Antivirusuri. Rezumat: Clasificarea instrumentelor antivirus Descrieți programele antivirus după clasificare

INTRODUCERE

Trăim la începutul a două milenii, când omenirea a intrat în era unei noi revoluții științifice și tehnologice.

Până la sfârșitul secolului al XX-lea, oamenii stăpâniseră multe dintre secretele transformării materiei și energiei și au putut folosi aceste cunoștințe pentru a-și îmbunătăți viața. Dar, pe lângă materie și energie, o altă componentă joacă un rol uriaș în viața umană - informația. Aceasta este o mare varietate de informații, mesaje, știri, cunoștințe, abilități.

La mijlocul secolului nostru au apărut dispozitive speciale - calculatoare concentrate pe stocarea și convertirea informațiilor și a avut loc o revoluție a computerelor.

Astăzi, utilizarea în masă a computerelor personale, din păcate, s-a dovedit a fi asociată cu apariția programelor de viruși cu auto-reproducere, care împiedică funcționarea normală a unui computer, distrug structura de fișiere a discurilor și deteriorează informațiile stocate într-un computer.

În ciuda legilor adoptate în multe țări pentru combaterea criminalității informatice și a dezvoltării programe speciale noi instrumente de protecție împotriva virușilor, numărul de noi viruși software este în continuă creștere. Acest lucru necesită utilizator calculator personal cunoștințe despre natura virusurilor, metodele de infectare și protecția împotriva virușilor. Acesta a fost stimulul pentru alegerea temei lucrării mele.

Despre asta vorbesc în eseul meu. Arăt principalele tipuri de viruși, iau în considerare schemele de funcționare a acestora, motivele apariției lor și modalitățile de pătrundere în computer și, de asemenea, sugerez măsuri de protecție și prevenire.

Scopul lucrării este de a familiariza utilizatorul cu elementele de bază ale virologiei computerului, de a învăța cum să detecteze virușii și să-i combată. Metoda de lucru este analiza publicațiilor tipărite pe această temă. M-am confruntat cu o sarcină dificilă - să vorbesc despre ceea ce a fost foarte puțin studiat și despre cum s-a întâmplat - tu fii judecătorul.

1. VIRUSURI DE COMPUTER ŞI PROPRIETĂŢILE LOR SI CLASIFICARE

1.1. Proprietăți virușii informatici

Acum sunt folosite computere personale, în care utilizatorul are acces gratuit la toate resursele mașinii. Acesta a fost cel care a deschis posibilitatea pericolului care a ajuns să fie cunoscut sub numele de virusul informatic.

Ce este un virus informatic? O definiție formală a acestui concept nu a fost încă inventată și există îndoieli serioase că poate fi dat deloc. Numeroase încercări de a da o definiție „modernă” a virusului nu au avut succes. Pentru a simți complexitatea problemei, încercați, de exemplu, să definiți conceptul de „editor”. Fie vei veni cu ceva foarte general, fie vei începe să enumerați toate tipurile cunoscute de editori. Ambele nu pot fi considerate acceptabile. Prin urmare, ne vom limita să luăm în considerare unele proprietăți ale virușilor informatici care ne permit să vorbim despre ei ca despre o anumită clasă specifică de programe.

În primul rând, un virus este un program. O afirmație atât de simplă poate spulbera multe legende despre capacitățile extraordinare ale virușilor informatici. Virusul poate întoarce imaginea de pe monitor, dar nu poate răsturna monitorul în sine. Nici legende despre virușii ucigași „distrugând operatorii prin afișarea unei scheme de culori mortale pe cel de-al 25-lea cadru” nu trebuie luate în serios. Din păcate, unele publicații cu autoritate publică din când în când „cele mai recente știri din partea computerului”, care, la o examinare mai atentă, se dovedesc a fi rezultatul unei înțelegeri nu în totalitate clare a subiectului.

Un virus este un program care are capacitatea de a se reproduce singur. Această capacitate este singurul mijloc inerent tuturor tipurilor de viruși. Dar nu numai virușii sunt capabili de auto-replicare. Orice sistem de operare și multe alte programe sunt capabile să-și creeze propriile copii. Copiile aceluiași virus nu numai că nu trebuie să se potrivească complet cu originalul, dar este posibil să nu se potrivească deloc!

Un virus nu poate exista în „izolare completă”: nu poate fi imaginat astăzi un virus care să nu folosească codul altor programe, informații despre structura fișierelor sau chiar doar numele altor programe. Motivul este clar: virusul trebuie să asigure cumva transferul controlului către sine.

1.2. Clasificarea virusurilor

În prezent, sunt cunoscuți peste 5.000 de viruși software, aceștia pot fi clasificați după următoarele criterii:

¨ habitat

¨ cale de contaminare a mediului

¨ impact

¨ caracteristicile algoritmului

În funcție de habitat, virușii pot fi împărțiți în rețea, fișier, boot și fișier-boot. Viruși de rețea distribuite pe diverse rețele de calculatoare. Virușii de fișiere sunt introduși în principal în modulele executabile, adică în fișierele cu extensii COM și EXE. Fișieră viruși pot fi încorporate în alte tipuri de fișiere, dar, de regulă, scrise în astfel de fișiere, nu obțin niciodată controlul și, prin urmare, își pierd capacitatea de reproducere. Porniți viruși sunt încorporate în sectorul de boot al discului (Boot-sector) sau în sectorul care conține programul de boot disc de sistem(Master Boot Re-

cordon). Fișier-boot virușii infectează atât fișierele, cât și sectoarele de boot de pe disc.

În funcție de metoda de infectare, virușii sunt împărțiți în rezidenți și nerezidenți. Virus rezident atunci când infectați (infectați) un computer, îl lasă în interior memorie cu acces aleator partea sa rezidentă, care apoi interceptează apelul sistem de operare pentru a infecta obiecte (fișiere, sectoare de pornire a discului etc.) și le infiltrează. Virușii rezidenți se află în memorie și rămân activi până când computerul este oprit sau repornit. Viruși nerezidenți nu infectează memoria computerului și sunt active pentru o perioadă limitată de timp.

În funcție de gradul de impact, virușii pot fi împărțiți în următoarele tipuri:

¨ nepericuloase, care nu interferează cu funcționarea computerului, dar reduc cantitatea de RAM liberă și spațiul pe disc, acțiunile unor astfel de viruși se manifestă în orice efecte grafice sau sonore

¨ periculos viruși care pot cauza diverse probleme computerului dvs

¨ foarte periculos, al cărui impact poate duce la pierderea de programe, distrugerea datelor, ștergerea informațiilor din zonele de sistem ale discului.

2. PRINCIPALE TIPURI DE VIRUSURI ȘI SCHEME DE FUNCȚIONARE A LOR

Dintre varietatea de viruși, se pot distinge următoarele grupuri principale:

¨ cizmă

¨ dosar

¨ pornire fișier

Acum, mai detaliat despre fiecare dintre aceste grupuri.

2.1. Porniți viruși

Luați în considerare funcționarea unui virus de boot foarte simplu care infectează dischetele. Ocolim în mod deliberat toate numeroasele subtilități care ar fi inevitabil întâlnite într-o analiză riguroasă a algoritmului pentru funcționarea acestuia.

Ce se întâmplă când porniți computerul? În primul rând, controlul este transferat program bootstrap, care este stocat în memoria doar pentru citire (ROM), adică PNZ ROM.

Acest program testează hardware-ul și, dacă testele trec, încearcă să găsească discheta în unitatea A:

Fiecare dischetă este marcată pe așa-numitul. sectoare și piste. Sectoarele sunt combinate în clustere, dar acest lucru nu este esențial pentru noi.

