specificarlo come parametro guidare2 nome A: o B:.

Parametri facoltativi guidare1 E sentiero determinare la posizione dei file di sistema sul disco. Se non si specificano questi parametri, verrà eseguito il comando SYS file di sistema dalla directory principale del disco corrente.

Scrittura di programmi antivirus su un floppy disk di sistema

Il dischetto di sistema contiene i file principali del sistema operativo MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN. Se il dischetto di sistema è stato realizzato in un sistema operativo compatibile con MS-DOS, ad esempio IBM PC-DOS, i nomi di questi file potrebbero essere diversi.

I file IO.SYS e MSDOS.SYS rappresentano il nucleo del sistema operativo. Il file COMMAND.COM viene comunemente definito processore dei comandi. Questo è lo stesso programma che visualizza il prompt del sistema sullo schermo del computer ed esegue i comandi del sistema operativo. L'ultimo file sul disco floppy del sistema è DBLSPACE.BIN. Contiene un'estensione del sistema operativo che fornisce l'accesso ai dischi compattati del sistema DoubleSpace.

I file principali del sistema operativo - IO.SYS, MSDOS.SYS hanno l'attributo " file nascosto" e non vengono visualizzati dal comando DIR. Per visualizzarli, aggiungere il parametro /A al comando DIR.

Una volta creato un floppy disk di sistema, rimane ancora molto spazio su di esso. spazio libero. Il volume totale occupato dai file principali del sistema operativo MS-DOS: IO.SYS, MSDOS.SYS, COMMAND.COM, DBLSPACE.BIN è di circa 200 KB. Pertanto, se hai utilizzato un floppy disk ad alta densità, avrai a disposizione più di un megabyte di spazio libero.

Scrivere sul floppy disk del sistema il software necessario per testare e riparare il sistema operativo danneggiato. Prima di tutto, devi annotare i programmi antivirus che eseguono la scansione dei virus e un programma per verificare l'integrità del file system. È utile annotare i comandi FORMAT e FDISK: potrebbero essere necessari per ripristinare manualmente il sistema. Per comodità, puoi anche scrivere una shell, come Norton Commander, e qualsiasi editor di testo sul floppy disk del sistema.

La seguente tabella elenca i programmi che ti aiuteranno a ripristinare e far funzionare il tuo computer. Si consiglia di scriverli tutti su un floppy disk di sistema. Se non entrano in un dischetto di sistema, preparate un altro dischetto e scriveteci sopra i programmi rimanenti.

Programma	Scopo
	Programma antivirus polifago. Consente di rilevare e rimuovere un gran numero di virus. I virus polimorfici che l'Aidstest non è in grado di rilevare vengono rilevati da Doctor Web
	Un programma antivirus polifago che implementa un algoritmo euristico di ricerca dei virus. Consente di rilevare virus polimorfici complessi. Dovresti usarlo insieme all'antivirus Aidstest
ScanDisk o Norton Disk Doctor	In molti casi, la causa dei malfunzionamenti del computer e dei comportamenti strani non sono i virus, ma un file system danneggiato. ScanDisk e Norton Disk Doctor rilevano e correggono automaticamente gli errori nel file system MS-DOS
	Un programma per testare tutti i sottosistemi del computer. Consente di rilevare malfunzionamenti dell'hardware
Comandante Norton	Shell per il sistema operativo MS-DOS. Rende il lavoro con il computer molto più semplice. Contiene integrato editor di testo, programmi per visualizzare file in vari formati
	Comando MS-DOS. Progettato per la formattazione dei dischi rigidi e floppy del computer
	Comando MS-DOS. Progettato per creare ed eliminare unità logiche. I comandi FDISK e FORMAT potrebbero essere necessari in caso di completa distruzione delle informazioni sul disco rigido. Il loro utilizzo è descritto nel capitolo “Ripristino del file system”
	Editore di dischi. Consente di visualizzare e modificare qualsiasi informazione registrata sul disco, comprese le aree di sistema. Disk Editor consente di modificare il settore di avvio principale, i settori di avvio, le tabelle di allocazione FAT, le strutture di directory e i file

In alcuni casi, è possibile utilizzare driver speciali o programmi residenti per accedere ai dischi rigidi del computer. Devono essere scritti su un dischetto di sistema preparato. Affinché si connettano automaticamente quando si avvia il computer dal floppy disk di sistema, creare su di esso i file CONFIG.SYS e AUTOEXEC.BAT, scrivendo in essi i comandi per caricare i driver necessari.

Se hai un lettore CD-ROM collegato al tuo computer, scrivi il software necessario per usarlo su un floppy disk di sistema. Per MS-DOS è necessario scrivere il driver del lettore e il programma MSCDEX inclusi con il sistema operativo. L'accesso al dispositivo di lettura consentirà di ripristinare rapidamente il software registrato su CD.

sala operatoria Sistema Windows 95 non necessita del programma MSCDEX, tuttavia, se la shell grafica di questo sistema non si carica, MSCDEX deve comunque essere collegato

Dopo aver preparato completamente il dischetto di sistema e aver scritto su di esso tutti i programmi necessari, installarvi la protezione da scrittura. A questo scopo è necessario chiudere la fessura sul bordo del dischetto da 5,25", mentre nel caso di dischetto da 3,5" aprire la finestra di protezione. La protezione da scrittura garantisce che non venga danneggiato accidentalmente il contenuto del dischetto e che i virus non possano penetrarvi. Poiché i dischetti talvolta si guastano, in questo caso è meglio avere più dischetti di sistema identici.

