前書き
人類が新しい科学技術革命の時代に入ったとき、私たちは二千年の変わり目に生きています。
20世紀の終わりまでに、人々は物質とエネルギーの変換の秘密の多くを習得し、この知識を使って生活を改善することができました。 しかし、物質とエネルギーに加えて、別の要素が人間の生活に大きな役割を果たしています。それは情報です。 これは、さまざまな情報、メッセージ、ニュース、知識、スキルです。
私たちの世紀の半ばに、特別なデバイスが登場しました-情報の保存と変換に焦点を合わせたコンピューター、そしてコンピューター革命が起こりました。
今日、残念ながら、パーソナルコンピュータの大量使用は、コンピュータの正常な動作を妨げ、ディスクのファイル構造を破壊し、コンピュータに保存されている情報を損傷する自己複製ウイルスプログラムの出現に関連していることが判明しました。
コンピュータ犯罪との戦いと開発のために多くの国で採用された法律にもかかわらず 特別プログラム新しいウイルス保護ツール、新しいソフトウェアウイルスの数は絶えず増加しています。 これにはユーザーが必要です パソコンウイルスの性質、感染方法、ウイルスからの保護に関する知識。 これが私の作品のテーマを選ぶきっかけになりました。
それが私のエッセイで話していることです。 ウイルスの主な種類を示し、それらの機能のスキーム、それらの出現の理由、およびコンピューターへの侵入方法を検討し、保護と防止の対策を提案します。
この作業の目的は、ユーザーにコンピューターウイルス学の基礎を理解させ、ウイルスを検出してそれらと戦う方法を教えることです。 作業方法は、このトピックに関する印刷された出版物の分析です。 私は難しい課題に直面しました-ほとんど研究されていないこと、そしてそれがどのように起こったかについて話すこと-あなたは裁判官です。
1.コンピュータウイルスとその特性 および分類
1.1. プロパティ コンピュータウイルス
現在、ユーザーがマシンのすべてのリソースに無料でアクセスできるパーソナルコンピューターが使用されています。 これが、コンピュータウイルスとして知られるようになった危険の可能性を開いたものです。
コンピュータウイルスとは何ですか? この概念の正式な定義はまだ発明されておらず、それがまったく与えられないという深刻な疑問があります。 ウイルスの「現代的な」定義を与える多くの試みは成功していません。 問題の複雑さを感じるには、たとえば、「エディター」の概念を定義してみてください。 非常に一般的なものを思い付くか、すべての既知のタイプのエディターのリストを開始します。 どちらも受け入れられるとは考えられません。 したがって、特定のクラスのプログラムとしてそれらを話すことを可能にするコンピュータウイルスのいくつかの特性を考慮することに限定します。
まず第一に、ウイルスはプログラムです。 このような単純なステートメントだけでも、コンピュータウイルスの並外れた機能に関する多くの伝説を払拭することができます。 ウイルスはモニター上の画像を反転させることができますが、モニター自体を反転させることはできません。 「25番目のフレームに致命的な配色を表示してオペレーターを破壊する」というキラーウイルスに関する伝説も、真剣に受け止めるべきではありません。 残念ながら、一部の権威ある出版物は、「コンピューターの最前線からの最新ニュース」を時々公開しています。これは、詳しく調べてみると、主題を完全に明確に理解していない結果であることが判明しています。
ウイルスは、それ自体を複製する能力を持つプログラムです。 この能力は、すべての種類のウイルスに固有の唯一の手段です。 しかし、ウイルスだけが自己複製できるわけではありません。 すべてのオペレーティングシステムおよび他の多くのプログラムは、独自のコピーを作成できます。 同じウイルスのコピーは、元のウイルスと完全に一致する必要はないだけでなく、まったく一致しない場合もあります。
ウイルスは「完全に隔離」された状態で存在することはできません。他のプログラムのコード、ファイル構造情報、または他のプログラムの名前だけを使用しないウイルスは、今日では想像できません。 その理由は明らかです。ウイルスは、何らかの形で自分自身への制御の移行を確実にする必要があります。
1.2。 ウイルス分類
現在、5,000を超えるソフトウェアウイルスが知られており、次の基準に従って分類できます。
¨生息地
¨環境汚染の方法
影響
¨アルゴリズムの機能
生息地に応じて、ウイルスはネットワーク、ファイル、ブート、およびファイルブートに分けることができます。 ネットワークウイルスさまざまなコンピュータネットワークに分散しています。 ファイルウイルスは、主に実行可能モジュール、つまりCOMおよびEXE拡張子の付いたファイルに導入されます。 ファイルウイルス他の種類のファイルに埋め込むこともできますが、原則として、そのようなファイルに書き込まれると、制御できなくなるため、複製することができなくなります。 ブートウイルスディスクのブートセクター(ブートセクター)またはブートプログラムを含むセクターに埋め込まれている システムディスク(マスターブート再-
コード)。 ファイルブートウイルスはファイルとディスクブートセクタの両方に感染します。
感染方法によって、ウイルスは常駐型と非常駐型に分けられます。 常駐ウイルスコンピュータに感染する(感染する)ときは、そのままにしておきます ランダム・アクセス・メモリその常駐部分は、呼び出しを傍受します オペレーティング·システム感染オブジェクト(ファイル、ディスクブートセクターなど)に感染し、それらに自身を注入します。 常駐ウイルスはメモリ内に存在し、コンピュータの電源を切るか再起動するまでアクティブなままです。 非常駐ウイルスコンピュータのメモリに感染せず、限られた時間だけアクティブになります。
影響の程度に応じて、ウイルスは次の種類に分類できます。
¨ 無害、コンピュータの動作に干渉しませんが、空きRAMとディスクメモリの量を減らします。このようなウイルスの動作は、グラフィックまたはサウンドエフェクトに現れます。
¨ 危険なコンピュータにさまざまな問題を引き起こす可能性のあるウイルス
¨ とても危ない、その影響は、プログラムの損失、データの破壊、ディスクのシステム領域の情報の消去につながる可能性があります。
2.ウイルスの主な種類とその機能のスキーム
さまざまなウイルスの中で、次の主要なグループを区別できます。
¨ブート
ファイル
¨ファイルブート
次に、これらの各グループについて詳しく説明します。
2.1。 ブートウイルス
フロッピーディスクに感染する非常に単純なブートウイルスの動作を考えてみてください。 アルゴリズムが機能するための厳密な分析で必然的に遭遇するであろう多くの微妙な点をすべて意図的にバイパスします。
コンピューターの電源を入れるとどうなりますか? まず、制御が移管されます ブートストラッププログラム、読み取り専用メモリ(ROM)に保存されます。 PNZROM。
このプログラムはハードウェアをテストし、テストに合格すると、ドライブAでフロッピーディスクを見つけようとします。
すべてのフロッピーディスクは、いわゆるでマークされています。 セクターとトラック。 セクターはクラスターに結合されますが、これは私たちにとって必須ではありません。
セクターの中には、オペレーティングシステムが独自のニーズのために使用するサービスセクターがいくつかあります(これらのセクターにデータを配置することはできません)。 サービス部門の中で、私たちはまだ1つ、いわゆるものに興味を持っています。 ブートストラップセクター(ブートセクター)。
ブートストラップセクターストア ディスケット情報-サーフェスの数、トラックの数、セクターの数など。しかし、今はこの情報には関心がありませんが、小さな情報に関心があります。 ブートストラッププログラム(PNZ)、オペレーティングシステム自体をロードし、それに制御を移す必要があります。
したがって、通常のブートストラップパターンは次のとおりです。