Printre sectoare există mai multe servicii utilizate de sistemul de operare pentru propriile nevoi (datele dumneavoastră nu pot fi plasate în aceste sectoare). Dintre sectoarele de servicii, ne interesează în continuare unul - așa-numitul. sectorul bootstrap(sector de pornire).

Magazinele din sectorul bootstrap informații despre dischetă- numarul de suprafete, numarul de piste, numarul de sectoare etc. Dar acum nu ne intereseaza aceasta informatie, ci un mic program bootstrap(PNZ), care ar trebui să încarce sistemul de operare în sine și să-i transfere controlul.

Deci, modelul normal de bootstrap este următorul:

Acum luați în considerare virusul. În virușii de boot, se disting două părți - așa-numitele. cap etc. coadă. Coada, în general, poate fi goală.

Să presupunem că aveți o dischetă goală și un computer infectat, prin care ne referim la un computer cu un virus rezident activ. De îndată ce acest virus detectează că o victimă potrivită a apărut în unitate - în cazul nostru, o dischetă care nu este protejată la scriere și care nu este încă infectată, se infectează. Când infectează o dischetă, virusul efectuează următoarele acțiuni:

Alocă o anumită zonă a discului și o marchează ca inaccesibilă sistemului de operare, acest lucru se poate face în diferite moduri, în cel mai simplu și tradițional caz, sectoarele ocupate de virus sunt marcate ca rele (rele)

Își copiază coada și sectorul de pornire original (sănătos) în zona selectată a discului

Înlocuiește programul bootstrap din sectorul de boot (real) cu capul său

Organizează lanțul de transfer al controlului conform schemei.

Astfel, șeful virusului este acum primul care preia controlul, virusul este instalat în memorie și transferă controlul în sectorul de boot original. Într-un lanț

PNZ (ROM) - PNZ (disc) - SISTEM

apare un nou link:

PNZ (ROM) - VIRUS - PNZ (disc) - SISTEM

Morala este clara: nu lăsați niciodată (în mod accidental) dischetele în unitatea A.

Am examinat funcționarea unui virus simplu butovy care trăiește în sectoarele de pornire ale dischetelor. De regulă, virușii pot infecta nu numai sectoarele de pornire ale dischetelor, ci și sectoarele de pornire ale hard disk-urilor. În acest caz, spre deosebire de dischete, un hard disk are două tipuri de sectoare de pornire care conțin programe de boot care primesc control. Când porniți un computer de pe un hard disk, programul de pornire din MBR (Master Boot Record - Master Boot Record) preia controlul mai întâi. Dacă ale tale HDD este împărțit în mai multe secțiuni, apoi doar una dintre ele este marcată ca bootabilă (boot). Programul bootstrap din MBR găsește partiția de pornire hard disk și transferă controlul către programul de bootstrap al acestei partiții. Codul acestuia din urmă este același cu codul programului de boot conținut pe dischetele obișnuite, iar sectoarele de boot corespunzătoare diferă doar în tabelele cu parametri. Astfel, există două obiecte de atac ale virușilor de boot pe hard disk - programul bootstrap în MBRȘi elementar descărcări în sectorul de boot disc de pornire.

2.2. Fișieră viruși

Să luăm acum în considerare cum funcționează un simplu virus de fișier. Spre deosebire de virușii de boot, care sunt aproape întotdeauna rezidenți, virușii de fișiere nu sunt neapărat rezidenți. Să luăm în considerare schema de funcționare a unui virus de fișier nerezident. Să presupunem că avem un fișier executabil infectat. Când se lansează un astfel de fișier, virusul preia controlul, efectuează unele acțiuni și transferă controlul „masterului” (deși încă nu se știe cine este stăpânul într-o astfel de situație).

Ce acțiuni efectuează virusul? Se caută un nou obiect de infectat - un fișier de tip potrivit care nu a fost încă infectat (în cazul în care virusul este „decent”, în caz contrar există cei care infectează imediat fără a verifica nimic). Infectând un fișier, virusul se injectează în codul său pentru a obține controlul când fișierul este rulat. Pe lângă funcția sa principală - reproducere, virusul poate face ceva complicat (să zicem, întrebați, jucați) - asta depinde deja de imaginația autorului virusului. Dacă un virus de fișier este rezident, acesta se va instala în memorie și va câștiga capacitatea de a infecta fișiere și de a afișa alte abilități nu numai în timp ce fișierul infectat rulează. Infectând un fișier executabil, un virus își modifică întotdeauna codul - prin urmare, o infecție a unui fișier executabil poate fi întotdeauna detectată. Dar prin schimbarea codului fișierului, virusul nu face neapărat alte modificări:

à nu este obligat sa modifice lungimea dosarului

à secțiuni de cod neutilizate

à nu este necesar pentru a modifica începutul fișierului

În cele din urmă, virușii de fișiere includ adesea viruși care „au ceva de-a face cu fișierele”, dar nu sunt obligați să intre în codul lor. Să luăm ca exemplu schema de funcționare a virușilor din familia cunoscută Dir-II. Trebuie să recunoaștem că, apărând în 1991, acești viruși au provocat o adevărată epidemie de ciumă în Rusia. Luați în considerare un model care arată clar ideea de bază a unui virus. Informațiile despre fișiere sunt stocate în directoare. Fiecare intrare de director include numele fișierului, data și ora creării, câteva informații suplimentare, numărul primului cluster dosar etc. octeți de rezervă. Acestea din urmă sunt lăsate „în rezervă” și MS-DOS în sine nu este folosit.

Când rulează fișiere executabile, sistemul citește primul cluster al fișierului din intrarea în director și apoi toate celelalte clustere. Virușii din familia Dir-II produc următoarea „reorganizare” Sistemul de fișiere: virusul însuși se scrie în unele sectoare libere ale discului, pe care le marchează ca fiind proaste. În plus, stochează informații despre primele grupuri de fișiere executabile în biți de rezervă și scrie referințe la sine în locul acestor informații.

Astfel, atunci când orice fișier este lansat, virusul primește controlul (sistemul de operare îl lansează singur), rezidă în memorie și transferă controlul fișierului apelat.

2.3. Viruși pentru fișierele de pornire

Nu vom lua în considerare modelul de boot-file virus, deoarece nu veți afla nicio informație nouă în acest caz. Dar iată o oportunitate de a discuta pe scurt despre extrem de „popular” în În ultima vreme OneHalf boot-file virus care infectează sectorul principal de boot (MBR) și fișierele executabile. Principala acțiune distructivă este criptarea sectoarelor de hard disk. La fiecare lansare, virusul criptează următoarea porțiune de sectoare, iar după criptarea jumătate hard disk, anunță cu bucurie acest lucru. Principala problemă în tratamentul acestui virus este că nu este suficient doar să eliminați virusul din MBR și fișiere, este necesar să decriptați informațiile criptate de acesta. Cea mai „de moarte” acțiune este pur și simplu să rescrieți un nou MBR sănătos. Principalul lucru - nu intrați în panică. Cântăriți totul cu calm, consultați-vă cu experții.

2.4. Viruși polimorfi

Majoritatea întrebărilor sunt legate de termenul „virus polimorf”. Acest tip de virus informatic este de departe cel mai periculos. Să explicăm ce este.

Virușii polimorfi sunt viruși care își modifică codul în programele infectate în așa fel încât două instanțe ale aceluiași virus să nu se potrivească într-un singur bit.

Astfel de viruși nu numai că își criptează codul folosind diferite căi de criptare, dar conțin și codul de generare al criptatorului și al decriptatorului, care îi diferențiază de virușii de criptare obișnuiți, care pot cripta și părți ale codului lor, dar, în același timp, au un cod constant. a criptatorului și decriptorului.