Avvio da un floppy disk di sistema

Per avviare il computer da un disco floppy di sistema, è necessario impostare la priorità per avviare il sistema operativo dai dischi floppy. La priorità di avvio del sistema operativo è determinata nella memoria CMOS. Per modificarlo è necessario eseguire il programma di installazione. Puoi saperne di più sul programma di installazione nel quarto volume della serie "Personal Computer - Passo dopo passo", intitolata "Cosa dovresti sapere sul tuo computer".

Esistono virus che modificano la priorità di avvio del computer. Per fare ciò, modificano i dati registrati nella memoria CMOS. Esempi di tali virus sono i virus Mammoth.6000 ed ExeBug. Questi virus disabilitano le unità nella memoria CMOS, collegandole temporaneamente se qualche programma desidera leggere o scrivere informazioni sul floppy disk. Quando un utente tenta di avviare un computer da un disco floppy, l'avvio verrà eseguito dal disco rigido perché l'unità floppy è disabilitata. Il virus prenderà il controllo e quindi avvierà il computer dal floppy disk.

Allo stesso tempo, dal punto di vista dell’utente, tutto sembra come al solito. Vede che il sistema operativo si sta caricando da un floppy disk, ma a questo punto il virus è già nella RAM e controlla il funzionamento del computer.

Pertanto, immediatamente prima di avviare MS-DOS dal floppy di sistema, assicurarsi che il contenuto della memoria CMOS sia installato correttamente. Per fare ciò, esegui il programma di installazione del BIOS e controlla il tipo di unità specificate lì, nonché l'ordine di avvio del computer.

Inserire il dischetto di sistema nell'unità A: e riavviare il computer. Se si sospetta la presenza di virus, per riavviare è necessario spegnere e riaccendere il computer oppure premere il pulsante "Reset" sul case del computer. Alcuni virus tengono traccia dei riavvii utilizzando la sequenza dei tasti e può rimanere nella RAM anche dopo un tale avvio dal floppy disk di sistema.

Dopo il test iniziale del computer, il sistema operativo inizierà a caricarsi dal floppy disk. Il LED A: dovrebbe accendersi. Il processo di avvio da un floppy disk è leggermente più lento che da un disco rigido, quindi dovrai attendere un po'. Una volta caricato il sistema operativo, sullo schermo verrà visualizzato il messaggio corrispondente.

Il sistema operativo ti chiederà quindi data odierna E tempo. La data e l'ora vengono richieste solo se sul floppy disk (disco) non sono presenti dati di sistema. file di configurazione AUTOEXEC.BAT.

Se non si desidera modificare la data e l'ora, premere due volte il tasto . In questo caso, la data e l'ora rimarranno invariate e sullo schermo verrà visualizzato il messaggio di sistema MS-DOS:

È possibile creare un file AUTOEXEC.BAT vuoto sul dischetto di sistema, quindi la data e l'ora non verranno richieste e dopo aver caricato il sistema operativo, sullo schermo verrà immediatamente visualizzata una richiesta di sistema.

È possibile impedire l’ingresso dei virus?

Se non si eseguono periodicamente lavori per prevenire e curare i computer dai virus, la possibilità di perdita delle informazioni archiviate e di distruzione dell'ambiente operativo diventa più che reale.

Le conseguenze negative della tua negligenza possono essere diverse, a seconda del virus che entra nel tuo computer. Potresti perdere alcune informazioni dai file archiviati sul tuo computer, oppure singoli file o addirittura tutti i file sul disco. Ma la cosa peggiore è se il virus apporta piccole modifiche ai file di dati, che all'inizio potrebbero non essere notate, e poi portare ad errori nei documenti finanziari o scientifici.

Il lavoro per prevenire e curare i computer dai virus può includere le seguenti azioni:

w Installare il software solo dai kit di distribuzione

w Proteggete da scrittura tutti i vostri dischi floppy e rimuoveteli solo quando necessario

w Limitare lo scambio di programmi e dischetti, controllare la presenza di virus in tali programmi e dischetti

w Controllare periodicamente la presenza di virus nella RAM e nei dischi del computer utilizzando speciali programmi antivirus

w Eseguire il backup delle informazioni dell'utente

Non incontrare sconosciuti

Nessuna misura di sicurezza aiuterà a proteggere il tuo computer dai virus se prima non esegui la scansione di tutti i file eseguibili scritti su di esso. Oggi tale controllo è possibile solo con l'aiuto di programmi antivirus polifagi.

La costante comparsa di sempre più nuovi virus richiede l'uso della maggior parte ultime versioni programmi antivirus. È auspicabile che forniscano non solo la ricerca di virus conosciuti, ma anche un'analisi euristica dei programmi scansionati e dei settori di avvio. Ti consentirà di rilevare file infettati da virus nuovi, sconosciuti e non studiati.

Sfortunatamente, i programmi antivirus non possono fornire una garanzia completa che il software sottoposto a scansione sia privo di virus, tanto meno di Trojan o bombe logiche. Installando software di origine sconosciuta sul tuo computer, corri sempre un rischio

Nelle grandi organizzazioni ha senso dedicare un computer speciale all'installazione di software discutibili, come i giochi per computer. Questo computer deve essere isolato dagli altri computer dell'organizzazione. Innanzitutto è necessario scollegarlo dalla rete locale e vietare agli utenti non solo di copiare programmi da essa, ma anche di scrivervi file dai propri dischetti di lavoro, che non sono preventivamente protetti da scrittura.