次に、ウイルスについて考えてみましょう。 ブートウイルスでは、2つの部分が区別されます-いわゆる。 頭等 しっぽ。 一般的に言って、尾は空にすることができます。
空のフロッピーディスクと感染したコンピュータがあるとします。これは、アクティブな常駐ウイルスを備えたコンピュータを意味します。 このウイルスがドライブに適切な被害者が現れたことを検出するとすぐに(この場合、書き込み保護されておらず、まだ感染していないディスケット)、感染に進みます。 フロッピーディスクに感染すると、ウイルスは次のアクションを実行します。
ディスクの特定の領域を割り当て、オペレーティングシステムにアクセスできないものとしてマークします。これはさまざまな方法で行うことができます。最も単純で従来のケースでは、ウイルスが占めるセクターは不良(不良)としてマークされます。
そのテールと元の(正常な)ブートセクターをディスクの選択された領域にコピーします
(実際の)ブートセクターのブートストラッププログラムをそのヘッドに置き換えます
スキームに従って制御転送チェーンを編成します。
したがって、ウイルスの先頭が最初に制御を取得し、ウイルスがメモリにインストールされ、元のブートセクタに制御を移します。 チェーンで
PNZ(ROM)-PNZ(ディスク)-システム
新しいリンクが表示されます:
PNZ(ROM)-ウイルス-PNZ(ディスク)-システム
道徳は明らかです: ドライブAにフロッピーディスクを(誤って)残さないでください。
フロッピーディスクのブートセクタに存在する単純なbutovyウイルスの動作を調べました。 原則として、ウイルスはフロッピーディスクのブートセクタだけでなく、ハードドライブのブートセクタにも感染する可能性があります。 この場合、フロッピーディスクとは異なり、ハードドライブには制御を受けるブートプログラムを含む2種類のブートセクタがあります。 ハードドライブからコンピューターを起動する場合、MBR(マスターブートレコード-マスターブートレコード)のブートプログラムが最初に制御を取得します。 もしあなたの HDDはいくつかのセクションに分割され、そのうちの1つだけが起動可能(boot)としてマークされます。 MBRのブートストラッププログラムは ブートパーティションハードドライブと制御をこのパーティションのブートストラッププログラムに転送します。 後者のコードは通常のフロッピーディスクに含まれているブートプログラムのコードと同じであり、対応するブートセクタはパラメータテーブルのみが異なります。 したがって、ハードドライブ上のブートウイルスの攻撃の2つのオブジェクトがあります- のブートストラッププログラム MBRと 小学校 ブートセクターでのダウンロードブートディスク。
2.2。 ファイルウイルス
ここで、単純なファイルウイルスがどのように機能するかを考えてみましょう。 ほとんどの場合常駐するブートウイルスとは異なり、ファイルウイルスは必ずしも常駐しているとは限りません。 非常駐ファイルウイルスの機能のスキームを考えてみましょう。 感染した実行可能ファイルがあるとします。 このようなファイルが起動されると、ウイルスが制御を取り、いくつかのアクションを実行し、制御を「マスター」に移します(ただし、このような状況で誰がマスターであるかはまだ不明です)。
ウイルスはどのようなアクションを実行しますか? 感染する新しいオブジェクト、つまりまだ感染していない適切なタイプのファイルを探します(ウイルスが「まとも」である場合、それ以外の場合は何もチェックせずにすぐに感染するものがあります)。 ウイルスはファイルに感染することにより、ファイルの実行時に制御を取得するためにコードに自身を挿入します。 その主な機能である複製に加えて、ウイルスは複雑なこと(たとえば、尋ねる、遊ぶ)を行う可能性があります。これは、ウイルスの作成者の想像力にすでに依存しています。 ファイルウイルスが存在する場合、それ自体がメモリにインストールされ、感染したファイルの実行中だけでなく、ファイルに感染したり、他の機能を表示したりする機能を獲得します。 実行可能ファイルに感染することにより、ウイルスは常にそのコードを変更します。したがって、実行可能ファイルの感染は常に検出できます。 しかし、ファイルコードを変更しても、ウイルスは必ずしも他の変更を行うとは限りません。
àファイルの長さを変更する義務はありません
àコードの未使用セクション
àファイルの先頭を変更する必要はありません
最後に、ファイルウイルスには、「ファイルと関係がある」ウイルスが含まれることがよくありますが、コードに侵入する必要はありません。 例として、既知のDir-IIファミリーのウイルスの機能スキームを考えてみましょう。 1991年に出現したこれらのウイルスは、ロシアで実際のペストの流行を引き起こしたことを認めなければなりません。 ウイルスの基本的な考え方を明確に示すモデルを考えてみましょう。 ファイルに関する情報はディレクトリに保存されます。 各ディレクトリエントリには、ファイル名、作成日時、いくつかの追加情報、 最初のクラスターの番号ファイルなど スペアバイト。 後者は「予備」のままであり、MS-DOS自体は使用されません。
実行可能ファイルを実行すると、システムはディレクトリエントリからファイルの最初のクラスタを読み取り、次に他のすべてのクラスタを読み取ります。 Dir-IIファミリーのウイルスは、次の「再編成」を引き起こします ファイルシステム:ウイルス自体がディスクのいくつかの空きセクターに自分自身を書き込み、それが不良としてマークされます。 さらに、実行可能ファイルの最初のクラスターに関する情報をスペアビットに格納し、この情報の代わりにそれ自体への参照を書き込みます。
したがって、ファイルが起動されると、ウイルスは制御を受け取り(オペレーティングシステムがそれ自体を起動し)、メモリに常駐し、呼び出されたファイルに制御を移します。
2.3。 ブートファイルウイルス
この場合、新しい情報を学習しないため、ブートファイルウイルスモデルは考慮しません。 しかし、ここで非常に「人気のある」について簡単に議論する機会があります 最近マスターブートセクター(MBR)および実行可能ファイルに感染するOneHalfブートファイルウイルス。 主な破壊的なアクションは、ハードドライブセクターの暗号化です。 起動するたびに、ウイルスはセクターの次の部分を暗号化し、半分を暗号化した後 ハードドライブ、喜んでこれを発表します。 このウイルスの治療における主な問題は、MBRとファイルからウイルスを削除するだけでは不十分であり、それによって暗号化された情報を復号化する必要があることです。 最も「致命的な」アクションは、単に新しい正常なMBRを書き直すことです。 主なこと-慌てる必要はありません。 すべてを落ち着いて計量し、専門家に相談してください。
2.4。 ポリモルフィックウイルス
質問のほとんどは、「ポリモーフィックウイルス」という用語に関連しています。 このタイプのコンピュータウイルスは、群を抜いて最も危険です。 それが何であるかを説明しましょう。
ポリモルフィックウイルスは、同じウイルスの2つのインスタンスが1ビットで一致しないように、感染したプログラムのコードを変更するウイルスです。
このようなウイルスは、異なる暗号化パスを使用してコードを暗号化するだけでなく、暗号化および復号化の生成コードも含みます。これにより、コードの一部を暗号化できる通常の暗号化ウイルスとは区別されますが、同時に一定のコードがあります。暗号化と復号化の
ポリモルフィックウイルスは、自己変更型デコーダーを備えたウイルスです。 このような暗号化の目的は、感染した元のファイルがある場合でも、従来の逆アセンブルを使用してそのコードを分析できないようにすることです。 このコードは暗号化されており、意味のないコマンドのセットです。 復号化は、実行時にウイルス自体によって実行されます。 同時に、オプションが可能です。彼は一度に自分自身を復号化するか、「外出先」でそのような復号化を実行することができ、すでに作成されたセクションを再び暗号化することができます。 これはすべて、ウイルスコードの分析を困難にするために行われます。