Virușii polimorfi sunt viruși cu decodoare automodificabile. Scopul unei astfel de criptări este că, dacă aveți un fișier infectat și original, tot nu veți putea analiza codul acestuia folosind dezasamblarea convențională. Acest cod este criptat și este un set de comenzi fără sens. Decriptarea este efectuată de virusul însuși în timpul rulării. În același timp, sunt posibile opțiuni: se poate decripta singur dintr-o dată sau poate efectua o astfel de decriptare „din mers”, poate din nou să cripteze secțiunile deja elaborate. Toate acestea sunt făcute de dragul de a face dificilă analiza codului virusului.

3. ISTORIA VIROLOGIEI COMPUTERICE ŞI CAUZELE VIRUSURILOR

Istoria virologiei computerelor de astăzi pare a fi o „cursă pentru lider” constantă și, în ciuda puterii depline a programelor antivirus moderne, virușii sunt cei care sunt lideri. Dintre miile de viruși, doar câteva zeci sunt dezvoltări originale care folosesc idei cu adevărat noi. Toate celelalte sunt „variații pe o temă”. Dar fiecare dezvoltare originală îi obligă pe creatorii de antivirusuri să se adapteze la noile condiții, să ajungă din urmă cu tehnologia virusului. Acesta din urmă poate fi contestat. De exemplu, în 1989, un student american a reușit să creeze un virus care a dezactivat aproximativ 6.000 de computere ale Departamentului Apărării al SUA. Sau epidemia celebrului virus Dir-II care a izbucnit în 1991. Virusul a folosit un cu adevărat original, fundamental tehnologie nouăși la început a reușit să se răspândească pe scară largă din cauza imperfecțiunii instrumentelor antivirus tradiționale.

Sau izbucnirea virușilor informatici din Marea Britanie: Christopher Pine a reușit să creeze virușii Patogen și Queeq, precum și virusul Smeg. Acesta din urmă era cel mai periculos, putea fi aplicat primilor doi viruși, iar din această cauză, după fiecare rulare a programului, au schimbat configurația. Prin urmare, erau imposibil de distrus. Pentru a răspândi viruși, Pine a copiat jocuri pe calculatorși programe, le-au infectat și apoi le-au trimis înapoi în rețea. Utilizatorii au descărcat programe infectate pe computerele lor și pe discurile infectate. Situația a fost agravată de faptul că Pine a reușit să aducă viruși în programul care îi luptă. Prin rularea acestuia, utilizatorii în loc să distrugă virușii au primit altul. Drept urmare, dosarele multor companii au fost distruse, pierderile s-au ridicat la milioane de lire sterline.

Programatorul american Morris este cunoscut pe scară largă. El este cunoscut drept creatorul virusului care în noiembrie 1988 a infectat aproximativ 7.000 de computere personale conectate la Internet.

Motivele apariției și răspândirii virușilor informatici, pe de o parte, sunt ascunse în psihologia personalității umane și a părților sale umbre (invidia, răzbunarea, vanitatea creatorilor nerecunoscuți, incapacitatea de a-și aplica în mod constructiv abilitățile), pe de o parte. pe de alta parte, din cauza lipsei de protectie hardware si contracararea din sala de operatie.sisteme computerizate personale.

4. CĂI DE PENTRARE A VIRUSURILOR ÎNTR-UN CALCULATOR ȘI MECANISM DE DISTRIBUȚIE A PROGRAMELOR DE VIRUS

Principalele moduri prin care virușii pot pătrunde într-un computer sunt discurile amovibile (dischetă și laser), precum și rețelele de calculatoare. Infectarea hard diskului cu viruși poate apărea atunci când un program este încărcat de pe o dischetă care conține un virus. O astfel de infecție poate fi, de asemenea, accidentală, de exemplu, dacă discheta nu a fost scoasă din unitatea A și computerul a fost repornit, în timp ce discheta poate să nu fie una de sistem. Este mult mai ușor să infectați o dischetă. Un virus poate intra în el chiar dacă discheta este pur și simplu introdusă în unitatea de disc a unui computer infectat și, de exemplu, este citit cuprinsul acestuia.

Virusul infectează de obicei program de lucru in asa fel incat la lansare, controlul i se transfera mai intai si numai dupa executarea tuturor comenzilor sale revine in programul de lucru. După ce a obținut acces la control, virusul se rescrie în primul rând într-un alt program de lucru și îl infectează. După rularea unui program care conține un virus, devine posibilă infectarea altor fișiere. Cel mai adesea, sectorul de boot al discului și fișierele executabile cu extensiile EXE, COM, SYS, BAT sunt infectate cu virusul. Fișierele text sunt extrem de rar infectate.

După infectarea programului, virusul poate efectua un fel de sabotaj, nu prea grav pentru a nu atrage atenția. Și, în sfârșit, nu uitați să returnați controlul programului din care a fost lansat. Fiecare execuție a unui program infectat transferă virusul la următorul. Astfel, tot software-ul va fi infectat.

Pentru a ilustra procesul de infectare a unui program de calculator cu un virus, este logic să asemănăm stocarea pe disc cu o arhivă de modă veche cu foldere pe bandă. Folderele conțin programe, iar secvența operațiunilor pentru introducerea unui virus în acest caz va arăta astfel.(vezi Anexa 1)

5. SEMNELE VIRUSURILOR

Când un computer este infectat cu un virus, este important să îl detectăm. Pentru a face acest lucru, ar trebui să știți despre principalele semne ale manifestării virușilor. Acestea includ următoarele:

¨ încetarea lucrului sau operarea incorectă a programelor care funcționau anterior cu succes

¨ muncă lentă calculator

¨ incapacitatea de a porni sistemul de operare

¨ dispariția fișierelor și directoarelor sau denaturarea conținutului acestora

¨ modifica data și ora modificării fișierelor

¨ redimensionarea fișierului

¨ creștere mare neașteptată a numărului de fișiere de pe disc

¨ o scădere semnificativă a dimensiunii RAM liberă

¨ afișarea mesajelor sau imaginilor neașteptate pe ecran

¨ depunerea de neprevăzut semnale sonore

¨ înghețări frecvente și blocări ale computerului

Trebuie remarcat faptul că fenomenele de mai sus nu sunt neapărat cauzate de prezența virusului, ci se pot datora altor cauze. Prin urmare, este întotdeauna dificil să diagnosticați corect starea computerului.

6. DETECȚIA ȘI MĂSURI DE PROTECȚIE ȘI PREVENIRE A VIRUSULUI

6.1. Cum se detectează un virus ? Abordare traditionala

Deci, un anume scriitor de viruși creează un virus și îl lansează în „viață”. De ceva timp, el poate merge liber, dar mai devreme sau mai târziu „lafa” se va termina. Cineva va bănui că ceva nu este în regulă. De regulă, virușii sunt detectați de utilizatorii obișnuiți care observă anumite anomalii în comportamentul computerului. Ei, în cele mai multe cazuri, nu sunt capabili să facă față singuri infecției, dar acest lucru nu le este cerut.