Quando si lavora con software sospetto, utilizzare programmi di monitoraggio, come il monitor VSafe incluso con MS-DOS. Se il programma è effettivamente infetto da un virus o contiene una bomba logica, il monitor segnalerà qualsiasi azione non autorizzata da parte sua. Sfortunatamente, i programmi di monitoraggio come VSafe possono essere facilmente ingannati dai virus, quindi è più affidabile utilizzare strumenti di protezione software e hardware.

Il kit antivirus “DialogueScience” comprende il sistema di protezione software e hardware Sheriff. Tra l'altro svolge tutte le funzioni dei programmi monitor, ma lo fa molto meglio. A causa del fatto che il controllo del computer è fornito da uno speciale controller di protezione a livello hardware, i virus non saranno in grado di ingannare Sheriff.

Come proteggere da scrittura i floppy disk

Puoi proteggere dalla scrittura i tuoi floppy disk. La protezione funziona a livello hardware del computer e non può essere disabilitata utilizzando metodi software. Pertanto il virus non sarà in grado di infettare il settore di avvio e i file eseguibili scritti su un dischetto con protezione da scrittura installata.

Tutte le distribuzioni software archiviate su floppy disk devono essere protette da scrittura. La maggior parte del software può essere installata da floppy disk protetti da scrittura

Se si tenta di scrivere dati su un dischetto protetto da scrittura, il sistema operativo visualizzerà un messaggio di avviso sullo schermo del computer. Può darsi diverso tipo, a seconda del mezzo utilizzato per scrivere sul floppy disk.

Se ad esempio si utilizzano i comandi COPY o XCOPY del sistema operativo MS-DOS e si tenta di scrivere un file su un dischetto protetto, sullo schermo verrà visualizzato il seguente messaggio:

Errore di protezione da scrittura durante la lettura dell'unità A
Interrompere, riprovare, fallire?

L'utente deve rispondere a cosa dovrebbe fare il sistema operativo in questa situazione. È possibile scegliere tre risposte: Interrompi, Riprova o Fallisci. Per fare ciò basta inserire da tastiera il primo carattere del ramo selezionato: Interrompi - ,Riprova- , Fallire - . È possibile utilizzare sia lettere maiuscole che minuscole.

Scegliere Abort o Fail significa che il sistema operativo dovrebbe abbandonare il tentativo di scrivere informazioni sul floppy disk (Abort annulla semplicemente l'operazione e Fail indica che dovrebbe restituire un codice di errore al programma). Se è necessario eseguire un'operazione di scrittura, rimuovere la protezione da scrittura dal dischetto e selezionare Riprova.

È necessario prestare molta attenzione al messaggio relativo a un tentativo di scrittura su un dischetto protetto. La lettura di file da un disco floppy e l'esecuzione della maggior parte dei programmi da esso non dovrebbero causare scritture su di esso. Se sei sicuro che il dischetto non debba essere scritto, ma lo fa, c'è una buona probabilità che il tuo computer sia infetto da un virus.

Alcuni virus bloccano il messaggio relativo al tentativo di violazione della protezione da scrittura quando infettano file eseguibili o il settore di avvio di un dischetto. Ciò consente loro di non essere rilevati se il floppy disk è protetto. Tuttavia, otterrai il risultato desiderato; il floppy disk rimarrà intatto.

Virus Peste.2647

Un innocuo virus nascosto residente. All'apertura file infetti rimuove da essi il proprio codice e poi li infetta nuovamente quando il file viene chiuso. Quando infetta i file sui dischetti, controlla se è impostata la protezione da scrittura. Se è installata la protezione, il virus non tenterà di infettare i file su di essa. Contiene la stringa "PLAGUE"

La protezione da scrittura può essere installata su floppy disk di qualsiasi dimensione: 3,5 pollici e 5,25 pollici. Questa operazione è più semplice da eseguire su floppy disk da 3,5 pollici. È sufficiente chiudere il piccolo foro nell'angolo del floppy disk con un apposito coperchio in plastica, come mostrato in Fig. 2.1. Anche rimuovere la protezione da scrittura è semplice: basta aprire il foro di protezione.

Riso. 2.1. Protezione in scrittura su floppy disk da 3,5".

Per proteggere dalla scrittura un floppy disk da 5,25 pollici è necessario sigillare lo slot della busta del floppy disk (Fig. 2.2). Per fare questo, utilizzare un piccolo pezzo rettangolare di carta adesiva. In genere, tale carta viene venduta insieme ai floppy disk. Come ultima risorsa, puoi utilizzare del normale nastro isolante. Puoi rimuovere la protezione da scrittura rimuovendo il pezzo di carta incollato.

Spesso è molto difficile rimuovere e installare la protezione su un floppy disk da 5,25” prima o poi ci si stanca e un virus riesce a penetrare nel floppy disk; Pertanto, se possibile, scartate i floppy disk da 5,25" e sostituiteli con più convenienti floppy disk da 3,5".

Riso. 2.2. Protezione in scrittura su floppy disk da 5,25".

Scegliere l'ordine di avvio corretto per il tuo computer

Il sistema operativo può essere caricato sia da un disco rigido che da un floppy disk. In genere, il computer si avvia dal disco rigido, ma se, quando il computer viene acceso o riavviato, un floppy disk viene inserito nell'unità A: (accidentalmente o apposta), il sistema operativo inizierà a caricarsi da esso. Se il floppy disk è infetto da un virus di avvio, prenderà il controllo e tenterà immediatamente di infettare HDD computer.