3. コンピュータウイルス学の歴史とウイルスの原因
今日のコンピューターウイルス学の歴史は、常に「リーダーの競争」であるように思われ、現代のアンチウイルスプログラムの全力にもかかわらず、リーダーであるのはウイルスです。 数千のウイルスのうち、真に根本的に新しいアイデアを使用した独自の開発はほんの数十にすぎません。 その他はすべて「テーマのバリエーション」です。 しかし、それぞれの元々の開発は、ウイルス対策の作成者に、ウイルス技術に追いつくために、新しい条件に適応することを強いています。 後者については異議を唱えることができます。 たとえば、1989年に、アメリカの学生がなんとかウイルスを作成し、約6,000台の米国国防総省のコンピューターを無効にしました。 または、1991年に発生した有名なDir-IIウイルスの流行。 ウイルスは、基本的に非常に独創的なものを使用していました 新技術そして最初は、従来のアンチウイルスツールの不完全さのために広く普及することができました。
または、英国でのコンピューターウイルスの発生:クリストファーパインは、スメッグウイルスだけでなく、病原体ウイルスとキュークウイルスを作成することに成功しました。 最も危険なのは後者であり、最初の2つのウイルスに適用される可能性があり、このため、プログラムを実行するたびに、構成が変更されました。 したがって、それらを破壊することは不可能でした。 ウイルスを広めるために、パインはコピーしました コンピューターゲームプログラムを感染させ、ネットワークに送り返しました。 ユーザーは、感染したプログラムを自分のコンピューターと感染したディスクにダウンロードしました。 パインがウイルスと戦うプログラムにウイルスを持ち込むことができたという事実によって、状況は悪化しました。 それを実行することにより、ユーザーはウイルスを破壊する代わりに別のウイルスを受け取りました。 その結果、多くの企業のファイルが破壊され、損失は数百万ポンドに達しました。
アメリカのプログラマー、モリスは広く知られています。 彼は、1988年11月にインターネットに接続された約7,000台のパソコンに感染したウイルスの作成者として知られています。
コンピュータウイルスの出現と拡散の理由は、一方では、人間の個性とその影の側面(羨望、復讐、認識されていない作成者の虚栄心、彼らの能力を建設的に適用できないこと)の心理学に隠されています。一方、ハードウェア保護と手術室からの対抗策の欠如のため。パーソナルコンピュータシステム。
4.コンピュータへのウイルスの侵入方法とウイルスプログラムの配布のメカニズム
ウイルスがコンピュータに侵入する主な方法は、リムーバブルディスク(フロッピーとレーザー)とコンピュータネットワークです。 ウイルスを含むフロッピーディスクからプログラムをロードすると、ウイルスによるハードディスク感染が発生する可能性があります。 このような感染は、たとえば、フロッピーディスクがシステムのものではない場合でも、フロッピーディスクがドライブAから取り外されておらず、コンピュータが再起動された場合にも、偶発的に発生する可能性があります。 フロッピーディスクに感染する方がはるかに簡単です。 フロッピーディスクを感染したコンピュータのディスクドライブに挿入するだけで、たとえば目次を読み取っても、ウイルスに感染する可能性があります。
ウイルスは通常感染します 作業プログラム起動時に制御が最初に転送され、すべてのコマンドの実行後にのみ作業プログラムに戻るようになっています。 コントロールにアクセスできるようになると、ウイルスはまず自分自身を別の動作中のプログラムに書き換えて感染させます。 ウイルスを含むプログラムを実行すると、他のファイルに感染する可能性があります。 ほとんどの場合、ディスクのブートセクタと、EXE、COM、SYS、BAT拡張子の付いた実行可能ファイルがウイルスに感染しています。 テキストファイルが感染することは非常にまれです。
プログラムに感染した後、ウイルスは、注意を引かないようにそれほど深刻ではなく、ある種の妨害行為を実行する可能性があります。 そして最後に、それが起動されたプログラムに制御を戻すことを忘れないでください。 感染したプログラムを実行するたびに、ウイルスは次のプログラムに転送されます。 したがって、すべてのソフトウェアが感染します。
コンピュータプログラムをウイルスに感染させるプロセスを説明するために、ディスクストレージをテープ上のフォルダを備えた昔ながらのアーカイブに例えるのは理にかなっています。 フォルダにはプログラムが含まれており、この場合のウイルス導入の一連の操作は次のようになります(付録1参照)。
5.ウイルスの兆候
コンピュータがウイルスに感染している場合、それを検出することが重要です。 これを行うには、ウイルスの発現の主な兆候について知っておく必要があります。 これらには次のものが含まれます。
¨作業の終了または以前は正常に機能していたプログラムの誤った操作
¨ 遅い仕事コンピューター
¨オペレーティングシステムを起動できない
¨ファイルとディレクトリの消失またはそれらの内容の歪み
¨ファイルの変更日時を変更する
¨ファイルのサイズ変更
¨ディスク上のファイル数の予期しない大幅な増加
¨空きRAMのサイズの大幅な削減
¨画面に予期しないメッセージや画像を表示する
¨予期せぬ提出 音響信号
¨頻繁なフリーズとコンピュータのクラッシュ
上記の現象は、必ずしもウイルスの存在が原因であるとは限らず、他の原因が原因である可能性があることに注意してください。 したがって、コンピュータの状態を正しく診断することは常に困難です。
6. ウイルスの検出と保護および予防措置
6.1. ウイルスを検出する方法 ? 従来のアプローチ
そのため、特定のウイルス作成者がウイルスを作成し、それを「生命」に送り込みます。 しばらくは自由に歩くことができますが、遅かれ早かれ「ラファ」は終わります。 誰かが何かが間違っているのではないかと疑うでしょう。 原則として、ウイルスは、コンピュータの動作に特定の異常があることに気付いた通常のユーザーによって検出されます。 ほとんどの場合、彼らは自分たちで感染に対処することはできませんが、これは彼らに必要ではありません。
ウイルスができるだけ早く専門家の手に渡る必要があるだけです。 専門家はそれを研究し、「それが何をするか」、「どのように行うか」、「いつ行うか」などを見つけます。そのような作業の過程で、このウイルスに関するすべての必要な情報、特にウイルスの署名が収集されます。強調表示されています-それを非常に明確に定義する一連のバイト。 署名を作成するために、通常、ウイルスコードの最も重要で特徴的な部分が使用されます。 同時に、ウイルスがどのように機能するかについてのメカニズムが明らかになります。たとえば、ブートウイルスの場合、テールがどこに隠れているか、元のブートセクターがどこにあるかを知ることが重要です。ファイル1、ファイルがどのように感染しているか。 得られた情報により、次のことがわかります。
ウイルスを検出する方法、このために、ウイルス攻撃の潜在的なオブジェクトのシグネチャを検索する方法-ファイルおよび/またはブートセクタが指定されています
ウイルスを中和する方法、可能であれば、影響を受けるオブジェクトからウイルスコードを削除するためのアルゴリズムが開発されています
6.2. ウイルス検出および保護プログラム
コンピュータウイルスを検出、削除、および保護するために、ウイルスを検出および破壊できるいくつかの種類の特別なプログラムが開発されています。 そのようなプログラムは呼ばれます 抗ウィルス薬 . 次の種類のウイルス対策プログラムがあります。
プログラム-検出器
プログラム-医師またはファージ
プログラム監査人
フィルタープログラム
ワクチンプログラムまたは免疫剤