Este necesar doar ca virusul să ajungă în mâinile specialiștilor cât mai curând posibil. Profesioniștii îl vor studia, vor afla „ce face”, „cum face”, „când face”, etc. În procesul unei astfel de lucrări, sunt colectate toate informațiile necesare despre acest virus, în special, semnătura virusului. este evidențiată - o secvență de octeți care o definește destul de clar. Pentru a construi o semnătură, de obicei sunt luate cele mai importante și caracteristice părți ale codului virusului. În același timp, mecanismele modului în care funcționează virusul devin clare, de exemplu, în cazul unui virus de boot, este important să știm unde își ascunde coada, unde se află sectorul original de boot și în cazul unul de fișier, cum este infectat fișierul. Informațiile obținute ne permit să aflăm:

Cum se detectează un virus, pentru aceasta, metode de căutare a semnăturilor în potențialele obiecte ale unui atac de virus - sunt specificate fișierele și/sau sectoarele de boot

cum să neutralizezi virusul, dacă este posibil, se dezvoltă algoritmi pentru eliminarea codului virusului de pe obiectele afectate

6.2. Programe de detectare și protecție a virușilor

Pentru a detecta, elimina și proteja împotriva virușilor informatici, au fost dezvoltate mai multe tipuri de programe speciale care vă permit să detectați și să distrugeți virușii. Se numesc astfel de programe antiviral . Există următoarele tipuri de programe antivirus:

programe-detectoare

programe-medici sau fagi

auditori de programe

programe de filtrare

programe de vaccinare sau imunizatoare

Programe-detectoare efectuați o căutare a unei semnături caracteristice unui anumit virus în RAM și în fișiere și, dacă este detectată, emiteți un mesaj corespunzător. Dezavantajul unor astfel de programe antivirus este că pot găsi doar viruși care sunt cunoscuți de dezvoltatorii unor astfel de programe.

Programe de doctorat sau fagi, precum și programe de vaccinare nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. corpul programului virus este eliminat din fișier, readucerea fișierelor la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „tratarea” fișierelor. Dintre fagi se disting polifagii, adică. programe de căutare și distrugere a medicului un numar mare virusuri. Cele mai cunoscute dintre ele sunt: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Având în vedere că apar în mod constant viruși noi, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate.

Programe de auditor sunt printre cele mai fiabile mijloace de protecție împotriva virușilor. Auditorii își amintesc starea inițială a programelor, directoarelor și zonelor de sistem ale discului atunci când computerul nu este infectat cu un virus și apoi, periodic sau la cererea utilizatorului, compară starea actuală cu cea originală. Modificările detectate sunt afișate pe ecranul monitorului. De regulă, stările sunt comparate imediat după ce sistemul de operare este încărcat. La comparare, se verifică lungimea fișierului, codul de control ciclic (suma de verificare a fișierului), data și ora modificării și alți parametri. Programele de auditor au algoritmi destul de avansați, detectează virușii ascunși și pot chiar curăța modificările aduse versiunii programului verificat din modificările aduse de virus. Printre programe-auditori se numără și programul Adinf utilizat pe scară largă în Rusia.

Programe de filtrare sau "paznic" sunt mici programe rezidente concepute pentru a detecta activitățile suspecte pe computer care sunt caracteristice virușilor. Astfel de acțiuni pot fi:

Încercări de corectare a fișierelor cu extensii COM, EXE

modificarea atributelor fișierului

Scriere directă pe disc la adresa absolută

Scrieți pe sectoarele de boot de pe disc

Când orice program încearcă să efectueze acțiunile specificate, „paznicul” trimite un mesaj utilizatorului și se oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile, deoarece sunt capabile să detecteze un virus în cel mai timpuriu stadiu al existenței sale înainte de reproducere. Cu toate acestea, ele nu „vindecă” fișierele și discurile. Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii. Dezavantajele programelor de supraveghere includ „enervarea” lor (de exemplu, emit în mod constant un avertisment despre orice încercare de a copia un fișier executabil), precum și posibilele conflicte cu alte software. Un exemplu de program de filtrare este programul Vsafe, care face parte din pachetul de utilitare MS DOS.

Vaccinuri sau imunizatoare sunt programe rezidente care previn infectarea fișierelor. Vaccinurile sunt folosite dacă nu există programe medicale care să „trateze” acest virus. Vaccinarea este posibilă numai împotriva virusurilor cunoscute. Vaccinul modifică programul sau discul în așa fel încât să nu le afecteze activitatea, iar virusul îi va percepe ca fiind infectați și, prin urmare, nu va prinde rădăcini. Programele de vaccinare sunt în prezent de utilizare limitată.

Detectarea în timp util a fișierelor și discurilor infectate cu viruși, distrugerea completă a virușilor detectați pe fiecare computer ajută la evitarea răspândirii unei epidemii de viruși la alte computere.

6.3. Măsuri de bază de protecție împotriva virușilor

Pentru a nu expune computerul la viruși și pentru a asigura stocarea fiabilă a informațiilor pe discuri, trebuie să respectați următoarele reguli:

¨ echipați-vă computerul cu programe antivirus actualizate, cum ar fi Aidstest, Doctor Web și actualizați-le în mod constant versiunile

¨ înainte de a citi informațiile stocate pe alte computere de pe dischete, verificați întotdeauna aceste dischete pentru viruși, rulând programe antivirus pe computerul dvs.

¨ când transferați fișiere arhivate pe computer, verificați-le imediat după ce le dezarhivați pe hard disk, limitând zona de verificare doar la fișierele nou înregistrate

¨ verificați periodic hard disk-urile computerului dvs. pentru viruși, rulând programe antivirus pentru a testa fișierele, memoria și zonele de sistem ale discurilor de pe o dischetă protejată la scriere, după încărcarea sistemului de operare de pe o dischetă de sistem protejată la scriere

¨ Întotdeauna protejați-vă dischetele la scriere atunci când lucrați pe alte computere, dacă acestea nu vor fi scrise în informații

¨ asigurați-vă că faceți copii de arhivă pe dischete cu informații valoroase pentru dvs

¨ nu lăsați dischete în buzunarul unității A când porniți sau reporniți sistemul de operare pentru a preveni infectarea computerului cu viruși de boot

¨ utilizați programe antivirus pentru controlul intrării tuturor fișierelor executabile primite din rețelele de computere

¨ pentru a asigura o mai mare securitate, utilizarea Aidstest și Doctor Web trebuie combinată cu utilizarea zilnică a auditorului de disc Adinf

CONCLUZIE

Deci, putem cita o mulțime de fapte care indică faptul că amenințarea la adresa resursei informaționale crește în fiecare zi, punând în panică persoanele responsabile din bănci, întreprinderi și companii din întreaga lume. Și această amenințare vine de la virușii informatici care distorsionează sau distrug informații vitale, valoroase, care pot duce nu numai la pierderi financiare, ci și la pierderi umane.

Virus de calculator - un program special scris care se poate atașa spontan la alte programe, se poate crea copii și le poate încorpora în fișiere, zone ale sistemului informatic și în retele de calculatoare pentru a perturba funcționarea programelor, a deteriora fișierele și directoarele, creați tot felul de interferențe în funcționarea computerului.

În prezent, sunt cunoscuți peste 5.000 de viruși software, al căror număr este în continuă creștere. Sunt cazuri cunoscute când ghiduri de studiu pentru a ajuta la scrierea virușilor.

Principalele tipuri de viruși: boot, file, file-boot. Cel mai periculos tip de virusuri este polimorfa.

Din istoria virologiei computerelor, este clar că orice dezvoltare originală a computerului îi obligă pe creatorii de antivirusuri să se adapteze la noile tehnologii, să îmbunătățească constant programele antivirus.

Motivele apariției și răspândirii virușilor sunt ascunse, pe de o parte, în psihologia umană, pe de altă parte, cu lipsa de protecție a sistemului de operare.

Principalele căi prin care virușii pot pătrunde sunt unitățile amovibile și rețelele de computere. Pentru a preveni acest lucru, luați măsuri de precauție. De asemenea, au fost dezvoltate mai multe tipuri de programe speciale numite programe antivirus pentru a detecta, elimina și proteja împotriva virușilor informatici. Dacă încă găsiți un virus în computerul dvs., atunci, conform abordării tradiționale, este mai bine să apelați un profesionist pentru ca acesta să-și dea seama mai departe.