La maggior parte dei computer consente di specificare la priorità con cui deve avviarsi il sistema operativo. Questo ordine viene impostato utilizzando il programma di installazione del BIOS. Puoi leggere ulteriori informazioni sul programma di installazione del BIOS nella sezione "Ripristino del file system".

Per proteggere il computer dall'infezione accidentale da parte di un virus di avvio, specificare che il sistema operativo debba prima avviarsi dall'unità C: e, solo in caso di malfunzionamento, dall'unità A:.

Se devi avviare il computer da un floppy disk, assicurati che non siano presenti virus. Per fare ciò, controllalo prima con diversi programmi antivirus, come Doctor Web e Aidstest.

È meglio preparare in anticipo un dischetto di sistema e, per evitare che venga danneggiato accidentalmente, installarvi una protezione da scrittura. È utile scrivere programmi diagnostici per computer sul floppy disk del sistema: programmi antivirus, programmi per verificare l'integrità del file system e lo stato dell'hardware del computer. Abbiamo descritto come creare un floppy disk di sistema nella sezione “Creazione di un floppy disk di sistema”.

Misure impopolari

Nelle organizzazioni, misure di protezione rigorose volte a bloccare i canali di possibile ingresso di virus dai computer possono essere molto efficaci. Ciò vale principalmente per le unità floppy. Le unità possono essere disabilitate fisicamente e rimosse dal computer oppure possono essere disabilitate solo nella memoria CMOS ed è necessario impostare una password nel programma di configurazione del BIOS.

Idealmente, dovresti scollegare tutte le unità disco, le unità CD-ROM, i modem, le porte seriali e parallele dal tuo computer. adattatori di rete. Naturalmente, questo non è realistico, ma non si dovrebbe abbandonare completamente un'idea del genere.

Backup

È molto importante organizzare una copia di backup delle informazioni archiviate sul tuo computer. A seconda degli strumenti a tua disposizione, puoi eseguire una copia completa dei dischi rigidi del tuo computer o copiare solo i file Informazioni importanti, che non può essere ripristinato in nessun altro modo.

Per Prenota copia Di solito vengono utilizzati nastri magnetici. La registrazione su di essi viene effettuata con speciali registratori digitali chiamati streamer. Il volume delle cassette magnetiche varia da 200 MB a 4 GB. Recentemente sono diventati disponibili dispositivi di memoria a disco magneto-ottico. In termini di affidabilità e facilità d'uso, sono significativamente superiori al nastro magnetico. Il volume dei dischi magneto-ottici varia ampiamente e varia da decine di megabyte a diversi gigabyte.

Se non hai a disposizione né uno streamer né un disco magneto-ottico, in molti casi è sufficiente utilizzare semplici floppy disk. Naturalmente, scrivere su floppy disk è il modo peggiore per eseguire il backup. Innanzitutto, i floppy disk hanno una capacità molto ridotta, poco più di un megabyte. In secondo luogo, i floppy disk sono molto inaffidabili. A volte non è possibile leggere da essi le informazioni precedentemente registrate.

Un backup non è sufficiente. Devi averne diversi copie di backup. Ecco un piccolo esempio. Stai eseguendo un'altra copia e all'improvviso si verifica un'interruzione di corrente o un attacco di virus. Il computer si blocca, i dati registrati sul computer e la sua copia sono danneggiati

Quando si eseguono i backup, è necessario prestare estrema attenzione. Prima di copiare, verificare sempre l'integrità delle informazioni da copiare. Eseguire scansioni antivirus e scansioni del file system. Per fare ciò, utilizzare le versioni più recenti di software antivirus e programmi come ScanDisk. Se non segui questa regola, tutte le copie di backup prima o poi verranno danneggiate.

In casi particolarmente critici eseguire la copia ciclica dei dati. Ad esempio, aggiorna una copia ogni giorno, la seconda ogni settimana, la terza ogni mese.

Archiviazione di file

Se utilizzi normali floppy disk per il backup, dovresti comprimerli con qualche tipo di programma di archiviazione prima di scrivervi i file. I programmi di archivio consentono di ridurre la dimensione della memoria del disco occupata dai file. Ciò avviene eliminando la ridondanza delle informazioni archiviate nei file compressi.

I file compressi possono occupare molto meno spazio su disco rispetto ai loro originali. Pertanto i file di testo preparati, ad esempio, nell'elaboratore di testi Microsoft Word per Windows, vengono solitamente dimezzati. Naturalmente, è impossibile lavorare con un file del genere. Prima del lavoro, deve essere ripristinato utilizzando lo stesso programma di archiviazione.

Attualmente, gli archiviatori più popolari sono ARJ, PKZIP, RAR. Eseguono tutti più o meno le stesse funzioni e possono essere utilizzati per creare copie di backup dei documenti.

Le questioni relative all'archiviazione dei dati vengono discusse in modo più dettagliato nel decimo volume della serie "Libreria dei programmatori di sistema", intitolata "Computer IBM PC/AT, MS-DOS e Windows". Domande e risposte". Ora forniremo solo un esempio dell'utilizzo dell'archiviatore ARJ per preparare copie di backup dei file. Il formato per chiamare l'archiviatore ARJ è piuttosto complesso:

ARJ<команда> [-<ключ> [-<ключ>...]] <имя архива>
[<имена файлов>...]