プログラム-検出器 RAMおよびファイル内の特定のウイルスに特徴的なシグニチャを検索し、検出された場合は適切なメッセージを発行します。 このようなアンチウイルスプログラムの欠点は、そのようなプログラムの開発者に知られているウイルスしか見つけられないことです。
ドクタープログラムまた ファージ、 と同様 ワクチンプログラムウイルスに感染したファイルを見つけるだけでなく、それらを「処理」します。 ウイルスプログラムの本体がファイルから削除され、ファイルが元の状態に戻ります。 ファージは、作業の開始時にRAM内のウイルスを探して破壊し、ファイルの「処理」に進みます。 ファージの中で、ポリファージは区別されます。 検索と破壊の医師プログラム 多数ウイルス。 それらの中で最も有名なものは、Aidstest、Scan、Norton AntiVirus、DoctorWebです。
新しいウイルスが絶えず出現していることを考えると、検出プログラムと医師プログラムはすぐに時代遅れになり、定期的な更新が必要になります。
監査人プログラムウイルスに対する最も信頼できる保護手段の1つです。 監査人は、コンピュータがウイルスに感染していないときのディスクのプログラム、ディレクトリ、およびシステム領域の初期状態を記憶し、定期的に、またはユーザーの要求に応じて、現在の状態を元の状態と比較します。 検出された変更は、モニター画面に表示されます。 原則として、状態はオペレーティングシステムがロードされた直後に比較されます。 比較する際には、ファイル長、サイクリック制御コード(ファイルチェックサム)、変更日時などのパラメータがチェックされます。 監査プログラムは、かなり高度なアルゴリズムを備えており、ステルスウイルスを検出し、ウイルスによって行われた変更からチェック対象のプログラムのバージョンへの変更をクリーンアップすることもできます。 プログラムの中には、監査人がロシアで広く使用されているAdinfプログラムがあります。
フィルタープログラムまた 「番人」は、ウイルスの特徴である疑わしいコンピュータアクティビティを検出するように設計された小さな常駐プログラムです。 そのようなアクションは次のようになります。
COM、EXE拡張子でファイルを修正しようとします
ファイル属性の変更
絶対アドレスでのディスクへの直接書き込み
ディスクブートセクタへの書き込み
プログラムが指定されたアクションを実行しようとすると、「ウォッチマン」はユーザーにメッセージを送信し、対応するアクションを禁止または許可するように提案します。 フィルタプログラムは、ウイルスが繁殖する前の初期段階でウイルスを検出できるため、非常に便利です。 ただし、ファイルやディスクを「修復」することはありません。 ウイルスを破壊するには、ファージなどの他のプログラムを使用する必要があります。 ウォッチドッグプログラムの欠点には、「煩わしさ」(たとえば、実行可能ファイルをコピーしようとすると常に警告が発せられる)や、他のプログラムとの競合の可能性があります。 ソフトウェア。 フィルタプログラムの例は、MSDOSユーティリティパッケージの一部であるVsafeプログラムです。
ワクチンまた 免疫剤ファイル感染を防ぐ常駐プログラムです。 このウイルスを「治療」する医師のプログラムがない場合は、ワクチンが使用されます。 予防接種は既知のウイルスに対してのみ可能です。 ワクチンは、プログラムまたはディスクを、それらの作業に影響を与えないように変更します。ウイルスは、それらを感染していると認識し、したがって根付くことはありません。 ワクチンプログラムは現在、使用が制限されています。
ウイルスに感染したファイルとディスクをタイムリーに検出し、各コンピューターで検出されたウイルスを完全に破棄することで、ウイルスの流行が他のコンピューターに広がるのを防ぐことができます。
6.3. ウイルスから保護するための基本的な対策
コンピュータをウイルスにさらさず、ディスクに情報を確実に保存するには、次のルールに従う必要があります。
¨コンピュータにAidstest、Doctor Webなどの最新のウイルス対策プログラムを装備し、それらのバージョンを常に更新します
¨フロッピーディスクから他のコンピュータに保存されている情報を読み取る前に、コンピュータでウイルス対策プログラムを実行して、これらのディスケットにウイルスがないか常に確認してください。
¨アーカイブされたファイルをコンピュータに転送する場合は、ハードディスクで解凍した直後にチェックし、チェック領域を新しく記録されたファイルのみに制限します。
¨書き込み保護されたシステムディスケットからオペレーティングシステムをロードした後、ウイルス対策プログラムを実行して書き込み保護されたフロッピーディスクからディスクのファイル、メモリ、およびシステム領域をテストすることにより、コンピュータのハードドライブにウイルスがないか定期的にチェックします。
¨情報に書き込まれない場合は、他のコンピュータで作業するときは常にフロッピーディスクを書き込み保護してください
¨貴重な情報のディスケットにアーカイブコピーを作成してください
¨ブートウイルスによるコンピュータの感染を防ぐために、オペレーティングシステムの電源を入れたり再起動したりするときは、ドライブAのポケットにフロッピーディスクを入れたままにしないでください。
¨コンピュータネットワークから受信したすべての実行可能ファイルの入力制御にウイルス対策プログラムを使用する
¨セキュリティを強化するには、AidstestとDoctor Webの使用を、Adinfディスク監査人の日常的な使用と組み合わせる必要があります。
結論
したがって、情報リソースへの脅威が日々増大しており、世界中の銀行、企業、企業の責任者をパニックに陥れていることを示す多くの事実を引用することができます。 そして、この脅威は、重要で価値のある情報を歪めたり破壊したりするコンピューターウイルスに起因します。これは、経済的損失だけでなく、人的被害にもつながる可能性があります。
コンピュータウイルス -他のプログラムに自発的に接続し、それ自体のコピーを作成して、ファイル、コンピュータシステム領域、および コンピューターネットワークプログラムの動作を妨害し、ファイルやディレクトリを損傷するために、コンピュータの動作にあらゆる種類の干渉を引き起こします。
現在、5,000を超えるソフトウェアウイルスが知られており、その数は絶えず増加しています。 既知のケースがあります 学習ガイドウイルスの作成を支援します。
ウイルスの主な種類:ブート、ファイル、ファイルブート。 最も危険なタイプのウイルスは多形性です。
コンピューターウイルス学の歴史から、独自のコンピューター開発により、ウイルス対策の作成者は新しいテクノロジーに適応し、ウイルス対策プログラムを絶えず改善する必要があることは明らかです。
ウイルスの出現と拡散の理由は、一方では人間の心理学に隠されており、他方ではオペレーティングシステムの保護が欠如しています。
ウイルスが侵入する主な方法は、リムーバブルドライブとコンピュータネットワークです。 これを防ぐために、予防策を講じてください。 また、コンピュータウイルスを検出、削除、保護するために、アンチウイルスプログラムと呼ばれるいくつかの種類の特別なプログラムが開発されています。 それでもコンピュータにウイルスが見つかった場合は、従来のアプローチに従って、専門家に電話してさらにウイルスを把握できるようにすることをお勧めします。
しかし、ウイルスのいくつかの特性は専門家でさえ困惑させます。 ごく最近まで、ウイルスがコールドリブートに耐えたり、ドキュメントファイル全体に拡散したりする可能性があるとは想像しがたいものでした。 このような状況では、少なくともユーザーの初期のウイルス対策教育を重視しないことは不可能です。 問題の深刻さにもかかわらず、手を震わせて白人のユーザーほど害を及ぼすウイルスはありません!
それで、 あなたのコンピュータの健康、あなたのデータの安全性-あなたの手に!