Însă unele proprietăți ale virușilor îi deranjează chiar și pe experți. Până de curând, era greu de imaginat că un virus ar putea supraviețui unei reporniri la rece sau să se răspândească prin fișierele documentelor. În astfel de condiții, este imposibil să nu acordăm importanță măcar educației inițiale antivirus a utilizatorilor. În ciuda gravității problemei, niciun virus nu este capabil să provoace la fel de mult rău ca un utilizator albit cu mâinile tremurânde!

Asa de, sănătatea computerelor tale, siguranța datelor tale - în mâinile tale!

Lista bibliografică

1. Informatică: Manual / ed. Prof. N.V. Makarova. - M.: Finanțe și statistică, 1997.

2. Enciclopedia secretelor și senzațiilor / Întocmit. text de Yu.N. Petrov. - Minsk: Literatură, 1996.

3. Bezrukov N.N. Virușii informatici. - M.: Nauka, 1991.

4. Mostovoy D.Yu. Tehnologii moderne lupta împotriva virușilor // PC World. - Nr. 8. - 1993.

Trimiteți-vă munca bună în baza de cunoștințe este simplu. Utilizați formularul de mai jos

Studenții, studenții absolvenți, tinerii oameni de știință care folosesc baza de cunoștințe în studiile și munca lor vă vor fi foarte recunoscători.

Găzduit la http://www.allbest.ru/

Clasificarea antivirusurilor

Antivirus este un pachet software special conceput pentru a proteja, intercepta și elimina virușii informatici și alte programe rău intenționate.

Programele antivirus moderne sunt capabile să detecteze eficient obiectele rău intenționate din fișierele și documentele programului. În unele cazuri, antivirusul poate elimina corpul unui obiect rău intenționat dintr-un fișier infectat, restabilind fișierul în sine. În cele mai multe cazuri, un antivirus este capabil să elimine un obiect de program rău intenționat nu numai din fișier program, dar și din dosar document de birou fără a-i încălca integritatea. Utilizarea programelor antivirus nu necesită calificări înalte și este disponibilă pentru aproape orice utilizator de computer. În prezent, majoritatea software-ului antivirus de top combină protecția în timp real (monitor de viruși) și protecția la cerere (scanner antivirus).

Clasificarea antivirusurilor

Momentan nu exista sistem unificat clasificarea programelor antivirus.

Clasificarea antivirusurilor după modul de funcționare

Kaspersky Lab clasifică antivirusurile în funcție de modul lor de funcționare:

Verificare în timp real

Scanarea în timp real, sau scanarea constantă, asigură continuitatea protecției antivirus. Acest lucru este implementat prin verificarea obligatorie a tuturor acțiunilor efectuate de alte programe și de utilizatorul însuși pentru malware, indiferent de locația lor inițială - fie că este vorba despre hard disk, medii de stocare externe, alte resurse de rețea sau propria RAM. De asemenea, toate acțiunile indirecte prin programe terțe sunt supuse verificării.

Verificare la cerere

În unele cazuri, o scanare în timp real care rulează constant poate să nu fie suficientă. Este posibil ca un fișier infectat să fi fost copiat pe computer, care a fost exclus de la scanarea constantă din cauza dimensiunii sale mari și, prin urmare, virusul nu a fost detectat în el. Dacă acest fișier nu rulează pe computerul în cauză, atunci virusul poate trece neobservat și se poate manifesta numai după ce îl trimite pe alt computer.

Pentru acest mod, se presupune, de obicei, că utilizatorul specifică personal ce fișiere, directoare sau zone de disc să fie verificate și ora la care trebuie efectuată o astfel de verificare - sub forma unui program sau a unei porniri manuale unice.

Clasificarea antivirusurilor după tip

De asemenea, programele antivirus pot fi clasificate după tip:

Scanere (alte denumiri: fagi, polifagi)

Principiul de funcționare al scanerelor antivirus se bazează pe scanarea fișierelor, sectoarelor și memoriei de sistem și căutarea de viruși cunoscuți și noi (necunoscuți de scaner) în ele. Așa-numitele „măști” sunt folosite pentru a căuta viruși cunoscuți. O mască de virus este o secvență de cod constantă specifică acelui virus. Dacă virusul nu conține o mască permanentă sau lungimea acestei măști nu este suficient de mare, atunci se folosesc alte metode. Un exemplu de astfel de metodă este un limbaj algoritmic care descrie totul opțiuni posibile cod care poate fi întâlnit atunci când este infectat cu acest tip de virus. Această abordare este folosită de unii antivirusuri pentru a detecta viruși polimorfi.

Multe scanere folosesc, de asemenea, algoritmi de „scanare euristică”, de exemplu. analiza succesiunii comenzilor din obiectul verificat, colectarea unor statistici si luarea deciziilor pentru fiecare obiect verificat.

Scanerele pot fi, de asemenea, împărțite în două categorii - „universale” și „specializate”. Scanerele universale sunt concepute pentru a căuta și neutraliza toate tipurile de viruși, indiferent de sistemul de operare în care este proiectat să funcționeze scanerul. Scanerele specializate sunt concepute pentru a neutraliza un număr limitat de viruși sau doar o singură clasă a acestora, cum ar fi virușii macro.

Scanerele sunt, de asemenea, împărțite în „rezident” (monitoare) care scanează „din mers” și „nerezident” care scanează sistemul. Datele sunt comparate cu datele. Astfel, pentru a găsi un virus în computerul tău, ai nevoie ca acesta să fi „funcționat” deja, astfel încât să apară consecințele activității sale. Această metodă poate găsi doar viruși cunoscuți pentru care fragmente de cod sau semnături sunt descrise anterior. Este puțin probabil ca o astfel de protecție să poată fi numită fiabilă.

Analiza procesului

program de virus malware computer

Instrumentele antivirus bazate pe analiza procesului funcționează oarecum diferit. „Analizoarele euristice”, precum și cele descrise mai sus, analizează datele (pe disc, într-un canal, în memorie etc.). Diferența fundamentală este că analiza este efectuată presupunând că codul analizat nu este date, ci comenzi (în calculatoarele cu arhitectură von Neumann, datele și comenzile nu se pot distinge și, prin urmare, trebuie prezentată una sau alta presupunere). în timpul analizei.)

„Analizorul euristic” selectează o secvență de operații, atribuie fiecăruia dintre ele un anumit rating de „pericol” și, pe baza totalității „pericolului”, decide dacă această secvență de operațiuni face parte din codul rău intenționat. Codul în sine nu este executat.

Un alt tip de antivirus bazat pe proces este „blocatorii de comportament”. În acest caz, codul suspect este executat pas cu pas până când setul de acțiuni inițiate de cod este evaluat ca comportament „periculos” (sau „sigur”). În acest caz, codul este parțial executat, deoarece completarea codului rău intenționat poate fi detectată mai mult metode simple analiza datelor.

Tehnologii de detectare a virusurilor

Tehnologiile utilizate în antivirusuri pot fi împărțite în două grupe:

Tehnologii de analiză a semnăturilor

Analiza semnăturilor este o metodă de detectare a virușilor care verifică prezența semnăturilor virușilor în fișiere. Analiza semnăturilor este cea mai cunoscută metodă de detectare a virușilor și este folosită în aproape toate antivirusurile moderne. Pentru a efectua o scanare, antivirusul are nevoie de un set de semnături de viruși, care este stocat în baza de date antivirus.

Datorită faptului că analiza semnăturii implică verificarea fișierelor pentru semnăturile virușilor, baza de date antivirus trebuie actualizată periodic pentru a menține antivirusul la zi. Însuși principiul analizei semnăturii definește, de asemenea, limitele funcționalității sale - capacitatea de a detecta doar viruși cunoscuți - un scaner de semnături este neputincios împotriva noilor viruși.