Il primo parametro è squadra - determina la modalità operativa dell'archiviatore:

	Modalità operativa dell'archiviatore
	Aggiunta di nuovi file all'archivio
	Rimozione di file dall'archivio
	Estrazione di file da un archivio
	Visualizzazione dei contenuti dell'archivio
	Trasferimento di file nell'archivio. I file vengono archiviati e quindi i file originali vengono eliminati dal disco
	Recupero dei file insieme alla struttura di directory e sottodirectory in cui si trovavano questi file al momento dell'archiviazione
	Recupero file di archivio. La struttura delle directory e delle sottodirectory non viene ripristinata; tutti i file dell'archivio vengono inseriti in una directory
	Aggiorna i file nell'archivio. Nell'archivio vengono scritti solo i file modificati e quelli nuovi. I file che rimangono invariati non vengono archiviati nuovamente. Ciò consente di risparmiare molto tempo

Uno dei seguenti comandi può essere seguito da uno o più parametri aggiuntivi facoltativi chiave. I parametri aggiuntivi devono essere evidenziati con un simbolo "-". Di seguito è riportata una tabella con i parametri aggiuntivi più importanti e la descrizione del loro scopo:

Parametro aggiuntivo	Scopo
	Proteggere l'archivio creato con una password
	Utilizzato con i comandi "a" o "m" per indicare che l'archivio dovrebbe includere file dalla directory corrente e tutte le sue sottodirectory
	Creazione e ripristino di archivi multivolume posizionati su più floppy disk. Ogni dischetto contiene un volume di archivio (file). Esistono diverse modifiche al parametro -v: VV - problema segnale sonoro tra l'elaborazione dei singoli volumi di archivio; VA: determina automaticamente la quantità di spazio libero su un floppy disk (la dimensione del volume di archivio successivo); Vnnnnn - dimensione dei singoli volumi di archivio, ad esempio V20000 - crea un archivio da volumi da 20 KB; V360, V720, V1200, V1440: crea volumi a dimensione fissa di 360 KB, 720 KB, 1,2 MB, 1,44 MB
	Recupera file da un archivio danneggiato. Utilizzare questa opzione se il ripristino dei file da un archivio è stato interrotto da un messaggio all'archiviatore relativo a violazioni nella struttura del file di archivio
X
	L'archiviatore non chiederà all'utente il permesso di eseguire varie azioni, ad esempio, per creare un nuovo file di archivio a più volumi, creare directory

I parametri aggiuntivi sono seguiti dal nome del file di archivio, seguito da un elenco di nomi di file da estrarre, aggiungere o eliminare. Quando si specificano i nomi di questi file, è possibile utilizzare i caratteri "?" E "*". Se non si specifica un elenco di nomi_file, verranno presupposti tutti i file posizionati nella directory o nell'archivio corrente.

I programmi di archivio sono molto utili per creare copie di backup su floppy disk. Se il file di archivio non entra in un floppy disk, l'archiviatore consente di creare un archivio a più volumi composto da più file. Per fare ciò, è necessario specificare un parametro aggiuntivo V. File individuali Un archivio multivolume può essere scritto su più floppy disk.

Il seguente comando crea un archivio multivolume di tutti i file situati nella directory corrente e in tutte le sue sottodirectory, esclusi i file con il nome TMP o l'estensione del nome BAK. I file di archivio a più volumi avranno dimensioni leggermente superiori a 1,44 MB. Puoi masterizzarli su floppy disk da 3 pollici.

ARJ A -R -X*.BAK -XTMP.* -V1440 !COLLAPS

I file dell'archivio creato avranno il nome!COLLAPS e varie estensioni:

CROLLA.ARJ
!COLLAPS.A01
!COLLAPS.A02
!COLLAPS.A03
....

Puoi ripristinare i file registrati in questo archivio multivolume copiandoli prima sul disco rigido del tuo computer o direttamente dai dischi floppy. Ad esempio, per eseguire il ripristino da dischi floppy, utilizzare il comando seguente:

ARJ X -V A:\!CROLLA

Dopo aver ripristinato il file di archivio, all'utente verrà richiesto di elaborare il file di archivio successivo. Inserire il seguente dischetto nell'unità e premere il pulsante .

Backup dei documenti in Windows 95

Il sistema operativo Windows 95 offre comodi strumenti per il backup di singoli documenti e di intere directory su dischetti. Per fare ciò, basta aprire l'icona Risorse del computer e andare alla directory, i file da cui devono essere scritti su floppy disk.

Spostare quindi il puntatore del mouse sull'icona del file o della directory da copiare e fare clic con il tasto destro del mouse. Sullo schermo apparirà un piccolo menu.

Riso. 2.3. Scrittura della directory della libreria su floppy disk

Selezionare la riga Invia a da questo menu e quindi, nel menu temporaneo che si apre, specificare l'unità su cui avverrà la copia. Nella Figura 2.3 abbiamo mostrato come copiare la directory Library su floppy disk da 3,5 pollici.

Una volta specificata l'unità, inizierà il processo di copia. Se un dischetto non è sufficiente per copiare tutti i file di una directory, il sistema operativo vi chiederà di inserire un altro dischetto.

Purtroppo il metodo di upload da noi illustrato non permette di copiare su floppy disk file la cui dimensione supera quella del floppy disk stesso. Pertanto, è impossibile copiare documenti di grandi dimensioni in questo modo.

Controlliamo la presenza di virus

Per scansionare nuovi programmi registrati sul tuo computer, devi utilizzare le versioni più recenti dei programmi antivirus Polyphage. Saranno in grado di rilevare eventuali virus conosciuti al momento della creazione del programma antivirus. È consigliabile che il software antivirus utilizzato esegua l'analisi euristica dei programmi. Forse questo ci permetterà di rilevare virus nuovi, non ancora conosciuti.