書誌リスト
1.情報学:教科書/編。 教授 N.V. マカロワ。 -M .:財務と統計、1997年。
2.秘密と感覚の百科事典/準備。 Yu.N.によるテキスト ペトロフ。 -ミンスク:文学、1996年。
3.ベズルコフN.N. コンピュータウイルス。 -M .: Nauka、1991年。
4.モストヴォイD.Yu。 現代のテクノロジーウイルスとの戦い//PCワールド。 -No.8。 -1993年。
ナレッジベースで優れた作業を送信するのは簡単です。 以下のフォームを使用してください
学生、大学院生、研究や仕事で知識ベースを使用する若い科学者はあなたに非常に感謝するでしょう。
http://www.allbest.ru/でホスト
アンチウイルスの分類
アンチウイルスは、コンピュータウイルスやその他の悪意のあるプログラムを保護、傍受、削除するために特別に設計されたソフトウェアパッケージです。
最新のアンチウイルスプログラムは、プログラムファイルやドキュメント内の悪意のあるオブジェクトを効果的に検出できます。 場合によっては、アンチウイルスが感染したファイルから悪意のあるオブジェクトの本体を削除し、ファイル自体を復元することがあります。 ほとんどの場合、アンチウイルスは悪意のあるプログラムオブジェクトをからだけでなく削除することができます プログラムファイル、だけでなく、ファイルから オフィス文書その完全性を侵害することなく。 ウイルス対策プログラムの使用には高い資格は必要なく、ほとんどすべてのコンピューターユーザーが利用できます。 現在、ほとんどの主要なウイルス対策ソフトウェアは、リアルタイム保護(ウイルスモニター)とオンデマンド保護(ウイルススキャナー)を組み合わせています。
アンチウイルスの分類
現在存在しません 統一システムウイルス対策プログラムの分類。
動作モードによるアンチウイルスの分類
Kaspersky Labは、ウイルス対策ソフトウェアをその動作モードに従って分類します。
リアルタイムチェック
リアルタイムスキャンまたは常時スキャンにより、ウイルス対策保護の継続性が保証されます。 これは、ハードドライブ、外部ストレージメディア、他のネットワークリソース、または独自のRAMなど、元の場所に関係なく、他のプログラムおよびユーザー自身が実行するすべてのアクションの悪意を強制的にチェックすることによって実装されます。 また、サードプログラムを介したすべての間接的なアクションは検証の対象となります。
オンデマンドチェック
場合によっては、常にリアルタイムスキャンを実行するだけでは不十分な場合があります。 感染したファイルがコンピュータにコピーされた可能性がありますが、サイズが大きいために常時スキャンから除外されていたため、ウイルスは検出されませんでした。 このファイルが問題のコンピュータで実行されない場合、ウイルスは気付かれずに別のコンピュータに送信された後にのみ現れる可能性があります。
このモードでは、通常、ユーザーがチェックするファイル、ディレクトリ、またはディスク領域と、そのようなチェックを実行する必要がある時刻を、スケジュールまたは1回限りの手動開始の形式で個人的に指定することを前提としています。
タイプによるアンチウイルスの分類
また、ウイルス対策プログラムはタイプ別に分類できます。
スキャナー(他の名前:ファージ、ポリファージ)
アンチウイルススキャナーの動作原理は、ファイル、セクター、およびシステムメモリをスキャンし、それらの中の既知および新規(スキャナーには不明)のウイルスを検索することに基づいています。 いわゆる「マスク」は、既知のウイルスを検索するために使用されます。 ウイルスマスクは、その特定のウイルスに固有の一定のコードシーケンスです。 ウイルスに永続的なマスクが含まれていない場合、またはこのマスクの長さが十分に長くない場合は、他の方法が使用されます。 このような方法の例は、すべてを記述するアルゴリズム言語です。 可能なオプションこのタイプのウイルスに感染したときに遭遇する可能性のあるコード。 このアプローチは、ポリモルフィックウイルスを検出するために一部のアンチウイルスによって使用されます。
多くのスキャナーは、「ヒューリスティックスキャン」アルゴリズムも使用しています。 チェックされたオブジェクト内のコマンドのシーケンスの分析、いくつかの統計の収集、およびチェックされた各オブジェクトの意思決定。
スキャナーは、「ユニバーサル」と「スペシャライズド」の2つのカテゴリに分類することもできます。 ユニバーサルスキャナーは、スキャナーが動作するように設計されているオペレーティングシステムに関係なく、すべての種類のウイルスを検索して中和するように設計されています。 専用スキャナーは、限られた数のウイルス、またはマクロウイルスなどの1つのクラスのウイルスのみを中和するように設計されています。
スキャナーは、「オンザフライ」でスキャンする「常駐」(モニター)と、システムをスキャンする「非常駐」に分けられます。 データはデータと比較されます。 したがって、コンピュータでウイルスを見つけるには、その活動の結果が表示されるように、すでに「機能」している必要があります。 この方法では、コードフラグメントまたはシグネチャが以前に説明されている既知のウイルスのみを見つけることができます。 そのような保護が信頼できるとは言えないでしょう。
プロセス分析
ウイルスプログラムコンピュータマルウェア
プロセス分析に基づくアンチウイルスツールの動作は多少異なります。 上記のような「ヒューリスティックアナライザー」は、データを分析します(ディスク上、チャネル内、メモリ内など)。 基本的な違いは、分析対象のコードがデータではなくコマンドであるという前提で分析が実行されることです(フォンノイマンアーキテクチャのコンピューターでは、データとコマンドは区別できないため、いずれかの前提条件を提示する必要があります)分析中。)
「ヒューリスティックアナライザー」は、一連の操作を選択し、それぞれに特定の「危険」評価を割り当て、「危険」の全体に基づいて、この一連の操作が悪意のあるコードの一部であるかどうかを判断します。 コード自体は実行されません。
プロセスベースのアンチウイルスのもう1つのタイプは、「動作ブロッカー」です。 この場合、疑わしいコードは、コードによって開始された一連のアクションが「危険な」(または「安全な」)動作として評価されるまで、段階的に実行されます。 この場合、悪意のあるコードの完了をより多く検出できるため、コードは部分的に実行されます。 簡単な方法データ解析。
ウイルス検出技術
ウイルス対策で使用されるテクノロジーは、次の2つのグループに分けることができます。
署名分析テクノロジー
シグニチャ分析は、ファイル内のウイルスシグニチャの存在をチェックするウイルス検出方法です。 シグニチャ分析は、ウイルスを検出する最もよく知られた方法であり、ほとんどすべての最新のアンチウイルスで使用されています。 スキャンを実行するには、ウイルス対策データベースに保存されている一連のウイルス署名が必要です。
シグニチャ分析にはウイルスシグニチャのファイルのチェックが含まれるため、アンチウイルスデータベースを定期的に更新してアンチウイルスを最新の状態に保つ必要があります。 シグニチャ分析の原理そのものが、その機能の限界(既知のウイルスのみを検出する機能)も定義しています。シグニチャスキャナーは、新しいウイルスに対して無力です。
一方、ウイルスの兆候の存在は、治療の可能性を示唆しています 感染したファイルシグニチャ分析を使用して検出されました。 ただし、すべてのウイルスを修復できるわけではありません。トロイの木馬とほとんどのワームは、損傷を引き起こすために作成された不可欠なモジュールであるため、その設計上の特徴のために修復できません。
ウイルスシグネチャの適切な実装により、既知のウイルスを100%確実に検出できます。
確率論的分析技術
確率論的分析技術は、次の3つのカテゴリに分類されます。
ヒューリスティック分析
行動分析
チェックサム分析
ヒューリスティック分析は、確率的アルゴリズムに基づくテクノロジーであり、その結果、疑わしいオブジェクトが識別されます。 ヒューリスティック分析は、ファイル構造とウイルステンプレートへの準拠をチェックします。 最も一般的なヒューリスティック手法は、ファイルの内容をチェックして、既知のウイルスシグネチャとその組み合わせの変更を確認することです。 これは、追加の更新なしで、既知のウイルスのハイブリッドおよび新しいバージョンを検出するのに役立ちます。 アンチウイルスデータベース.