Pe de altă parte, prezența semnăturilor virusului sugerează posibilitatea tratamentului fișiere infectate detectat folosind analiza semnăturii. Cu toate acestea, nu toți virușii pot fi vindecați - troienii și majoritatea viermilor nu pot fi vindecați datorită caracteristicilor lor de design, deoarece sunt module integrale create pentru a provoca daune.

Implementarea competentă a unei semnături de virus face posibilă detectarea virușilor cunoscuți cu o certitudine de 100%.

Tehnologii de analiză probabilistică

Tehnologiile de analiză probabilistică, la rândul lor, sunt împărțite în trei categorii:

Analiza euristica

Analiza comportamentală

Analiza sumei de control

Analiza euristică este o tehnologie bazată pe algoritmi probabilistici, al cărei rezultat este identificarea obiectelor suspecte. Analiza euristică verifică structura fișierului și conformitatea acesteia cu șabloanele de viruși. Cea mai populară tehnică euristică este verificarea conținutului unui fișier pentru modificări ale semnăturilor virușilor deja cunoscute și combinațiile acestora. Acest lucru ajută la detectarea hibrizilor și a noilor versiuni ale virușilor cunoscuți anterior, fără o actualizare suplimentară. baza de date antivirus.

Analiza euristică este utilizată pentru a detecta viruși necunoscuți și, ca urmare, nu se așteaptă la rezultate pozitive.

Analiza comportamentală este o tehnologie în care se ia o decizie cu privire la natura obiectului verificat pe baza unei analize a operațiunilor pe care le efectuează. Analiza comportamentală are o aplicație practică foarte îngustă, deoarece majoritatea acțiunilor tipice virușilor pot fi efectuate prin aplicații obișnuite. Analizatoarele comportamentale ale scripturilor și macrocomenzilor sunt cele mai faimoase, deoarece virușii corespunzători efectuează aproape întotdeauna o serie de acțiuni similare.

Caracteristicile de securitate încorporate în BIOS pot fi, de asemenea, clasificate ca analizoare comportamentale. Când se încearcă să facă modificări la MBR-ul computerului, analizorul blochează acțiunea și afișează o notificare corespunzătoare utilizatorului.

În plus, analizatorii comportamentali pot urmări încercările de a accesa direct fișierele, pot face modificări înregistrarea de pornire formatarea dischetei hard disk-uri etc.

Analizatorii comportamentali nu folosesc obiecte suplimentare, cum ar fi bazele de date cu viruși, pentru munca lor și, ca urmare, nu pot face distincția între viruși cunoscuți și necunoscuți - toate programele suspecte sunt considerate a priori viruși necunoscuți. În mod similar, caracteristicile funcționării instrumentelor care implementează tehnologii de analiză comportamentală nu implică tratament.

Analiza sumelor de control este o modalitate de a ține evidența modificărilor în obiectele unui sistem informatic. Pe baza analizei naturii modificărilor - simultaneitate, caracter de masă, modificări identice ale lungimii fișierelor - se poate concluziona că sistemul este infectat. Analizatorii de sumă de control (numiți și „auditori de schimbare”), la fel ca analizatorii comportamentali, nu folosesc obiecte suplimentare în activitatea lor și emit un verdict cu privire la prezența unui virus în sistem doar prin evaluarea inter pares. Tehnologii similare sunt utilizate în scanerele de acces - în timpul primei verificări, o sumă de control este preluată din fișier și plasată în cache, înainte de următoarea verificare a aceluiași fișier, suma de control este preluată din nou, comparată și, dacă nu există modificări, fișierul este considerat neinfectat.

Complex anti-virus - un set de anti-virus care utilizează același motor sau aceleași motoare anti-virus, concepute pentru a rezolva probleme practice în asigurarea securității anti-virus sisteme informatice. Complexul antivirus include și instrumente pentru actualizarea bazelor de date antivirus.

În plus, complexul antivirus poate include în plus analizoare comportamentale și auditori de schimbare care nu utilizează motorul antivirus.

Există următoarele tipuri de complexe antivirus:

Complex antivirus pentru protecția stațiilor de lucru

Complex antivirus pentru protejarea serverelor de fișiere

Complex antivirus pentru protecția sistemelor de poștă

Complex antivirus pentru protecția gateway-urilor.

Găzduit pe Allbest.ru

Documente similare

Conceptul și clasificarea virușilor informatici. Metode de bază de protecție a informațiilor împotriva virușilor. Prezentare generală a instrumentelor software moderne pentru munca sigura calculator. Clasificarea antivirusurilor. Kaspersky Antivirus, Norton Antivirus, Dr. Weber, Eset NOD32.

lucrare de termen, adăugată 26.10.2015

Sarcinile principale ale antivirusurilor și mijloacele de protecție antivirus a unui computer personal. Cum funcționează virușii și cum se răspândesc. Metode și tehnologii de protecție împotriva programelor rău intenționate. Cerințe generale siguranța atunci când utilizați un computer.

rezumat, adăugat 22.09.2016

Un studiu al istoriei virușilor informatici și antivirusurilor. Studiul principalelor căi de pătrundere a programelor rău intenționate în computer. Tipuri de viruși și programe antivirus. Caracterizarea caracteristicilor semnăturii și metodelor euristice de protecție antivirus.

rezumat, adăugat 10.08.2014

Principalele metode de protecție împotriva virușilor informatici. Principalele semne ale manifestării virușilor: terminarea programelor, funcționarea lentă a computerului, modificări ale dimensiunii, datei și orei fișierelor. Modalități de apariție a virușilor. Caracteristicile antivirusurilor cunoscute.

prezentare, adaugat 12.02.2011

Fenomenul virușilor informatici. Clasificarea virușilor informatici. Tipuri de antivirusuri. Cum și de ce să protejați PC-ul. Luptă împotriva atacurilor hackerilor. Servicii web antivirus gratuite. Bazele securității pe internet. Acțiuni în cazul unui virus.

rezumat, adăugat 10.08.2008

Conceptul și mecanismul de acțiune al virușilor informatici, definirea pericolului acestora pentru siguranța datelor, măsuri de prevenire a impacturilor negative. Clasificarea programelor antivirus, a acestora Cerințe de sistemși condiții pentru o funcționare eficientă, neîntreruptă.

teză, adăugată 17.07.2010

Caracteristicile programelor antivirus (antivirusuri) - programe de calculator, conceput pentru a neutraliza virușii și diverse tipuri de malware, pentru a salva date și a optimiza performanța computerului. Clasificare și exemple de programe antivirus.

rezumat, adăugat 26.03.2010

Utilizarea antivirusurilor pentru a detecta eficient virușii pe computer și a-i neutraliza. Semne de infecție cu virus. Manifestări evidente ale troienilor: modificarea setărilor browserului, mesaje pop-up, apelare neautorizată la Internet.

munca de laborator, adaugat 13.09.2013

Conceptul și clasificarea virușilor informatici. Metode de protecție împotriva programelor rău intenționate, varietățile acestora. Semne ale unei infecții cu virusul computerului. Problema securității informațiilor. Lucrul cu aplicațiile MS Office. Analiza virușilor de fișiere, utilitare hacker.

lucrare de termen, adăugată 01.12.2015

Programe pentru căutarea virușilor informatici similari celor cunoscuți și pentru efectuarea de acțiuni suspecte. Modul de actualizare, planificare și management. Configurarea setărilor pentru module antivirus, actualizări, actualizări periodice și scanări.

Cele mai populare și eficiente programe antivirus sunt scanerele antivirus (programe de detectare), scanerele CRC (auditori). Există, de asemenea, blocante antivirus și imunizatoare.