La popolarità dei programmi antivirus Aidstest e Doctor Web è così grande che sono installati su quasi tutti i computer. Pertanto, ora controlleremo il tuo computer utilizzando questi programmi e vedremo se sono presenti virus.

Se non disponi delle versioni più recenti del software antivirus, utilizza i programmi che hai. Anche se tale scansione sarà incompleta, rileverà comunque un gran numero di virus.

Ricerca di virus sul disco rigido del tuo computer

Per prima cosa controlliamo tutti i dischi rigidi dei computer con Aidstest. Immettere il seguente comando al prompt del DOS.

Presta molta attenzione ai messaggi generati dal programma durante la scansione del tuo computer. Se viene rilevato un virus, Aidstest lo segnalerà.

Molti virus che l'Aidstest non rileva possono essere rilevati da Doctor Web. Inoltre Doctor Web consente di eseguire l'analisi euristica dei programmi e dei settori di avvio. Ripetere quindi la scansione con Doctor Web.

DRWEB * /CL /HI /AR /HA1 /RV /UP

Doctor Web Anti-Virus eseguirà la scansione di tutti i dischi rigidi del computer e cercherà i virus non solo direttamente nei file eseguibili, ma anche nei file di archivio e anche nei file eseguibili compressi. Se vengono rilevati virus, il programma visualizzerà un messaggio corrispondente sullo schermo.

In tutti gli esempi forniti in questa sezione verrà eseguita solo la scansione antivirus e nessuno dei virus rilevati verrà rimosso. Per fare ciò, è necessario eseguire ancora una volta il programma antivirus, avviandolo dal floppy disk del sistema.

Ricerca di virus sui floppy disk

Tutti i nuovi dischetti, così come i dischetti dati a qualcun altro, devono essere controllati per escludere eventuali infezioni da virus. Per fare ciò, utilizzare gli antivirus polifagi Aidstest e Doctor Web. Richiamare in sequenza prima un programma e poi un altro. L'esempio seguente mostra come testare un dischetto inserito nell'unità A:.

PROVA AIDS A: /B
DRWEB A: /CL /AR /HA1 /UP /NM /OF

Virus nei file di archivio

Per aumentare la quantità di spazio libero sul disco rigido e sui dischi floppy, molti utenti archiviano i file utilizzati raramente. A questo scopo, è possibile utilizzare programmi di archiviazione speciali per ridurre la dimensione dei file eliminando la ridondanza dei dati registrati nel file. Quando l'utente ha nuovamente bisogno di un file dall'archivio, utilizza nuovamente il programma di archiviazione.

I file all'interno dell'archivio vengono archiviati in forma compressa, eliminando la possibilità di cercare un virus tramite le loro firme. Pertanto, se hai archiviato un programma infetto, potrebbe rimanere invisibile a molti programmi antivirus.

Alcuni programmi antivirus, come Doctor Web, consentono di scansionare i file registrati negli archivi. Controllando gli archivi, Doctor Web ripristina temporaneamente i file in esso registrati e li scansiona in sequenza.

Se trovi virus sul tuo computer, assicurati di controllare tutti i file di archivio, anche se il tuo programma antivirus non può funzionare con gli archivi. Recupera tu stesso i file da tutti gli archivi sul disco, quindi scansionali con il tuo programma antivirus

In genere, quando più persone lavorano su un computer, utilizzano vari mezzi per limitare l'accesso ai dischi rigidi. Ad esempio, Diskreet del pacchetto Norton Utilities consente di creare più unità logiche. Ogni utente potrà avere accesso solo ad alcuni dischi; il resto gli sarà completamente inaccessibile.

Virus ArjVirus

Un virus innocuo e non residente. Cerca nella directory corrente e nelle sue sottodirectory i file di archivio creati dal programma ARJ archiver. Il virus distingue i file di archivio solo in base alla loro estensione: ARJ.

Se viene rilevato un file di archivio, il virus crea un file con un nome casuale composto da quattro caratteri dalla "A" alla "V", con estensione COM. Il virus scrive 5 KB del suo codice in questo file e alla fine vi aggiunge un numero arbitrario di byte.

Il virus richiama quindi il programma di archiviazione ARJ, ritenendo che si trovi in ​​una delle directory elencate nella variabile PATH. Per fare ciò, utilizzare il processore dei comandi:

C:\COMMAND.COM /C ARJ A

Il parametro ArjFile specifica il nome del file di archivio trovato dal virus. Il parametro ComFile contiene il nome del file eseguibile del virus appena creato. Questo comando aggiunge un nuovo file eseguibile del virus al file di archivio rilevato dal virus. Il file del virus originale viene quindi eliminato.

Per impedire all'utente di visualizzare sullo schermo le informazioni normalmente visualizzate dal programma ARJ archiver, il virus disabilita temporaneamente tutti gli output sullo schermo del monitor.

L'idea principale del virus è che un utente che ha recuperato file da un archivio infetto troverà al suo interno un file eseguibile sconosciuto e lo eseguirà per curiosità

È necessario eseguire la scansione antivirus su tutti i dischi. È meglio se l'operazione viene eseguita da un utente che ha accesso a tutti i dischi del computer. In caso contrario, ogni utente dovrà verificare i dischi a sua disposizione. Se un utente scopre che su un disco a lui accessibile è presente un virus, deve informarne tutti gli altri utenti del computer.

Se trovi un virus

Il valore più grande sono i tuoi dati registrati nel computer. Può essere documenti di testo, file di fogli di calcolo, database, testi di origine programmi, ecc. Il loro costo può essere molte, molte volte superiore al costo del computer stesso e del software installato in esso.