ヒューリスティック分析は未知のウイルスを検出するために使用され、その結果、陽性を期待しません。
行動分析は、実行する操作の分析に基づいて、チェック対象のオブジェクトの性質に関する決定を行うテクノロジーです。 ウイルスに典型的なアクションのほとんどは通常のアプリケーションで実行できるため、行動分析の実用的なアプリケーションは非常に限られています。 スクリプトとマクロの動作アナライザーが最も有名です。これは、対応するウイルスがほとんどの場合、同様のアクションを多数実行するためです。
BIOSに組み込まれているセキュリティ機能は、動作アナライザとして分類することもできます。 コンピューターのMBRに変更を加えようとすると、アナライザーはアクションをブロックし、対応する通知をユーザーに表示します。
さらに、行動アナライザーは、ファイルに直接アクセスする試みを追跡し、 ブートレコードディスケットのフォーマット ハードドライブ等
行動アナライザーは、ウイルスデータベースなどの追加のオブジェクトを使用せず、その結果、既知のウイルスと未知のウイルスを区別できません。疑わしいプログラムはすべて、事前に未知のウイルスと見なされます。 同様に、行動分析技術を実装するツールの操作の機能は、治療を意味するものではありません。
チェックサム分析は、コンピューターシステムのオブジェクトの変更を追跡する方法です。 変更の性質(同時性、質量特性、ファイル長の同一の変更)の分析に基づいて、システムが感染していると結論付けることができます。 チェックサムアナライザー(「変更監査人」とも呼ばれます)は、行動アナライザーと同様に、作業で追加のオブジェクトを使用せず、専門家による評価方法のみによってシステム内のウイルスの存在を判断します。 アクセススキャナーでも同様のテクノロジーが使用されています。最初のチェックでは、ファイルからチェックサムが取得されてキャッシュに配置され、同じファイルの次のチェックの前に、チェックサムが再度取得されて比較されます。変更がない場合は、ファイルは感染していないと見なされます。
アンチウイルスコンプレックス-同じアンチウイルスエンジンを使用するアンチウイルスのセットで、アンチウイルスのセキュリティを確保する際の実際的な問題を解決するように設計されています コンピュータシステム。 アンチウイルスコンプレックスには、アンチウイルスデータベースを更新するためのツールも含まれています。
さらに、アンチウイルス複合体には、アンチウイルスエンジンを使用しない行動アナライザーと変更監査人が追加で含まれる場合があります。
アンチウイルス複合体には次の種類があります。
ワークステーションを保護するためのアンチウイルスコンプレックス
ファイルサーバーを保護するためのアンチウイルスコンプレックス
メールシステムを保護するためのアンチウイルスコンプレックス
ゲートウェイを保護するためのアンチウイルスコンプレックス。
Allbest.ruでホスト
同様の文書
コンピュータウイルスの概念と分類。 ウイルスから情報を保護する基本的な方法。 のための最新のソフトウェアツールの概要 安全な作業コンピューター。 アンチウイルスの分類。 Kaspersky Antivirus、Norton Antivirus、Dr。Weber、EsetNOD32。
タームペーパー、2015年10月26日追加
ウイルス対策の主なタスクとパーソナルコンピュータのウイルス対策保護の手段。 ウイルスがどのように機能し、どのように広がるか。 悪意のあるプログラムから保護する方法と技術。 一般的な要件コンピュータを使用するときの安全性。
要約、2016年9月22日追加
コンピュータウイルスとウイルス対策の歴史の研究。 悪意のあるプログラムがコンピュータに侵入する主な方法の研究。 ウイルスおよびアンチウイルスプログラムの種類。 アンチウイルス保護のシグネチャおよびヒューリスティック手法の機能の特性評価。
要約、2014年10月8日追加
コンピュータウイルスに対する保護の主な方法。 ウイルスの出現の主な兆候:プログラムの終了、コンピューターの動作の遅延、ファイルのサイズ、日付と時刻の変更。 ウイルスの発生方法。 既知のアンチウイルスの特徴。
プレゼンテーション、2011年12月2日追加
コンピュータウイルスの現象。 コンピュータウイルスの分類。 ウイルス対策の種類。 PCを保護する方法と方法。 ハッカーの攻撃と戦ってください。 無料のウイルス対策Webサービス。 インターネットセキュリティの基本。 ウイルスが発生した場合のアクション。
要約、2008年10月8日追加
コンピュータウイルスの作用の概念とメカニズム、データの安全性に対するそれらの危険性の定義、悪影響を防ぐための対策。 ウイルス対策プログラムの分類、それら システム要求効率的で中断のない操作のための条件。
論文、2010年7月17日追加
ウイルス対策プログラム(ウイルス対策)の機能- コンピュータプログラム、データを保存し、PCのパフォーマンスを最適化するために、ウイルスやさまざまな種類のマルウェアを中和するように設計されています。 ウイルス対策プログラムの分類と例。
要約、2010年3月26日追加
コンピュータ上のウイルスを効果的に検出し、それらを中和するためのウイルス対策の使用。 ウイルス感染の兆候。 トロイの木馬の明らかな兆候:ブラウザ設定の変更、ポップアップメッセージ、インターネットへの不正なダイヤル。
実験室作業、2013年9月13日追加
コンピュータウイルスの概念と分類。 悪意のあるプログラム、その種類に対する保護の方法。 コンピュータウイルス感染の兆候。 情報セキュリティの問題。 MSOfficeアプリケーションの操作。 ファイルウイルス、ハッカーユーティリティの分析。
タームペーパー、2015年1月12日追加
既知のウイルスに類似したコンピュータウイルスを検索し、疑わしいアクションを実行するためのプログラム。 更新、計画、および管理モジュール。 ウイルス対策モジュール、更新、定期的な更新、およびスキャンの設定を構成します。
最も人気があり効果的なアンチウイルスプログラムは、アンチウイルススキャナー(検出器プログラム)、CRCスキャナー(監査人)です。 ウイルス対策ブロッカーと免疫装置もあります。
スキャナー。 アンチウイルススキャナーの動作原理は、ファイル、セクター、およびシステムメモリをスキャンし、それらの中の既知および新規(スキャナーには不明)のウイルスを検索することに基づいています。 いわゆる「マスク」は、既知のウイルスを検索するために使用されます。 ウイルスマスクは、その特定のウイルスに固有の一定のコードシーケンスです。 ウイルスに永続的なマスクが含まれていない場合、またはこのマスクの長さが十分に長くない場合は、他の方法が使用されます。 このような方法の例は、このタイプのウイルスが感染したときに遭遇する可能性のあるすべてのコードバリアントを記述するアルゴリズム言語です。 このアプローチは、ポリモルフィックウイルスを検出するために一部のアンチウイルスによって使用されます。
多くのスキャナーは、「ヒューリスティックスキャン」アルゴリズムも使用します。つまり、チェック対象のオブジェクト内のコマンドシーケンスの分析、統計の収集、およびチェック対象の各オブジェクトの決定を行います。 ヒューリスティックスキャンは主にウイルスを検出するための確率的手法であるため、確率論の多くの法則が適用されます。 たとえば、検出されたウイルスの割合が高いほど、誤検知の数が多くなります。
スキャナーは、「ユニバーサル」と「スペシャライズド」の2つのカテゴリに分類することもできます。 ユニバーサルスキャナーは、スキャナーが動作するように設計されているオペレーティングシステムに関係なく、すべての種類のウイルスを検索して中和するように設計されています。 専用スキャナーは、限られた数のウイルス、またはマクロウイルスなどの1つのクラスのウイルスのみを中和するように設計されています。
スキャナーは、「オンザフライ」でスキャンする「常駐」(モニター)と「非常駐」に分けられ、オンデマンドでのみシステムチェックを提供します。 原則として、「常駐」スキャナーはより多くを提供します 信頼できる保護システムは、ウイルスの出現に即座に応答するため、「非常駐」スキャナーは、次回の起動時にのみウイルスを識別できます。
すべてのタイプのスキャナーの利点には、その汎用性、スキャナーが保存および補充する必要のあるアンチウイルスデータベースのサイズ、およびウイルス検索の速度が比較的遅いことが含まれます。
CRCスキャナー。 CRCスキャナーの動作原理は、ディスク上に存在するファイル/システムセクターのCRC合計(チェックサム)の計算に基づいています。 これらのCRCの合計は、アンチウイルスのデータベース、およびその他の情報(ファイルの長さ、最後に変更された日付など)に保存されます。その後の起動時に、CRCスキャナーはデータベースに含まれるデータを実際に計算された値でチェックします。 データベースに記録されたファイル情報が実際の値と一致しない場合、CRCスキャナーはファイルが変更されたかウイルスに感染したことを通知します。