Scanere. Principiul de funcționare al scanerelor antivirus se bazează pe scanarea fișierelor, sectoarelor și memoriei de sistem și căutarea de viruși cunoscuți și noi (necunoscuți de scaner) în ele. Așa-numitele „măști” sunt folosite pentru a căuta viruși cunoscuți. O mască de virus este o secvență de cod constantă specifică acelui virus. Dacă virusul nu conține o mască permanentă sau lungimea acestei măști nu este suficient de mare, atunci se folosesc alte metode. Un exemplu de astfel de metodă este un limbaj algoritmic care descrie toate variantele posibile de cod care pot fi întâlnite atunci când acest tip de virus este infectat. Această abordare este folosită de unii antivirusuri pentru a detecta viruși polimorfi.

Multe scanere folosesc, de asemenea, algoritmi de „scanare euristică”, adică analiza secvenței comenzilor din obiectul verificat, colectarea unor statistici și luarea unei decizii pentru fiecare obiect verificat. Deoarece scanarea euristică este în mare măsură o metodă probabilistică pentru detectarea virușilor, i se aplică multe legi ale teoriei probabilităților. De exemplu, cu cât procentul de viruși detectați este mai mare, cu atât este mai mare numărul de fals pozitive.

Scanerele sunt, de asemenea, împărțite în „rezident” (monitoare), care scanează „din mers” și „nerezident”, oferind verificări ale sistemului doar la cerere. De regulă, scanerele „rezidente” oferă mai mult protecţie fiabilă sisteme, deoarece reacţionează imediat la apariţia unui virus, în timp ce un scanner „nerezident” este capabil să identifice un virus doar în timpul următoarei lansări.

Avantajele scanerelor de toate tipurile includ versatilitatea lor, dezavantajele sunt dimensiunea bazelor de date antivirus pe care scanerele trebuie să le stocheze și să le completeze și viteza relativ scăzută de căutare a virușilor.

Scanere CRC. Principiul de funcționare al scanerelor CRC se bazează pe calculul sumelor CRC (sume de control) pentru fișierele / sectoarele de sistem prezente pe disc. Aceste sume CRC sunt apoi stocate în baza de date a antivirusului, precum și alte informații: lungimea fișierelor, datele ultimei lor modificări etc. La lansarea ulterioară, scanerele CRC verifică datele conținute în baza de date cu valorile efectiv calculate. Dacă informațiile despre fișiere înregistrate în baza de date nu se potrivesc cu valorile reale, atunci scanerele CRC semnalează că fișierul a fost modificat sau infectat cu un virus.

Scanerele CRC, folosind algoritmi „anti-stealth”, răspund la aproape 100% dintre viruși imediat după apariția modificărilor pe computer. Un dezavantaj caracteristic acestor antivirusuri este imposibilitatea de a detecta un virus din momentul in care acesta apare pana cand se fac modificari la computer. Scanerele CRC nu pot detecta un virus în fișiere noi (în e-mail, pe dischete, în fișiere recuperabile sau la extragerea fișierelor dintr-o arhivă), deoarece bazele lor de date nu au informații despre aceste fișiere.

Blocante. Blocanții antivirus sunt programe rezidente care interceptează situații „periculoase pentru virus” și informează utilizatorul despre acestea. Apelurile „periculoase pentru viruși” includ apeluri de deschidere pentru scrierea în fișiere executabile, scrierea în sectorul de pornire a discului etc., care sunt tipice pentru viruși în momentul reproducerii lor.

Avantajele blocanților includ capacitatea lor de a detecta și bloca un virus în stadiul cel mai incipient al reproducerii sale, care, apropo, este foarte util în cazurile în care un virus cunoscut de mult timp este activat în mod constant.

Imunizatoare. Imunizatorii sunt împărțiți în două tipuri: imunizatorii care raportează infecția și imunizatorii care blochează infecția cu orice tip de virus.

Programe de doctorat sau fagi, precum și programe de vaccinare nu numai că găsesc fișiere infectate cu viruși, ci și le „tratează”, adică. corpul programului virus este eliminat din fișier, readucerea fișierelor la starea inițială. La începutul activității lor, fagii caută viruși în RAM, distrugându-i și abia apoi procedează la „tratarea” fișierelor. Dintre fagi se disting polifagii, adică. programe medicale concepute pentru a găsi și distruge un număr mare de viruși. Cele mai cunoscute dintre ele sunt: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Având în vedere că apar în mod constant viruși noi, programele de detectare și programele medicale devin rapid depășite și sunt necesare actualizări regulate.

Programe de filtrare sau "paznic" sunt mici programe rezidente concepute pentru a detecta activitățile suspecte pe computer care sunt caracteristice virușilor. Astfel de acțiuni pot fi:

Încercări de corectare a fișierelor cu extensii COM, EXE

modificarea atributelor fișierului

Scriere directă pe disc la adresa absolută

Scrieți pe sectoarele de boot de pe disc

Când orice program încearcă să efectueze acțiunile specificate, „paznicul” trimite un mesaj utilizatorului și se oferă să interzică sau să permită acțiunea corespunzătoare. Programele de filtrare sunt foarte utile, deoarece sunt capabile să detecteze un virus în cel mai timpuriu stadiu al existenței sale înainte de reproducere. Cu toate acestea, ele nu „vindecă” fișierele și discurile. Pentru a distruge virușii, trebuie să utilizați alte programe, cum ar fi fagii. Dezavantajele programelor de supraveghere includ „enervarea” lor (de exemplu, emit în mod constant un avertisment cu privire la orice încercare de a copia un fișier executabil), precum și posibilele conflicte cu alt software. Un exemplu de program de filtrare este programul Vsafe inclus în pachetul de utilitare MS Windows.

Metode de bază pentru detectarea virușilor

programele antivirus au evoluat în paralel cu evoluția virușilor. Pe măsură ce au apărut noi tehnologii pentru crearea virușilor, aparatul matematic folosit în dezvoltarea antivirusurilor a devenit mai complicat.

Primii algoritmi antivirus au fost construiți pe baza comparației cu standardul. Vorbim de programe în care virusul este determinat de nucleul clasic de vreo mască. Semnificația algoritmului este utilizarea metodelor statistice. Masca ar trebui să fie, pe de o parte, mică, astfel încât dimensiunea fișierului să fie acceptabilă și, pe de altă parte, suficient de mare pentru a evita falsele pozitive (atunci când „prietenul” este perceput ca „străin” și invers).

Primele programe antivirus construite pe acest principiu (așa-numitele scanere polifage) cunoșteau un anumit număr de viruși și puteau să-i trateze. Aceste programe au fost create după cum urmează: dezvoltatorul, după ce a primit codul virusului (codul virusului a fost static la început), a compilat o mască unică din acest cod (o secvență de 10-15 octeți) și a introdus-o în baza de date a antivirusului. - program virus. Programul antivirus a scanat fișierele și, dacă a găsit această secvență de octeți, a concluzionat că fișierul a fost infectat. Această secvență (semnătură) a fost aleasă în așa fel încât să fie unică și să nu apară într-un set obișnuit de date.

Abordările descrise au fost folosite de majoritatea programelor antivirus până la mijlocul anilor 90, când au apărut primii viruși polimorfi care și-au schimbat corpul conform unor algoritmi care erau imprevizibili în prealabil. La acea vreme, metoda semnăturii era completată de așa-numitul emulator de procesor, care făcea posibilă găsirea de viruși criptați și polimorfi care nu aveau în mod explicit o semnătură permanentă.