Qualsiasi software distrutto dai virus può essere ripristinato da distribuzioni o copie di backup. Ma con i dati la situazione è molto peggiore. Se non viene eseguito il backup dei dati in modo coerente, potrebbero andare persi in modo permanente.

Pertanto, dopo aver scoperto un virus, prima di tutto è necessario riavviare da un floppy disk vuoto e copiare i dati dal disco rigido del computer su floppy disk, nastri magnetici o qualsiasi altro dispositivo di archiviazione delle informazioni. Solo dopo puoi iniziare a curare il tuo computer.

Se viene rilevato un virus, potrebbe aver già distrutto le informazioni archiviate sul computer. Le distruzioni possono essere di vario tipo. Forse i file di dati verranno completamente distrutti e non sarai nemmeno in grado di leggerli, o forse verranno leggermente modificati e non potrai accorgertene subito.

Virus Rogue.1208

Virus residente pericoloso. Distrugge i file con estensione DBF scrivendovi il primo byte "R" ed eseguendo un'operazione logica OR ESCLUSIVO con il numero 13 sul resto del contenuto del file, fino al primo carattere, che ha il codice 13. Distrugge CHKLIST ?? ? File. Nel mese in cui la somma del valore dell'anno e del valore del mese è pari a 2000, il virus visualizza il testo: “Ora hai un vero virus! Io sono il ROGUE...!”

Prova a scoprire esattamente quale virus è entrato nel tuo computer e cosa fa. È possibile ottenere informazioni simili dalle descrizioni dei virus fornite con i programmi antivirus. Praticamente tutti i programmi antivirus dispongono di tali elenchi. Possono essere realizzati sotto forma di semplici file di testo o sotto forma di speciali banche dati ipertestuali.

Se trovi un virus sul tuo computer, potrebbe essersi già diffuso, infettando altri computer nella tua organizzazione. Devono essere controllati senza fallo. Molti utenti oggi hanno i computer a casa. Potrebbero anche essere infettati.

È necessario controllare tutti i floppy disk utilizzati per funzionare con i computer infetti. Potrebbero essere infettati da virus di avvio e di file. Il virus può persistere su di essi e quindi infettare nuovamente il computer. I floppy disk infetti da virus devono essere disinfettati o formattati.

Come trattare un computer

Dopo aver provato a copiare tutti i tuoi dati (documenti, testi originali, file di database) dal tuo computer, è ora di iniziare a curare il tuo computer e rimuovere i virus che lo hanno infettato. Esistono almeno tre opzioni per rimuovere i virus dal tuo computer.

Il più semplice è cambiare completamente tutto il software installato sul computer. Dovrai reinstallare sistema operativo e di nuovo tutti gli altri programmi. Se un virus ha infettato il record di avvio, puoi aggiornarlo formattandolo unità logiche computer utilizzando il comando FORMAT. Tuttavia, anche la formattazione non rimuoverà il virus dal record di avvio principale del disco rigido. A tale scopo, utilizzare il comando FDISK con il parametro /MBR non documentato, quindi creare nuovamente partizioni e unità logiche sul disco rigido.

Operazioni come la formattazione di un'unità logica, l'eliminazione di una partizione o di un'unità logica con il comando FDISK distruggono completamente tutti i file su questo disco. Pertanto, non è necessario eliminare prima i file.

Dopo aver ricreato le partizioni e le unità logiche sul disco rigido e averle formattate, puoi iniziare a installare il sistema operativo e altri programmi. L'installazione completa del software del computer richiede molto tempo. Per accelerare questo processo, quando possibile, installa prodotti software non da floppy disk, ma da CD.

Puoi rendere il ripristino del computer molto più semplice se esegui in anticipo il backup di tutte le informazioni sul computer. In questo caso, dopo aver creato e formattato le unità logiche, è possibile ripristinare il software da queste copie di backup. Il modo in cui avviene questo ripristino dipende dagli strumenti utilizzati per creare i backup.

La seconda possibilità suggerisce rimozione manuale virus e ripristino di settori e file di avvio danneggiati. Questo metodo è il più complesso e richiede qualifiche elevate. Parleremo del ripristino manuale del computer poco più avanti nel capitolo "Ripristino manuale del sistema operativo".

E infine, l'ultima opzione prevede l'utilizzo di speciali programmi antivirus. I programmi antivirus rileveranno e rimuoveranno automaticamente i virus, ripristinando la funzionalità del computer. Sfortunatamente, tale ripristino non è sempre possibile, poiché un'ampia categoria di virus danneggia irreversibilmente programmi e dati registrati sui dischi del computer. In questo caso è necessario reinstallare il software.

Ora esamineremo molto brevemente il trattamento di un computer con i programmi antivirus polifagi Aidstest e Doctor Web. Per ulteriori informazioni su questi e altri programmi che ti consentono di rimuovere virus dal tuo computer, leggi il capitolo successivo, chiamato “Lo strumento migliore”.

Trattare il tuo computer con programmi antivirus

Un certo numero di virus residenti, situati nella memoria del computer, impediscono il trattamento efficace dei programmi e dei settori di avvio infetti. Pertanto, si consiglia di eseguire il trattamento solo dopo aver avviato il computer da un floppy disk di sistema privo di virus. È necessario prima scrivere su questo floppy disk programmi antivirus polifagi, ad esempio Aidstest e Doctor Web.