「アンチステルス」アルゴリズムを使用するCRCスキャナーは、コンピューターに変更が表示された直後に、ほぼ100%のウイルスに応答します。 これらのアンチウイルスの特徴的な欠点は、ウイルスが出現した瞬間からコンピュータに変更が加えられるまで、ウイルスを検出できないことです。 CRCスキャナーは新しいファイル内のウイルスを検出できません( Eメール、フロッピーディスク、回復可能なファイル、またはアーカイブからファイルを抽出する場合)。データベースにはこれらのファイルに関する情報がないためです。
プログラム-検出器 RAMおよびファイル内の特定のウイルスに特徴的なシグニチャを検索し、検出された場合は適切なメッセージを発行します。 このようなアンチウイルスプログラムの欠点は、そのようなプログラムの開発者に知られているウイルスしか見つけられないことです。
ブロッカー。 アンチウイルスブロッカーは、「ウイルスに危険な」状況を傍受し、ユーザーに通知する常駐プログラムです。 「ウイルスに危険な」呼び出しには、実行可能ファイルへの書き込み、ディスクブートセクターへの書き込みなどを開くための呼び出しが含まれます。これらは、ウイルスの複製時に一般的です。
ブロッカーの利点には、ウイルスの繁殖の初期段階でウイルスを検出してブロックする機能が含まれます。これは、古くから知られているウイルスが絶えず活性化されている場合に非常に役立ちます。
免疫装置。 免疫装置は、感染を報告する免疫装置と、あらゆる種類のウイルスによる感染を阻止する免疫装置の2種類に分けられます。
ドクタープログラムまた ファージ、 と同様 ワクチンプログラムウイルスに感染したファイルを見つけるだけでなく、それらを「処理」します。 ウイルスプログラムの本体がファイルから削除され、ファイルが元の状態に戻ります。 ファージは、作業の開始時にRAM内のウイルスを探して破壊し、ファイルの「処理」に進みます。 ファージの中で、ポリファージは区別されます。 多数のウイルスを見つけて破壊するように設計された医師プログラム。 それらの中で最も有名なものは、Aidstest、Scan、Norton AntiVirus、DoctorWebです。
新しいウイルスが絶えず出現していることを考えると、検出プログラムと医師プログラムはすぐに時代遅れになり、定期的な更新が必要になります。
監査人プログラムウイルスに対する最も信頼できる保護手段の1つです。 監査人は、コンピュータがウイルスに感染していないときのディスクのプログラム、ディレクトリ、およびシステム領域の初期状態を記憶し、定期的に、またはユーザーの要求に応じて、現在の状態を元の状態と比較します。 検出された変更は、モニター画面に表示されます。 原則として、状態はオペレーティングシステムがロードされた直後に比較されます。 比較する際には、ファイル長、サイクリック制御コード(ファイルチェックサム)、変更日時などのパラメータがチェックされます。 監査プログラムは、かなり高度なアルゴリズムを備えており、ステルスウイルスを検出し、ウイルスによって行われた変更からチェック対象のプログラムのバージョンへの変更をクリーンアップすることもできます。 プログラムの中には、監査人がロシアで広く使用されているAdinfプログラムがあります。
フィルタープログラムまた 「番人」は、ウイルスの特徴である疑わしいコンピュータアクティビティを検出するように設計された小さな常駐プログラムです。 そのようなアクションは次のようになります。
COM、EXE拡張子でファイルを修正しようとします
ファイル属性の変更
絶対アドレスでのディスクへの直接書き込み
ディスクブートセクタへの書き込み
プログラムが指定されたアクションを実行しようとすると、「ウォッチマン」はユーザーにメッセージを送信し、対応するアクションを禁止または許可するように提案します。 フィルタプログラムは、ウイルスが繁殖する前の初期段階でウイルスを検出できるため、非常に便利です。 ただし、ファイルやディスクを「修復」することはありません。 ウイルスを破壊するには、ファージなどの他のプログラムを使用する必要があります。 ウォッチドッグプログラムの欠点には、「煩わしさ」(たとえば、実行可能ファイルをコピーしようとすると常に警告が発せられる)や、他のソフトウェアとの競合の可能性があります。 フィルタプログラムの例は、MSWindowsユーティリティパッケージに含まれているVsafeプログラムです。
ワクチンまた 免疫剤ファイル感染を防ぐ常駐プログラムです。 このウイルスを「治療」する医師のプログラムがない場合は、ワクチンが使用されます。 予防接種は既知のウイルスに対してのみ可能です。 ワクチンは、プログラムまたはディスクを、それらの作業に影響を与えないように変更します。ウイルスは、それらを感染していると認識し、したがって根付くことはありません。 ワクチンプログラムは現在、使用が制限されています。
ウイルスに感染したファイルとディスクをタイムリーに検出し、各コンピューターで検出されたウイルスを完全に破棄することで、ウイルスの流行が他のコンピューターに広がるのを防ぐことができます。
ウイルスを検出するための基本的な方法
ウイルス対策プログラムは、ウイルスの進化と並行して進化してきました。 ウイルスを作成するための新しい技術が登場するにつれて、ウイルス対策の開発に使用された数学的装置はより複雑になりました。
最初のアンチウイルスアルゴリズムは、標準との比較に基づいて構築されました。 私たちは、ウイルスが古典的なカーネルによって何らかのマスクによって決定されるプログラムについて話している。 アルゴリズムの意味は、統計的手法を使用することです。 マスクは、一方ではファイルサイズが許容できるように小さく、他方では誤検知を回避するために十分に大きくする必要があります(「友人」が「エイリアン」として認識される場合、またはその逆の場合)。
この原理に基づいて構築された最初のアンチウイルスプログラム(いわゆるポリファージスキャナー)は、特定の数のウイルスを知っており、それらを処理することができました。 これらのプログラムは次のように作成されました。開発者はウイルスコードを受け取り(ウイルスコードは最初は静的でした)、このコードから一意のマスク(10〜15バイトのシーケンス)をコンパイルし、アンチウイルスのデータベースに入力しました。 -ウイルスプログラム。 アンチウイルスプログラムはファイルをスキャンし、このバイトシーケンスが見つかった場合、ファイルが感染していると判断しました。 このシーケンス(署名)は、一意であり、通常のデータセットでは発生しないように選択されました。
説明されているアプローチは、90年代半ばまで、ほとんどのアンチウイルスプログラムで使用されていました。このとき、事前に予測できなかったアルゴリズムに従って体を変えた最初のポリモルフィックウイルスが出現しました。 当時、シグニチャ方式はいわゆるプロセッサエミュレータによって補完されていました。これにより、永続的なシグニチャを明示的に持たない暗号化されたポリモルフィックウイルスを見つけることができました。
プロセッサエミュレーションの原理は、 ご飯。 1。 通常、条件付きチェーンがCPU®OS®プログラムの3つの主要な要素で構成されている場合、プロセッサをエミュレートするときに、エミュレータがそのようなチェーンに追加されます。 エミュレーターは、いわば、ある仮想空間でプログラムの作業を再現し、元のコンテンツを再構築します。 エミュレータは常にプログラムの実行を中断し、何も損なうことなくそのアクションを制御し、アンチウイルススキャンエンジンを呼び出すことができます。
90年代半ばに登場し、すべてのアンチウイルスで使用されている2番目のメカニズムは次のとおりです。 ヒューリスティック分析。 実際、分析されたプログラムによって実行されたアクションの要約を取得できるプロセッサエミュレーション装置では、これらのアクションを常に検索できるとは限りませんが、分析を実行して、次のような仮説を立てることができます。 「ウイルスかウイルスではないか?」
この場合、意思決定は統計的アプローチに基づいています。 そして、対応するプログラムはヒューリスティックアナライザーと呼ばれます。
ウイルスを複製するには、メモリへのコピー、セクターへの書き込みなど、特定のアクションを実行する必要があります。 ヒューリスティックアナライザー(アンチウイルスエンジンの一部)には、そのようなアクションのリストが含まれ、実行されているプログラムコードを調べ、実行内容を判別し、これに基づいて次のことを判別します。 このプログラムウイルスかどうか。
同時に、ウイルス対策プログラムには知られていない場合でも、ウイルススキップの割合は非常に少ないです。 このテクノロジー現在、すべてのアンチウイルスプログラムで広く使用されています。
ウイルス対策プログラムの分類
アンチウイルスプログラムは、純粋なアンチウイルスとデュアルパーパスアンチウイルスに分類されます( ご飯。 2).