Principiul emulării procesorului este demonstrat în orez. unu. Dacă, de obicei, un lanț condiționat este format din trei elemente principale: CPU®OS®Program, atunci când emulați un procesor, la un astfel de lanț este adăugat un emulator. Emulatorul, așa cum spune, reproduce activitatea programului într-un spațiu virtual și reconstruiește conținutul său original. Emulatorul este întotdeauna capabil să întrerupă execuția programului, își controlează acțiunile fără a lăsa nimic să se strice și apelează motorul de scanare antivirus.

Al doilea mecanism, care a apărut la mijlocul anilor 90 și este folosit de toate antivirusurile, este analiza euristica. Faptul este că aparatul de emulare a procesorului, care vă permite să obțineți un rezumat al acțiunilor efectuate de programul analizat, nu face întotdeauna posibilă căutarea acestor acțiuni, ci vă permite să efectuați o analiză și să prezentați o ipoteză precum „virus sau nu virus?”.

În acest caz, luarea deciziilor se bazează pe abordări statistice. Și programul corespunzător se numește analizor euristic.

Pentru a se reproduce, un virus trebuie să efectueze anumite acțiuni specifice: copierea în memorie, scrierea în sectoare etc. Analizorul euristic (face parte din motorul antivirus) conține o listă cu astfel de acțiuni, caută prin codul programului care se execută, determină ce face și pe baza acestuia decide dacă acest program virus sau nu.

În același timp, procentul de viruși săriți, chiar și necunoscut programului antivirus, este foarte mic. Această tehnologie acum utilizat pe scară largă în toate programele antivirus.

Clasificarea programelor antivirus

programele anti-virus sunt clasificate în anti-virusuri pure și anti-virusuri cu dublu scop ( orez. 2).

Antivirusurile pure se disting prin prezența unui motor antivirus care îndeplinește funcția de scanare după modele. Lucrul fundamental în acest caz este că tratamentul este posibil dacă virusul este cunoscut. Antivirusurile pure, la rândul lor, sunt împărțite în două categorii în funcție de tipul de acces la fișiere: cele care controlează accesul (la acces) sau la cerere (la cerere). De obicei, produsele la acces se numesc monitoare, iar produsele la cerere se numesc scanere.

La cerere, produsul funcționează conform următoarei scheme: utilizatorul dorește să verifice ceva și emite o cerere (cerere), după care se efectuează verificarea. Un produs la acces este un program rezident care monitorizează accesul și efectuează o verificare în momentul accesării.

În plus, programele antivirus, precum virușii, pot fi împărțite în funcție de platforma în care funcționează acest antivirus. În acest sens, alături de Windows sau Linux, platformele pot include Microsoft Exchange Server, Microsoft Office, Notite Lotus.

Programele cu scop dublu sunt programe utilizate atât în software-ul antivirus, cât și în cel non-antivirus. De exemplu, CRC-checker - un inspector de modificare bazat pe suma de control - poate fi folosit nu numai pentru a captura viruși. O varietate de programe cu dublu scop sunt blocanți comportamentali care analizează comportamentul altor programe și, dacă sunt detectate acțiuni suspecte, le blochează. Blocantele comportamentale se deosebesc de un antivirus clasic cu un nucleu antivirus care recunoaște și vindecă virușii care au fost analizați în laborator și pentru care a fost prescris un algoritm de tratament, blocanții comportamentali nu știu să trateze virușii, pentru că nu știu nimic despre ei. Această proprietate a blocanților le permite să lucreze cu orice viruși, inclusiv cu cei necunoscuți. Acest lucru are o relevanță deosebită astăzi, deoarece distribuitorii de viruși și antivirusuri folosesc aceleași canale de transmitere a datelor, adică Internetul. În același timp, compania antivirus are întotdeauna nevoie de timp pentru a obține virusul în sine, a-l analiza și a scrie modulele de tratament adecvate. Programele din grupul cu scop dublu vă permit doar să blocați răspândirea virusului până când compania scrie un modul de tratament.

Prezentare generală a celor mai populare antivirusuri personale

Revizuirea include cele mai populare antivirusuri pentru uz personal de la cinci dezvoltatori cunoscuți. Trebuie remarcat faptul că unele dintre companiile discutate mai jos oferă mai multe versiuni de programe personale care diferă în funcție de funcționalitate și, în consecință, de preț. În recenzia noastră, ne-am uitat la un produs de la fiecare companie, alegând cea mai funcțională versiune, care, de regulă, se numește Personal Pro. Alte opțiuni antivirus personale pot fi găsite pe site-urile respective.

Kaspersky Anti-Virus

Personal Prov. 4.0

Dezvoltator: Kaspersky Lab. Site: http://www.kaspersky.ru/ . Preț 69 USD (licență pentru 1 an).

Kaspersky Anti-Virus Personal Pro ( orez. 3) este una dintre cele mai populare soluții de pe piața rusă și conține o serie de tehnologii unice.

Blocarea comportamentului Modulul Office Guard controlează execuția macrocomenzilor, prevenind toate acțiunile suspecte. Prezența modulului Office Guard oferă protecție 100% împotriva virușilor macro.

Inspectorul monitorizează toate modificările din computerul dvs. și, dacă sunt detectate modificări neautorizate în fișiere sau în registrul de sistem, vă permite să restaurați conținutul discului și să eliminați codurile rău intenționate. Inspector nu necesită actualizări ale bazei de date antivirus: controlul integrității se realizează pe baza preluării amprentelor fișierelor originale (sume CRC) și a comparării ulterioare a acestora cu fișierele modificate. Spre deosebire de alți auditori, Inspector acceptă toate cele mai populare formate de fișiere executabile.

Analizorul euristic face posibilă protejarea computerului chiar și împotriva virușilor necunoscuți.

Monitor interceptor de viruși de fundal, prezent permanent în memoria calculatorului, efectuează o scanare antivirus a tuturor fișierelor imediat în momentul în care sunt lansate, create sau copiate, ceea ce vă permite să controlați toate operațiunile cu fișiere și să preveniți infectarea chiar și cu cei mai avansați viruși din punct de vedere tehnologic.

Filtrarea antivirus pentru e-mail împiedică virușii să intre în computer. Plug-in-ul Mail Checker nu numai că elimină virușii din corpul unui e-mail, ci și restabilește complet conținutul original al e-mail-urilor. O scanare completă a corespondenței poștale împiedică ascunderea unui virus în oricare dintre elementele unui e-mail prin scanarea tuturor secțiunilor mesajelor primite și trimise, inclusiv fișierele atașate (inclusiv fișierele arhivate și împachetate) și alte mesaje de orice nivel de imbricare.

Scanner antivirus Scanner vă permite să efectuați o scanare la scară completă a întregului conținut al unităților locale și de rețea, la cerere.

Interceptorul Script Checker oferă verificări antivirus ale tuturor scripturilor care rulează înainte ca acestea să fie executate.

Suportul pentru fișierele arhivate și comprimate oferă posibilitatea de a elimina codul rău intenționat dintr-un fișier comprimat infectat.

Izolarea obiectelor infectate asigură izolarea obiectelor infectate și suspecte, cu mutarea lor ulterioară într-un director special organizat pentru analiza ulterioara si recuperare.

Automatizarea protecției antivirus vă permite să creați un program și o ordine a componentelor programului; descărcați și conectați automat noi actualizări de baze de date antivirus prin Internet; trimiteți avertismente despre atacurile de viruși detectate prin e-mail etc.

Norton AntiVirus 2003 Professional Edition

Dezvoltator: Symantec. Site: http://www.symantec.ru/ .

Pretul este de 89,95 euro.

Programul rulează sub Control Windows 95/98/Me/NT4.0/2000 Pro/XP.

Preț 39,95 USD

Programul rulează sub Windows 95/98/Me/NT4.0/2000 Pro/XP.

Totul despre tehnologia mobilă