Il programma Aidstest ti consente di rimuovere i virus rilevati. Per fare ciò, esegui Aidstest con il parametro /F:

Alcuni virus non possono essere rilevati e rimossi da Aidstest, pertanto è necessario utilizzarlo insieme all'antivirus Doctor Web:

DRWEB * /CL /UP /CU

I programmi Aidstest e Doctor Web possono trattare non solo i dischi rigidi, ma anche i floppy disk. Per fare ciò, invece del parametro *, che significa lavorare con tutti i dischi rigidi del computer, è necessario specificare il nome dell'unità:

TEST AIDS A:/F
DRWEB A: /CL /UP /CU

Il programma antivirus ricerca virus e oggetti dannosi confrontando il programma analizzato con il database delle descrizioni dei virus. Quando viene rilevata una corrispondenza, l'antivirus può trattare il virus trovato e le regole e i metodi di trattamento sono generalmente archiviati nello stesso database.

Tuttavia, questo database diventa una vulnerabilità dell'antivirus: può rilevare solo i virus descritti nel suo database. Questo problema può essere parzialmente eliminato da un analizzatore euristico, uno speciale sottosistema antivirus che tenta di rilevare nuovi tipi di virus non descritti nel database. Oltre ai virus, l'analizzatore euristico AVZ tenta di rilevare spyware, dirottatori e trojan.

Il lavoro dell'analizzatore euristico si basa sulla ricerca di caratteristiche caratteristiche di virus e spyware (frammenti di codice di programma, determinate chiavi di registro, file e processi). Inoltre, l'analizzatore euristico cerca di valutare il grado di somiglianza dell'oggetto studiato con virus conosciuti.

Per cercare spyware, RootKit e Hijacker, l'analisi euristica più efficace non è quella dei singoli file sul disco, ma dell'intero sistema nel suo insieme. Questo analizza la totalità dei dati nel registro, file su disco, processi e librerie in memoria, porte TCP e UDP in ascolto, servizi attivi e driver caricati.

Una caratteristica dell'analisi euristica è una percentuale piuttosto elevata di errori: l'euristica può segnalare il rilevamento di oggetti sospetti, ma queste informazioni devono essere verificate da specialisti virologici. Come risultato della scansione, l'oggetto viene riconosciuto come dannoso e incluso nel database, oppure viene registrato un falso positivo e viene introdotta una modifica negli algoritmi dell'analizzatore euristico.

La maggior parte degli antivirus (incluso AVZ) hanno la capacità di regolare la sensibilità dell'analizzatore euristico. In questo caso sorge sempre una contraddizione: maggiore è la sensibilità, maggiore è la probabilità che l'euristica rilevi un oggetto dannoso sconosciuto. Ma man mano che la sensibilità aumenta, aumenta anche la probabilità di falsi positivi, quindi è necessario cercare una sorta di "media aurea".

L'analizzatore euristico ha diversi livelli di sensibilità e due modalità speciali:

bloccando l'analizzatore euristico. In questo caso l'analizzatore è completamente spento. In AVZ, oltre a regolare il livello di sensibilità dell'analizzatore euristico, è possibile attivare e disattivare l'analisi euristica del sistema;

Modalità "paranoica": in questa modalità viene attivata la massima sensibilità possibile e vengono visualizzati avvisi al minimo sospetto. Questa modalità è naturalmente inaccettabile a causa dell'altissimo numero di falsi positivi, ma a volte è utile.

I principali messaggi dell'analizzatore euristico AVZ sono riportati nel seguente elenco:

"Nome del file >>> sospetto nome_virus (brevi dati sull'oggetto)" Un messaggio simile viene emesso quando viene rilevato un oggetto che, secondo AVZ, è simile a un oggetto dannoso noto. I dati tra parentesi consentono allo sviluppatore di trovare la voce nel database antivirus che ha portato alla emissione di questo messaggio;

"Nome file >>> File PE con estensione non standard" - ciò significa che è stato rilevato file di programma, ma invece della tipica estensione EXE, DLL, SYS, ha un'estensione diversa, non standard. Questo non è pericoloso, ma molti virus mascherano i propri file PE fornendo estensioni PIF e COM. Questo messaggio visualizzato a qualsiasi livello euristico per i file PE con estensione PIF, COM, per gli altri - solo al livello euristico massimo;

"Nome file >>> Il nome file contiene più di 5 spazi" - molti spazi nel nome di un file sono rari, ma molti virus utilizzano gli spazi per mascherare l'estensione reale, creando file con nomi come "photo.jpeg .exe";

"Nome file >>> Rilevato mascheramento estensione" - messaggio simile al precedente, ma emesso quando nel nome vengono rilevati più di 15 spazi;

"Nome file >>> il file non ha un nome visibile" - rilasciato per file che non hanno un nome (ovvero il nome del file è ".exe" o ".pif");

"Process Filename può funzionare con la rete" - visualizzato per processi che utilizzano librerie come wininet.dll, rasapi32.dll, ws2_32.dll - ad es. librerie di sistema, contenente funzioni per lavorare con la rete o controllare il processo di composizione e creazione di una connessione. Questo controllo viene eseguito solo al livello euristico massimo. Fatto d'uso biblioteche di rete Naturalmente questo non è un segno che il programma sia dannoso, ma vale la pena prestare attenzione ai processi incomprensibili presenti in questo elenco;

Dopo il messaggio può essere visualizzato un numero che rappresenta il grado di pericolo in percentuale. Particolare attenzione dovrebbe essere prestata ai file per i quali è stato assegnato un livello di pericolo superiore a 30.