純粋なウイルス対策は、パターンによるスキャン機能を実行するウイルス対策エンジンの存在によって区別されます。 この場合の基本的なことは、ウイルスが知られていれば治療が可能であるということです。 次に、純粋なウイルス対策ソフトウェアは、ファイルへのアクセスの種類に応じて2つのカテゴリに分類されます。アクセスを制御するもの(オンアクセス)またはオンデマンド(オンデマンド)です。 通常、オンアクセス製品はモニターと呼ばれ、オンデマンド製品はスキャナーと呼ばれます。
オンデマンド-製品は次のスキームに従って機能します。ユーザーが何かをチェックしたいと考えてリクエスト(デマンド)を発行した後、チェックが実行されます。 オンアクセス製品は、アクセスを監視し、アクセス時にチェックを実行する常駐プログラムです。
さらに、ウイルスなどのウイルス対策プログラムは、このウイルス対策が機能するプラットフォームに応じて分割できます。 この意味で、WindowsまたはLinuxに加えて、プラットフォームにはMicrosoftExchangeServerを含めることができます。 マイクロソフトオフィス、ロータスノーツ。
二重目的プログラムは、ウイルス対策ソフトウェアと非ウイルス対策ソフトウェアの両方で使用されるプログラムです。 たとえば、CRCチェッカー(チェックサムベースの変更インスペクター)は、ウイルスをキャッチするだけでなく使用できます。 さまざまな二重目的プログラムは、他のプログラムの動作を分析し、疑わしいアクションが検出された場合にそれらをブロックする動作ブロッカーです。 行動ブロッカーは、実験室で分析され、治療アルゴリズムが規定されたウイルスを認識して治療するウイルス対策コアを備えた従来のウイルス対策とは異なります。行動ブロッカーは、ウイルスについて何も知らないため、ウイルスの治療方法を知りません。 ブロッカーのこの特性により、未知のウイルスを含むあらゆるウイルスを処理できます。 ウイルスとアンチウイルスの配布者は同じデータ伝送チャネル、つまりインターネットを使用しているため、これは今日特に重要です。 同時に、ウイルス対策会社は、ウイルス自体を入手し、分析し、適切な治療モジュールを作成するために常に時間を必要とします。 二重目的グループのプログラムでは、会社が治療モジュールを作成するまで、ウイルスの拡散を阻止することができます。
最も人気のある個人用アンチウイルスの概要
このレビューには、5人の有名な開発者による個人使用の最も人気のあるアンチウイルスが含まれています。 以下で説明する企業の中には、機能が異なり、したがって価格が異なるいくつかのバージョンのパーソナルプログラムを提供しているものがあることに注意してください。 私たちのレビューでは、各企業の1つの製品を調べ、最も機能的なバージョンを選択しました。これは、原則として、PersonalProと呼ばれます。 その他の個人用ウイルス対策オプションは、それぞれのWebサイトにあります。
カスペルスキーアンチウイルス
個人的なProv。 4.0 4.0
開発者:KasperskyLab。 ウェブサイト:http://www.kaspersky.ru/。 価格$69(1年間のライセンス)。
Kaspersky Anti-Virus Personal Pro( ご飯。 3)は、ロシア市場で最も人気のあるソリューションの1つであり、多くの独自のテクノロジーが含まれています。
動作ブロッカーOfficeGuardモジュールは、マクロの実行を制御し、すべての疑わしいアクションを防ぎます。 Office Guardモジュールの存在により、マクロウイルスに対する100%の保護が提供されます。
インスペクターはコンピューターのすべての変更を監視し、ファイルまたはシステムレジストリで不正な変更が検出された場合、ディスクの内容を復元して悪意のあるコードを削除することができます。 Inspectorは、アンチウイルスデータベースの更新を必要としません。整合性制御は、元のファイルの指紋(CRC-sum)の取得と、その後の変更されたファイルとの比較に基づいて実行されます。 他の監査人とは異なり、Inspectorは最も一般的な実行可能ファイル形式をすべてサポートしています。
ヒューリスティックアナライザーを使用すると、未知のウイルスからコンピューターを保護することができます。
バックグラウンドウイルスインターセプターモニター、永続的に存在 コンピュータメモリは、起動、作成、またはコピーされた瞬間にすべてのファイルのウイルス対策スキャンを実行します。これにより、すべてのファイル操作を制御し、最も技術的に高度なウイルスによる感染を防ぐことができます。
ウイルス対策電子メールフィルタリングは、ウイルスがコンピュータに侵入するのを防ぎます。 Mail Checkerプラグインは、電子メールの本文からウイルスを除去するだけでなく、電子メールの元の内容を完全に復元します。 メール通信の包括的なスキャンは、添付ファイル(アーカイブおよびパッケージ化を含む)やその他のネストレベルのメッセージを含む、受信メッセージと送信メッセージのすべてのセクションをスキャンすることにより、ウイルスが電子メールの要素に隠れることを防ぎます。
ウイルス対策スキャナースキャナーを使用すると、ローカルドライブとネットワークドライブのコンテンツ全体をオンデマンドでフルスケールスキャンできます。
スクリプトチェッカーインターセプターは、実行中のすべてのスクリプトを実行前にウイルス対策チェックを提供します。
アーカイブおよび圧縮ファイルのサポートにより、感染した圧縮ファイルから悪意のあるコードを削除する機能が提供されます。
感染したオブジェクトの分離は、感染したオブジェクトと疑わしいオブジェクトの分離を提供し、その後、特別に編成されたディレクトリに移動します。 さらなる分析と回復。
アンチウイルス保護の自動化により、プログラムコンポーネントのスケジュールと順序を作成できます。 インターネットを介して新しいアンチウイルスデータベースの更新を自動的にダウンロードして接続します。 検出されたウイルス攻撃に関する警告を電子メールなどで送信します。
Norton AntiVirus 2003 Professional Edition
開発者:Symantec。 ウェブサイト:http://www.symantec.ru/。
価格は89.95ユーロです。
プログラムは下で実行されます Windowsコントロール 95/98 / Me / NT4.0 / 2000 Pro/XP。
価格$39.95
プログラムは、Windows 95/98 / Me / NT4.0 / 2000 Pro/XPで実行されます。